Está en la página 1de 324

s x

ROUTERS
Y SWITCHES
CONFIGURACION
Y ADMINISTRACIN
CREACIN Y AUTENTICACIN DE USUARIOS
TCNICAS PARA LA RECUPERACIN DE ACCESOS
ACTIVACIN DE ACL DESDE UN ROUTER
BACKUP DEL IOS Y TRABAJO CON VPN
SUBNETTING Y VLSM
ESCENARIOS VIRTUALES
por GILBERTO GONZLEZ RODRGUEZ

DOMINE LOS EQUIPOS DE

ROUTERS Y
SWITCHES
CISCO
CONFIGURACIN
Y ADMINISTRACIN
Gilberto Gonzlez Rodrguez

RedUSERS

TITULO:

Routers y switches Cisco

AUTOR:

Gilberto Gonzlez R.

COLECCIN:

Manuales USERS

FORMATO:

24 x 17 cm

PGINAS:

320

Copyright MMXIII. Es una publicacin de Fox Andina en coedicin con DLAGA S.A. Hecho el depsito que marca la ley 11723.
Todos los derechos reservados. Esta publicacin no puede ser reproducida ni en todo ni en parte, por ningn medio actual o
futuro sin el permiso previo y por escrito de Fox Andina S.A. Su infraccin est penada por las leyes 11723 y 25446. La editorial
no asume responsabilidad alguna por cualquier consecuencia derivada de la fabricacin, funcionamiento y/o utilizacin de los
servicios y productos que se describen y/o analizan. Todas las marcas mencionadas en este libro son propiedad exclusiva de sus
respectivos dueos. Impreso en Argentina. Libro de edicin argentina. Primera impresin realizada en Sevagraf, Costa Rica 5226,
Grand Bourg, Malvinas Argentinas, Pcia. de Buenos Aires en I, MMXIV.

ISBN 978-987-1949-34-2

Gonzlez Rodrguez, Gilberto


Routers y Switches Cisco. - la ed. - Ciudad Autnoma de Buenos Aires : Fox Andina; Buenos
Aires: Dalaga, 2014. 320 p .; 24x17 cm. - (Manual users; 258)

ISBN 978-987-1949-34-2
1. Informtica. I. Ttulo
CDD 005.3

EN NUESTRO SITIO PODRA ACCEDER A UNA PREVIEW DIGITAL DE CADA LIBRO Y TAMBIEN
OBTENER, DE MANERA GRATUITA, UN CAPTULO EN VERSIN PDF, EL SUMARIO COMPLETO
E IMGENES AMPLIADAS DE TAPA Y CONTRATAPA.

RedUSERS

redusers.com

Nuestros libros incluyen guas visuales, explicaciones paso a paso, recuadros


complementarios, ejercicios y todos los elementos necesarios para asegurar
un aprendizaje exitoso.

&

LLEGAMOS A TODO EL MUNDO VA ca y


usershop.redusers.com

usershop@redusers.com

54(011)4110-8700

4 HHHZ23

PRELIM IN ARES

Gilberto Gonzlez
Naci en el ao 1982 en el estado
de Mxico. Desde muy joven se
especializ como Tcnico en Informtica
y posteriormente como Ingeniero en
Sistemas Computacionales. Actualmente es
maestro en TIC, con una especialidad en
Desarrollo de Sistemas de Computacin y
Comunicaciones.
Es el autor del libro Servicio Tcnico:
Notebooks, de esta editorial. Ha contribuido adems como
escritor en el reciente lanzamiento del material Tcnico en
redes y seguridad, coleccin para la cual escribi el e-book
Solucin de problemas de redes.
Actualmente se desempea como docente en el Centro de
Estudios Cientficos y Tecnolgicos del Instituto Politcnico
Nacional y en la Universidad San Carlos.

Agradecimientos
A Paula Budris y a todos los implicados en la produccin
editorial de mi segundo libro, pues sin su confianza este sueo
no sera posible.

Dedicatorias
Esta obra est dedicada con mucho cario a la familia
Espinosa Casteln, pero muy en especial a Rutilo y a Vernica,
a quienes les agradezco las palabras de aliento, la confianza y
el apoyo incondicional que nos han brindado a mi esposa y a
m lo largo de todo este tiempo.
A mis compaeros profesores y amigos, de quienes he
recibido una palabra de aliento y de impulso profesional.
Gracias a Rosy y a David.

www.redusers.com

RO UTERS Y SW ITC H ES CISCO

Prlogo
A lo largo de mi desempeo profesional y en mi recorrido
habitual por las aulas de clase como docente universitario,
he sido testigo de muchas de las exigencias requeridas por
diversas empresas del mbito industrial, comercial y educativo
en cuanto a diseo e implementacin de redes CISCO.
Debemos saber que la mayora de estas organizaciones
demanda, sin duda, personal que califique como especialista
en el ramo de las telecomunicaciones. Personas con un perfil
altamente definido, capaces de configurar, operar, administrar
y solucionar problemas tanto bsicos como avanzados. Esta
es una de las principales razones para comenzar a impulsar a
que existan ms estudiantes en el mbito de las redes y mejor
preparados para el mercado laboral.
Esta situacin gener en m la inquietud por integrar en una
sola obra los temas ms frecuentes, relevantes y demandados
en la actualidad en este rubro, debido a lo cual he creado una
obra prctica, con ejercicios y demostraciones, que servir de
orientacin para conseguir las habilidades necesarias y el perfil
solicitado por muchas compaas.
Se trata de un libro dirigido tanto a aquellos especialistas
que desean tener a mano una gua o diccionario de
configuraciones de dispositivos de networking, como a
estudiantes que incursionan en el mundo de las redes CISCO.
Entre otros aspectos, aborda temas desarrollados en las
currculas de CISCO, con la finalidad de preparar a los lectores
interesados en obtener una certificacin CCNA Routing and
Switching en el futuro.

G ilb erto G o n z lez R o d rg u ez


Autor Red USERS

www.redusers.com

USEFS

P R E L IM IN A R E S

El libro de un vistazo
Este libro va dirigido a aquellos usuarios que desean tener a la mano
una gua prctica de configuracin de dispositivos CISCO y a aquellos
estudiantes de los program as de certificacin CCNA Routing and
Sw itching que buscan obtener conocim ientos slidos sobre las redes
CISCO: configuracin del IOS de routers y switches, enrutam iento, ACLs,
direccionam iento, servicios DHCP y redes VPN.

* n

l/ l/ l/

INTRODUCCIN
Haremos un estudio que abarca los principios

Veremos el funcionamiento del proceso de

bsicos, la importancia y la configuracin

enrutamiento dentro del mbito de las redes

inicial de los dispositivos que representan la

CISCO. Nos adentraremos en la configuracin

columna vertebral del diseo de las redes

y asignacin de rutas dinmicas y estticas en

CISCO: el router y el switch.

un router, y efectuaremos un recorrido por los


protocolos OSPF, EIGRP y BGP.

* n o _____________ ././i/
CONFIGURACIN DE ROUTERS
En este captulo nos enfocaremos en la

LISTAS DE CONTROL DE ACCESO (ACL)

configuracin intermedia del router, mediante

Aqu conoceremos las caractersticas, las

comandos desde el IOS. Analizaremos los

funciones y la clasificacin de las ACL.

niveles de control de acceso con la utilizacin de

Explicaremos, adems, cmo crearlas y

passwords y tambin conoceremos las tcnicas

ponerlas en marcha sobre el router para

empleadas por los expertos para la recuperacin

efectos de seguridad en la red. Veremos

del sistema ante la prdida de contraseas.

consejos que servirn de apoyo para


configurar una topologa ACL.

CONFIGURACIN DE SWITCHES
Aqu conoceremos la configuracin de un
switch CISCO, centrndonos especficamente

Llegados a este punto abordaremos dos temas

en la creacin y gestin de VLAN.

relacionados con la traduccin en el mbito

Abordaremos la configuracin de puertos e

de las redes CISCO: NAT y PAT. Conoceremos

interfaces, replicacin de switches mediante

algunas caractersticas, funciones, tipos de

VTP y enrutamiento entre VLAN.

implementacin y modos de configuracin.

www.redusers.com

USEFtS

R O U T E R S Y S W IT C H E S C IS C O

*07

SERVICIO DHCP

*AdA

CONEXIONES FSICAS

En este captulo daremos a conocer

Conoceremos algunos temas concernientes

la definicin, las caractersticas y el

a las redes de datos: tipos y representacin

funcionamiento del servicio DHCP en las redes

de dispositivos de red, modos de transmisin

CISCO. Abordaremos la forma de asignar un

de datos, medios de networking, normas

pool de direcciones desde un servidor para el

de cableado estructurado y estndares de

abastecimiento de IP dinmicas a los clientes

comunicacin.

de la red. Y veremos tambin el proceso de


configuracin del cliente-servidor DHCP desde
un router CISCO.

*AnR

ON W FR

SUBNETTING Y VLSM

En este apndice abordaremos las tcnicas

* n a

de subnetting y VLSM, las cuales son definidas

REDES PRIVADAS VIRTUALES (VPN)

usualmente como mtodos que le permiten

En el captulo final analizaremos la

al administrador dividir una red en redes ms

importancia de una VPN en el mbito de las

pequeas.

telecomunicaciones, a partir de definiciones


que nos conducirn hacia la compresin de

1/

la arquitectura y el funcionamiento de dichas


redes. Conoceremos tambin los tipos de

1/

SERVICIOS AL LECTOR

VPN, los modos de encriptacin, cmo se

En esta seccin daremos a conocer un

configura un mapa criptogrfico y el proceso

completo ndice temtico y una seleccin de

de configuracin de una VPN site-to-site.

sitios que contienen informacin til.

?'

1/

| INFORMACION COMPLEMENTARIA
K

A lo largo de este manual podr encontrar una serie de recuadros que le brindarn informacin complementaria:
curiosidades, trucos, ideas y consejos sobre los temas tratados. Para que pueda distinguirlos en forma ms sencilla,
cada recuadro est identificado con diferentes iconos:

CURIOSIDADES
E IDEAS

ATENCION

DATOS UTILES

SITIOS WEB

Y NOVEDADES

www.redusers.com

RedUSERS

COMUNIDAD DE TECNOLOGA

La red de productos sobre tecnologa ms


im p o rtan te del m undo de habla hispana
Libros
Desarrollos temticos
en profundidad

Coleccionables
Cursos intensivos con
gran despliegue visual

Revistas
Las ltimas tecnologas
explicadas por expertos

RedUSERS

redusers.com
Noticias actualizadas minuto
a minuto, reviews, entrevistas y trucos
NwsWter

Newsietters
Regstrese en redusers.com
para recibir un resumen con
las ltimas noticias

RedUSERS PREMIUM

premium.redusers.com
Nuestros productos en versin digital, con
contenido adicional y a precios increbles

Usershop

usershop.redusers.com
Revistas, libros y fascculos a un clic de
distancia y con entregas a todo el mundo

USEFS

P R E L IM IN A R E S

Contenido
Sobre el autor........................................................ 4

Resumen.............................................................. 47

Prlogo................................................................. 5

Actividades...........................................................48

El libro de un vistazo..............................................6
Informacin complementaria..................................7
Introduccin........................................................12

I
C o n fig u r a c i n

d e

ro u te rs

Comandos de configuracin intermedia.................50


Control de acceso al equipo CISCO.................... 51

Introduccin

Backup en routers y switches CISCO...................76

CISCO Systems.................................................... 14

Manejo de interfaces.........................................89

Dispositivos de red................................................ 15

Resumen.............................................................. 97

Routers CISCO................................................. 17

Actividades...........................................................98

Switches CISCO............................................... 20
Composicin de los routers y switches CISCO...... 22
Preparacin del dispositivo de red CISCO........... 25
Sistema Operativo de Interconexin..................... 30

C o n fig u r a c i n

d e

s w it c h e s

Configuracin inicial..........................................30

Configuracin inicial...........................................100

Introduccin al direccionamiento I P ..................... 33

VLAN con equipos CISCO................................... 103

Clases de direcciones I P .................................... 35

Implementacin VLA N .................................... 106


Asignacin de puertos..................................... 112

CapasTPC/IP

Protocolos

Tipos de V LA N ............................................... 115


Configuracin de VLAN ................................. 117

Aplicacin

HTTR FTR DNS

Transporte

TCP UDP RTP

Enlaces troncales............................................121
Enrutamiento entre V L A N ...............................123
Configuracin de interfaces y sub-interfaces.......124

Internet

Protocolo Internet (IP)

Enlace

Token Ring, PPR ATM

Replicacin con V T P ....................................... 127


Modos V T P .................................................... 128
Configuracin de V T P...................................... 130

Fsico

Medios Fsicos

Resumen............................................................ 133
Actividades.........................................................134

Enrutamiento....................................................... 36
Operaciones IO S ................................................... 38
Simuladores grficos de red.................................. 43

T r i
E n r u ta m ie n to

PacketTracer.................................................. 43

Introduccin al enrutamiento..............................136

El simulador G N S3...........................................46

Enrutamiento esttico........................................ 138

www.redusers.com

USEFtS

R O U T E R S Y S W IT C H E S C IS C O

Configuracin de rutas estticas....................... 138

Configuracin de NAT..................................... 226

Protocolos de enrutamiento................................146

Traduccin de direcciones de puertos (P A T )........233

Enrutamiento dinmico...................................... 147

Configuracin de PAT...................................... 234

Protocolo de informacin de ruteo....................148

Resumen............................................................ 237

Introduccin a O SPF....................................... 153

Actividades.........................................................238

Configuracin bsica de O S P F ......................... 157


Introduccin a E IG R P ..................................... 159

NAT DINAMICO

Configuracin bsica de E IG R P ....................... 163


IP Privadas
10.0.0.1:80
10.0.0.2.80
10.0.0.3:80

Protocolo BG P.................................................... 165


Configuracin bsica de B G P ........................... 166

IP Pblicas
2 1 4 .9 3 .2 3 4 1:8000
214 .9 3 .2 3 4 .1 .8 0 0 1
2 1 4 .9 3 .2 3 4 .1 :8 0 0 2

Resumen............................................................ 169
Actividades.........................................................170
2 14 .9 3 .2 34 .1
PC2

Internet

10.0.0.2

I
Listas de Control
de Acceso (ACL)

Trfico direccionado privado


Trfico direccionado pblico

Introduccin a las ACL........................................ 172


Protocolos de configuracin ACL........................ 178
PuertosTCP y U D P.............................................179
Tipos de A C L ...................................................... 182

%WA

Listas estndar............................................... 182

Servicio DHCP

Listas extendidas.............................................187

Introduccin a DHCP..........................................240

Listas dinmicas............................................. 193

Asignacin de direcciones de red........................ 242

Listas reflexivas..............................................195

Topologa cliente - servidor...............................243

Listas basadas en tiempo................................. 200

Configuracin del router..................................... 246

Listas nombradas............................................204

Configuracin de DHCP server......................... 247

Verificacin de A C L.............................................206

Configuracin de DHCP client.......................... 251

Listas de Control de Acceso en V LA N ..................208

Configuracin del Proxy D H C P........................ 252

Resumen............................................................ 213

Resumen............................................................ 253

Actividades.........................................................214

Actividades.........................................................254

V i l

NAT y PAT
Traduccin de direcciones de red (N A T).............. 216

Redes privadas
virtuales (VPN)

Tipos de direcciones I P ................................... 218

Introduccin a V P N .............................................256

Funcionamiento de NAT.................................. 224

Cmo funciona una V P N ? ................................. 258

www.redusers.com

11

USEFtS

R O U T E R S Y S W IT C H E S C IS C O

Seguridad IP cifrada.....................

.261

Proceso de configuracin de una VPN

.265

*
Servicios al lector

CHUl Arfi?ntn>

c-

&

0000

DOGO
30

Indice temtico..................................... ............. 308


Sitios web relacionados......................... ............. 311

* ]

Subnetting y VLSM

Trvd VP!NJ
rcnptacin de cbtca
Suojr.a Orto

ON W EB

Nmeros binarios

Suaxsa! Vi>:n

Los bits y los bytes


n DOGO
n iggg
n 1G00
n IGGG
| _ GJGQG
JU
|
1
v--sNv'

gggc

Conversiones binarias y decimales

GGGC
GDD

La lgica booleana en las redes

GODO

"
'i

gog:

Direccionamiento IP
Clases de direcciones IP
IP reservadas, privadas y pblicas

VPN de router a router................................... 267


Mapas criptogrficos para una V P N ..................271

Verificacin del direccionamiento


Tcnica de subnetting

Resumen............................................................ 273

Introduccin a las subredes

Actividades.........................................................274

Subredes y hosts por subred


Subnetting de clase A

A I , A

Subnetting de clase B

C o n e x io n e s f s ic a s

Tcnica de VLSM

Conexin de dispositivos de red........................... 276

Direccionamiento IPv4 e IPv6

Medios de transmisin networking..................... 277

Resumen

El estndar ethernet....................................... 279

Actividades

Cable coaxial.................................................. 283


Cable de par trenzado sin blindar (U T P )........... 285
Cable de par trenzado blindado ( S T P ) .............. 285

Revestimiento
exterior
Malla
de cobre

Cable de par trenzado apantallado (ScT P )........ 286


Cable de fibra ptica....................................... 287

Capa de plstico
aislante (dielctrico)

Cable de consola............................................. 290


Conductor
de cobre

Cable de conexin serial.................................. 293


Funcionamiento de las conexiones seriales........ 295
Tarjetas de interfaz CISCO...............................297
Normas de cableado............................................299
Resumen............................................................ 305
Actividades.........................................................306

www.redusers.com

12 H S S S

PRELIM IN ARES

Introduccin
Este manual contiene las bases y tcnicas necesarias
para garantizar al lector un aprendizaje simple a travs
de escenarios ilustrados y procesos descritos paso a paso.
Sin duda, se trata de una obra que no puede de faltar en la
biblioteca personal de ningn aficionado a las redes de datos.
Para comenzar, se describen los conceptos bsicos, el
principio del funcionamiento de un router y un svvitch, sus
caractersticas, modelos y series recientes, y los comandos
elementales que servirn de base para configurar el sistema
operativo de interconexin de los dispositivos CISCO.
A lo largo de estas pginas se describen tambin algunos
aspectos importantes, tales como la creacin de VLAN desde
switches CISCO, los tipos de enrutamiento de paquetes en una
red de datos, la manera de crear listas de control de acceso
desde un router CISCO, el modo de asignacin de direcciones
NAT, la configuracin y validacin del servicio DHCP y la
creacin de redes privadas virtuales (VPN). Por ltimo, el lector
encontrar dos apndices que le servirn para comprender el
contexto de esta obra. En el primer apndice se han sintetizado
los principios de las redes y las telecomunicaciones, mientras
que en el segundo se aborda el tema de matemticas para redes
y se describen las tcnicas de subnetting y VLSM.
Como se puede apreciar, en este contenido se tratan temas
imprescindibles y originalmente desarrollados en las currculas
CCNA Routing and Switching y CCNP, que servirn de gua en la
preparacin para una certificacin en el futuro.

C lau d io Pea M illahual


Editor RedUsers

www.redusers.com

///////////////

Introduccin
En este captulo haremos un estudio que abarca los principios
bsicos, la importancia y la configuracin inicial de los
dispositivos que representan la colum na vertebral del diseo
de las redes CISCO: el router y el switch. Abordaremos sus
com ponentes internos y externos, aprenderem os cmo
conectarlos y configurarlos.

CISCO Systems..................... 14

Enrutamiento........................ 36

Dispositivos de red.................15

Operaciones IO S .................... 38

Sistema Operativo de

Simuladores grficos de red....43

Interconexin........................ 30
t

Resumen............................... 47

Introduccin al
direccionamiento I P .............. 33

Actividades............................ 48

14

USERS

1. IN T R O D U C C I N

CISCO Systems
Hace tiempo, las empresas fabricantes de hardware com enzaron a
desarrollar dispositivos de conexin para redes inform ticas. Entre
ellos tenemos a D-Link, 3com (com prada por HP), Belkin, Juniper

Networks, H3C, HUAWEI, Cnet y CISCO Systems; este ltim o es uno


de los representantes de TI y comunicaciones en el mundo.
ifC*anol
HowftoHtty

C IS C O

IAmxrt

Ir o l h

Prepare for Future Branch


NetWork Needs
in H

Pay-as-you-<jrow performance and services.


Where and wtien you need it.

In tro d u c in g IS R 4451-X

iM C tl

<

>

U w n -j i u

w M '- ^ o f . * r i r . . - . g r o u . H o r o u f G v a t r . G r o *

Cisco s Motile and


0 Y O D Strategy

10 j u r n

Innovative. Affordable.
Made for Mids'ze

Reliabiiity. Flexibiland Performance

Figura 1. CISCO Systems es hoy en da una


empresa lder en el ramo de las T I y comunicaciones.
La em presa CISCO se ha dedicado en gran parte al desarrollo de
equipo para redes y a la creacin de soluciones integrales Networking
para la em presa corporativa, pues la constante innovacin de sus

REDUSERS PREMIUM
Para obtener material adicional gratuito, ingrese a la seccin Publicaciones/Libros dentro de http://

premium.redusers.com. All encontrar todos nuestros ttulos y ver contenido extra, como sitios
web relacionados, programas recomendados, ejemplos utilizados por el autor, apndices, archivos
editables. Todo esto ayudar a comprender mejor los conceptos desarrollados en la obra.

www.redusers.com

pn=sn

RO UTERS Y SW ITC H ES CISCO

productos y servicios, adems del


progresivo impulso de sus programas

CISCO ES

de entrenamiento y certificacin (en

EL LDER

comparacin con otras compaas), la


han etiquetado como la preferida por
millones de usuarios en el mundo. Para

EN PROGRAMAS
DE ENTRENAMIENTO

obtener informacin sobre la compaa


podemos acceder a su pgina web:

Y CERTIFICACIN

www.cisco.com.

Dispositivos de red
Actualmente, existe una gran variedad de dispositivos de red
que se emplean para mantener la conectividad entre un conjunto
de equipos de cmputo u otros dispositivos, con la sola finalidad de
compartir archivos y recursos entre s.

Figura 2. Los dispositivos de red hacen


posible la conectividad entre diversos equipos de cmputo.

Los dispositivos de red ms usados hoy en da, por lo general,


suelen clasificarse en dos: cableados e inalmbricos. Del lado de

www.redusers.com

i6

pgggsa

1. IN TRO D UCCI N

los equipos para la implementacin de redes cableadas, tenemos


principalmente el router y el switch.Ambos representan la columna
vertebral de conexin en redes informticas, sin dejar de tener en
cuenta la importancia de los tradicionales hub (repetidores de seal
y los splitter), que funcionan como equipo auxiliar para la conexin.
Del otro lado, tenemos los dispositivos inalmbricos o Wireless

Devices. Ejemplo de ello son los llamados puntos de acceso


inalmbrico (AP) y los routers inalmbricos multifuncin (modemrouter WI-FI). Recordemos que los routers y los switches permiten la
comunicacin entre los diferentes equipos conectados en una red o
conjunto de redes. Aunque en esencia son muy parecidos, tanto los
switches como los routers realizan funciones muy distintas. Por lo
tanto, no debemos confundirlos. Ms adelante, en la seccin Routers
CISCO y Switches CISCO, respectivamente, describiremos en detalle las
caractersticas de cada uno.
B o a t .t ;.
C c p y x i^ b t

tc>

V u u o i 15

2302 fcy c i w e

l 3 s # ZLLLX3Z
37 t u

97 1051

< P T S C J a a > p t 9 a a e r

Stm 1 c

c r ^ :: o c

iic t )

le e

(n r v iu n

ftsSSOt t a

S 4 1 0 V S 1 2 0 K b y r ai a * : r y

r i

o r d i K l M Q R fc-7

Savenneut : r

t o r e s c n c u e a : a s j e t c r t t : c c c ^ r '. ^ r

e?

c o u s r c ie l Cccpocer S c fw s r e - ^ r ^ n c t e d

a i p r ? c ls c ? ~

ci

:I

Scftwsrc

7K~ s e c

< r -1 9

-?v3 scfcp a rafrap fc

i r * c? - * e S ig t s m

-vs

CT DTSSS ser S5

ru c o

In c

X
C <!t Timan Drive

C ae

C la c o

C e i: ? c m : s

IC M z s A iv a ik

:c=

C p a x u ia s

ftioo:

jL i

:h

z *z . S d ft v u o

nioi-K., Vziiai i!.: := .


b:cp://wvy.^e9.safc'uciu'^cn

:c jc * -2 c

s s :3 m

:c:

oy

T c l 2 7 -a p i-S i

P C X i

fcy b m l j

:j:)

3i 1^9139
2S

a t e m ,

M 'f f M C

W 4 3K

p z t

m u * z i

(2 I2 S :

*-a rt r

a a x

01

c ftw a i

jC

32

9 1 3123

13

p :s c *a ::

scr^Ji res

In c.

1 9 :0 1

rr ::::
P ro n ta c r b a u d

z s i s x s z

V ara^so
l x

;a l

3 32

3 0
3

ijn c / a a p r

ceav a ia t ila
c

A U

i a t : * c a ( ;

ta a tu c s k

caat i^ u ra tis c

m a r i s c a
j w

;: y

C s B s a c t P '. a u

Figura 3. Algunos dispositivos de red CISCO, como los


r o u t e r s o s w i t c h e s , integran un sistema operativo llamado IO S.
En la actualidad, la tecnologa ha hecho posible que algunas gamas
de dispositivos de red puedan ser administradas por el mismo usuario,
con la finalidad de equiparlas de acuerdo con nuestras necesidades y
exigencias. El nombre que ha dado CISCO a este tipo de dispositivos es
simplemente equipos administrables y no administrables.

www.redusers.com

R O U T E R S Y S W IT C H E S C IS C O

USEFiS

17

Para com plem entar lo anterior, se puede decir que hoy en da


algunos fabricantes como 3com (actualm ente HP) han hecho
posible la integracin de interfaces de lnea de com andos para
su configuracin. Desde luego que CISCO no es la excepcin,
pues de hecho es de las pocas com paas que han equipado sus
d isp o sitivo s con un softw are interno llam ado Sistema Operativo

de Interconexin o IOS (Interconection O perating System ), el


cual perm ite una am plia gama de operaciones de p ersonalizacin
del equipo. En la seccin Sistema O perativo de Interconexin
abordarem os m ayor inform acin respecto al tema.

Routers CISCO
Los rou ters son dispositivos de N etw orkin g que cum plen
con la tarea de com unicar una red con otra. Por ejem plo, podemos
u tiliz a r un router para conectar un conjunto de com putadoras
en red a internet y, de esta forma, com partir
dicha conexin entre vario s usuarios. Esto es

LOS R O U T E R S

posible a travs del conocido enrutam iento


de datos, proceso que tiene a bien op tim izar

P E R M IT E N EFEC T U A R

tiem pos en la entrega y recepcin de paquetes


de inform acin enviados. En la m ayora de los

LA C O M U N IC A C I N

casos, este proceso perm ite tanto la reduccin de

DE U N A RED

trayecto rias como la garanta en la integridad de

CON OTRA

la inform acin entregada.


Los routers actuales cum plen con la tarea
de proteger la inform acin de am enazas a
la seguridad e, incluso, pueden ser capaces de decidir (m ediante
polticas establecidas) qu com putadoras tienen prioridad sobre las

Hoy en da, es habitual encontrarnos con equipos de red CISCO con dos gamas de montaje fsico dife
rentes: los equipos para montaje sobre charola y los equipos de rack. Recordemos que la adquisicin
por estructura fsica depende siempre de la necesidad del cliente. Actualmente se desarrollan ambas
arquitecturas para cualquiera de sus series y modelos.

www.redusers.com

18

HHHZ23

1. IN TRO D UCCI N

dems. Debemos considerar que, hoy en da, existen routers que han
optado por la integracin de funciones especiales internas tales como:
seguridad (con la incorporacin de rewalls), conexiones privadas
virtuales (implementacin de mtodos VPN) y tecnologas Vo-IP.

Figura 4. Los r o u t e r s posibilitan la interconexin de una


red con otra. Por lo general, estos trabajan mediante t a b l a s d e r u t e o .

Series del router CISCO


En el mercado, es habitual que encontremos una gran variedad de
modelos tanto de routers como de switches. Esto provoca, en muchos
usuarios, cierta confusin o problemas para elegir el equipo que
satisfaga sus necesidades.
Los routers CISCO, por lo general, estn clasificados por

series y modelos, lo que significa que su uso est enfocado


a las necesidades comerciales de algn cliente en particular
(en su mayora pequeas y medianas empresas), pues la cantidad
y precisin de los servicios que desea integrar debern estar
siempre en funcin del modelo elegido.
Aunque hoy en da la mayora de los equipos nuevos incluye una

modalidad multiservicio (es decir, una gran variedad de opciones


de seguridad, integracin de voz y datos o VoIP, interfaces de ltima
generacin y una gama de procesadores de alto rendimiento), siempre
es recomendable mantenernos informados.

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

19

Para evitar adquirir un equipo que no se apegue a nuestros


requerim ientos, en la siguiente Tabla le invitam os a conocer algunas
series, modelos y caractersticas tcnicas:

TABLA 1: SERIES Y MODELOS DE ROUTERS CISCO


RAM (DEFAULT /

BOOT/NVRAM

MEMORIA FLASH

SERIE

T MODELO

1800

1841

256MB/384MB

64MB/128MB

1900

1921

512MB/512MB

256MB/256MB

1900

1941

512MB/2GB

256MB/4-8GB

2600

2620XM / 2621XM

128MB/256MB

32M B/48M B

2800

2801

128MB/384MB

4MB

64MB/128MB

2800

2811

256MB/1024MB

2MB

6 4 - 128MB/256MB

2900

2901

512M B/2GB

256MB / 4GB

2900

2911

512M B/2GB

256M B/4GB

3900

3925/3945

1GB/2GB

256MB/4GB

MXIMA)

(DEFAULT/MXIMA)

Tabla 1. Series y modelos de routers CISCO ms utilizados actualmente.

Figura 5. En esta imagen se muestran algunos


modelos de routers CISCO de las s e r i e s 1800 y 2600.

www.redusers.com

20

BSHZS

1. IN TRO D UCCI N

Switches CISCO
Los switches, a diferencia de los routers, son dispositivos de red
que se utilizan para conectar varios equipos a travs de la misma
red dentro de un rea geogrfica pequea (edificio, hogar o negocio).
Por ejemplo, un switch funciona como enlace de dispositivos finales

(end devices) tales como computadoras, impresoras, copiadoras o


servidores, creando as una red de recursos compartidos. Por tanto,
el switch actuara de concentrador, permitiendo a los diferentes
dispositivos compartir informacin y comunicarse entre s. Esto
permite la optimizacin de costos y el aumento de la productividad.
En el mercado informtico existen dos tipos bsicos de switches:
Los no administrables (no configurables).
Los administrables (configurables).

Press R E T U R N co get scarted.

Router>enable
Routerconfig terminal
E n t e r c c n f i g u r a t i c n connnands, o n e p e r l i n e .
End wit h CNTL/Z.
R o u t e r ( c onfig) hcstnarrie U S E R S
S S R S ( c o n f i g ) t|____________________________________________________________________

Figura 6 . Los dispositivos de red CISCO


a d m i n i s t r a b l e s permiten al usuario su configuracin.
Los primeros funcionan de forma automtica, lo que significa
que no aceptan cambios en su configuracin (usados comnmente en
redes domsticas o de oficina). En tanto, los swritches administrables
permiten su configuracin o programacin, lo que supone una gran
flexibilidad porque el switch se puede supervisar y ajustar de forma

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

21

local o remota a las necesidades presentadas por el cliente. Estos


equipos nos perm iten m antener el control del desplazam iento del
trfico en la red y los accesos a ella.

Series del switch CISCO


Los switches CISCO tam bin estn clasificados por series y

m odelos al igual que los routers. En la siguiente Tabla se m uestran los


modelos y series utilizados actualm ente, junto a sus caractersticas:

TABLA 2: SERIES Y MODELOS DE SWITCHES CISCO


SERIE
300

MODELO

RAM (DEFAULT /
MXIMA)

ANCHO
DE BANDA

MEMORIA FLASH
(DEFAULT/MXIMA)

128MB

20 -104Gbps

16MB

SG300-20/28/52
etctera.

2950

Catalyst 2950-24

8 /16M B

8 -16Gbps

8 / 16MB

2950

2950T/C/G

8 / 16MB

8-16Gbps

8 / 16MB

2960

2960

64MB

16-32Gbps

32 /128MB

Tabla 2. Series y modelos de switches CISCO utilizados actualmente.

Como recom endacin, antes de adquirir cualquier dispositivo de red,


es necesario tam bin evaluar las necesidades com erciales del cliente,
la m agnitud de su em presa y desde luego las exigencias con respecto a

TARJETAS WIC
WIC proviene del trmino en ingls WAN Interface Card. Se trata de un adaptador de red especialmente
diseado para dispositivos CISCO. Los routers y los switches incorporan una serie de bahas en la parte
trasera que sirven para conectar estos elementos. En el mercado informtico se pueden encontrar WIC
con puertos seriales y puertos ethernet en su mayora.

www.redusers.com

22

EHHZ23

1. IN TRO D UCCI N

capacidad, conectividad y escalabilidad. Para mayor informacin sobre


series y modelos de los dispositivos de red, recomendamos verificar la
ficha tcnica u hoja de datos (data sheet) de los productos CISCO, a
travs de su pgina de internet.

9 * *

V 10 11 12 13 *4 14 1S ir 11 ii 70

C * 9 * 7 9 5 m m

n u

Catalyst 2950 Series

Catalyst 2960 Series

Figura 7. Los s w i t c h e s C ISC O de las s e r i e s 2 9 5 0


y 2 9 6 0 incorporan una amplia flexibilidad y un ptimo desempeo.

Composicin de los
routers y switches CISCO
Los routers y los switches son dispositivos de red cuya estructura
tanto interna como externa no dista demasiado de la que presenta una
computadora convencional. Excepto porque el equipo de red no cuenta
con un monitor, teclado, ni ratn.

Componentes externos
Para ilustrar el tema de los componentes externos de un router CISCO,
imaginemos por un momento el gabinete de nuestra computadora
personal. La estructura fsica de este elemento es, por lo general, una
caja metlica que a su vez se encuentra constituida por un conjunto
de elementos tales como un interruptor de encendido y apagado, un

www.redusers.com

BHHZ3

RO UTERS Y SW ITC H ES CISCO

23

conector AC (una fuente de poder), un conjunto de interfaces


de conexin (as como puertos) y algunas bahas de expansin.
Si ya lo hemos imaginado, ahora basta con solo echar una simple
mirada a la estructura fsica de un router. Si somos observadores,
llegaremos a la conclusin de que su aspecto es muy parecido al de
nuestra PC. E incluso a nivel software, pues algunas series y modelos
de routers CISCO tambin cuentan con un sistema operativo
confgurable que los hace funcionar.
En la siguiente Gua visual, se aprecian en detalle los componentes

externos que presenta un router CISCO.

GV: COMPONENTES EXTERNOS DE UN ROUTER CISCO

(9

05

01

Interfaces ethernetrse trata de puertos fsicos RJ-45 situados en el panel frontal o trasero

02

Interruptor de poder: conocido como switch de encendido y apagado del equipo. Al activarlo,

03
04

Conector de voltaje: nos permite conectar el equipo a corriente elctrica. Conocido

del equipo. Permiten conectar otros dispositivos como switches.

el router hace el reconocimiento automtico del S.O. Prcticamente cualquier router lo


incorpora a diferencia de los switches CISCO.

simplemente como conector hembra AC.

Slot WlC/interfaces: se trata de un espacio destinado a la colocacin de tarjetas perifricas


que permiten expandir las funcionalidades del router (por ejemplo: mayor cantidad de
interfaces ethernet o interfaces seriales). Las interfaces, generalmente, nos permiten
conectar otros dispositivos de red e incluso dispositivos finales (end devices).

www.redusers.com

24

05

HHHZ23

1. IN TRO D UCCI N

Puerto Console/Aux:se trata de puertos RJ-45 que se encuentran situados en alguno de los
paneles del equipo CISCO. El puerto Consol sirve para conectar el equipo de red a la PC
donde ser configurado. El puerto auxiliar nos permite la conexin de otros equipos de red
como el modem.

06

Puerto USB: son interfaces de conexin presentes en algunos modelos y series de los
dispositivos de red. Habitualmente, permiten la insercin de memorias U SB para el
intercambio de informacin.

07

Tarjeta de memoria flash: es una tarjeta fsica, cuya funcin es muy parecida a la del disco
duro de una PC, pues se encarga de almacenar el S.O. del equipo de red.

Componentes internos
Los dispositivos de red CISCO (routers y switches), al igual que una
computadora, estn tambin compuestos por una CPU, una memoria

RAM, una unidad de almacenamiento (memoria flash en equipos


CISCO), un conjunto de mdulos de memoria ROM (uno de ellos mejor
conocido como NVRAM) y un conjunto de interfaces de conexin.

Figura 8 . En la presente imagen se muestran


los componentes externos de un s w i t c h CISCO.

www.redusers.com

pn=sn

RO UTERS Y SW ITC H ES CISCO

Tambin podemos identificar estos elementos como datos tcnicos


del dispositivo de red. A menudo pueden consultarse desde el IOS
mediante el uso del comando show versin. Ms adelante, en la seccin

Sistema Operativo de Interconexin, conoceremos la interfaz del


IOS y la forma de colocar un comando desde su terminal.

Preparacin del
dispositivo de red CISCO
Como vimos anteriormente, existen dispositivos de red que por
diseo son administrables y otros que no lo son. Ahora bien, quiz
muchos nos estemos preguntando: de qu modo puedo administrar
o configurar mi dispositivo de red a mis necesidades? La respuesta
es simple: el modo de operacin con un dispositivo como el router o
el switch se consigue mediante su conexin con una PC convencional
(pudiendo usar tambin una laptop). Existen varios medios por los
cuales acceder a la CLI (Command Une interface - Interfaz de lnea
de comandos) del equipo, tales como: terminales virtuales (Telnet
o SSH), servidor TFTP, software de gestin o tambin a travs del
acceso directo por consola.

Figura 9 . En la imagen se observa un c a b l e de c o n s o l a


tradicional, que sirve para configurar los dispositivos de red.

www.redusers.com

26

USERS

1. IN T R O D U C C I N

Para conseguir la conexin entre la com putadora y el dispositivo de


red se necesita contar con lo siguiente:

Un medio de transm isin especial llam ado cable de consola.

Un cable de corriente que se har cargo de conectar el dispositivo a


la toma de corriente alterna para conseguir su encendido.
Una hyperterminal instalada en la PC utilizada para la
configuracin (algunas versiones o ediciones de M icrosoft W indows
ya traen incluida una hyperterm inal. De no ser as, es necesario
descargarla y posteriorm ente instalarla).
A partir de ese momento, el usuario podr interactuar con el
dispositivo de red a travs de su sistema operativo.
V Im7m

Conrection escription
NIr* Com#cton

Entr a ame and cticos an icn forthe connecfcor


Nare:_________________________________
(l s e r s
Icn:

______________

i
OK

y
*

Cancel

Figura 10. La hyperterm inal consiste en una interfaz


que hace posible la interaccin del usuario con el dispositivo de red.
En el siguiente Paso a paso se ilustra en form a detallada la manera
correcta de conseguir la preparacin del d ispositivo de red para
efectuar su configuracin inicial.

El cable de consola utilizado para configurar equipos CISCO es a menudo conocido como cable rollover.
Esta configuracin hace posible la comunicacin de una PC con el dispositivo de red mediante un puerto

serie DB-9. Alguna vez se ha preguntado qu hacer ante la ausencia del puerto serie en su computado
ra? La respuesta est en adquirir un adaptador USB-Serie.

www.redusers.com

27

RO UTERS Y SW ITC H ES CISCO

PAP: PREPARACION DEL DISPOSITIVO DE RED CISCO


En primer lugar, se debe conectar el dispositivo a corriente elctrica (mediante el
0

02

uso de su cable de alimentacin AC).

Una vez hecho esto, es necesario hacer la conexin de la computadora al dispositivo


mediante el uso del cable de consola. Para esto, conecte uno de los extremos al
dispositivo de red (terminal RJ-45), y el otro extremo a la PC. Encienda el equipo.

www.redusers.com

28

03

IN TRO D UCCI N

Ahora, basta con ejecutar la hyperterminal previamente instalada en su PC. Una


vez hecho lo anterior, aparecer la ventana C o n n e c t i on D e s c r i p t i on, donde
tiene que elegir cualquier icono y colocar un nombre. Por ejemplo: U S E R S
(identificador del router). Posteriormente presione el botn OK.

Connection Description

New C onnection

Enter a am e and choose an ic n fo r th e connection


ame:
|USERS

Icn
fe;-.

ni
OK

04

Despus aparecer la ventana C o n n e c t

C ancel

t o , la cual solicita la eleccin de un

puerto vlido de conexin para la consola. Elija COMx y presione el botn OK.

Connect To

USERS

Enter details fo r the phone num ber th a t you w ant to dial


C ountry/regin: j 1'e.oco (52)
Area code:
Phone nu m b e r f
C onnect using

OM3

OK

www.redusers.com

Cancel

AMPLIE SUS
OPORTUNIDADES
EN EL MERCADO
LABORAL

APROVECHELAS
VENTAJAS DEL
CLOUD COMPUTING

EMPRESAS / INTERNET
320 PGINAS
ISBN 978-987-1857-71-5

HARDWARE
192 PGINAS
ISBN 978-987-1949-00-7

APRENDAA
DISEAR
CUALOUIER
CIRCUITO DESDE
SU PC

IVIERTASE
JN EXPERTO
IEDES
AMBRICAS

ELECTRNICA / HARDWARE
320 PGINAS
ISBN 978-987-1857-72-2

LLEGAMOS A TODO EL MUNDO VIA

O C A * Y ^

MS INFORMACIN / CONTCTENOS
usershop.redusers.com ^
E l usershop@redusers.com

*SLO VLIDO EN LA REPBLICA ARGENTINA

a r +54-ii-4ii0-8700

II * * VLIDO EN TODO EL MUNDO EXCEPTO ARGENTINA

^ mx +52-55-842i-9eeo

BHHZ3

RO UTERS Y SW ITC H ES CISCO

05

29

Posteriormente, aparecer la ventana de las propiedades de dicho puerto. Verifique que


los parmetros de configuracin del equipo sean guales a los que muestra la imagen.
Termine oprimiendo clic en el botn A p i i c a r y despus sobre el botn A c e p ta r .

Propiedades de CCM3
C cvi \

\*3m\

puerto I

Bta cor

19600

Bis d # d ito < [8

P^rdd |M rg jn c
ERi de

vi 11

Central <ie fino [E j T J E H

uiedetenriindu*

Aceptar

06

Cancelar

Apical

Una vez hecho esto, notar que se ha dado comienzo a la lectura del IO S mediante
una interfaz a modo texto. Esta interfaz corresponde al S.O. de los dispositivos de
red C ISC O administrables (IO S).

( te

Id r

Da

a .

s o p

R o u te r c c titf s now a v o i l a b l e

P r o s * Rf 1URN to g o t s t a r t e d .

R o u t*? r> e h b le
R o u t e r M c w f 9^ r e t e r t u lio 1
E n te r c o n f i f j u r o t i o n c o in u in d s . o n e p e r l i n e .
R o u t e r ( c c n f i g)H
(^ 4 0 ^ 0 0

A ln

Q 600M M

tix l

mit h

C N T l/Z .

NUM

www.redusers.com

UM=tad

30

1. IN TRO D UCCI N

Sistema Operativo
de Interconexin
El IOS (Interconection Operating System), o Sistema Operativo

de Interconexin, es el nombre del software que hace funcionar los


dispositivos de red CISCO. Por lo general se halla cargado en forma
predeterminada en la memoria flash del equipo utilizado. Se trata
bsicamente de una interfaz de lnea de comandos de configuracin de
red (Command line interconection) o CLI.
Hoy en da, todo sistema operativo, por lo general, maneja algo que
se conoce como cuentas de usuario. El IOS de CISCO no es la excepcin,
solo que aqu se le conoce con el nombre de modos de acceso o

modos de ejecucin (EXEC).

Configuracin inicial
Una vez que hemos preparado el dispositivo de red para ser
configurado, y que hayamos verificado la carga del sistema operativo
con xito mediante la hyperterminal, podremos comenzar a
personalizar el equipo segn nuestras necesidades.
Notemos que la primera pantalla arroja informacin elemental
del dispositivo por preparar, tal como: serie
y modelo del equipo, versin, fabricante,

ANTES DE

cantidad de memoria RAM, tipo de

PERSONALIZAR

microprocesador, nmero de interfaces,


cantidad de NVRAM, capacidad de la compact

VERIFICAMOS

flash, etctera. Finalmente, aparece un dilogo de

LA CARGA CON

configuracin de sistema (system conguration

dialog), el cual tiene como finalidad brindar una

H YPERTERM IN AL

serie de cuestiones para la configuracin inicial


_____

del dispositivo. En esta seccin el usuario es libre


de hacer la configuracin a travs del dilogo de

configuracin, u optar por hacerla de manera manual ms adelante. Si


hemos optado por comenzar ahora, ser necesario colocar Yes a las dos
preguntas iniciales. De lo contrario, lo habitual es colocar No.
Aqu es importante aclarar un punto: si el usuario es primerizo

www.redusers.com

nnun

RO UTERS Y SW ITC H ES CISCO

31

en la configuracin de algn dispositivo, se recomienda optar por


posponer el proceso de configuracin inicial (mostrado en el dilogo
de configuracin de sistema), pues seguramente habr datos que
desconozca al momento de vaciar la informacin.

---- S y s t e m C o n f i g u r a t i o n D i a l o g
Continu with
At

any point

Use

ctrl-c

Default

configuration dialog?
you may enter

to abort

settings

Basic managenent
for managenent
to

configure

Would

you like

to

in

setup

of the

each

[ y e s / n o ] : yes

a que3tion mark

configuration dialog

are

square

system,

enter

at

*?'

for help.

any prompt.

brackets

configures

interface

----

cnly enough

extended

on the

ccnnectivity

3etup will

ask you

system

basic management

3etup?

[ y e s / n o ] : yes

Configuring global parameters:


Enter host

ame

[Router]:

Figura 1 1 . Al inicializar el IOS del dispositivo de red CISCO, aparece


(entre otros datos) el d i l o g o de c o n f i g u r a c i n d e s i s t e m a .

Modos EXEC
Es importante considerar que el sistema

EL SISTEM A

operativo de los routers y switches maneja


generalmente dos tipos de modos de acceso:

OPERATIVO DE UN

el modo EXEC privilegiado y el modo no

ROUTER Y SWITCH

privilegiado (o simplemente EXEC usuario).


El primero se caracteriza por ser un modo

M A N EJA DOS TIPOS

de acceso con privilegios de administracin

DE ACCESO

del sistema, mientras que el modo de acceso


usuario se halla limitado para cualquier cambio
en la configuracin del equipo, delegndole as
nicamente la verificacin de la informacin establecida.
Como es habitual, al primer contacto con el sistema de los
dispositivos de red, nos encontraremos siempre con el modo EXEC

usuario, el cual a menudo se identifica con un smbolo inicial (>),

www.redusers.com

32

USERS

1. IN T R O D U C C I N

seguido del nombre del equipo empleado (que por default se llam a

router o switch, segn sea el caso). Para pasar del modo usuario a
modo privilegiado es necesario ejecutar la orden enable, y para regresar,
basta con teclear el comando contrario, en este caso: disable. Notemos
que el prom pt del sistema ha cam biado de aspecto.
Procesaor b o a r d ID JAD05190MTZ <4292891495)
M30 p r o c e s a o r : p a r t n u m b e r 0, m a s k 49
3ridging software.
X .25 s o f t w a r e , V e r s i n 3 . 0 . 0 .
2 F a s t Z t h e r n e t / I E I Z 8 0 2 . 3 n t e r f a c e (3)
3 2 K b y t e 3 of n o n - v o l a t i l e c o n f i g u r a t i o n memery.
634 8 8 K bytes of A T A C o m p a c t F l a s h (Read/Write)

---

S y s t e m C o n f i g u r a t i o n D i a l o g ---

Continu with configuration dialog?

[ y e s / n o ] : no

Press R E T U R N to get started!

Souter>enable
Router#disable
2outer>

Figura 12. Para pasar de modo EXEC u su a rio a modo


EXEC p r i v i l e g i a d o es necesario ejecutar el comando enable.

Modo global de configuracin


El modo global de configuracin es el espacio otorgado por el
dispositivo de red a todo aquel usuario con privilegios. Para tener
acceso a este espacio, es necesario ejecutar el com ando configure
terminal. Para finalizar, basta con oprim ir la tecla ENTER. Aqu
nuevam ente el prompt cambia, esta vez al modo de configuracin.

VERSION IOS PARA EQUIPOS 2900


La serie 2900, originalmente desarrollada por CISCO Systems para sus ruteadores, incorpora una nueva
versin en su IOS. Para conocer detalles al respecto, se recomienda colocar el comando show versin desde
la terminal del equipo. Por ejemplo, la versin del IOS para dispositivos del modelo 2901 de CISCO es la 15.0.

www.redusers.com

pn=sn

RO UTERS Y SW ITC H ES CISCO

4 FastZthernet/IZZI

802.3 interface(s)

2 L o w - s p e e d s e r i a l (s y n c / a s y n c ) n e t w o r k i n t e r f a c e s )
32K bytes of non-volatile configuration n e n e r y .
63483K bytes

---

of A T A C o m p a c t F l a s h

(Read/Write)

S y s t e m C o n f i g u r a t i o n D i a l o g ----

Continu with configuration dialog?

Press R Z T U R N to get

[yes/nc]: n

started!

Router>enable
Router$configure terminal
Enter configuration commands,
R o u t e r (config)

one per line.

End with CNTL/Z.

t \

Figura 1 3 . Para pasar de modo EXEC


p r i v i l e g i a d o al modo g l o b a l de c o n f i g u r a c i n
se puede ejecutar la orden c o n f i g u r e t e r m i n a l .

Introduccin al
direccionamiento IP
Antes de comenzar con la configuracin de dispositivos de red, es
importante conocer algunos conceptos bsicos y tambin avanzados
sobre direccionamiento IP. Para ello ser necesario que definamos en
forma detallada el trmino direccin IP.
Una direccin IP se define como un conjunto de nmeros decimales
que tienen a bien identificar cualquier equipo conectado a una red
de trabajo (como computadoras, copiadoras, impresoras, servidores,
routers, switches, entre otros), con el fin de poder ubicarlos en la red
sin mayor problema. Algo as como identificar a un alumno por su
ID de estudiante, dentro de un aula de clase. Desde luego que para
nuestro ejemplo el alumno representa al equipo y el aula, la red.
Una direccin de red o IP (direccin estndar IPv4) se compone de
cuatro octetos (conjunto de

bits) separados por un punto, que a su

vez forma un total de 32 bits.

www.redusers.com

34

1. IN TRO D UCCI N

Direccin IP
32 Bits

Direccin de red

Direccin de Host

Octeto 1

Octeto 2

Octeto 3

Octeto 4

11000000

01001000

00000101

00000001

Los 32 Bits son formados por 4 Octetos.


1 Octeto = 8 Bits

Figura 14. Las d i r e c c i o n e s I P se componen de


c u a t r o o c t e t o s y un total de 32 b i t s . Cada
octeto se encuentra separado por un punto decimal.

Derivado de lo anterior, podemos deducir que la combinacin de


letras (direccin de red) y el nmero (direccin de host) se encarga
de crear una direccin de red nica para cada interfaz o punto de
conexin del dispositivo aunado a la red.
Otra palabra que no podemos dejar pasar inadvertida es el
trmino: protocolo. Generalmente se lo define como un estndar de
comunicacin existente en toda red informtica. Y aunque existe una
gran cantidad de protocolos de comunicacin,
vale destacar que los ms conocidos son, sin

PROTOCOLO ES

duda: el conjunto de protocolos T C P / IP (Transfer

UN ESTNDAR DE

control protocol/Internet protocol - Protocolo de


control de transferencia/Protocolo de internet).

COMUNICACIN
EXISTENTE EN TODA

Esta familia de protocolos particularmente


tiene como objetivo principal lograr la
comunicacin entre los diferentes puntos de la

RED INFORMTICA

red, y que por lo general, se hallan vigentes en


todas las redes de computadoras.
Un protocolo puede compararse con un

lenguaje (por ejemplo, el lenguaje corporal en seres humanos)


mediante el cual nos podemos comunicar con el exterior.

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

CapasTPC/IP

Protocolos

Aplicacin

HTTR F R DNS

Transporte

TCR UDR RTP

Internet

Protocolo Internet (IP)

Enlace

Token Ring, PPP, ATM

Fsico

Medios Fsicos

35

Figura 15. El modelo TCP/IP a su vez se integra


de un conjunto de protocolos que logran la comunicacin.

Clases de direcciones IP
Las direcciones IP se dividen en clases para definir las redes
de tamao pequeo, mediano y grande. En teora, tenemos de la

Clase A hasta la Clase E. Aunque las tres prim eras (A, B, C) suelen
ser las ms com erciales.
Las direcciones Clase A norm alm ente se asignan a las redes de
m ayor tamao. Las direcciones Clase B se utilizan para las redes de
tamao medio y las de Clase C para redes pequeas. Por regla general,
toda direccin IP viene acom paada de otra direccin m uy sim ilar
en cuanto a estructura, conocida como mscara de red. Su objetivo
es indicar el rango en el que juega un equipo en la red, m ediante el
nm ero de bits correspondientes a la seccin de red (denotados por el
nm ero 255) y de host (denotados con el nm ero 0), respectivam ente.
Para com prender m ejor la explicacin previa, veam os la siguiente tabla:

340 SEXTILLONES DE DIRECCIONES IP


La IETF (Internet Engineering Task Forc) ha implementado una nueva versin del protocolo de internet.
Se trata de la versin 6 (IPv6) que posee direcciones cuya longitud es de 128 bits, que nos da un total
de 340 sextillones de direcciones IP en comparacin con la versin IPv4 del protocolo de internet.

www.redusers.com

36

USERS

1. IN T R O D U C C I N

TABLA 3: CLASES DE DIRECCIONES IP


C LA SE DE DIRECCIN IP

INTERVALO DEL 1ER. OCTETO

MSCARA DE RED

Clase A

1 a 126

255.0.0.0

Clase B

126 a 191

255.255.0.0

Clase C

192 a 223

255.255.255.0

Tabla 3. Rangos en las clases de direcciones IP.

H ay que resaltar que el intervalo de direcciones 127.X.X.X est


reservado como direccin loopback, con propsitos de prueba y
diagnstico, en tanto que las Clases D (que com prenden un rango de
224 a 239) son utilizadas para grupos multicast y la Clase E se halla
reservada para fines de investigacin.

Enrutam iento
El enrutamiento de paquetes es el principal propsito de los

routers o enrutadores, pues gracias a ellos se hace posible el trazado


de rutas para el envo y la recepcin de los datos en una red a travs de
sus puertos. Considerem os que la determ inacin
del enrutam iento se puede llevar a cabo mediante

LOS R O U T E R S

dos mtodos: manual (se trata de un proceso

C U M P L E N CON E L

ejecutado por el adm inistrador) o m ediante

p rocesos dinmicos ejecutados en la red.

E N R U T A M IE N T O DE
P A Q U E T E S COMO

Hoy por hoy, existen dos tipos de enrutam iento


conocidos en el m bito CISCO: el esttico y el

dinmico. El prim ero se rige dentro del principio

P R I M E R A FU N C I N

de definicin de rutas estticas especficas que


han de seguir los paquetes para pasar de un
puerto de origen, hasta un puerto de destino.

Norm alm ente es aplicable para redes pequeas. En tanto que el


enrutam iento dinm ico requiere de un trazado de rutas m ediante
el uso de un conjunto de protocolos de com unicacin (los cuales se

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

37

darn a conocer en el Captulo 2 de este libro) para el intercam bio


de inform acin sobre cmo llegar a todos los destinos. Su uso es
com nm ente aplicable en redes grandes.

De: 10.0.0.2 , 3064

Pe: 10.0.0.2 , 3064

A: 2.3.4.5, 80

De:

l.l.l.l,

4567

A: 2.3.4.5, 80

10.0.0.1 l . l . l . l
10 .0 .0.2

2.3.4.5

De: 2.3.4.5, 80
A:

l.l.l.l,

De: 2.3.4.5, 80

4567

A:

l.l.l.l,

4567

De: 10.0.0.2 , 3064

10.0.0.1 l.l.l.l
10 .0 .0.2

2.3.4.5

Figura 16. El propsito principal del enrutamiento


consiste en la propagacin de informacin sobre
rutas para actualizar las

t a b la s de ruteo.

UNA EMPRESA RECONOCIDA


La Great Place to Work Institute distingue a las empresas que ponen en prctica polticas de recursos
humanos y mejores prcticas organizacionales, pues al incrementar los niveles de confianza de sus em
pleados, mejoran sus resultados de negocios. CISCO es catalogado como el lder mundial en soluciones
de redes que transforma el modo en que los usuarios se conectan, se comunican y colaboran.

www.redusers.com

38

EHHZ23

1. IN TRO D UCCI N

Operaciones IOS
En esta seccin vamos a mostrar algunos comandos bsicos
empleados en la interfaz del IOS de los dispositivos de red. Tambin
conoceremos algunas formas de abreviar comandos con el nico
propsito de reducir tiempos de operacin y finalizaremos dando a
conocer algunos atajos de teclado para hacer ms dinmica nuestra
navegacin por la interfaz de configuracin.
A continuacin analizaremos la forma de obtener ayuda al momento
de estar trabajando con el IOS de los dispositivos CISCO.
La mayora de los sistemas operativos cuenta con un mdulo de

ayuda y el IOS no puede ser la excepcin. A menudo, los equipos


de red ofrecen informacin detallada con respecto a los comandos
empleados por la interfaz, lo que supone una mayor flexibilidad para
el usuario desde el punto de vista tcnico, pues este contexto le servir
de gua para dar solucin a posibles dudas de sintaxis en el futuro.
Para arrojar la ayuda desde el IOS, es conveniente utilizar el signo

de interrogacin (?) y posteriormente pulsar la tecla ENTER. La ayuda


sensible al contexto proporciona una lista de comandos y los argumentos
asociados con cada orden dentro del contexto del modo actual.

Router>?
Zxec

ccmrnand3

<l-99>

Se33ion number

connect

Open

a terminal

disable

Turn

off privileged

disconnect

Di3connect

enable

Turn

on privileged

exit

Zxit

fro m the

ZXZC

legout

Zxit

from the

ZXZC

ping

Send echo messages

resume

Resume

show

Show

running

ssh

Open

a secure

3hell

telnet

Open

a telnet

connection

terminal

Set

traceroute

Trace

an

an

to

connection

route

ccmmands

exi3ting

active

terminal

resume

network

connection

ccmmands

network

connection

system information

line
te

client

connection

parameters

destination

Router>

Figura 1 7 . Al colocar el s i g n o de i n t e r r o g a c i n
sobre la terminal se despliega una lista de com ando d e a y u d a .

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

39

Ahora bien, si lo que se desea es desplegar la ayuda de un comando


en especfico, bastar con invocar la orden correspondiente seguida del
signo de interrogacin. De este modo verem os que se despliega toda la
inform acin respecto al com ando solicitado.
Router>show ?
arp

Arp table

cdp
clas3-map

CDP Information
Show QoS Cass Map

dock
controllers
crypto

Display the system clock


Interface ccntrollers status
Zncryption module
d i s p l a y i n f c r m a t i o n about fla3h:

flash:
frame-relay
history
hosts
interface 3

Frane-Relay information
Display the session command h3tory
IP d c m a i n - n a m e , l o o k u p style, n a m e s e r v e r s , and h o s t
Interface status and configuration

iP
policy-map
privilege

IP i n f o r m a t i o n
Show QoS Policy Map
Show current privilege

protocola
queue

Active network routing protocola


Show queue contenta
Show queueing configuration

queueing
sessions

file system

table

level

Information about Telnet connections


Status of SSH server connections

ssh
tcp
terminal
users

Statu3 of TCP connections


Display terminal configuration parameters
Display information about terminal lines

v e r 3ion

System hardware

and software

status

Figura 1 8 . Para obtener informacin referente a un comando,


se emplea el signo de interrogacin seguido del comando a buscar.

Debemos tener en cuenta que, en otros aspectos, el sistema


operativo de interconexin contiene un buffer que permite almacenar
en memoria RAM los comandos recientemente utilizados. Su lmite
es de 256 lneas. Aunque por lo general el sistema se encuentra
configurado para la lectura de solo 10 rdenes.
De esta forma, para visu aliz ar el historial o buffer de comandos,
se utiliza el comando denom inado show history.

La empresa CISCO, como mejor se le conoce, se ha dedicado en gran parte al desarrollo de equipos para
redes y a la creacin de soluciones integrales de networking para la empresa corporativa. No obstante,
se ha mantenido arriba de muchas compaas, no solo por la innovacin de sus productos, sino tambin
por el progresivo impulso de sus programas de entrenamiento y certificacin.

www.redusers.com

HHHZ23

Press

RZTTON t o

1. IN TRO D UCCI N

get

started.

Switch>terminal h i s t c r y size

20

Switch>

Figura 1 9 . En la imagen se aprecia la forma de modificar el tamao


estndar del b u f f e r que almacena el h i s t o r i a l de comandos.

Una orden IOS que no puede pasar inadvertida y que es necesario


conocer es el comando clock set. Como su sintaxis lo indica, sirve para
asignar hora y fecha a un dispositivo de red CISCO.
Press R Z T U R N to get started.

Switch>en
S w i t c h f c l o c k s e t 1 2 : 0 0 : 0 0 22 O c t c b e r 2 0 1 4
Switch#show clock
* 1 2 : 0 : 0 . 0 U T C m i o c t 22 2 0 1 4
Sw itch $ |

Figura 2 0 . Una forma de visualizar la fecha y hora desde la C L I del IOS


es mediante el comando c l o c k s e t 1 2 : 0 0 : 0 0 22 O c t o b e r 2 0 1 4 .

www.redusers.com

nnun

RO UTERS Y SW ITC H ES CISCO

4i

La configuracin vaciada en la CLI del IOS a

LOS COMANDOS Y LAS

menudo suele ser muy repetitiva, razn por la


cual se ha implementado un mtodo de palabras

PA LA BR A S CLAVE

clave abreviadas. Tanto los comandos como las

SE ABREVIAN A L A

palabras clave pueden abreviarse a la cantidad


mnima de caracteres que identifica a una seleccin

CANTIDAD MNIMA DE

nica, por ejemplo: el comando configure terminal

CARACTERES

tiene a bien abreviarse como conf t.


Derivado de lo anterior, el funcionamiento
del mtodo de las palabras clave abreviadas
est basado en el principio de evaluar todas aquellas palabras que
inicialicen con la abreviatura asignada. Otro ejemplo: enable, se

puede abreviar como en, pues se trata de una frase nica que se halla
predominante en el historial de comandos del IOS.
Si en algn momento no deseamos teclear una secuencia completa
de comandos, podemos recurrir al uso de la tecla tabuladora de nuestra
PC, la cual nos permite complementar un comando escrito en consola.
******

ai

ni

IOSCovTmandUneMcrf

IOSComnandUneIrtcrfoo

9 l
tcS

Ufil 11

IUC 4*

i**
Mil H WIMU1

* * i9
w

x
ma * l r

1f

t*

V *

u w . r
m

k u i

r K B lu ia M

tij
? f re

Figura 21. Las abreviaturas simplifican el comando


y reducen tiempos en la configuracin del dispositivo.

En el mbito de los sistemas operativos, cada vez es ms comn


encontrarnos con atajos de teclado (en algunos casos utilizados en el
mbito de edicin de lneas de la CLI), los cuales cumplen con el fin de

www.redusers.com

42

USERS

1. IN T R O D U C C I N

sim plificar una expresin. Una vez ms, el IOS no es la excepcin, y es


que a travs de estos es posible optim izar tiem pos en la configuracin.
Algunos ejem plos de ello son: CTRL+P y CTRL+N (para el despliegue
del historial de com andos antes explicado), CTRL+Z (o su homlogo
CTRL+C), entre otros. Este ltim o com ando perm ite term inar con una

sesin de configuracin actual (por ejem plo: pasar nicam ente del
modo de configuracin global a un m o d o E X E C ) .

Router>enable
RcuterSconfigure
Znter

terminal

configuration commands,

one per

line.

Znd with

CNTL/Z.

Router(config)#
Router(config

Router <config

Router(config)Z
Router#
%SYS-5-CONFIG_I: Configured

ir

from consol by

consol

_________________ j

Figura 2 2 . El atajo de teclado ms comn desde el modo de


configuracin global de un router es: CRTL+Z. Equivalente al comando end.
Otra de las com binaciones de teclas que pueden hacer falta en este
repertorio es CTRL+ SH IF+ 6. Este atajo a menudo es conocido como
carcter de escape y prcticam ente es utilizado con la finalidad de
suspender algn proceso en ejecucin.

La certificacin CCNA (CISCO Certified Network Associate) provee las bases en el proceso de apren
dizaje en el rea de redes para la PyME. Los certificados CCNA son capaces de instalar, configurar y
operar redes LAN y WAN. Para descargar material relacionado con los programas de CISCO, consulte el
siguiente link: www.cisco.com/web/ES/edu/cursos/index.html.

www.redusers.com

pn=sn

RO UTERS Y SW ITC H ES CISCO

Simuladores grficos de red


Se han desarrollado una gran variedad de entornos de software
que permiten realizar experimentos con redes informticas sin
necesidad de disponer de dispositivos de comunicaciones ni de
computadoras reales. Algunos ejemplos son: NetGUI (originalmente
creado para GNU-Linux), GNS3 y el famoso Packet Tracer de CISCO.
A continuacin, nos referiremos a los alcances que nos ofrecen tanto

GNS3 como Packet Tracer en el mbito de la interconexin de redes.

Packet Tracer
Packet Tracer es una herramienta de aprendizaje y simulacin
de redes informticas que le permite a los usuarios crear topologas
de red, configurar dispositivos, insertar paquetes y simular una red
con mltiples representaciones visuales. Actualmente, la herramienta
Packet Tracer se encuentra disponible para Windows y GNU-Linux.
Este producto, adems, se encuentra vinculado con las academias

Networking e ntegramente relacionado con el contexto establecido en


las currculas CCNA desarrolladas por la misma empresa.
i|iti|i

l l v w tr> (W y

I r t a n u ig A t v w i f i

CISCO

coua

C is c o P a c k o t T ra c o r
N O **

TPfJtMT!CVtKlQ

O t e o P # c tt I * a c m pow* j

w lw rt H m m ful <

Aa m

ti
I
tvw l uwrew cmOii Mi
* * * * *

VNAJNtttO " I K X M C I I

p n x y i*

A w d ifn y C cn n tcto n

WIMHWIm m m w .
tKNngpdUfwoofaidM* ntm.**

t u r n

* * t

t tuoiwN to 4

< * * * * %

C 0 K X 1 N iW U M K N M

A<AfWMr

109

COUtttfcf t C%M IIHCAHOKS

II
CCNA(M<OWr

f"rNAItpArwMtoVt
CCNAMotftfr

rtm

CCNAOffUtOtOvtivw

I JU

uarMioiuno?

Aa
R tg io n ii Svtt h m
Tw Orin rr<n

m l n *
*

f M M l lt M '1

In HJiMfc

Otn r n Haiwwton
A * a umf Cmn mulmm

(|MMw
IfctaI

C lK A ^ lM lI r K M
AAtr

M * *v r,

trm* f

A cjdcm y Loe atoe

O lo M N #w i * Evtn t*

Ctos t o m rntU l Ow,'


Pjcfctt ru c f Sk ill* A ss***m *rm NEW1

Figura 23. Desde la pgina de CISCO, podemos tener


acceso a la informacin de descarga de P a c k e t T r a c e r .

www.redusers.com

44

HHHZ23

1. IN TRO D UCCI N

La interfaz grfica de esta herramienta nos facilita de igual


modo la interaccin con el sistema operativo de los dispositivos
de red (lo que implica ingresar a las consolas de configuracin),
disear topologas como si se trataran de redes reales y operar con
atractivos escenarios de conexin. Packet Tracer cuenta adems
con la bondad de brindarnos las herramientas necesarias para
realizar algunas demostraciones de encaminamiento de paquetes
y pruebas de conectividad.
Con el fin de conocer la interfaz grca de esta herramienta,
analicemos la siguiente Gua visual:

GV: INTERFAZ DE LA HERRAMIENTA PACKET TRACER


01

01
02

02

03

Barra de men: en esta seccin se encuentran las opciones tpicas para la gestin y
configuracin del software.
Barra de herramientas principal: aqu se muestran las herramientas tpicas de operacin
con la interfaz del software.

www.redusers.com

USEFiS

R O U T E R S Y S W IT C H E S C IS C O

03
04

45

Area de trabajo: se trata del espacio destinado a la colocacin de los dispositivos que
conforman una red.

Barra de herramientas lateral: proporciona un conjunto de herramientas propias de la


interfaz de Packet Tracer, por ejemplo: seleccin, inspeccin, eliminacin y redimensin
de objetos (dispositivos que conforman la red), entre otros elementos como: generacin de
unidades de datos de protocolo

05

(PDU).

Modos de operacin: esta seccin nos permite pasar del modo de tiempo real al modo
simulacin y viceversa. Desde aqu es posible vislumbrar en detalle el recorrido de las PD U
que intervienen en los puntos de comunicacin de la red.

06
07
08

rea de estado del escenario: se encarga de mostrar todas las PDU que han intervenido en
el anlisis realizado durante la operacin con la red.

Selector de escenarios: sirve para realizar diversos anlisis en la comunicacin de la red.

rea de dispositivos: es el espacio en el que residen todos los dispositivos clasificados por
serie y modelo (adems de los medios de transmisin y recursos adicionales). Estos deben ser
arrastrados hacia el rea de trabajo para lograr su conexin.

09

Selector de presentaciones: permite pasar de un esquema lgico a un esquema fsico de


conexin de dispositivos. Por lo general se trabaja en esquema lgico.

En captulos posteriores, recurrirem os a la ayuda de Packet Tracer


para lograr el montaje de nuestras topologas de red. De la misma
forma, a lo largo de este libro, se explicarn algunas configuraciones
y operaciones con el software antes m encionado.

En el mercado informtico, existen dispositivos de red que incluyen una interfaz grfica de usuario (GUI).
Aunque por lo regular se trata de dispositivos modem-routers. La marca Linksys de CISCO es hoy en
da una de las ms comercializadas. Su configuracin es muy sencilla gracias a su interfaz grfica, en
comparacin con los dispositivos conocidos como administrables.

www.redusers.com

46

USERS

1. IN T R O D U C C I N

f ?
l**l

C6J#

5 * TrfetJ 5 K > 7 y M

V^wpo^t

IfMAft!.t

Generamos la IP en cada uno de los


ordenadores
0 0 :3 3 .

P o n f Cycte O ro c c * fmsX Formar T*nm

Figura 24. Packet T ra c e r es una herramienta que nos permite


realizar simulaciones en el mbito de las telecomunicaciones.

El simulador GNS3
GNS3 es un em ulador grfico de redes (software de cdigo
abierto) que nos perm ite el fcil diseo y la puesta en m archa de
topologas de red. Habitualm ente esta herram ienta (tam bin de apoyo
a la enseanza-aprendizaje) soporta el IOS de una gran variedad de

series y m odelos de dispositivos CISCO.


GNS3 est originalm ente basado en Dynamips y Dynagen
(em ulador de los routers CISCO para plataform as 1700, 2600, 3600,
3700 y 7200, adems de ejecutar imgenes de IOS estndar) y tiene
la peculiaridad de brindar al usuario la posibilidad de fam iliarizarse
con dispositivos CISCO, siendo este el lder m undial en tecnologas
de redes. GNS3 es una poderosa alternativa a los laboratorios reales

LA COMPETENCIA MS FUERTE
La competencia ms fuerte que pudiera tener CISCO ya tiene rostro. Se trata de HUAWEI, empresa priva
da de alta tecnologa que se especializa en investigacin y desarrollo de equipamiento de comunicaciones
y provee servicio de redes personalizadas para operadores de la industria de las telecomunicaciones.

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

47

para ingenieros en redes, adm inistradores y estudiantes de las


certificaciones CISCO CCNA R&Ss, CCNP y CCIE, as como Juniper
y la creacin de redes en el m bito del cdigo abierto.

Hont#

N cw \

Docum +ntation

MfiMM brw.rrMA
W h a t s

GNS3

ta b \

A d icto *

rW.,AA

Videos

S c iM tifh o U

loe un

Ic a m

l> yn im i(

A p p lian cM

Download

CWn lonl

G N S 3 r. .m opni \ocm :r M >ftw.irr lh .it 'Jin u l.it r com p lrx n H w cn k '. mrliili* b H n q .. dOf4* ftft povubli*

h o m Uttt w jy r v jl nrtwOfkft pufo*m . ill ot th lv w II h ju I H jv ln y c Ok j U m nctw ock h jfd v v jic *u cll


as routers and sw itch es.
O u r softw are provtdes an

m irj.e

yap ^ cai

u-;-'

ln?*ra:*

to design

and con figu re virtu al

n etw o rk s, it runs on trad itio n al PC h ard w are and m ay b e used on m ltip le op erab ng system s,
ndtKfm*) W ind ow s, l mnr, and M a ro s x
In ord er to p ro vld e com plete and accu ra te sim u latlo n s. G N S3 a c t u a d uses th e foJlow Ing em ulators
lo

fim

llit* v i* iy

y r

VI t

: - n ,.
lf

..ir r u * o p o r . i t i n i ) s y . t i > m - . .i* , m

, th e
,

. J

w e fl k n o w n

u s c o

l b

r r . i l iiH w c fk % :

e m u ia t o r .

ru m il-.klop inri flO fv ri <>pt>r.itini| y&tctm

y c n c fic

o p o n

v o u r tc

.r .

wofl

a*.

)uiiipM lu n O S

r T H i d l i n c u r n u l l o c . i t t u n v C H iC O A S A .

P IX

jm

IP S

Who can use I?


G W b J

. i*

a n

e x c d le n t

........'

a lt e m a tiv e

o r

c o m p e m n ta ry

to o l

. j. . t.#i....... i... . . . . . t. . . .............

to

re a l

la O s

.. r ..... c r f : r

fo r

n e t * o r ic

e o g ln e c ft ,

~fjt .i>\ r r ?c .. .....;i

Figura 25. A travs de la pgina www.gns3.net


es posible descargar el software GNS3.

Las redes de computadoras representan, sin duda, uno de los ms grandes aportes al sector tecnolgico,
sobre todo porque su evolucin ha sido constante e innovadora. En este captulo, tuvimos la oportunidad
de hacer un recorrido por la funcin, las caractersticas tcnicas, el modo de empleo y la configu

racin inicial (a travs de sus S.O.) de dos de los dispositivos de red CISCO ms importantes: el router
y el switch. En el captulo siguiente nos enfocaremos en la configuracin intermedia de estos equipos.

www.redusers.com

c<

48

1. IN TRO D UCCI N

Actividades
TEST DE AUTOEVALUACIN
1

Mencione la diferencia que existe entre un router y un switch.

Mencione al menos dos series y modelos de routers CISCO.

Cules son los dos tipos de switches existentes en el mercado?

Qu funcin tiene la memoria flash en un dispositivo de red CISCO?

Qu funcin cumple un cable de consola?

Para qu me sirve una

Mencione y explique los dos modos de acceso a un router CISCO.

A qu se denomina IOS?

Qu comando del IOS nos permite asignar la hora y fecha al sistema IOS?

10

hyperterminal?

Mencione tres herramientas de simulacin de redes.

EJERCICIOS PRACTICOS
1

Realice un esquema de los componentes externos de un switch CISCO.

Tome nota de los datos tcnicos de un router con

Acceda al dilogo de configuracin del sistema desde la IOS.

Intente entrar al modo de configuracin global en un switch CISCO y ejecute la

show versin.

combinacin de teclas CTRL+Z. Registre su resultado.

Desde Packet Tracer, trate de arrastrar por lo menos un router y un switch (de
cualquier

serie y modelo) hacia el rea de trabajo principal. Oprima clic sobre

cada uno de los objetos. Registre sus observaciones.

PROFESOR EN LINEA
Si tiene alguna consulta tcnica relacionada con el contenido, puede contactarse
con nuestros expertos: profesor@redusers.com

www.redusers.com

///////////////

Configuracin
de routers
En este captulo desarrollaremos la configuracin intermedia
del router a travs de comandos desde el IOS. Para ello,
comenzaremos asignando niveles de control de acceso
mediante passwords, veremos la forma de respaldar
informacin en la NVRAM del equipo y conoceremos las
tcnicas empleadas por los expertos para la recuperacin del
sistema ante la prdida de contraseas.

Comandos de

Manejo de nterfaces

89

Resumen.............

97

Actividades.........

98

configuracin intermedia...... 50
Control de acceso
al equipo C IS C O .............................51
Backup en routers
y switches CISCO ............................76

so

pgggsa

2. CO N FIG U RA C I N DE ROUTERS

Comandos de
configuracin intermedia
Como se ha venido mencionando en el captulo anterior, existe
una gran variedad de comandos que tienen a bien emplearse en la
conocida interfaz del IOS de los equipos CISCO. Hasta ahora, hemos
conocido comandos como: enable, disable (modos de acceso EXEC),
configure terminal (acceso al modo de configuracin global), show, clock
set, etctera. En esta ocasin tendremos la oportunidad de operar con

otro conjunto de comandos, esta vez enfocados en la configuracin de


proteccin (control de acceso), autenticacin de usuarios, respaldo de
informacin (recuperacin) y manejo de interfaces de conexin.
SLOT 1

O O N O T IN S TA L L W TE R P A C E
C A R O S W I T H P O W E P A P P L IE D

| I

I |

CISCO
32 M B

i mi ii iii iiiiimini
m
O?
III llllllllll! II i1illfll

Figura

1.

Recordemos que en la m e m o ria f l a s h de un router

se almacena el IO S y el conjunto de comandos de configuracin.

Hoy en da, es cada vez ms comn encontrarnos con sistemas


que suelen solicitar una clave de acceso a una sesin de trabajo.
Definitivamente, los routers no son la excepcin, y es que con ello
se garantiza la integridad de los datos contenidos y la configuracin
previamente realizada (toda ella almacenada en el IOS residente en la
memoria flash del router).

www.redusers.com

USEFiS

R O U T E R S Y S W IT C H E S C IS C O

51

Control de acceso al equipo CISCO


La adm inistracin de equipos de red se realiza m ediante lo que
conocemos como lneas del dispositivo. Por lo general, contamos
con la lnea CTY (Consola), VTY (Telnet) y AUX (Auxiliar). Estas lneas
sern descritas y configuradas ms adelante.
Considerem os que antes de iniciar con
la configuracin de control de acceso a los

LA A D M IN IS T R A C IO N

routers CISCO, vam os a conocer la form a en


la que debe asignarse tanto un nom bre como

DE E Q U IP O S S E

una contrasea vlidos para su proteccin


(configuracin em pleada para switchs y routers).

R E A L IZ A M E D IA N T E

La asignacin de un nombre al equipo se hace

L N E A S DE

con el propsito de identificar tanto el nmero

D IS P O S IT IV O S

de equipos conectados a una topologa de red,


como el rea a la que pertenecen (pas o sucursal).
Un identificador vlido es, por ejemplo:

JAP0N01, U SER S, SUCURSAL01, MXICO, Contoso, Argentina3, etctera.


La tcnica anterior es a menudo em pleada por muchas empresas
para identificar los dispositivos de su red corporativa.
Antes de com enzar a asignar nombre a los equipos, debemos
considerar siem pre lo siguiente:
El IOS es capaz de aceptar com andos escritos con m aysculas
o m insculas (sistem a Key sensitive).
El identificador debe ser corto (por lo tanto capaz de hacer
referencia al nombre de una sucursal o pas), pues el sistema
no acepta ms de 39 caracteres.
Para la asignacin o cambio de nombre al equipo, debemos
situarnos en el m odo de configuracin global.

MODOS DE TRANSMISION
Los datos que se transmiten en una red pueden circular en tres modos: modo Simplex, modo Half

dplex y modo Full dplex. Este ltimo es regularmente el ms empleado en la actualidad, pues ofrece
la transmisin bidireccional de informacin de manera simultnea. Los routers CISCO permiten la eleccin
entre Half dplex y Full dplex.

www.redusers.com

52

EH H Z2 3

2. CO N FIG U RA C I N DE ROUTERS

1841
USERS01

Switch - PT
Coordinacin

PC-PT
CoordinacinOl

Switch - PT - Empty
Edicin

PC - PT
Coordinacin02

Laptop - PT
EdicionOl

Router - PT - Empty
USERS02

Laptop - PT
Edicin02

Figura 2. La previa identificacin de un router


permite su mejor ubicacin en la t o p o l o g a de red.
Es importante tener en cuenta que la forma de asignar un nombre de
identificacin al dispositivo de red CISCO no es cosa del otro mundo,
por lo tanto no nos tomar tiempo ni esfuerzos excesivos.
En forma general, lograremos completar esta tarea mediante el
uso del comando hostname, para ello tambin ser necesario contar
con el nombre que deseamos asignar al dispositivo; luego de esto, la
identificacin estar completa.

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

53

*outer>enable
3outer#configure
Enter

terminal

configuration

ccminands,.

R o u t e r (c o n f i g ) h o s t n a m e

one

per

line.

End with

CNTL/Z.

USE2.S01

USERS01{config)#
USIRS01{config

USSRS01(config)#

Figura 3. La forma correcta para asignar


un nombre vlido se hace mediante el comando hostname.

Seguridad bsica en el router


En la actualidad, cada vez es ms comn encontrarnos con sistemas
vulnerables a ataques inform ticos. Y desde luego que las redes no
son la excepcin. Por ello es im portante contar con ciertas medidas
de seguridad, las cuales cum plan con el objetivo de garantizar la
integridad de todos nuestros datos (en este libro, nos enfocarem os
solam ente en el control de acceso).
Los routers, a menudo, pueden ser susceptibles al robo de
identidad, por tal razn, actualm ente se hace uso extensivo de la
configuracin de contraseas seguras. Para que una clave de acceso
sea segura debemos considerar algunos aspectos fundam entales como

EL ORIGEN DE CISCO
Cisco fue fundada en 1984 por un matrimonio estadounidense. El nombre de la compaa proviene del
nombre San Francisco. La historia cuenta que, al mirar por la ventana de su apartamento, se poda
divisar, al frente, un cartel que deca SAN FRANCISCO; un rbol se interpona en medio de la palabra,
separndola en: san -fran -cisco.

www.redusers.com

54

USERS

2 . C O N F IG U R A C I N D E R O U T E R S

la longitud y su composicin: letras m aysculas y m insculas,


caracteres especiales (sm bolos) y nmeros. Muchos expertos en
seguridad inform tica recom iendan colocar, cuando menos, un total
de 8 caracteres. De este modo conseguirem os contraseas ms
slidas (esto im plica m ayor seguridad para los sistemas que deseamos
proteger). En la siguiente Tabla vam os a m ostrar el tiempo estim ado
para descifrar contraseas en funcin de su longitud y com posicin.

TABLA 1: CONTRASEAS MS SEGURAS


LONGITUD

M INSCULA

AGREGA M AYSCULAS

NM ERO S Y SM BO LO S

6 caracteres

10 minutos

10 horas

18 das

7 caracteres

4 horas

23 das

4 aos

8 caracteres

4 das

3 aos

463 aos

9 caracteres

4 meses

178 aos

44,530 aos

Tabla 1, Contraseas seguras en funcin de su complejidad.

Notemos que al utilizar sm bolos y nmeros, nuestras claves son


ms seguras, lo que im plica m ayor proteccin para el sistema que
deseamos configurar. Sobre todo si el objetivo se centra en asegurar las

interfaces de acceso de un dispositivo.


Recordem os que para la configuracin de un router, podemos hacer
uso de m ltiples lneas de comando: Consola, Telnet y Auxiliar
(que tienen a bien considerarse como interfaces administrativas de
acceso a la configuracin del equipo), por lo que se hace necesario el
em pleo de una clave para acceder a la configuracin realizada.

Telnet sirve para acceder en forma remota a otra mquina, en modo terminal. Se trata de una herramienta
til para arreglar fallos a distancia, sin necesidad de estar fsicamente frente al equipo. Tambin puede ser
utilizado para consultar datos a distancia en mquinas accesibles por red.

www.redusers.com

RO UTERS Y SW ITC H ES CISCO

E S 3

55

f l e o to Cood'^ch Jy t t o o * T # l ^ t S#rv#r f o r Wmdo-5 NT/2000/XP (C u tlu o tio n C


C ) Copyright

9 lr u t t r n M f
g ir p K ^ o f d
M In n#

GcodToc*

In c

t f ln t ld

Figura 4. El uso de cualquier i n t e r f a z


a d m i n i s t r a t i v a hace posible la configuracin de un router.

Caractersticas de las contraseas CISCO


Como se ha manifestado en secciones anteriores, todos los puntos
de acceso de un router deben protegerse con contrasea, por lo que
a menudo se recomienda seguir algunos consejos (adicionales a los ya
mencionados) en funcin con sus caractersticas:
Colocar claves que oscilen entre

8 y 25 caracteres.

Las contraseas no deben iniciar con ningn espacio en blanco.


Pueden llevar combinacin de letras y caracteres especiales.
La clave debe tener un perodo de expiracin (recomendable
cambiar peridicamente dichas contraseas, de este modo se limita
su uso por cierto tiempo).
Las contraseas asignadas sirven para delegar
accesos mediante niveles. Todo esto significa

LAS CONTRASEAS

que no podemos tener acceso al dispositivo sin

ASIGNADAS SIRVEN

antes escribir la contrasea de acceso correcta,


lo que implica no poder entrar a la consola de
configuracin (CLI del IOS) y, por consiguiente,

PARA DELEGAR
ACCESOS MEDIANTE

a ninguna sesin de usuario (privilegiado y no

NIVELES

privilegiado) de Telnet y Auxiliar.


Con respecto a lo que hemos citado
anteriormente, resaltemos que con fines
prcticos, comenzaremos a realizar la configuracin del denominado

modo de acceso EXEC.

www.redusers.com

56

2. C O N FIG U RA CI N DE ROUTERS

Figura 5. Esquema de asignacin


de claves de seguridad a un router por niveles.

En cuanto a la asignacin de contraseas, es aconsejable tener


especial cuidado con el manejo de accesos, pues si por descuido
perdemos algn password, no ser posible ingresar a la configuracin
y, por consiguiente, no podremos consultar ni modificar ningn dato
residente en el IOS del sistema. Aunque se sabe que siempre hay
una alternativa de solucin para todo, y este caso no puede ser la
excepcin. Ms adelante, en el tema recuperacin de accesos, vamos
a conocer el procedimiento a seguir para recuperar accesos, ante una
posible prdida de contraseas.

Configuracin de password
para el modo de acceso EXEC
Una vez asignado el nombre, procedamos a colocar una clave de
acceso para la proteccin del modo de acceso EXEC privilegiado.
Recordemos que el sistema operativo de interconexin
cuenta con algunos modos de acceso EXEC relevantes (abordados
en el Captulo 1 de este libro), los cuales deben ser inicialmente

www.redusers.com

n n u n

RO UTERS Y SW ITC H ES CISCO

EXISTEN DOS

configurados con el propsito de proteger el


equipo de accesos no autorizados.

FORMAS DE

Por lo general, existen dos formas de poder

CONFIGURAR UN

configurar un password para la proteccin del


modo de acceso EXEC privilegiado:

57

PASSWORD PARA
PROTEGER EL

Mediante la orden enable password: este


comando, por s mismo, no ofrece ningn

MODO EXEC

servicio de cifrado, a menos que sea invocado


adicionalmente. Esto se consigue con el
comando Service password-encryption.

Mediante la orden enable secret: proporciona un servicio de cifrado


mucho ms seguro que enable password (clave que se guarda en el
archivo de configuracin en texto plano). Para ilustrar lo anterior,
analicemos el siguiente Paso a paso.

PAP: PROTECCIN AL MODO EXEC PRIVILEGIADO


Ingrese a la consola del router al que ha asignado previamente un nombre de
0

identificacin. Note que al tratar de ingresar como usuario privilegiado, la


interfaz no solicita ninguna clave de acceso. Como resultado, obtendr
la peticin de un password.

Press

2ZTURN

to get

started.

USZRS01>enable

USZRS01#|

www.redusers.com

58

02

2. C O N FIG U RA CI N DE ROUTERS

Ingrese ahora al modo de configuracin global. Desde all coloque el comando


e n a b l e s e c r e t y en seguida la contrasea correspondiente, por ejemplo:

Pa$$w0rd. Finalmente presione la tecla EN TER.

P r e s s R E T U R N c o g e t started.

U S E R S 01>enable
USERSOlfconigure terminal
E n t e r c o n f i g u r a t i o n coxnmands, o n e p e r line.
SERS01(config)jenable secret Pa$$v0rd
USERSOl(config)*

03

E n d w i t h CNTL / Z .

Para configurar el modo de acceso EX EC privilegiado con e n a b l e


se debe seguir el procedimiento implementado para e n a b l e
la contrasea haga uso de s e r v i c e

s e c r e t . Para cifrar

p a s s w o r d - e n c r y p tio n .

P r e s a SE T U R N to g e t s;arted.

USERSOL>enabl
USERSOltconfigure c t r n n i l
F n e r r o n f l o u r a t l o n e:>iwi*nd. o n # pr lir
U S E R S O L ( c o n f i g ) t e n a b l * sec r e t P a f f v O r d
USERSOL(config)tenabl* passvord P*SwOrdOl
USERS01(config);

www.redusers.com

p a ssw o rd ,

Snd wieh CHTL/Z

RO UTERS Y SW ITC H ES CISCO

04

n n u n

59

Ahora, necesita comprobar que todo ha salido bien. Para ello debe regresar hasta
el modo EX EC usuario, donde se va a solicitar el comando e n a b l e para ingresar
como usuario privilegiado.

SS2S01>enafcle
USE3S01#configure terminal
I n t e r c o n f i g u r a t i o n c c m m a n d s , e n e p e r line.
End w i t h CNTL/Z.
USZ3S01(config)jenable secret Pa$$wOrd
USERS01(config)#nabl password PaSSwOrdOl
SE2S01(config)
SERS01#
*SY S-S-CCNFIG_I: Ccnfigured from consol by consol
USEPS01#xit

05

Note que al tratar de ingresar al modo EX EC privilegiado, se ha solicitado una

contrasea. Colquela y despus presione la tecla EN T ER. A partir de este


momento, ha quedado protegido el acceso para el usuario privilegiado.

www.redusers.com

USERS

2 . C O N F IG U R A C I N D E R O U T E R S

Para la validacin de los comandos anteriores, es necesario estar


situado en el m odo de configuracin global, pues de lo contrario la
term inal del IOS nos notificar sobre un posible error.
Con el fin de verificar cualquier configuracin realizada, se
recom ienda el uso del comando show running-config (ver fichero que
alm acena los registros de la RAM).
U S Z R S O l sh o w
B u ild in g
Current

ru n n in g -c o n fig

c o n f ig u r a t io n . ..
c o n fig u ra tio n

479

bytes

v e rsi n

12.2

no

se rv ic e

tim e stain p s

lo g

d a te tim e

no

S e rv ic e

tim e sta m p s

debug

no

se rv ic e

p a ssv o rd -e n c ry p tic n

m sec

d a te tim e

m sec

hostnane

USZRSOl

!
i
i
*

e n a b le

3ecret

e n a b le

passw ord

$ l $ m I 3 . r $ J H Q 4 u h 4 d 8 I 3 I f .N e W / o p l
Pa*$w 0rd01

Figura 6. El comando show running-config


nos permite visualizar un conjunto de configuraciones previas.

Configuracin de password
para la interfaz de consola
Despus de haber asignado un nombre vlido al equipo, y haber
colocado una clave de acceso al usuario EXEC privilegiado,
procedem os a colocar otra para restringir el acceso total al router (CLI).

ENTRENAMIENTO EN SEGURIDAD
C CN P (CISCO Certified Network Professional) es un certificado vlido para planear, solucionar y verificar
problemas de redes empresariales. La certificacin CCNP est enfocada en aquellos usuarios dispuestos
a mejorar sus habilidades y conocimientos en cuanto a soluciones de redes complejas.

www.redusers.com

6i

n n u n

RO UTERS Y SW ITC H ES CISCO

El fin es impedir cualquier manera de acceder a


la consola de configuracin (recordemos aqu los

LA INTERFAZ

niveles existentes sealados en el tema anterior).

DE LNEA DE

No olvidemos nunca que nuestra interfaz de

COMANDOS ES

consola se trata, precisamente, del entorno de


comandos ofrecido por el IOS de los dispositivos

MS CONOCIDA

CISCO, es decir: la interfaz de lnea de

COMO CLI

comandos que muchos conocemos como CLI.


El comando empleado para acceder a la
interfaz de consola para su configuracin es:
line consol 0. Este comando debe comenzar a utilizarse dentro de la

configuracin global. Y generalmente va acompaado de un par de


comandos adicionales: password y login.

Router>enable
Routersconfigure terminal
E n t e r c o n f i g u r a t i o n ccmmanda, one per line.
Router(config)#line consol 0
Router(config-line)fpassword Pa$$w0rd
Router(config-line)$login
Router(config-line)

End with CNTL/Z.

Figura 7. La configuracin de la i n t e r f a z
d e c o n s o l a permite la proteccin de la C L I del IO S .
Debemos considerar que en el sentido estricto de la palabra, login
significa conectar. De esta manera se emplea como un comando de
sistema que sirve para efectuar la validacin de la contrasea de acceso
a la consola. Por lo regular, encontramos que dicha orden no tendr
efecto si no se ha configurado un password previo (tengamos en
cuenta que en caso de colocar primeramente el comando login en vez
de la clave, el sistema solicitar el password).

www.redusers.com

USERS

Pres3

U ser

2 . C O N F IG U R A C I N D E R O U T E R S

RETURN

Access

te

get

3tarted.

V e rific a c i n

Passw ord:

F ig u r a 8 . Para conseguir ingresar a la consola


del IOS, debemos colocar una c o n t r a s e a .

La sintaxis para la asignacin de claves es m uy sim ple y se expresa


de la siguiente manera: #password [contrasea]. Donde contrasea debe
ser una cadena no menor de 8 caracteres con una nom enclatura
especial (como anteriorm ente se ha explicado).
Despus de realizar la configuracin del password para consola,
notarem os que transcurrido cierto tiem po ha quedado inactiva la
configuracin actual, y por consiguiente, el sistem a se encarga de
regresarnos al inicio de la CLI. Esto se debe a que el tiem po de espera
asignado al sistem a se ha agotado (generalm ente es de 10 minutos).
For lo que nos verem os en la necesidad de asignar un tiem po mayor,
que nos servir para evitar dem oras durante la configuracin. Lo
anterior es posible si hacemos uso del com ando ex ec-tim eo u t.

Los usuarios exigentes que requieren de informacin y recursos acerca de configuracin de un equipo,
apertura de puertos y dems, pueden recurrir a las siguientes pginas de internet: www.adslzone.net
y www.adslayuda.com. Desde aqu ser posible incluso encontrar informacin sobre los routers ms
populares que se encuentran en el mercado.

www.redusers.com

pn=sn

RO UTERS Y SW ITC H ES CISCO

Router>enable
RouterSconfigure terminal
Enter configuration ccmmands, one per l i n e .
Router{config)line consol 0
Router(config-line)#pa33wcrd Ea$$wOrd
Router(config-line)#lcgin
R o u t e r ( c o n f i g - l i n e ) e x e c - t i m e o u t 30
R o u t e r (c o n f i g - l i n e
)

Znd with CNTL/Z.

Figura 9. Para retardar el tiempo de inactividad


de la consola se usa el comando exec-timeout.
Una vez hecho lo anterior, obtendremos como resultado una consola

de comandos ms segura (en cuanto a los posibles accesos), aunque


debemos tener en cuenta que esta seguridad no nos protege ante las
vulnerabilidades y los ataques que pudieran producirse al sistema.

Router>enable
Router*configure terminal
Enter c o n f i g u r a t i o n cosmands, one p e r line.
Router(config)Sline consol 0
Router(config-line)$pa3sword Pa$$w0rd
Router(config-line)Slogin
Router(config-line) exec-timeout 0
R o u t e r (c o n f i g - l i n e

Z n d w i t h CNTL/Z.

Figura 10. La orden exec-timeout 0


deja la consola sin tiempo de desactivacin.

www.redusers.com

64

EHHZ23

2. CO N FIG U RA CI N DE ROUTERS

Recordemos que para ejecutar lo

CON EL PARAMETRO

anterior, debemos ubicarnos en el modo de

0 NOTAREMOS QUE

configuracin global y haber configurado la


lnea de consola. Notemos tambin que el valor

LA CONSOLA

numrico situado despus del comando exec-

JA M S QUEDAR

timeout determina el tiempo de retardo expresado

en minutos. Ahora, si lo que deseamos es no

INACTIVA

lidiar con el tiempo de inactividad de la consola,


podemos agregar el parmetro 0 al comando; por
ejemplo: exec-timeout 0. Consideremo s que con

este ltimo indicador, la consola jams quedar inactiva. Con respecto


a lo anterior no se aconseja colocar la expresin no exec-timeout (salvo
en ocasiones especiales), pues con ello conseguiramos que este
proceso o servicio (propio del sistema) quedara deshabilitado.
En el siguiente Paso a paso se describe el procedimiento para
asegurar la consola con contrasea.

PAP: PROTECCIN DE ACCESO A LA CONSOLA

01

Ingrese a la consola del router. Posteriormente, trate de acceder al modo de

configuracin global. Y desde all coloque la orden 1 i ne c o n s o l e 0. Observe


que cuando realiza esta tarea, la apariencia del prompt cambia.

Router>enable
Souterconfigure terminal
Enter e c n f x g u r a t i c n ccmmand3, one p e r line.
Router(config)line consol 0

End with CNTL/Z.

Router(config-line)$|

www.redusers.com

RO UTERS Y SW ITC H ES CISCO

02

n n u n

65

Ahora, asigne una contrasea para proteger el acceso y a continuacin presione la


tecla EN T ER. Recuerde asignar passwords distintos a los antes colocados ya que
esto, a menudo, garantiza un mayor nivel de seguridad al equipo.

Router>enable
RouterSccnfigure terminal
E n t e r c o n f i g u r a t i o n ccnanands, o n e p e r l i n e .
acuter(co n f i g ) l m e censle 0
Router(config-line)?password Pa$$wOrd
R o u t e r (c o n f i g - l i n e )#|

03

End with C N T L / Z .

Proceda a colocar la orden l o g i n , que har posible que se efecte la configuracin


previa. Posteriormente deber presionar la tecla E N T E R , luego puede finalizar
escribiendo el comando e x i t .

Router>enable
Routerfconfigure terminal
E n t e r c o n f i g u r a t i o n coxnmanda, o n e p e r l i n e .
R o u t e r (c o n f i g ) f l i n e c o n s o l 0
Router(config-line)*pa3aword Pa$$wOrd
R o u t e r (c o n f i g - l i n e ) f c l o g i n
R o u t e r ( c o n f i g - l i n e ) #{

End wit h CNTL/Z.

www.redusers.com

HHHZ23

2. CO N FIG U RA CI N DE ROUTERS

Con el fin de verificar que la configuracin anterior surta efecto,


recomendamos salir de la terminal y tratar de ingresar posteriormente.
Al intentar ingresar al IOS, ste nos solicita una clave de acceso.

Configuracin de password
para la interfaz de Telnet
Para efectuar la configuracin de contraseas para la lnea Telnet o

SSH (Secure Shell), hay que seguir bsicamente el mismo principio que
el utilizado en la configuracin anterior. Aunque hay que tener presente
que los comandos iniciales van a cambiar segn la interfaz configurada.
Antes de comenzar con la explicacin de tal procedimiento,
definamos algunos trminos importantes.
J u s y B o x v i . 15.3 (2009-12-18 0 7 : 4 2 : 4 3 UTC) b u i l t - i n
E n t e r 'h e l p f o r a l i s t o f b u i l t - i n c o m m a n d s .

I ---- .1

Shell

(ash)

I
II
_
I
-_l
II
I
I
II
_l I
_l
I__________II
___ I_______ I___ I___ I I___________ I I___ I
I______ I
I__ | W I R E L E S S
F R E E D O M
K M I K A Z E ( b l e e d x n g e d g e , r l 8 8 0 6 ) ------------------------* 10 oz V o d k a
Shake well with ice and strain
* 10 oz Triple sec
m i x t u r e m t o 10 s h o t g l a s s e s .
* 10 oz lime juice
Saluce!
root@OpenWrtfconfig
br-lan
L i n k e r . c a p :E t h e r n e t
H W a d d r 0 0 : 1 4 :D I : 6 1 : A 2 : 8 6
inet a d d r :192.168.1.1
B c a s t :192.168.1.255
Mask:255.255.255.0
P 3R0ADCAST RNNING MULTICAST
MTU:1500
Metric:!
R X p a c k e t s :1127 error s : 0 d r opped:0 o v e r r u n s : 0 frame:0
T X p a c k e t s : 2 98 e r r o r s : 0 d r o p p e d : 0 o v e r r u n s : 0 c a r r i e r : 0
collisions:0 txqueuelen:0
R X b y t e s :180940 (176.6 KiB)
T X b y t e s : 3 3 7 3 1 (32.9 KiB)
ethO

Link encap:Ethernet

HWaddr

0 0 : 1 4 : D I : 6 1 : A 2 :86

Figura 1 1 . T e l n e t es una herramienta


que sirve para emular una terminal remota.

En el mbito de las redes, existen dos herramientas para la


configuracin va remota de dispositivos CISCO: Telnet y SSH.
Telnet (Telecomunications Networks) es una herramienta visual
que est implementada por el protocolo Telnet, el cual sirve para
emular una terminal remota. Es decir, que se puede utilizar para ejecutar
comandos introducidos por un usuario desde un equipo remoto, con el
fin de poder acceder a la informacin pblica entre s.

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

67

SSH es definido como un intrprete de rdenes seguras. Consiste en


otra herram ienta im plem entada por el protocolo SSH, que cum ple con
el mismo objetivo que Telnet. La diferencia radica en que esta ltim a es
mucho ms estable y segura. Cualquiera de las herram ientas anteriores
se puede descargar de internet.
Para configurar una contrasea para Telnet se debe acceder a la
interfaz de Telnet con line vty 0 4. En el siguiente Paso a paso daremos
a conocer el procedim iento para proteger el acceso a Telnet.

PAP: PROTECCION DE ACCESO A TELNET


Ingrese a la
0

consola del router. Po sterio rm en te, tra te de acced er al modo de

configuracin global.Y desde a ll coloque la orden l i n e

Router>enable
Routertconfigure terminal
Enter configuration commanda,
R o u t e r <c o n fxg) n e v t y 0 4
Router (config-line)

o n e p e r line.

v ty

0 4.

End with CNTL/Z.

t \

PUTTY es un cliente SSH, Telnet distribuido bajo la licencia MIT. Y aunque originalmente fue diseado
para plataformas Microsoft Windows, tambin est disponible en varias versiones Unix. Algunos usua
rios de la comunidad de software libre han contribuido con el diseo de versiones para otras platafor
mas, tales como Symbian para telfonos mviles.

www.redusers.com

68

02

2. C O N FIG U RA CI N DE ROUTERS

En este paso, es necesario que proceda con la asignacin de una contrasea para
proteger el acceso. Una vez que haya efectuado esta tarea solo ser necesario que
presione la tecla ENTER.

Router>enable
Router*configure terminal
Z n t e r c o n f i g u r a t i o n ccmmands, one per line.
Router(config)*line vty 0 4
Router (config-line) tpassword P a M w O r d
R o u t e r ( c o n f i g - l i n e )i

03

Znd wit h CNTL/Z.

Ahora proceda a colocar la orden 1 o g i n, que har posible que se efecte la


configuracin previa. Posteriormente presione la tecla EN TER. Para finalizar solo
deber escribir el comando e x i t .

Router>enable
Routerconfigure terminal
Z n t e r c o n f i g u r a t i o n ccmmands, one p e r line.
Router(config)fline vty 0 4
Router(config-line)fpassword Pa$$wOrd
R o u t e r ( c o n f i g - l i n e ) tl o g i n
R o u t e r ( c o n f i g - l i n e ) t\

www.redusers.com

Znd with CNTL/Z.

n n u n

RO UTERS Y SW ITC H ES CISCO

69

Seguramente muchos nos estaremos preguntando qu significa

VTY?, o por qu asignar un 0 4, en vez de otro valor? En este sentido


es importante mencionar que las siglas VTY hacen referencia al
trmino Virtual Teletipo Terminal (lnea de
terminal virtual). Se trata de una interfaz de

VTY ES UNA INTERFAZ

lnea de comandos utilizada para efectuar la


configuracin de routers. Facilita la conexin a

DE LNEA DE

travs de Telnet va remota.


Consideremos que para hacer posible la

COMANDOS USADA

conexin con una VTY, ser necesario que

PARA CONFIGURAR

los usuarios realicen la presentacin de una

ROUTERS

contrasea vlida.
Para dar respuesta a la segunda pregunta,
recordemos que line vty hace referencia a la
interfaz o lnea que vamos a configurar. El 0 representa el nmero de
interfaz (o lnea) y el nmero 4 es la cantidad mxima de conexiones
mltiples a partir de O, o sea 5 sesiones VTY.

Presa

HETURN

to

get

started.

Souter>3how U3ers
Line
*

0 con

User
0

Interface

User

H 0 3 t (3)

Idle

idle

00:00:00
H e de

Idle

Location

Peer Address

3cuter>J

Figura 12. Aqu se muestra en accin el comando show users.


Derivado de lo anterior, debemos saber que, tambin existe una
forma de poder visualizar tanto las conexiones de Telnet efectuadas
como las conexiones realizadas por los usuarios. Esto se logra con los
comandos: show sessions y show users, respectivamente.

www.redusers.com

70

BSHZS

2. C O N FIG U RA CI N DE ROUTERS

Configuracin de password
para la interfaz Auxiliar
Actualmente, no todos los dispositivos se encuentran equipados
con un puerto Auxiliar, identificado como AUX (generalmente
catalogado como un puerto de respaldo al

puerto de consola). Originalmente esta lnea

E L PU ER T O A U X ILIA R

ha sido integrada con el objetivo de posibilitar la

0 A U X E S UN PU ERTO

conexin de un modem telefnico.


Si por alguna razn, al momento de estar

DE R E S P A L D O

configurando un equipo CISCO, desconocemos las

AL PUERTO

lneas con las que cuenta, podemos hacer uso del


siguiente comando: line ?. Para que dicha orden

DE CONSOLA

surta efecto, debemos estar posicionados en el

modo de conguracin global.


Routei9

Phygical | config

CU

IO S C o m m a n d L in e In te r fa c e
S r w . . MtTTJMf t o g t a r t a d

B o u te r lc o n fg u r * term in a l
nter c o n r .a u c a ? io r . c s o x a n
S o u t a r ( e o n t i g ) 9I n i ?
< 3 -8 l>

ri*t

a e .

en e p e r l i n e .

in d

CMTL/2.

L I hm n u r b r

c - r .- o le
Pr i T r y t e r m i n a l
v ty
V ir t u a l term in a l
R o u ter(co n ra g )tlo n e I

la e

Cpy

Paste

Figura 13. Para visualizar las lin e a s que se


encuentran vigentes en un router se hace uso de la orden 1ine ?.

Para la configuracin de la lnea AUX, se emplea el siguiente


comando: line aux 0. Y para asignar una contrasea, se debe escribir el
comando password, tras la palabra login.
Recordemos que para encriptar las contraseas antes asignadas
a las lneas del dispositivo CISCO, podemos hacer uso del servicio de
encriptacin ya mencionado (service password encryption).

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

71

Figura 14. Los modems originalmente eran


conectados en los puertos AUX de un dispositivo CISCO.

Creacin y autenticacin de usuarios


Para com enzar a abordar este tema, es im portante saber que
prcticam ente todo sistema operativo (S.O.) cuenta con un
com ponente indispensable para el acceso a los
usuarios. Como sabemos, a este elem ento se le
conoce como cuenta o sesin de usuario, la cual
debe de estar dada de alta con los privilegios

LOS D IS P O S IT IV O S
CISCO R E Q U IE R E N DE

adecuados, por un administrador.


Los dispositivos CISCO tambin requieren de
una autenticacin de usuarios para acceder a sus

U N A A U T E N T IC A C I N
PA R A E L ACCESO A

recursos. Tengamos en cuenta que la form a ms


sencilla de crear una sesin de usuario (usuario

LO S R E C U R S O S

y contrasea) se logra m ediante la ejecucin


de una secuencia de com andos tal y como se
aprecian en el siguiente Paso a paso.

VULNERABILIDADES
CISCO se ha encargado de realizar la develacin de cuatro vulnerabilidades en el software de la familia
ASA (Adaptive Security Appliance), las cuales se centran en la realizacin de ataques de denegacin de
servicio. Los errores pueden ser provocados por mensaje IKE, URLS's o certificados que se encuentren
malformados. El fallo dentro de la implementacin se debe al procesamiento de mensajes especiales
DNS que provocan el reinicio de los equipos.

www.redusers.com

72

EHHZ23

2. CO N FIG U RA CI N DE ROUTERS

Ingrese a la consola del router. Acceda al modo de configuracin global. Coloque la


0

secuencia: u s e rn a m e

[n o m b re d e l

u s u a r io ]

p a ssw o rd

[c o n tr a s e a ].

Router>enable
Router#configure terminal
E n t e r c o n f i g u r a t i o n cojrsnands,

one per

line.

End wxth CNTL/Z.

Router(config)username USERS password Pa$$wOrd


R o u t e r (c o n f i g ) #|

02

Proceda a referir la lnea del dispositivo a la que desea que se autentifiquen los
usuarios. Refiera la lnea de consola. Presione la tecla EN T ER. Despus, coloque el
comando 1 o g i n 1 o c a l , y presione EN TER.

Router>enable
Router?configure terminal
E n t e r c o n f i g u r a t i o n c o mmands, one p e r line.
End with CNTL/Z.
R o u t e r :c o n f i g ) i u a e r n a m e U S E R S p a s s w o r d F a $ $ w O r d
Router(config)line consol 0
Router(config-line)login local
R o u t e r ( c o n f i g - l i n e ) #|

www.redusers.com

RO UTERS Y SW ITC H ES CISCO

03

BHHZ3

73

Para finalizar con el procedimiento, coloque por ltima vez la contrasea


anteriormente escrita para la validacin de acceso al modo line. Escriba el
comando e x i t , hasta salir de la configuracin.

Router>enable
Reutertfconfigure terminal
E n t e r c o n f i g u r a t i o n ccrnmands, on e p e r line.
End with CNTL/Z.
Router(config)usernane USERS password PaSSwOrd
Router(config)Sline consol 0
Router(config-line)#login local
Router(config-line)fcpasswerd Pa$$w0rd
Router(config-line)exit
Router(config)$exit
Router#
*SYS-5-CONFIG_I: Configured fren censle by censle

04

Con el fin de verificar que los cambios han surtido efecto, una vez que regres al inicio
de la consola, intente acceder nuevamente. Note que desde este momento, el IOS
solicita al usuario un username y una clave de acceso. Ingrese los datos solicitados.

www.redusers.com

74

USERS

2 . C O N F IG U R A C I N D E R O U T E R S

Con nes de validacin para el presente

LOGIN LO C A L S E

procedimiento, se recomienda regresar al inicio de

E N C A R G A DE P E D IR

la consola e intentar acceder de nuevo.


En la presente configuracin, habremos notado

UN U S E R N A M E

la presencia de un nuevo com ando expresado

A L U S U A R IO QUE

como: login local. Considerem os que este comando


cum ple con el propsito de preguntar un

IN T E N T A A C C E D E R

usernam e al usuario que est intentando ingresar


a la configuracin del equipo.

Configuracin de banners
Un banner tam bin es conocido como mensaje. Su finalidad
consiste en arrojar una serie de notificaciones o advertencias de
configuracin (sobre todo en cuanto a seguridad se refiere).
Existen varios tipos de banner. Si queremos saber cules son,
podemos ejecutar la orden banner ? desde nuestra C LI.

TABLA 2: TIPOS DE BANNER EN DISPOSITIVOS CISCO


TIPO DE BANNER
Banner motd

DESCRIPCIN
Ofrece la posibilidad de colocar un mensaje diario. Es el ms utilizado por
los administradores.

Banner login
Banner exec

Empleado para configurar mensajes para Telnet (ingreso en forma remota).


Muestra un mensaje que puede ser visualizado despus de ingresar la
contrasea.

Tabla 2. Tipos de banner utilizados en routers CISCO.

Una caracterstica muy interesante en los nuevos routers es el llamado arranque en caliente. Esto
significa que el IOS se puede cargar en memoria sin necesidad de ejecutar el POST (Power On Self Test)
que a veces puede tardar demasiado. Debemos saber que el comando de configuracin global que activa
el arranque en caliente es warm-reboot.

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

Pre33

RETURN t o

get

75

atarted.

R o u te r> e n a b le
R o u te r# c c n fig u re
Enter

te rm in a l

c o n fig u ra tio n

ccz n m a n d a ,

R o u te r(c o n fig )fb a n n e r

m otd

one p e r

lin e .

B ie n v e n id o

End w ith

CN TL/Z.

R o u t e r ( c o n f i g ) t|____________________________________________________________

Figura 15. La presente imagen muestra


la manera de crear un banner desde el IOS.
Es im portante saber que la sintaxis de la orden

EL M E N S A JE

banner se puede expresar de la siguiente manera:

USERS(config)#banner motd ^Bienvenido*

E S T A B L E C ID O CON
B A N N E R MOTD

Notemos que la estructura de la orden que

D EB E ESTAR EN TRE

acabamos de presentar se compone del tipo

A S T E R IS C O S

de banner que deseamos configurar y, en


seguida, vemos el mensaje que vam os a arrojar.
Es necesario que este mensaje se encuentre
escrito entre asteriscos.

Consideremos que el banner motd ofrece la posibilidad de establecer un mensaje diario, el banner login
ser visto al establecer una sesin de telnet, el banner exec al pasar la password al modo privilegiado.
En este sentido un mensaje de inicio de sesin debe advertir que solo los usuarios autorizados deben
intentar el acceso. Es necesario evitar mensajes del estilo bienvenido!; por el contrario, dejar bien en
claro que cualquier intrusin sin autorizacin estar penalizada por la ley vigente.

www.redusers.com

76

2. C O N FIG U RA CI N DE ROUTERS

Figura 1 6 . La orden b a n n e r m o td permite


mostrar un mensaje desde la C L I del dispositivo de red.

Backup en routers y switches CISCO


No olvidemos que tanto los routers como los switches poseen
(entre otros elementos): una memoria RAM, una memoria de

almacenamiento flash y una memoria no voltil conocida como


NVRAM. Recordemos tambin que todas las operaciones dentro del
IOS que el usuario ejecuta, por default, se almacenan en una memoria
temporal (RAM). Pero al igual que en una PC, al
reiniciarse o apagarse el dispositivo, la memoria

LOS R O U T E R S Y
S W IT C H E S P O S E E N

RAM pierde su contenido.


Actualmente, pueden ser muchos los factores
o riesgos (cortes de corriente, catstrofes o

RAM, M EM O RIA

accidentes) que pueden ocasionar que los datos

FLA SH Y M EM O RIA

almacenados en la RAM se pierdan. En muchas


industrias, estos problemas son muy comunes,

NO VOLTIL

por lo que siempre es recomendable estar


prevenidos. Ante esta situacin, podemos recurrir
a alguna tcnica de resguardo.

El servicio de soporte es cada vez ms comn entre los sistemas


operativos. El IOS de CISCO a menudo ofrece este tipo de servicio en
particular, por lo que es conveniente recurrir a l cada vez que sea

www.redusers.com

pn=sn

RO UTERS Y SW ITC H ES CISCO

necesario. Por ejemplo, las actualizaciones del software de


sistema. Algunas de las bondades que nos proporciona CISCO
son la actualizacin y restauracin de su sistema operativo. Esta
tarea es mucho ms comn de lo que nos imaginamos, por lo que se
recomienda llevar a cabo un respaldo o una copia de seguridad del
IOS antes de efectuar alguno de los procesos antes mencionados.

Figura 1 7 . La memoria RAM del equipo CISCO


se encarga de almacenar informacin de forma temporal.

De la RAM a la NVRAM
Hasta ahora sabemos que la memoria RAM residente en los
dispositivos de red es la encargada de alojar (de manera temporal)
todas las configuraciones realizadas por el usuario o el administrador.
Estas tareas regularmente consisten en: configuracin de modos de

acceso EXEC, configuracin de consola, creacin de sesiones de


usuario, configuracin de interfaces, asignacin de tablas de ruteo,
entre otras (anteriormente analizadas). Mientras tanto, la NVRAM es
una memoria que se encarga de alojar una imagen de todos los cambios
efectuados al sistema, pero de manera permanente.
Hoy en da es muy comn que nos veamos en la necesidad de
salvaguardar esas configuraciones, para ello podemos recurrir a una
tcnica conocida como copia de resguardo o backup.

www.redusers.com

78

H H H Z23

2. CO N FIG U RA CI N DE ROUTERS

La memoria RAM del equipo CISCO se encarga de almacenar


informacin de forma temporal.
Antes de comenzar con nuestro respaldo, debemos saber que los
registros de la memoria RAM de nuestro equipo se hallan comnmente
en el repositorio running-config del S.O. En
cambio, los de la memoria NVRAM se ubican en

LOS R E G IS T R O S DE

el repositorio startup-config. Por lo que para

LA M EM O RIA RAM

hacer un respaldo (ya sea de RAM a NVRAM y


viceversa), necesitamos efectuar una copia de

DE LOS EQ U IPO S S E

repositorios simultneamente.
En la siguiente imagen se describe el proceso

E N C U E N T R A N EN

para hacer el respaldo de los datos almacenados

RUNNING-CONFIG

en RAM a la memoria no voltil (NVRAM) del


equipo con el uso del comando copy.

Router>enable
Router#copy running-config startup-config
Destination filenas

[startup-config]?

B u i l d i n g c o n f i g u r a t i o n . ..
[OK]

aouter#|

Figura 1 8 . Copia de resguardo de la memoria


RAM a la memoria NVRAM de un dispositivo de red.

Eliminacin del contenido de la NVRAM


Toda la informacin y las configuraciones ingresadas a la NVRAM de
los dispositivos CISCO pueden nicamente eliminarse por intervencin
del administrador de la red, pues esta permanecer vigente hasta su

eliminacin. El comando utilizado para tal fin es: erase (borrar).

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

79

Router>enable
Souterferase
Eraaing the
Continu?

startup-config
nvram

file3y3tem will

remove

all

configuration

files!

[confina]

[OK]
Erase

of nvram:

complete

%SYS-7-NV_3LOCK_INIT:

Initialized the

geometry of

nvram

Router#|

Figura 19. E lim in a c i n del registro


de la NVRAM, mediante el comando erase.
Al ejecutar el com ando apropiado, verem os que el registro de las
configuraciones realizadas ha sido borrado. Tomemos en consideracin
que para tal efecto debemos estar situados en el modo EXEC

privilegiado, pues de no ser as la term inal nos arrojar un error.

Backup del IOS


Recordem os que el IOS se alm acena en la memoria flash del equipo
de interconexin, pues desde este punto com enzarem os a operar para
realizar una copia de seguridad del sistem a operativo.
Dos de las razones por las cuales es im portante realizar un

backup del sistem a operativo de interconexin de un router CISCO

COPIAR Y PEGAR
El sistema operativo de los equipos CISCO, entre otras ventajas, nos permite copiar y pegar la configu
racin realizada en texto plano para ser usada en el futuro. Para copiar, basta con presionar clic derecho
del ratn y seleccionar la opcin indicada. Finalmente, podemos pegar la seleccin en cualquier espacio
de la misma consola o en algn procesador de textos.

www.redusers.com

80

HHHZ23

2. CO N FIG U RA CI N DE ROUTERS

son, generalmente, porque el administrador desea actualizarlo a


una versin ms reciente, o simplemente porque desea restaurar el
sistema ante posibles problemas emitidos durante su operacin.
Para llevar a cabo este tipo de tareas, se cree
necesario hacer uso de un servidor especial,

E X IS T E N

conocido como servidor TFTP (Trivial File

H E R R A M IE N T A S DE

Transfer Protocol - Protocolo de transferencia


de archivo trivial). La razn de almacenar una

S O F T W A R E C REA D A S

copia en este sitio es con la finalidad de que

P A R A T R A N S F E R IR

permanezca activo y disponible para su uso


en el futuro, adems de servir como medio de

M ED IA N T E T FT P

transferencia de archivos.
Hoy da existen herramientas de software (para
PC) que fungen como medio para la transferencia

de archivos trivial, entre las que podemos encontrar: Quick TFTP

Desktop, Tftp (32 64), CISCO Tftp, SolarWinds TFTP Pro, TFTP
Suite Pro, por mencionar algunas.
TFTP Server TFTPDWIN
System

Transmission

IP

127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1

Help

Status

Rate

File

mc.brn

Finished
Flnished
Finished

nic.bin
ruc.bin

Finished
Finished
Finished

proj.zip
psf.exe
nic.bin

File size

Progress

41.79 MB
41.79 MB

41.79 MB
41.79 MB

100%
100%

41.79 MB
4.40 MB
4.40 MB
41.79 MB

41.79 MB
4.40 MB
4.40 MB

100%
100%
100%
100%

41.79 MB

Started at

Ended at

13:16:43
13:17:07
13:17:34
13:18:17
13:19:07

13:16:53
13:17:17
13:17:43

13:19:35

Remainin<

13:18:18
13:19:08
13:19:45

Figura 2 0 . TF T P S e r v e r es un servidor
empleado para el b a c k u p y restauracin de routers.
El servidor TFTP realiza su funcin sobre la base de un protocolo
del mismo nombre. Por lo general, este consiste en una versin
bsica muy semejante al FTP {File transfer protocol - Protocolo

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

81

de transferencia de archivos) tradicional. Una de las principales


caractersticas del TFTP es que hace uso de UDP (en el puerto 69)
como protocolo de transporte (a diferencia de FTP, que utiliza los
puertos 20 y 21 TCP).

Respaldo y restauracin del IOS de CISCO

2960-24TT
SW-USERS

i
Router - PT
Router - PT

192,168,1,1

192.168.5.1

Server - PT

PC -PT

192.168.1.254

192.168.5.100

SolarWinds -TFTP Server

PC -PT
PC-1

Figura 21. La presente topologa representa


la forma de nteractuar con un s e r v id o r TFTP.

Verificacin de contenidos
Para verificar cualquier configuracin por default, o en su defecto,
efectuada recientem ente sobre el dispositivo de red, podemos tambin
hacer uso del com ando show. En la siguiente imagen, se muestra la
form a de consultar el contenido de nuestra mem oria flash.

DESCARGA DEL IOS MEDIANTE XMODEM


Xmodem es un protocolo de transferencia desarrollado en 1977 de uso pblico. Nos sirve para descar
gar y restaurar ficheros de imagen del IOS. Para hacer efectiva la restauracin de archivos se emplea el
comando xmodem, que generalmente reside sobre el modo Rommon del equipo CISCO.

www.redusers.com

82

USERS

2 . C O N F IG U R A C I N D E R O U T E R S

fcfRout#rO
Physicai

=
>HQJ
Conng

CU

IO S Command Line Interface


A

-------

Zeas i n u e

w it h

* F 7 * J 5 lf

5 y * L * n

C o a T ia u x t ia c

c o r .fig u r a t is r .

Z +Lo q --------

d a le ? ?

!y e j/ & e ! :

lo

Acuzcz+ahov r l * j r .

S y ftU H B
T i l e

tl*h IZw
CIQSS
L c a a t h

S i M

3
2

/ i M

t t t l

p c lO O C - i

c x . I 2 2 - 2 S . b

2 6 2 8 2

.jo t l

I W

7 4 0 S

M
o f

] 6 3 *0 1

i'xoc+**oz b o i d

(4 0 1 (i9 <
f y i u

c c ^ i l ;

a - * d / i r r i t *

Copy

P a ste

Figura 22. De este modo se puede


visualizar el contenido de nuestra memoria fla s h .
Con el fin de resum ir la explicacin correspondiente a backup,
a continuacin presentam os los comandos ms utilizados por los
adm inistradores de dispositivos de red CISCO:

TABLA 3: RESUMEN DE COMANDOS PARA BACKUP DEL IOS


T COMANDO

FUNCION

copy running-config startup-config

Hace una copia del contenido de la memoria RAM a la NVRAM,

copy startup-config running-config

Hace una copia del contenido de la memoria NVRAM a la RAM.

copy startup-config tftp

Hace una copia del contenido de la memoria NVRAM a un servidor TFTP.

copy running-config tftp

Hace una copia del contenido de la memoria RAM a un servidor TFTP.

copy flash tftp

Hace una copia del contenido de la memoria flash a un servidor TFTP.

show running-config

Muestra el contenido de la memoria RAM.

show startup-config

Muestra el contenido de la memoria NVRAM.

reload

Se encarga de reiniciar el router.

Tabla 3. Comandos empleados para la restauracin y backup del IOS.

www.redusers.com

83

RO UTERS Y SW ITC H ES CISCO

Si en algn momento deseamos llevar a cabo alguna operacin a


la inversa (con respecto a la tabla anterior), basta con solo invertir
los comandos de configuracin. Por ejemplo: si pretendemos hacer
una copia de un servidor TFTP a la memoria RAM del dispositivo,
debemos colocar copy tftp running-config en vez de copy running-config tftp.
Ahora, si lo que deseamos es abreviar el comando running-config startupconfig (el cual es indicado para optimizar tiempo), podemos utilizar la

orden denominada rw.

Recuperacin de accesos
Seguramente en ms de una ocasin nos hemos visto en la
necesidad de recuperar un acceso a la consola de un dispositivo
de red. A continuacin, vamos a develar uno de los secretos mejor
guardados por muchos administradores de redes CISCO, que tienen
como propsito darnos a conocer el proceso
de recuperacin de acceso a un equipo de cuya
contrasea no ha quedado una sola evidencia.
Antes de dar inicio, debemos aclarar que no

LAS C O N T R A SE A S
RARAMENTE PUEDEN

es lo mismo recuperar un acceso, que recuperar


un password. Puesto que se sabe que las claves
raramente se pueden rescatar (si se trata de

SE R RECUPERADAS,
P U E S S E A LM A C EN A N

contraseas seguras) ante un posible extravo

C IFRAD AS

u olvido. La razn ms contundente es porque


estas permanecen cifradas en el propio sistema
operativo. No obstante, siempre existe una
solucin a todos nuestros problemas, y este punto

) es la excepcin.

Llevar a cabo el proceso de recuperacin de accesos no es cosa


del otro mundo, sin embargo, es indispensable que poseamos los
conocimientos previos sobre configuracin de equipo, y conocer
algunos conceptos elementales:

Secuencia de arranque: recordemos que se trata del proceso


emitido por un dispositivo de red (cada vez que se enciende)
en el que se busca un sistema operativo (IOS) que gobernar su
funcionamiento. Para obtener mayor informacin respecto a las
fases del proceso de arranque de un router, aconsejamos analizar su
proceso de inicio.

www.redusers.com

84

lU d J M

2. CO N FIG U RA CI N DE ROUTERS

Registro de configuracin (configuration register): consiste


en un registro de 16 bits almacenado por default en la NVRAM
del dispositivo. Su valor por defecto es 0 X 2 1 0 2 . Como se puede
apreciar, dicho dato se expresa en nomenclatura hexadecimal (tal
y como lo indican los dos primeros caracteres de la cadena -Ox).
Para visualizar este dato, podemos invocar el comando show versin
desde el modo E X E C privilegiado del equipo. En cambio, para la
modificacin del presente registro (tarea que se tiene que efectuar
para la recuperacin de accesos), se usa el comando config-register
desde el modo de configuracin global.

Valor del registro


Nmero de bit
Valor en binario

15 14 13 12

0 0 10

11 10 9 8

7 6 5 4

3 2 10

000 1

0000

0 0 10

Figura 23. En el presente esquema se visualizan


los datos correspondientes al registro 0x2102.

Seal break: conocida como seal de interrupcin en la secuencia


de arranque de un dispositivo de red. Esta seal consiste en una
combinacin de teclas: CTRL+PAUSE emitida por el administrador.

ROM MONITOR: a esta seccin se le conoce como modo Rommon.


Nos permite la modificacin del registro de configuracin del
router. Para conseguir ingresar a este espacio, el usuario debe emitir
la seal break, donde podr cambiar el registro
de configuracin (de 0x2102 a 0 x 214 2) con solo

S E A L B R E A K ES

teclear la orden confreg 0x2142. Esto tiene como

UNA S E A L DE

finalidad omitir la lectura del fichero startupconfig ubicado en la NVRAM del equipo (donde se

IN T E R R U P C I N EN
LA S E C U E N C IA DE

almacena la clave).
Tengamos que cuenta que una vez abordados
los datos mencionados anteriormente, podemos

ARRANQUE

iniciar el proceso de recuperacin de acceso, tal


y como se describe en detalle en el Paso a paso
que mostramos a continuacin.

www.redusers.com

RO UTERS Y SW ITC H ES CISCO

85

PAP: PROCESO DE RECUPERACIN DE ACCESO


Encienda el router y espere a que cargue el IO S del dispositivo. Posteriormente,
0

inicie verificando el registro de configuracin del router con ayuda del comando
sh o w v e r s i n desde el modo de acceso EX EC usuario.

ROtt.

S yatem

Vb

io n

1 2 .1

3 *7 2 ,

REL2A5E

3 C F T r X R S

If u l I

Copyright. *e) 5000 by c in co Syit#tnnf Tnc

RCM: P2130Q SOltWtr* <PI1000~I-K)# VftrflOfl 12.2(20), KL*AS SOETOARS <125)


Svtttn rttuxntd to SOM by rtlotd
Cllm l a

3 y L fci l u t * v

" f l a s h .p tlO O O *i

n u i.1 2 2

2 0 .b ln M

y; 1J01 m o c i Q U b i procapor (revisin 0*230) with 046K/6120K byt#f ot ntrnory


P r c c f o r board ID PT9123 (0123)
P7200S p t o c 00oc:
i . u m b 0 , iii*k 01
R r ld ^ t r g

n fru a r*

2b sottvtra, Versin 3.0 0.

1 Low

spsed

a a ria l

a y ric / a s y n c )

r.o ti# o rk

i r . f c o r f a c e <a )

32K bvtai of n o n - v o l a t i l a c c n f i o u r i t o n icamory.

63409K bytfl of M k Cumpac


Flash <R*ii<VilLti)
Jorriaura-.ion x a c u ita r i 0x2102

Pout#r>An
Rou& t|ilod
ProoQ od

02

w ith

r c l o - d / [ a c n f ixxn]

Interrumpa la secuencia de arranque presionando C T R L+ PA U SE. Ahora, note que


el prompt ha cambiado al modo Rommon.

Vtsxjto0

Com f o

IO S CommofxJ Une fntorfsce

cop,

MM

www.redusers.com

86

03

2 .C O N FIG U RA CI N DE ROUTERS

Desde el modo Rommon, ingrese el comando c o n f r e g

0x2142. Lo anterior

hace posible pasar del registro 0x2102 al 0x2142. Prcticamente, esto ocasionar
que se ignore la lectura del fichero s t a r t u p - c o n f i g alojado en la NVRAM.

CU
IO S C o o w w d U n e Interface

W tn r . IM im U ft'Sr*TZ. U U U t (C TU XI M I

*r

Xoc

1f t i u *

t iia r iu w

< >

MI
IIIIIIIIM IIM N IH IIN M IIIIIIM M I

I m &M

,* M n tU f. *M M U
O KM fcy m i |W . Xa*
H IH i

T K 2 2M

r.fBU A

m t i M W 9 ' n C I4 ia i U t f

MI

M IH N IM

^ Ijhk

04

Una vez reiniciado el dispositivo, aparecer el dilogo de configuracin del


equipo. Coloque No, y posteriormente, verifique el registro de configuracin con
ayuda de show v e r s i n desde el modo de acceso E X E C usuario.

IO S Commaad U n ? Interface

wttia
C lM

x*

3 f> V t U I lr * M B b f T M M

r ::o c r m n

'rMif*:

iif

^ t 7v ; t

r l>M "30W

. - r e - u ) :

>7

n m mi
r .w

coan M n j * n r - : :* : :

*7

Cf

I n t

r.y

B o n n r. %

fn*

:J r n .

r .lM

xk r.w

c &

?asi:a S.S.t

- U'io**3 m i* . ip c it f t i
US tr-* s i **T3luU cafxfsxt*- m k ;;
** Ifia * M AXA r . n
t *.<

lame*
laNC*l

www.redusers.com

T t t i

fc J

arcar Krwi c

*23 n u nwiim

?rs>x* K

t t ?;y- t . a r - *-* ra

yU9&** u-Ji x-

7T 1X1 n s s i |SKKX >*


iioctKX m ;: S JT . ) iRSSi
1 ;i

c 5

-n 3000 ky c i* o i r . toe

fp M r*rwx3* : ve sor *7

ir n n i x n a

zfrrT

B H H Z 3

RO UTERS Y SW ITC H ES CISCO

05

87

Proceda a realizar la copia de toda la informacin almacenada en la NVRAM


a la memoria RAM del dispositivo. Posicinese en el modo de acceso EX EC

privilegiado y ejecute c o p y s t a r t u p - c o n f i g

r u n n in g - c o n f ig .

CtI
IOS Ccm m and U ne In te ifa c *

06

Ahora proceda a habilitar nuevas claves de acceso y configuracin de usuarios


(proteccin de modo EX EC , proteccin de lnea de consola, VTY y A U X ). Trate
de colocar passwords vlidos y de habilitarlos con la orden 1 o g i n.

Ptytact Confia

CU
!OS Cwnm and U ne In tc rfo c e

! MAfifAltUM

'ui imiifi

MYM-CUnCJ
( iM lln A flft M

!*

im u i

Im

I.

h i

wr.*o

Um

fr*

IM o .u atXUt

k7

r. Um

,u TV*

r * r r . ,xqcu
i w m * ir >
rrw n
llM *
i
- i

% rviu Iffv t

lU l

II

MikH

*.#_______________

. j Lf

www.redusers.com

88

07

2. C O N FIG U RA CI N DE ROUTERS

Una vez dada de alta la nueva configuracin de cuentas y accesos, entre al modo
de configuracin global e intente regresar al registro de configuracin 0x2102.
Introduzca el comando c o n f i g - r e g i s t e r

0x2102. Presione EN TER.

IOS Com m and U n e I n t e r f x e

m ( un
f f i n

in <

*.u arrv:

i m

'*4_______________

L M J

08

Finalmente, realice la copia de la informacin cargada en la RAM a la NVRAM del


dispositivo mediante el comando: c o p y

ru n n i n g - c o n fi g s t a r t u p - c o n f i g

Presione dos veces la tecla EN T ER. Y finalice introduciendo la orden r e oad .

*V*CJ

Confl

CU
D S Com m and U n e Interfa ce

1U V**.

h tr M l i f i r n i M

>.
t o f i eoi^i j lu .'.
toatasa

tfo-Kcin.:

.
;4f iu
** U I23

o b a U i

IM 4 U L 'I

raaarat2-f tu^-aern
W
>I W l

kU

rMAflMll

Pt*
_

www.redusers.com

B H H Z 3

RO UTERS Y SW ITC H ES CISCO

89

Cabe mencionar que pueden existir otras tcnicas muy similares


para el cambio del registro, sin embargo, la que se ha mostrado con
anterioridad es una de las ms utilizadas.

Manejo de interfaces
Existen diferentes tipos de interfaces en un

L A S I N T E R F A C E S MAS

router. Su funcin se centra en hacer posible la


comunicacin entre otros dispositivos de red.

CONOCIDAS SON

Por lo general, toda interfaz de uso comn en los

LA IN T ER F A Z

equipos CISCO debe ser configurada. Para ello es


necesario asignar inicialmente una direccin IP y

E T H E R N E T Y LA

una mscara de red vlida.

IN T ER F A Z S E R IA L

Los tipos de interfaces ms conocidas en el


mbito de las telecomunicaciones son: la interfaz

ethernet y la interfaz seria!. La primera se


representa por un puerto RJ-45 que maneja diferentes anchos de banda

(bandwidth) previamente definidos; en cambio, las interfaces seriales se


ven representadas como puertos en paralelo, que permiten la asignacin
de un ancho de banda y una velocidad de enlace definido (clockrate).
En el siguiente tema, ahondaremos en la descripcin de estas interfaces.

**
11

SLOT t

* a
a

LJI

vn

coario*nwo*ortf

rea

n
IIIfl
l

UN

te**

CiitoSftrkBi

JL21L

1A
OMQMZ

m r n C S X m

Figura 24. En esta imagen, se puede apreciar


la estructura fsica de las interfaces de un router.

www.redusers.com

90

USERS

2 . C O N F IG U R A C I N D E R O U T E R S

Interfaces ethernet
Las interfaces ethernet (RJ-45) son habitualmente identificadas con
un nombre distinto entre s y debidamente asociados con un ancho de
banda que oscila entre 10 hasta 1000 Mbps (1 Gbps), respectivamente.

TABLA 4: ANCHO DE BANDA DE LA INTERFAZ ETHERNET


IDENTIFICADOR DE INTERFAZ

T ANCHO DE BANDA

Ethernet

10 Mbps

FastEthernet

100 Mbps

GigaEthernet

1000 Mbps

lOGigaEthernet

10.000 Mbps

Tabla 4. Ancho de banda de la interfaz ethernet.


Toda interfaz ethernet de un dispositivo de red, adems de una IP
y una mscara de red, tiene asociada una secuencia de valores como
este: 0/0. El prim er dgito representa el nm ero de slot o puerto, el
cual perm ite la com unicacin (a travs de un medio de transm isin
o cable) de un equipo a otro. En tanto que el segundo valor hace
referencia a la interfaz empleada.
Por lo general, este rango de valores puede ir desde el 0 (cero) hasta

N. Donde N es el nmero total de puertos e interfaces que contiene


dicho dispositivo.
Para configurar una interfaz tipo ethernet, debemos em plear la
orden interface ethernet. Para conocer el proceso de configuracin de una
interfaz, analicem os el siguiente Paso a paso.

La tecnologa de banda ancha (broadband) permite que varias seales viajen en un solo cable al mismo
tiempo. Las tecnologas de banda ancha, como DSL -la lnea de suscriptor digital y el cable- funcionan
en modo Full dplex. Con conexiones DSL, los usuarios pueden incluso descargar datos en su compu
tadora y hablar por telfono de manera simultnea.

www.redusers.com

n n u n

RO UTERS Y SW ITC H ES CISCO

91

Debe acceder hasta el modo de configuracin global. Coloque el comando


0

in t e r fa c e

[tip o ]

[n m e r o ]. En seguida presione la tecla EN TER.

P r e s s R E T U R N t o g e t sta r t e d .

Router>enable
Routertconfigure terminal
Z n t e r c o n f i g u r a t i o n c o m m a n d , one p e r line.
R o u t e r ( c o n f i g ) # i n t e r f a c e e t h e r n e t 0/0
R o u t e r (conf i g - i f )#j

02

Znd wit h CNTL/Z.

Ahora, proceda a colocar la direccin IP asociada a la interfaz: i p a d d r e s s


[d ir e c c i n

IP ]

[m s c a r a d e

r e d ] . Finalmente presione la tecla ENTER.

Antes de colocar una direccin IP y una mscara de red, verifique su validez y rango.

Press R Z T U R N to get started.

Router>enafcie
Routersconfigure terminal
Z n t e r c o n f i g u r a c i n consaands, one p e r line.
Z n d w i t h CNTL/Z.
R o u t e r ( c o n f i g ) f i n t e r f a c e e t h e r n e t 0/0
Router(config-if)*ip address 192.163.0.23 255.255.255.0
R o u t e r (conf ig-if) ti

www.redusers.com

92

03

USERS

2 . C O N F IG U R A C I N D E R O U T E R S

Asigne una velocidad estndar para la interfaz ethernet (10 Mbps) y un modo
de transmisin dplex. Finalice con el comando no shutdown para salvar la
configuracin, pues de no colocar dicha orden, las interfaces configuradas no
estarn habilitadas. Presione la tecla ENTER.

Router>enable
Router?configure terminal
E n t e r c o n f i g u r a t i o n coirar.ands, o n e p e r
Router(config)?interface ethernet 0/0

line.

Znd with CNTL/Z

R o u t e r :c o n f i g - i f ) # i p a d d r e a a 1 9 2 . 1 6 8 . 0 . 2 3 2 5 5 . 2 5 5 . 2 S S .0
R o u t e r ( c o n f i g - i f ) * s p e e d 10
R o u t e r ( c o n f i g - i f ) f d u p l e x full
R o u t e r ( c o n f i g - i f )* d e 3 c r i p t i o n C O N F I G U R A C I O N D Z I N T Z R F A Z
R o u t e r ( c o n f i g - i f )*no shutdown

%LINK-5-CHANGZD:

Interface Zthernet0/0,

Ro uter (config-if)

t\

changed

atate to up

Debemos saber que el ancho de banda por default en una interfaz

ethernet es de 10 Mbps. Si en algn momento surge la necesidad


de aum entar la capacidad de transferencia, sugerimos sustituir el

identicador ethernet, por alguno de los otros identificadores


(referidos en la tabla inm ediata anterior). Si en algn momento
utilizam os Packet Tracer para m ontar nuestras topologas, podemos
darnos cuenta de lo sencillo que es entender el concepto de interfaces.
En el siguiente esquema, presentam os una topologa creada en el mismo
Packet Tracer, en la cual se representa el uso de las interfaces ethernet.

Se trata de un programa que nos permite crear la topologa fsica de la red simplemente arrastrando los
dispositivos al rea de trabajo. Luego ser necesario hacer clic en ellos para ingresar a sus consolas de
configuracin. Este programa soporta todos casi todos los comandos de los routers CISCO.

www.redusers.com

pn=sn

RO UTERS Y SW ITC H ES CISCO

1841
USERS01

Switch - PT
Coordinacin

Switch - PT - Empty
Edicin

PC-PT

PC-PT

CoordinacinOl

Coordinacin02

Port

Link

VLAN

IP Adress

MAC Address

EthernetO/1
Ethernetl/1
Vlanl

Up
Up
Down

1
1

<no set>

0060.471D.2D96
0004.9A12.AAE7
0001.6316.574B

Hostname: Switch
Physical Location: Intercity, Home City, Corporate Office, Mail Wiring Closet

Laptop - PT
EdicionOl

________ J
Figura 25. Vista de las interfaces de un router desde Packet Tracer.

Interfaces seriales
Como hemos mencionado, las interfaces seriales son otro tipo
de interfaces residentes comnmente en dispositivos de red como el
router. Los mdulos para la insercin de WIC (WAN Interface Card Tarjeta de interfaz WAN) de este tipo, por lo general, son ms grandes

www.redusers.com

94

USERS

2 . C O N F IG U R A C I N D E R O U T E R S

que los tradicionales ethernet y a m enudo se utilizan para establecer


enlaces entre routers. El proceso de configuracin de una interfaz de
tipo serial es prcticam ente el m ism o que se utiliza para configurar

interfaces ethernet.

Figura 26. En la imagen se muestra


la estructura fsica de una WIC s e r i a l .
Las interfaces seriales las podemos clasificar de acuerdo con
su funcin y uso. Norm alm ente existen dos clases de interfaces: la

DTE (D ata term inal equipm ent - Equipo term inal de datos) y la DCE
(D ata Com m unications equipm ent - Equipo de com unicacin de datos).
Esta ltim a se encarga de llevar el sincronism o de la com unicacin
(velocidad de enlace entre dispositivos, conocido como clock rate).
En cam bio el DTE funge solo como term inal de abonado.

INTERFAZSERIAL
El puerto serie RS-232C, presente en las computadoras actuales, es la forma ms comnmente usada
para realizar transmisiones de datos entre equipos. El RS-232C es un estndar que constituye la tercera
revisin de la antigua norma RS-232, propuesta por la EIA (Asociacin de Industrias Electrnicas); poste
riormente se realiza una versin internacional por parte del CCITT, conocida como V.24.

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

95

Las interfaces seriales perm iten efectuar la

LA S IN T E R F A C E S

conexin de un cable especial al equipo que


funciona como ruteador. Considerem os que estos

S E R IA L E S P E R M IT E N

medios de transm isin incluyen, por lo general,


un conector fsico hembra en un extremo y uno

QUE S E E F E C T E UNA

macho en el otro extremo.

C O N E X I N M E D I A N T E

En la imagen, claram ente se puede apreciar

UN C A B L E E S P E C I A L

la sintaxis del comando clock rate y bandwidth,


respectivam ente. El rango perm itido para clock
rate en un router es de 1200 (por m ltiplos de 2)

hasta los 4000000 bps. Mientras que para bandwidth se tienen en claro
los siguientes valores: 128 hasta 1544 Kbps.

R o u te r> e n a b le
R o u te rtfc o n fig
Enter

te rm in a l

c o n fig u ra tio n

commanda,

R o u te r(c o n fig )^ in te rfa c e


R o u te r(c o n fig -if)?ip

se ria l

address

R o u te r(c o n fig -if)*c lo c k

End w ith

CN TL/Z.

0/0
25 5.2 55 .255 .0

4000000
128

R o u t e r (c o n f ig - if ) # d e sc rip tio n

% L IN K - 5 - C H A N G E D :

lin e .

19 2.1 68 .0.22

rate

R o u t e r ( c o n f i g - i f ) # b a n d w id th
R o u t e r ( c o n f i g - i f ) #no

one p e r

E je m p lo

de

c o n fig u ra c i n

de

in te rfa z

3hutdow n

In te rfa c e

S e ria l0 /0 ,

changed

State

to

dow n

R o u t e r ( c o n f ig - if )*

Figura 27. Proceso para la configuracin de una i n t e r f a z s e r i a l .

ESPECIFICACIONES
Debemos saber que el conector normalmente empleado en los interfaces RS-232 es un conector DB-25,
aunque es normal que encontremos la versin de 9 pines DB-9 de forma ms difundida en la actualidad.
El estndar define que el conector hembra se situar en los DCE y el macho en el DTE. Consideremos que
es fcil encontrar excepciones y que tambin es frecuente que muchas interfaces solo incorporen parte
de los circuitos que se encuentran descritos en la especificacin.

www.redusers.com

96

USERS

2 . C O N F IG U R A C I N D E R O U T E R S

Las sub-interfaces
La sub-interface es una interfaz lgica que nos perm ite realizar
la utilizacin de varios enlaces troncales para el transporte de los
datos, lo que a su vez facilita la ejecucin de la com unicacin entre
redes (generalm ente se trata de VLAN, de las cuales se hablar en
detalle en el Captulo 3 de este libro).
Considerem os que tanto las interfaces ethernet, como las

interfaces seriales perm iten que se realice la creacin de subinterfaces. Estas generalm ente se asignan al final de la lnea de
com andos establecida para configurar una interfaz: interface ethernet
nmero-slots/nmeroJnterfaz.nmero_subinterfaz. Para su activacin se
debe ejecutar el com ando no shutdown.

Router>enable
Routerconfigure terminal
Z n t e r c o n f i g u r a t i o n coimnands, o n e p e r l i n e .
Znd wi t h CNTL/Z.
Router(config)^interface fastethernet 0/0.1
R o uter {config-subif) Jrencapsulation d o t l q 3
R o u t e r ( c o n f i g - s u b i f )# i p a d d r e s s 1 9 2 . 1 6 3 . 0 . 3 2 5 5 . 2 5 5 . 2 5 S .0
Router(config-aubif)#description PRUEBA DZ SUBINTZRFACZ ZTHZRNZT V LA N
R o u t e r ( c o n f i g - s u b i f ) e x i t
R o u t e r ( c o n f i g ) # i n t e r f a c e f a s t e t h e r n e t 0/0
Router (config-if)
3hutdovrn
t

%LINK-S-CHANGZD:

I n t e r f a c e F a s t Z t h e r n e t 0 / 0 , c h a n g e d State to up

%LINK-5-CHANGZD:

I n t e r f a c e F a 3 t Z t h e r n e t 0 / 0 .1,

changed State to up

R o u t e r ( c o n f i g - i f ) ?|

Figura 28. En la presente imagen se muestra el proceso


para la configuracin de una s u b - in te r fa z en una VLAN.

ENLACE TRONCAL
Es importante considerar que un enlace troncal es un enlace punto a punto, entre dos dispositivos de red,
que transporta ms de una VLAN. Un enlace troncal de VLAN le permite extender las VLAN a travs de
toda una red. Cisco admite IEEE 802.1Q para la coordinacin de enlaces troncales en interfaces Fast
Ethernet y Gigabit Ethernet.

www.redusers.com

R O U T E R S Y S W IT C H E S C IS C O

USEFiS

97

El comando no shutdown perm ite habilitar las

interfaces y sub-interfaces en los dispositivos

NO S H U T D O W N

CISCO, pues de no colocar dicho comando,

H A B IL IT A

nuestras interfaces perm anecern inactivas.


Recordem os que estas se hallan asociadas a
los puertos de nuestro dispositivo, por lo tanto,

IN T E R F A C E S Y SU BIN T E R F A C E S EN LOS

es im portante que estn bien configuradas.


En el Captulo 3 de este libro com enzarem os a

D I S P O S I T I V O S C IS C O

configurar las interfaces de los dispositivos de red


para hacer funcionar una topologa.

Sabemos que las funciones de un router y de un switch son totalmente diferentes, aunque la configu
racin de ambos es muy parecida entre s. La tarea de configuracin no es cosa del otro mundo, sin
embargo mantener un dispositivo de red bien configurado nos garantiza un trabajo ms slido y con
escalabilidad en el futuro. De esta forma, en el presente captulo, tuvimos la oportunidad de navegar por
la interfaz del IOS y darnos cuenta de lo sencillo que es configurar desde: tipos de acceso al usuario,
seguridad en los accesos, tipos de lnea de comando y manejo de interfaces. En el captulo siguiente nos
enfocaremos en la configuracin del switch CISCO.

www.redusers.com

98

2. CO N FIG U RA CI N DE ROUTERS

Actividades
TEST DE AUTOEVALUACIN
1

Cmo se consigue cambiar el nombre a un router?

Qu comando sirve para asignar una contrasea a la

Cul es el comando empleado para la configuracin de

Describa una forma vlida para recuperar el sistema cuando se ha extraviado

interfaz de consola?
banners en un router?

una contrasea.

Qu funcin cumple la NVRAM?

Cul es el comando que permite guardar la configuracin a la NVRAM?

Cmo se elimina el contenido de una NVRAM?

Mencione los tipos de

Cul es el comando para habilitar una interfaz creada?

10

interfaces que tiene un router.

Cul es la forma correcta de asignar la

velocidad de reloj a un router?

EJERCICIOS PRACTICOS
1

Intente cambiar el nombre a un router, sustituyendo el original por: USERSOl.

Configure dos sesiones de usuario con los siguientes datos:

username: CISCO,

password: cisco y username: USERS, password: users.


3

Despliegue en pantalla informacin sobre la

memoria flash de su equipo.

Recupere un acceso con la modificacin del

registro de configuracin.

interfaz ethernet a 100 Mbps, una interfaz serial 0/0 y una


sub-interfaz 0 0 1
D de alta una

/ ..

PROFESOR EN LINEA
Si tiene alguna consulta tcnica relacionada con el contenido, puede contactarse
con nuestros expertos: profesor@redusers.com

www.redusers.com

///////////////

Configuracin
de switches
En este captulo conoceremos los principios de configuracin
de un switch CISCO, adems de cmo crear e implementar
un conjunto de VLAN para mantener un mejor manejo del
dominio de broadcast en una topologa de red. Abordaremos
temas relevantes como configuracin de puertos e interfaces,
replicacin de switches mediante VTP y enrutamiento entre VLAN.

Configuracin inicial............100

Configuracin
de interfaces y sub-interfaces........ 124

VLAN con equipos CISCO....103

Replicacin con V T P .....................127

Implementacin V L A N ................. 106

Modos V T P ...................................128

Asignacin de puertos...................112

Configuracin de V T P ................... 130

Tipos de V L A N .............................115
Configuracin de VLAN

.............. 117

Resumen.............................133

Enlaces troncales..........................121
Enrutamiento entre V L A N ............ 123

71

71

Actividades......................... 134

ioo

pgggsa

3. C O N FIG U RA CI N DE SW ITCHES

Confiiguracin inicial
Hoy en da existe una gran variedad de switches CISCO
originalmente clasificados segn su aplicacin y uso, tales como:
switches de ncleo y distribucin, switches de acceso, switches
compactos, switches de agrupacin, etctera. Todos ellos con una
caracterstica tcnica en comn: incluyen una interfaz o sistema

operativo que nos permite configurarlos segn nuestras necesidades.

Figura 1. Los switches de agrupacin hacen posible


la integracin de banda ancha, movilidad y carrier ethernet.

Analizaremos un conjunto de rdenes que

LOS COMANDOS DE

permiten configurar un router CISCO, comenzando

CONFIGURACIN

con el dilogo de configuracin inicial y


pasando por comandos que van desde colocar un

IN IC IAL D EL SW ITCH

nombre de identificacin, hasta proteger tanto los

SON S IM IL A R E S

modos de acceso de usuario, como las lneas de


comando (consola, VTY y AUX).

AL ROUTER

Derivado de lo anterior, es importante saber


que para la configuracin inicial de un switch,
pueden emplearse los mismos comandos que se

utilizaron para configurar el router.

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

1
0
1

Switch>enable
Switch#configure
Znter

terminal

configuration

coxranand3,

one per

S w i t c h (c o n f i g ) # h o s t n a m e

SW-USZRS

SW-USZRS(config)jenable

secret

SW-USZRS(config)#line

consol

line.

Znd with

CNTL/Z.

Fa$$wOrd
0

SW-USZRS(config-line)#pas3word Pa$$w0rd01
SW-USZRS(config-line)Slogin
SW-USZRS(config-line)Sline

vty 0 4

SW-USZRS(config-line)#pa33word

Fa$$wQrd02

SW-USZRS(config-line)login
S W - U S Z R S ( c o n f i g - l i n e ) f ~Z
SW-SZRS#
%SYS-5-CONFIG_I: Configured

from consol

by

consol

SW-SERS*|

Figura 2. En la presente imagen, se muestra


el ejemplo de configuracin inicial de un switch CISCO.

Debemos saber, adems, que no todos los


dispositivos de red como el switch tienen la
propiedad de ser configurados. A este tipo de

NO T O D O S L O S
D IS P O S IT IV O S DE

equipo se le conoce con el nombre de switch

no administrable, esto quiere decir que no se


necesita instalar ningn software para su correcto

R ED T IE N E N LA
P O S IB IL ID A D DE S E R

funcionam iento. Y mucho menos tienen que


proceder a configurase.

C O N F IG U R A D O S

En este sentido, podemos m encionar la serie

100 de switches de la em presa CISCO, los cuales


son no adm inistrables, por lo tanto se presentan como un perfecto
ejem plo de este tipo de equipos.

Debemos saber que las redes de rea local se segmentan en varios dominios de broadcast y de colisin
ms pequeos mediante el uso de dispositivos de red como el router y el switch. Hace algunos aos, se
utilizaba otro tipo de equipo llamado puente (bridge), cuyo desempeo an era ineficiente y no tena un
control del dominio de broadcast en la red.

www.redusers.com

HHHZ23

3. C O N FIG U RA CI N DE SW ITCHES

Figura 3. Los s w i t c h e s no a d m i n i s t r a b l e s
no necesitan ser configurados para trabajar.

Una de las tareas ms comunes en switches CISCO es la creacin y


puesta en marcha de LAN Virtuales o VLAN. Su proceso de gestin
forma parte de la configuracin inicial en los switches. En el siguiente
tema, comenzaremos con la creacin e implementacin de VLAN.

Switch>enable
Switchfvlan database
% W a r n i n g : It 3 r e c c m m e n d e d t o c o n f i g u r e V L A N f r c m c o n f i g m o d e ,
as V L A N d a t a b a s e m c d e is b e i n g d e p r e c a t e d . P l e a s e c o n a u l t u s e r
d o c u a e n t a t i o n for c o n f i g u r i n g V T P / V L A N in c o n f i g mcde.
Switch(van)$vlan ?
<1-1005>
ISL VLAN ndex
S w i t c h ( v a n ) # v l a n 20 ame V E N T A S
V L A N 20 m o d i f i e d :
ame: VENTAS
S w i t c h (van)
t \

Figura 4 . La gestin de VLAN en un switch representa


uno de los procesos de configuracin inicial del switch.

www.redusers.com

RO UTERS Y SW ITC H ES CISCO

n n u n

103

VLAN con equipos CISCO


Para comprender el papel que tienen las VLAN en una red de equipos
de cmputo, es necesario definir en forma detallada sus funciones,
caractersticas, forma de esquematizacin
(topologa de red), modos de asignacin, sus
tipos y desde luego los modos de operacin.

UNA VLAN ES UNA

Comencemos con la definicin de VLAN: se

RED DE R E A

trata de una red de rea local que agrupa los


puertos de un switch de manera lgica, pues a

LOCAL QUE A G R U P A

travs de estos, se lleva a cabo la comunicacin

P U E R T O S DE

entre los usuarios conectados, los cuales tambin

M A N E R A LGICA

se agrupan con el fin de compartir archivos y


recursos de inters comn (departamentos,
sucursales corporativas).

Figura 5. En el mbito de las VLAN, los puertos fsicos


de un switch son configurados de manera lgica para funcionar.

Debemos saber que la comunicacin entre los diferentes equipos en


una red se encuentra en gran parte regida por la arquitectura fsica.
Actualmente, gracias a las redes virtuales (VLAN), es posible
liberarse de las limitaciones geogrficas de esta arquitectura, pues

www.redusers.com

HHHZ23

3. C O N FIG U RA CI N DE SW ITCHES

a menudo las VLAN se encargan de definir una segmentacin lgica


basada en el agrupamiento de equipos.

VLAN-VENTAS
Departamento

C '

de Ventas

PC-PT
VentasOl

1841
Router
VLAN-CYC
Departamento de
Crdito y Cobranza

i
'
N
* u*

%
I

PC-PT
Ventas02

2950-24
SwitchOl

~G

-------

VLAN-PROY
Departamento
de Proyectos

PC-PT
Ventas03

PC-PT
CrditoOl

I
2950-24
Switch02
PC-PT

2950-24
Swtch03

Crdito02

o
Laptop - PT
Pro02

1
__ .

PC-PT
Crdito03

Figura 6 . La tecnologa VLAN se encarga de agrupar


de manera lgica a los usuarios que comparten un inters comn.

www.redusers.com

nnun

RO UTERS Y SW ITC H ES CISCO

105

Las VLAN cumplen con el propsito principal

EN G E N E R A L , UNA

de aislar el trfico de colisiones y de broadcast


inmerso en la red. Una VLAN, generalmente,

VLAN A G R U P A

se encarga de efectuar la agrupacin de

DISPO SITIVO S EN

los dispositivos en un mismo dominio de

broadcast, con independencia de su ubicacin

UN DOMINIO DE

fsica en la red. Esto quiere decir que nos

BROADCAST

permiten dividir un dominio de broadcast en


dominios ms pequeos para conseguir un mejor
desempeo de la red.

Dominio de
BroadcastA

Dominio de
Broadcast B

1
y

PC-PT
PC01

PC-PT
PC02

/
Hub-PT
HubOl

2950-24

1841

Sw-01

Router

2950-24
Sw-02
^ ^

/
Hub-PT
Hub02

PC-PT
PC04

Figura 7. Una VLAN permite dividir el dominio


de broadcast en dominios de menor tamao.

Con la implementacin de VLAN en redes conmutadas se obtiene


un nivel de seguridad ms elevado, una segmentacin ms eficiente y
un alto grado de flexibilidad. Es por ello que muchos administradores
han considerado la creacin de redes virtuales en sus topologas.

www.redusers.com

106

3. CO N FIG U RA C I N DE SW ITC H ES

Implementacin VLAN
El funcionamiento e implementacin de las VLAN estn definidos por
un organismo internacional conocido como IEEE Computer Society y
el documento en donde se detalla es el IEEE 802.1Q.
En el estndar 802.1Q se define que para llevar a cabo la
comunicacin en una red local, se requerir desde luego de la
participacin de un router dentro de la misma red de trabajo, el cual
debe ser capaz de entender e interpretar los formatos de los paquetes
que conforman las VLAN, con el nico fin de recibir y dirigir el trfico
hacia el destino correspondiente.
Es evidente que no estamos exentos del uso

NO ESTAMOS

de otros dispositivos de red a parte del switch.

EXENTO S D EL USO DE

Pues muchas topologas incorporan un enrutador


para ilustrar la comunicacin de las VLAN. Este

OTROS DISPOSITIVOS

dispositivo, generalmente, cumple adems

DE RED, AD EM S

con la funcin de gateway (puerta de enlace


predeterminada), que se encarga de la unin y

D EL SWITCH

comunicacin de dos o ms VLAN del entorno.


El principio de implementacin de VLAN se

realiza sobre la base de los siguientes pasos:


Crear en primera instancia una VLAN o ms; ms adelante, en el tema

configuracin de VLAN, conoceremos los detalles para tal efecto.


Asignar nuestras VLAN creadas a los puertos del switch (incluso
trunk). Ms adelante, en el tema Asignacin de puertos,
conoceremos ms detalles sobre esta operacin.
Mostrar las VLAN creadas, con el fin de verificar que todo est bien
configurado y que pueda funcionar correctamente.
Guardar la configuracin a la NVRAM de nuestro equipo.
Proceder a configurar un enlace troncal para recibir y enviar el
brodcast entre los distintos switches.
Despus de esto, seguramente ser necesario configurar salidas a
otras redes (router-gateway) y de esta forma es importante considerar
el uso del mtodo de replicacin (VTP) de VLAN.
En el siguiente Paso a paso vamos a explicar cmo implementar una
VLAN en el mbito de las redes CISCO. Para ello, vamos a basarnos en
la topologa expuesta en el primer paso:

www.redusers.com

107

RO UTERS Y SW ITC H ES CISCO

PAP: IMPLEMENTACIN COMPLETA DE UNA VLAN

01

Dada la siguiente topologa, comience a identificar cada uno de los elementos:


ubique el SwitchOl, el Switch02, las PC de Estudiantes y las PC de Docentes
(identificadas como ES T y DOC, respectivamente). Note que cada switch
representa la planta de un edificio. Tambin preste atencin a los datos sealados
en la parte inferior de la topologa.

G&k
l

1
s .
jL JN B S

V,

PC -PT
EST01

PC-PT
ESTV3

&
1

PC-PT
EST02

PC-PT
2950-24

2950-24

SwitchOl

Switch02

Laptop - PT

ESTV4

Laptop - PT
DQC04

DOCOl

Laptop - PT
DQC02
VLAN 90: Prederminada
VLAN 100: Administracin
VLAN 10: Estudiantes
VLAN 20: Docentes

faO/23
faO/l-lO
fa0/ll-20

192.168.100.0/24
192.168.10.0/24
192.168.20.0/24

www.redusers.com

108

02

3. C O N FIG U RA C I N DE SW ITC H ES

Verifique el mapa de V L A N a las que se encuentra sujeto el Sw itchO l con el


comando sh o w v a n desde el modo de acceso EX EC privilegiado. Note que
existe la VLAN por default o nativa, la cual se identifica con el no. 1.

Svit s h ^ o a e T ^ ^
S v i t z h t s h o v vlar.
VXJkN a m a

Status

2orta

active

rao/l,
TaO/S.

dfeTault

FaD/2,
FaO/,

FaO/3,
TaO/?,

Fa0/4
FaO/S

? a 0 / 9, * a D / 1 0 , F a O / 1 1 , I a 0 / 1 2
FaC/13, F a O / 1 4 , FaO/15, FaD/lC
S*aG/l 1 F a / 1 3 , F a 0 / 1 9 , F a 0 / 5 0
Fa0/21,
10 0 2

dli-d e f a u l t
1003 tcVon-ring-dofsul *
1004 rcoi n e r - l e r a a i t
1 C O G t m e t -d e f a u l t

03

FaO/22,

FaO/23,

FaO/24

act/unsup
act/unsup
azt/unsup
ast/unaup

VLAN lype

SAID

TU

fcarerx Rir.gwo B n c g e N c

stp

enet
i
1 0 0 2 rocll
1C 0 3 t r

lODOCl

0
0
0

0
0
C

LG04 cnet 1 0 10C4


1C 0 5 t m t 1 0 1 0 C 5

1S00
1500

1010C3

1500
1500
1500

ieee
lbn

0
0

0
0

1 0 1 0 02

BrdgMDde

irsnsl lrans

Ahora proceda a crear un par de V L A N . Utilice el Sw itch O l. Coloque un nmero


vlido de identificacin (ID _ V L A N ) y un nombre a cada V L A N . Por ejemplo: ID _
V L A V : 10 con el nombre "Estudiantes" para la primera V LA N .

Switch>enable
Switch#configure terninal
E n t e r c o n f i g u r a c i n coxnnands, one p e r l i n e .
End with CNTL/Z.
S w i t c h ( c o n f i g ) t v l a n 10
Switch(config-vlan)#name Estudiantes
S w i t c h ( c o n f i g - v i a n ) v l a n 20
S w i t c h (conf ig-vian.' r.sme D o c e n t e s
Switch(config-vlan)#exit
Switch(config)#exit
Switch#
*SYS-5-CONFIG_I: Configured fren consol b y consol
Switch*

www.redusers.com

IW d d Z

RO UTERS Y SW ITC H ES CISCO

04

109

Ahora asigne las V L A N antes creadas a los puertos del switch que desea delimitar
para efectos de comunicacin. Para ello determine el rango de 1 a 10 para la
V L A N 10 y del puerto 11 al 20 para la V L A N 20.

S w i t c h ;c o n f i g - v l a n ) i n a c e D o c e n t e s
S w i t c h :c o n f i g - v a n ) e x i t
Switch(config)fsxit
Switch?
%SYS-5-CONFIG_I: Configured from consol b y consol
Switch configure terminal
E n t e r c o n f i g u r a t i o n c o m a n d s , e n e p e r line.
Znd w i t h CNTL/Z.
S w i t c h !c o n f i g ) i n t e r f a c e r a n g e f a s t e t h e r n e t 0 / 1 - 1 0
S w i t c h (conf i g - i f - r a n g a ) I s w i t c h p o r t m o d e a c c e s s
S w i t c h ( c o n f i g - i f - r a n g e ) # s v i t c h p o r t a c c e s s v a n 10
S w i t c h <c o n f i g - i f - r a n g e ) e x i t
S w i t c h 'c o n f i g ) i n t e r f a c e r a n g e f a s t e t h e r n e t 0 / 1 1 - 2 0
S w i t c h ( c o n f i g - i f - r a n g e )i s w i t c h p o r t rode a c c e s s
S w i t c h ( c o n f i g - i f - r a n g e ) i s w i t c h p o r t a c c e s s v a n 20
Switch(conig-if-range)lexit
Switch(config)exit
Switcht
%SYS-5-CONFIG_I: Configured fren consol by consol

05

Muestre ahora las configuraciones creadas con el comando show v i an. Note que
se han creado tanto la V L A N 10 (Estudiantes), como la V L A N 20 (Docentes) y han
sido asignadas a los puertos correspondientes (datos de la derecha).

/ L A N liase

Status

l
10

d o f a u l t:
Estudiantes

a c tive

20

Decentes

active

VLAN Type

F a 0/51.

1002 r c d i - d e r a u t
1003 z c ken rin g default
1004 f d d i n e t - d e a u l t
1005 txneu-teraulL

PDrts
Fa0/22,

FaO/23,

F-0/J4

Fa0/1,
Fa0/5,

Fa0/2, FaO/3, F a O / 4
FaD/, F a O / 7 , F a o / e
Fa0/9, F a 3 / 1 0
F a 0 / l l , F a o / 1 2 , * a o / i 3 . r a o / 14
F a 0 / 1 * , Fa0/1 , F a D / 1 7 , F e O / l G
Fa0/19. Fa0 / 2 0

aCw/UH3Up
acc,unsup
act/unsup
act/unsup

SAID

MTU

Parent

2inoNd BridceNo Stp

or.oc

1000G1

15CO

10
20
1005

er.ee
er.et,
fddi

103010
103020
1010C2

1SOO
1500
1500

1003 z z
101003
1 0 0 4 fdnec, 1 0 1 0 0 4
More |

ISOO
1500

BrdcMode Trans 7rans2

0
0
0

0
0
0

0
0

0
0

icee

www.redusers.com

110

06

3. C O N FIG U RA C I N DE SW ITC H ES

Guarde la configuracin previa en la NVRAM de su equipo. Posteriormente proceda


a replicar el proceso antes descrito en el Switch02 de la topologa. Este proceso lo
puede hacer manualmente o a travs del mtodo de replicacin VTP.

VLAN Type

SID

MTU

Earer.t Rir.gNo s r i d c e N o

ODOCI
103010
10D020

1S00
1500
1SC0

1010C2
iz
101003
reina t 1 0 1 0 0 4

1S00
1500
1SC0

t
10
20

eren
er.ee

LC02
1C03
-C04

fe5di

cr.ot

1G05 t z n z z

1010C5

srp

BrdcHoe

Trar.sl l r a n s

0
0
0

0
0
0
0
0
0
G

iooc -

0
0
0

ibn

1S00

2 erro r e S P X K V L N q

Prunary Seccniary type

Pcrts

Svitchfcopy runrin<j-confia sz^rzxi


s v i t s n s c o p y ninring-coiirig star-up-sor.rig
3 c 3tin tio r. f il c n s n c

[ s t a r ^ u p - c o r .f i j ] ;

Buildina ccnfiguration.
10KJ

gh#|

07

Una vez replicada dicha informacin en ambos switches, basta con configurar un

enlace troncal entre ambos. Aplique un modo trunk, en vez de un modo de acceso.
Puede hacer uso del puerto 24 y direccionarla a la V L A N nativa.

Switch>enable
Switch#configure terminal
E n t e r c o n i g u r a t i o n cocsnands, o n e p e r line.
End wit h CNTL/Z.
S w i t c h ( c o n f i g ) # i n t r f a c f a t t h e r n t 0/24
S w i t c h (c o n f i g - i f ) s a w i t c h p o r t m e d e t r u n k
S w i t c h <c o n f i g - i f ) s w i t c h p o r t t r u n k n a t i v e v a n 90
Switch(config-if)rexit
Switch(config)exit
Switch#
%SYS-5-COHFIC_I: Configurad from consol by consol

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

08

1
1
1

Pro ced a, ahora, a visualizar la inform acin del en lace troncal efectuado. P a r a ello,
desde el modo de acceso

EXEC privilegiado, ejecu te la orden s h o w i n t e r f a c e

t r u n k ms E N T E R . Note que ha sido asignado al puerto 24 la V L A N n ativa con


identificador 90 y un tipo de encapsulado 8 0 2 .lq .

Switch>enable
Switchish interface
Port
Mcde
FaO/24

on

Pcrt
FaO/24

Vlans

Pcrt
FaO/24

Vlans

Port
FaO/24

Vlans

trunk
Encapsulation
802.lq

Status

Native van

trunking

90

allowed on trunk

1-100S
allowed and active

in ir^nagement d c m a i n

1,10,20,90
in spanning

tree forwarding state

and not pruned

1 , 1 0 , 2 0 , 90|

Switch#

09

Fin alm en te, proceda a ve rifica r el funcionam iento de la topologa. P a r a ello haga
ping sobre el equipo origen y posteriorm ente sobre el equipo destino. S i todo es
correcto, en el re a de estado del escenario, los

ping deben ser exitosos.

SWITCHES AMIGABLES
Es interesante tener en cuenta que existe una lnea de switches amigables con el medio ambiente, los
cuales se encuentran especialmente diseados para la PyME aunque ya se encuentran a disposicin de
todos. Y es que la compaa ZyXEC Comunnications anunci a principios del ao 2013 su nueva lnea
de switches no administrables (serie E S I 100) equipados con la funcin denominada IEEE 802.3az

Energy Efficient Ethernet (EEE), para un uso eficiente de la energa.

www.redusers.com

USERS

1
1
2

3 . C O N F IG U R A C I N D E S W IT C H E S

Conform e avancem os en el captulo, seremos capaces de interpretar


muchos de los comandos y de las acciones efectuados en el Paso

a paso anterior. Tam bin ms adelante, en el tema replicacin


VTP, vam os a conocer la manera de sim plificar autom ticam ente
la configuracin de un switch para evitar repetir lo mismo por cada
dispositivo conectado a la red de datos.

Asignacin de puertos
En el mbito de las redes CISCO, todos los dispositivos finales (host)
que tienen a bien conectarse a una red de datos, lo hacen com nm ente
a travs de un puerto fsico hacia un conmutador. Como se ha
m encionado con anterioridad, los puertos de este ltim o dispositivo
deben estar configurados de manera lgica para que funcionen. De tal
modo que las VLAN se pueden asociar de forma
sencilla a cada uno de los puertos del switch,

EXISTEN T RE S

aunque para ello deben tomarse en consideracin

MODOS DE

los diferentes m odos de asignacin existentes:

asignacin esttica, asignacin dinm ica y

ASIGNACIN:
ESTTICA, DINMICA

asignacin de voz.
La diferencia entre estos tres modos de
asignacin consiste bsicam ente en la forma

Y DE VOZ

de configurar los puertos de un switch para


conseguir la com unicacin. En el prim er caso, el
adm inistrador se encarga de asignar los puertos
deseados de manera manual, delegando al switch la tarea de m anejar
el trfico que circula por cada puerto dentro de la VLAN asociada.
Las VLAN estticas se configuran por medio de la utilizacin de
la CLI del IOS o con la aplicacin de adm inistracin de GUI. Una vez
configuradas las VLAN, se deben asignar m anualm ente a cada uno

LABORATORIOS VIRTUALES EN INTERNET


A travs de la siguiente pgina de internet: www.redescisco.net encontraremos un interesante bosquejo
dedicado a las redes CISCO en particular. Pues adems de abundantes recursos Online, podremos dis
frutar de un laboratorio virtual totalmente gratis, mediante el cual configurar equipos reales a distancia.

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

113

de los puertos del switch. De antemano, siempre es recom endable la


utilizacin de la CLI para realizar cualquier tipo de configuracin, ya
que de esta form a obtendrem os un m ayor aprendizaje de los comandos
que nos ofrece el IOS de CISCO.

Figura 8 . Los puertos de un switch pueden ser configurados para admitir


VLA N e s t t i c a s

o d in m ic a s .

En cambio, el m odo de asignacin dinm ica se basa en la

MAC a d d ress del dispositivo conectado a cualquiera de los puertos


del switch. Este tipo de asignacin (autom tica) es a menudo muy
em pleado por los adm inistradores de redes, debido a su flexibilidad
y escalabilidad. Aunque muchos otros consideran este modo de
asignacin un tanto inseguro debido a la clonacin m asiva de
direcciones MAC. Pero finalm ente nosotros seremos los mejores jueces
a la hora de la configuracin de una red.

CUIDADO CON LAS COLISIONES


Una colisin en ethernet es el resultado de dos nodos que transmiten de forma simultnea un conjunto
de tramas (informacin lgica que se enva a travs de un medio de transmisin) como una unidad de
capa de enlace de datos a travs de cada uno de los dispositivos.

www.redusers.com

114

USERS

3 . C O N F IG U R A C I N D E S W IT C H E S

Para la asignacin dinm ica, se em plean

PARA E F E C T U A R

herram ientas de software para su configuracin

LA ASIGNACIN

(Enterasys NetSight, CiscoWorks).


Derivado de lo anterior, debemos saber que

DINMICA

durante la configuracin de VLAN, podemos

SE UTILIZAN

asignar tantos puertos fsicos (a travs de


interfaces lgicas) como sean necesarios a una

APLI CACI ONES

nica VLAN. Cuando este sea el caso, podemos


recu rrir al siguiente comando: interface range [tipo

de interfaz] 0/1-10. Despus de esta accin notemos


que el prom pt cam bia a (config-if-range)#. El nmero 0/1-10 indica el
rango de interfaces (puertos) de 1 a 10.

Switch>enable
Switchfconfigure
Znter

terminal

conf i g u ration c o m a n d a , one per

Switch(config)Sinterface

fa3tethernet

Switch(config-if)fcswitchport mode
S w i t c h ( c o n f i g - i f )# s w i t c h p o r t

line.

End with

CNTL./Z.

0/10

acce33

acce33

van

20

from consol

by

S w i t c h ( c o n f i g - i f )$ e n d
Switch#
%SYS-5-CONFIG_I: Configured

consol

Figura 9. En esta imagen se lustra


la configuracin inicial de una VLAN e s t t ic a .

UNA GRAN PEQUEA DIFERENCIA


Una de las principales diferencias de sobrecarga de identificacin (en bytes) entre ISL e IEEE 802.1Q en
una VLAN es que para la primera se aaden 30 bytes a cada trama, mientras que IEEE 802.1Q solo se
encarga de aadir 4. Lo anterior implica que en el caso de utilizar ISL la trama puede superar los 1518
bytes que representa el lmite de ethernet.

www.redusers.com

pn=sn

RO UTERS Y SW ITC H ES CISCO

Por ltimo, el modo de asignacin por voz es utilizado en mbitos


de telefona IP, del cual no vamos a ahondar en este libro.
-2

XarrmtA f wjimrw

. - o a

jf<

>-e --

*} i+Go irj*

CiacoWorks

. J B urna i

Figura 1 0 . C is c o W o r k s es una herramienta


auxiliar para la configuracin de VLAN d in m ic a s .

Tipos de VLAN
No debemos confundir los modos de asignacin de puertos para
VLAN (que generalmente se conocen como VLAN estticas y VLAN

dinmicas, respectivamente), con los tipos de VLAN existentes.


Los tipos de VLAN reconocidos por CISCO son:

VLAN de datos: se trata de una VLAN configurada para enviar solo


trfico de datos generado por el usuario. A menudo es tambin
denominada VLAN de usuario.

VLAN predeterminada: es la VLAN primaria de un switch, a


menudo identificada como VLAN1. Todos los puertos del switch
se convierten en un miembro de la VLAN predeterminada luego
del arranque inicial del dispositivo, por lo que forman parte de un
mismo dominio de broadcast. Otra manera de referirse a la VLAN
predeterminada es aquella que el administrador haya definido como
la VLAN a la que se asignan todos los puertos cuando no estn en
uso. Este tipo de VLAN no puede ser eliminada.

www.redusers.com

116

pgggsa

3. C O N FIG U RA C I N DE SW ITCHES

VLAN 10

VLAN 99
172.17.99.254

Switch - PT
Coordinacin

VLAN 30
172.17.30.2

VLAN 99
VLAN 10

172.17.99.252

172.17.30.1 VLAN 100

PC - PT
PC03

Tel IP PC03

VLAN DE DATOS

Tel IP PC06

PC06

VLAN NATIVA
VLAN 97 - Nativa

VLAN 10 -VENTAS - Sin etiqueta


IP: 172.17.10.X
M.R:255.255.255.0

VLAN PREDERMINADA
VLAN 98 - Prederminada

VLAN 20 - CRDITO Y COBRANZA - Sin etiqueta


IP: 172.17.20.X

VLAN ADMINISTRACIN
VLAN 99 -Administracin

M.R:255.255.255.0

IP: 172.17.99.X
M.R:255.255.255.0

VLAN 30 - PROYECTOS - Sin etiqueta


IP: 172.17.30.X
M.R:255.255.255.0

VLAN DE VOZ
VLAN 100 -Voz -Tagged
IP: 172.17.100.X
M.R:255.255.255.0

Figura 1 1 . Topologa que ilustra la configuracin de los t i p o s d e VLAN.

www.redusers.com

RO UTERS Y SW ITC H ES CISCO

lU d ib i

117

VLAN nativa: este tipo de VLAN se encuentra asignada a un puerto


de enlace troncal 802.1Q, el cual, por lo general, admite tanto
el trfico que llega de varias redes virtuales (trfico etiquetado)
como tambin el trfico que llega desde una LAN tradicional (trfico

no etiquetado). El puerto de enlace troncal 802.1Qse encarga de


colocar el trfico no etiquetado en la VLAN nativa.

VLAN de administracin: es cualquier VLAN que puede ser


configurada para acceder a las capacidades de administracin
de un switch. La VLAN1 servira como VLAN de administracin
si no se define una VLAN nica para que funcione como VLAN de
administracin. Aunque se sabe que no es una buena idea concebir
la VLAN1 como VLAN de administracin.
La VLAN de administracin debe ser configurada asignando una

direccin IP y una mscara de red. A menudo es identificada como


VLAN 99 por los administradores de redes.

Configuracin de VLAN
Con fines prcticos, en este captulo nos enfocaremos en la correcta
configuracin de las redes virtuales estticas, para lo cual es
necesario que retomemos en detalle algunos
conceptos citados con anterioridad.
Consideremos que para comenzar con el diseo
de VLAN, inicialmente, debemos estar ubicados

PA R A CO RRO BO RAR
EL EFECTO DE CADA

en la configuracin global del switch que se desea


configurar. Para efectuar dicha tarea, emplearemos
los siguientes comandos: van nmero_vlan y ame

CONFIGURACIN,
D E B E M O S U SA R E L

nombre_vlan, los cuales debern estar precedidos

de un ENTER, respectivamente. Recordemos,

COMANDO SH O W

adems, que para corroborar el efecto de cada


configuracin, podemos hacer uso del comando
show. As, debemos tener en cuenta que en este caso emplearemos la

orden: show van.


La tarea de diseo de una VLAN tambin se puede llevar a cabo
mediante el modo de configuracin de VLAN (van database). En el
siguiente Paso a paso se muestra el proceso de configuracin de una
VLAN desde el modo de configuracin global.

www.redusers.com

118

3. C O N FIG U RA C I N DE SW ITC H ES

PAP: PROCESO DE CONFIGURACION DE VLAN


Entre al modo de configuracin global. Una vez hecho esto, inicie creando la

01

V L A N con el comando v a n . Coloque un nmero vlido (estndar de 1 a 1005).

Switch>enable
Switchfconfigure terminal
E n t e r c a n f i g u r a t i o n coranands, o n e p e r line.
Switch(config)fvlan ?
< 1 - 1 0 0 S > I S L V L A N IDi 1 - 1 0 0 5
S w i t c h ( c o n f i g ) f v l a n 10

E n d w i t h CNTL / Z .

Switcl^config-vlan^^^^^^^^^^^^^^^^^^^^^^

02

Ahora proceda a colocar un nombre de identificacin a la V L A N previamente


creada. Para ello, haga uso del comando ame [nombre], tal y como se muestra en
la figura. Finalice con la orden e x i t .

Switch>enable
Swrtch#conigure terminal
E n t e r c o n f i g u r a t i o n conananda, one p e r line.
Switch(config)Svlan ?
<1-1005>
I S L V L A N IDs 1 - 1 0 0 5
S w i t c h (c o n f i g ) $ v l a n 10
S w i t c h ( c o n f i g - v l a n ) t a m e V E N T A S
Swi t c h ( c o n f i g - v l a n ) $exit
S w i t c h ( c o n f i g )t

www.redusers.com

End with CNTL/Z.

BHHZ3

RO UTERS Y SW ITC H ES CISCO

03

119

Una vez creada la V L A N , debe asignar a sta los puertos necesarios para la
comunicacin. Coloque el nmero de interfaz que desea configurar para la V LA N
y el modo de enlace seguido del nmero de V L A N a configurar.

Switch>enable
Switchtconfigura terminal
I n t e r c o n f i g u r a c i n coxrer.and3, e n e p e r line.
Snd wit h CNTL/Z.
Switch(config)#vlan ?
< 1 - I O O S > I S L V L A N IDs 1 - 1 0 0 5
S w i t c h (conf ig) Jivlan 10
Switch(config-van)fn&me VENTAS
Switch(config-vlan)exit
S w i t c h ( c o n f i g ) # i n t e r f a c e f a s t e t h e r n e t 0/1
S w i t c h ( c o n f i g - i f )# s w i t c h p o r t siode a c c e s s
S w i t c h (c o n f i g - i f )$ 3 w i t c h p o r t a c c e s s v a n 10
Switch(config-if)*exit
Switch(config)$*xit
Switch#
*SYS-5-CONFIG_I: Ccnfigured fren consol b y consol
Switch*

04

Proceda a comprobar la configuracin previamente realizada con la ayuda del


comando sh o w v i an.Tom e en consideracin que, para esto, debe estar situado
en el modo de acceso EX EC privilegiado.

5virzn>enat>le
3 v i r z h # s h D v vlar.
'/LAN liare

default

10
VEN TAS
1 0 C 2 f ddi. " d e a u l t1 0 0 3 tc V o n - r in g - d o fiu lt

5tatU3

Parts

active

Fa0/2. FaD/3, F a C / 4 . Fa3/


Fa0/, F a D / 7 , F a 0 / 3 , F a D / 2
F a O / l D , F a O / 11, F a D / 1 2 , T z 0 / i S
F a 0 / 1 4 . FaO/15. FaO/16. FaO/lT
FaO/13, Fa0/19. F a D / 2 0 r FaO/21
F a 0/22, F a 0 / 2 3 r I a D / 2 4

active

FaO/1

a c ^ /u n a u p

act;i:naup
a c z ,unBup

1004 fcdi.iet-eault
10 e s % X Q e & * * d s f i u l t

a c ^ /u n a u p

/L A N

Type

S A ID

MTU

Parent R m g N o

eret

1000C1

1500

10

er.et

1 0 D 010

1500

10C 2

fedi

1010C2

1S C O

1SO O

1003

zr

1010C3

BndceNa

tp

B r d c M o l e Trar.sl r a n s i

www.redusers.com

120

HHHZ23

3. C O N FIG U RA C I N DE SW ITCHES

En este repositorio van database, se almacenan

E L REPO SITO RIO

todas las VLAN creadas en los dispositivos CISCO.

VLAN D A TABA SE

A travs de dicho medio, el administrador puede


incluso realizar configuraciones bsicas para

ALM ACENALAS

efectos de replicacin y sincronizacin de

VLAN C R EA D A S EN

datos, como veremos ms adelante en el tema

replicacin con VTP.

D ISPO SITIVO S CISCO

Derivado del Paso a paso anterior, debemos


saber que el modo de acceso (switchport mode access)
es a menudo utilizado para indicar que se trata de

un puerto donde se conectarn los host y no otros switches. En cambio,


la orden switchport access van es la que est asociada a la interfaz.
Para poder eliminar una VLAN no deseada o creada por error, existen
dos formas: una de ellas consiste en utilizar la orden no van nmero_vlan
(ejecutada desde el modo de configuracin global) o bien borrando el
fichero vlan.dat desde la memoria flash del equipo.
Switch>enable
Switch$configure terminal
E n t e r con f i g u r a t i o n commands, one p e r line.
End w i t h CNTL/Z.
S w i t c h <c o n f i g ) tn o v a n 10
S w i t c h (c o n f i g ) te x i t
Switch#
%SYS-5-C0NFIG_I: Configured fron consol by consol
Switch$show van
VLAN ame

Status

Ports

default

actxve

F a 0/2, F a O / 3 , F a O / 4 , F a O / S
FaO/6, F a O / 7 , F a O / 8 , F a O / 9
Fa0/ 1 0 , F a 0 / l l , F a 0 / 1 2 , F a O / 1 3
FaO/ 1 4 , F a O / l S , F a 0 / 1 6 , F a O / 1 7
FaO/ 1 3 , F a 0 / 1 9 , F a 0 / 2 0 , F a 0 / 2 1
F a O / 2 2 , F a Q / 2 3 r Fa0/24

1002
1003
1004
1005

fddi-default
tolcen-ring-default
fddinet-default
trnet-default

act/unsup
act/unsup
act/unsup
act/unsup

Figura 12. En la presente imagen se muestra


el proceso de eliminacin de una VLAN.

Cada vez que realicemos alguna configuracin, recomendamos


guardarla en la NVRAM de nuestro equipo. Recordemos que para tal
efecto, debemos emplear el comando: copy running-config srtatup-config,
desde el modo de acceso EXEC privilegiado.

www.redusers.com

pn=sn

RO UTERS Y SW ITC H ES CISCO

Enlaces troncales
Otro trmino que debemos tomar en cuenta a la hora de trabajar con
VLAN es: enlace troncal.
Los enlaces troncales son tambin conocidos como trunk. Se trata
de enlaces capaces de transportar el trfico de ms de una VLAN, lo
cual es posible gracias a la interaccin entre switches.
Al activar un puerto como troncal, por defecto todas las VLAN pasan
por l a travs de un nico enlace fsico.
Interfaces troncales
VLAN1 -VLAN100 -VLAN200 -VLAN300
VLAN 300
MXICO

ARGENTINA

2950-24

2950-24

SI

S2

Laptop - PT

VLAN 200

s A
l

Laptop - PT

PC - PT

PC05

PC06

VLAN 100

Laptop - PT
PC11
_____________________________________________________________________________________________________________________________y

Figura 13. En esta imagen se muestra


la topologa de un enl ace tro n c a l.
A menudo las redes CISCO permiten utilizar enlaces trunk en
puertos Fastethernet, Gigaethernet y agregaciones channel.
Los trunk, por lo general, trabajan con un conjunto de tramas

www.redusers.com

122

ESSS

3. C O N FIG U RA C I N DE SW ITCHES

entrantes, las cuales son identificadas como VLAN-ID. Lo anterior se


hace con el fin de poder diferenciar el trfico de cada una de las VLAN.
Para identificar el trfico de un trunk, existen dos posibilidades de
etiquetado basado en protocolos: el modo trunk ISL (Inter-Switch Link
Protocol) y el modo trunk IEEE-802.1Q (siendo este el ms utilizado
en redes modernas).
Para la configuracin de enlaces troncales, en puertos de acceso de

capa 2 de un switch CISCO, deben emplearse un conjunto de rdenes


especiales. El primer comando que introduzcamos solicitar la eleccin
de un tipo de encapsulado vlido (ISL o Dotlq). Derivado de lo anterior,
debemos saber que por defecto los switches del m o d e l o 2 9 5 0 ya tienen
integrado por default el encapsulado 802.1Q, mientras que para los
switches del m o d e l o 2900, habr que especificar la etiqueta ISL y Dotl q.
awitch>enable
Switch?configure terminal
Inter conf i g u r a t i o n ccmmands, one pe r line.
End w i t h CNTL/Z.
S w i t c h ( c o n f i g ) f i n t e r f a c e f a s t e t h e r n e t 0/1
Switch(config-if)switchport mode trunk
S w i t c h c o n f i g - i f ) # s w i t c h p o r t t r u n k n a t i v e v a n 10
S w i t c h c o n f i g - i f )# 3 w i t c h p o r t t r u n k a l l o w e d v a n 10-20
Switch(config-if)tswitchport mode dynamic desirable
S w i t c h (c o n f i g - i f )? e x i t
Switch config)*exit
Switch?
%SYS-5-CONFIG_I: Configured from consol by consol
S w i t c h * a h o w i n t e r f a c e f a s t e t h e r n e t 0/1 s w i t c h p o r t
a m e : Fa0/1
Switchport: Snabled
A d m l n i s t r a t i v e Mode: dyn amic desirable
Operational Mode: down
Administrative Trunking Encapsulation: dotlq
Operational Trunking Encapsulation: dotlq
N e g o t i a t i c n of Trunking: On
A c c e s s M o d e V L A N : 1 (d e f a u l t )
T r u n k i n g N a t i v e M o d e V L A N : 10 (Inactive)
Vai.se VL.-J'. a s s e _________________________________________________________________________________

Figura 14. En esta imagen se muestra


la configuracin de un enl ace tro n c a l.
Debemos saber que la orden switchport trunk native van solo tiene que
utilizarse con el etiquetado Dotlq, lo cual nos indica que se trata de
una V L A N nativa. Mientras que el comando switchport trunk allowev van
se usa para aadir o borrar VLAN del trunk.
No olvidemos que para mostrar los datos previamente ingresados
podemos utilizar el comando show, tal y como se expresa a
continuacin: show interface [tipo] [nmero] switchport (trunk).

www.redusers.com

RO UTERS Y SW ITC H ES CISCO

Enrutamiento entre VLAN


Se llama enrutamiento entre VLAN o nter VLAN routing al
proceso de asignacin de rangos de IP a una red virtual, con el fin de
que las computadoras que estn dentro de dicha VLAN puedan tanto
comunicarse entre s, como con el resto de las VLAN configuradas.
Recordemos que cada VLAN es un dominio de broadcast nico.

RouterOl
FO/1: 172.16.10.1/24
FO/1: 172.16.10.1/24
RoutrOl

SwOl
FO/11: VLAN 10
FO/15: VLAN 20
FO/1

F0/0

FO/21

FO/22

Sw02
FO/10: VLAN 10
Sw03
FO/21: VLAN 10
FO/22: VLAN 20

Trunk

Sw03
F0/20

Trunk

Trunk

FO/11
SwOl
_

.
1

VLAN 10

VLAN 10

VLAN 10

VENTAS

VENTAS

VENTAS

172.16.10.21

172.16.20.21

172.16.10.22

Figura 1 5 . En esta imagen se muestra una infraestructura VLAN lista para


efectuar el proceso de enrutamiento.

Para llevar a cabo la configuracin de enrutamiento entre VLAN,


debemos contar con la implementacin de una infraestructura de

www.redusers.com

124

USERS

3 . C O N F IG U R A C I N D E S W IT C H E S

VLAN creadas y un router, pues a menudo los usuarios necesitarn


intercam biar inform acin de una red a otra.
Para lograr la com unicacin entre PC de una VLAN a otra,
necesitam os tener un esquema de direccionam iento IP. Para esto
se recurre a la declaracin de interfaces y sub-interfaces. Una vez
declaradas, debemos configurarlas con un rango de IP vlido. Ms
adelante, en el tema indicado, m ostrarem os la form a de configurarlas.

Conguracin
de interfaces y sub-interfaces
El enrutam iento tradicional requiere de routers que tengan

interfaces fsicas m ltiples para facilitar el enrutam iento entre


VLAN. Por tanto, el router realiza el enrutam iento al conectar cada
una de sus interfaces fsicas a una VLAN nica.
Adems, cada interfaz est configurada con una

EL E N R U T A M I E N T O

direccin IP para la subred asociada con la VLAN

T RA D I C I O N A L

conectada a sta. Al configurar las direcciones

IP en las interfaces fsicas, los dispositivos de

REQUIERE ROUTERS

red conectados a cada una de las VLAN pueden

CON I N T E R F A C E S

com unicarse con el router. En esta configuracin


los dispositivos de red pueden u tilizar el router

FSICAS M L T I P L E S

como un gateway para acceder a los equipos


conectados a las otras VLAN.
Como ya se explic en el captulo anterior,

la configuracin de las sub-interfaces de un router es muy sim ilar


a la configuracin de las interfaces fsicas, excepto por que las subinterfaces deben ser asignadas a una VLAN o red virtu al con el nico
fin de establecer la com unicacin entre ellas y con redes del exterior.

Gracias a la tecnologa EtherChannel, los dispositivos de red CISCO nos permiten realizar un agregado
de enlaces con el nico fin de aumentar el ancho de banda disponible. Esta agregacin de puertos en
equipos CISCO se puede realizar con las interfaces Fastethernet, Gigaethernet o 10 GigaEthernet.

www.redusers.com

BHHZ3

RO UTERS Y SW ITC H ES CISCO

125

Quiz esta sea una poderosa razn para utilizar y configurar un router
en el mbito de las redes virtuales.
*

P t v p * *

rA!OT*i W

CoW

~T
a

UKPNl

U omIu ionI*
^

V^uMUm Un* <w,


lidmMjrf
*

<*VnturitoHov

nk*

0W

M N HcmMI

<M

________________________

+ tomolfeMot*vmtflf? *v0
4

- .

*>!1(10

Figura 16. Los dispositivos de red pueden usar el router


como gateway para acceder a otros dispositivos de la red.
Aqu hay un punto a considerar de suma
importancia, una cosa es configurar interfaces y

H A B IT U A L M E N T E

sub-interfaces en un router, y otra muy distinta

ELENRUTADO RSE

sobre switches. Es habitual que en el enrutador se


configuren para dar paso a otras redes con VLAN
creadas. Y en el switch (interfaces nicamente),

CO N FIGURA PARA
DAR PASO A R E D E S

para la asignacin de puertos.


La sintaxis para la sub-interfaz es siempre la

CON VLAN C REA D A S

interfaz fsica, en este caso ethernet 0/0, seguida de


un punto y un nmero de sub-interfaz.
El nmero de la sub-interfaz es configurable, pero generalmente est
asociado para reflejar el nmero de VLAN.
Antes de asignar una direccin IP a una sub-interfaz, es necesario
configurarla para que funcione en una VLAN. Esta tarea se consigue
mediante el comando encapsulation dotlq [ID_vlan].
En el ejemplo, la sub-interfaz ethernet 0/0.3 est asignada a la V L A N 3 .
Una vez hecho esto, emplearemos la orden ip address [direccin IP
[mscara de red] para asignar la direccin IP adecuada.

www.redusers.com

126

HHHZ23

3. C O N FIG U RA C I N DE SW ITCHES

Al momento de estar trabajando con sub-interfaces, no olvidemos


que debemos habilitar la interfaz principal con el comando no shutdown.
De este modo, todas las sub-interfaces quedarn activas. Pues de lo
contrario tanto interfaces como sub-interfaces quedarn inhabilitadas.

R01>enable
ROltconfigure terminal
n t e r c c n f i g u r a t i o n comxrtands, o n e p e r l i n e .
End w i t h CNTL/Z.
R O I ( c o n f i g ) # i n t e r f a c e fastethernet 0/0.1
R O I config-subif)^encapsulation dotlq 1 native
R O I ( c o n f i g - s u b i f )* i p a d d r e s s 1 9 2 . 1 6 8 . 1 . 1 2 5 5 . 2 5 5 . 2 S 5 .0
R O I <c o n f i g - s u b i f ) s e x i t
ROI{config)#interface faO/O
ROI(config-if)fno 3hutdovn
{

ROI(config-if
%LINK-5-CHANGED:

Interface FastEthernetO/O,

%LINK-5-CHANGED:

I n t e r f a c e F a s t E t h e r n e t O / O .1, c h a n g e d S t a t e t o u p

changed State to up

R01_{ c o n f i g - i f) #|

Figura 1 7 . En la presente imagen se aprecia la configuracin


de la s u b - i n t e r f a z para una VLAN n a t i v a .
Debemos saber que el nmero de la sub-

ES RECOM ENDABLE

interfaz (en este caso el nmero 1 en faO/O.l)

HACER COINCIDIR E L

solo es significativo a nivel local y no necesita


coincidir con el ID de la VLAN. Aunque en

ID DE VLAN CON LA

cuestin de mejores prcticas, se recomienda

S U B IN T E R F A Z QUE

que hagamos coincidir el ID de VLAN con su subinterfaz correspondiente. Tambin tomemos en

CORRESPONDE

consideracin que se necesitar una sub-interfaz


para cada VLAN que deseemos establecer.
Tengamos presente que la direccin IP

especificada en la configuracin de sub-interfaces ser la direccin IP


de la puerta de enlace predeterminada para esa VLAN / subred. Pues
no olvidemos que las sub-interfaces nos permiten ampliar el router
para asignar ms VLAN que las permitidas por las interfaces fsicas. El
enrutamiento entre VLAN en grandes entornos con muchas VLAN puede
alojarse mejor si se usa una interfaz fsica nica con sub-interfaces.

www.redusers.com

127

RO UTERS Y SW ITC H ES CISCO

Replicacin con VTP


Seguramente, en ms de una ocasin, como administradores
de redes quiz nos hemos preguntado existe alguna forma que me
permita simplificar el proceso de configuracin de VLAN en una red
de datos? Sin duda la pregunta tiene mucho sentido desde el punto
de vista del esfuerzo que conlleva tener que repetir la configuracin
realizada una y otra vez, hasta completar los dispositivos que nos han
sido encomendados.

1841
Router

N
PC-PT
PC01
Server

e
I

2950-24
SwitchO

Sincronizacin
Recopilacin
con VTP

v-S

PC-PT
PC02

r*v-~
<
a
I
2950-24
Switch 1

PC-PT
PC03

PC-PT
PC5

Figura 1 8 . La tcnica de r e p l i c a c i n co n VTP


reduce la necesidad de configuracin manual de la red.

desde luego que existe una alternativa para simplificar y

sincronizar dicho trabajo, se trata de VTP ( VLAN Trunking Protocol),

www.redusers.com

128

USERS

3 . C O N F IG U R A C I N D E S W IT C H E S

el cual es definido como un protocolo de m ensajes (diseado para


equipos CISCO) usado com nm ente para configurar y adm inistrar
VLAN en equipos CISCO. Este perm ite centralizar la adm inistracin en
un dom inio de VLAN, sim plificando as la necesidad de configurar la
misma VLAN en el resto de los switches conectados a la red, sobre todo
si se trata de redes m uy grandes. De ah que muchos adm inistradores
han adoptado la palabra replicar, haciendo referencia originalm ente a
la idea de realizar una copia autom tica de la configuracin establecida
en un solo switch y distribuirla para el resto de los equipos. A menudo,
esta tcnica se conoce como replicacin con VTP.
La replicacin de configuraciones en
VLAN se hace gracias a un proceso llamado

REPLICAR HACE

sincronizacin. Este es definido como una

R E F EREN C I A

solucin m ediante la cual todos los switches


aprenden la nueva configuracin, que im plica

A C O P I A R LA

conocer desde los IDs hasta los nombres de

CONFIGURACI N

VLAN. A menudo el switch principal (el que se va


a configurar para la em isin de m ensajes al resto

DE UN SWI TCH

de los switches) enva m ensajes de datos a otros


switches (secundarios) que conllevan el proceso
de rplica de la inform acin. Tanto los swtches

prim arios como secundarios tienen definido un M odo de operacin

VTP segn el rol que desem pean en la VLAN.

Modos VTP
Debemos considerar que un switch, dentro de un dom inio VTP,
puede tom ar uno de tres roles diferentes, los cuales m encionarem os
y detallarem os a continuacin:

PRUNING: EL METODO DE RECORTE


En forma predeterminada, las lneas trunk que han sido creadas transportan el trfico de todas las VLAN
existentes. Pues se sabe que algn trfico innecesario podra inundar los enlaces ocasionando la prdida
de efectividad. El pruning VTP es un mtodo que impide que las actualizaciones de VTP se reenven a
todos los puertos correspondientes al enlace troncal.

www.redusers.com

RO UTERS Y SW ITC H ES CISCO

Modo servidor (server): este se encarga de crear y mantener una


base de datos de todas las VLAN dadas de alta en la red y de replicar
toda esa informacin al resto de los switches. Por defecto un switch
est definido en modo servidor.

Modo cliente (client): es importante considerar que los switches


que han sido configurados en modo cliente mantienen toda la
informacin de VLAN gracias a los mensajes que son enviados
desde los switches servidores. Por lo regular, los switches cliente no
pueden hacer ninguna modificacin en las VLAN.

Modo transparente (transparent): tengamos en cuenta que los


switches configurados en modo transparente son capaces de
reenviar los avisos VTP aunque no correspondan ni a la versin

(versin O, 1, 2 y 3, siendo la versin 1 y 2 las configuradas


en forma predeterminada) que tiene el switch configurado ni al

dominio en el que est incluido este switch en modo transparente.


La informacin VLAN en los switches que trabajen en este modo
solo se puede modificar de manera local.

7
Modo Servidor

Modo Cliente

Modo Transparente

Figura 19. Topologa en la que se ilustran


los roles que puede tomar un switch en un d o m i n i o

VTP.

www.redusers.com

130

BSHZS

3. CO N FIG U RA C I N DE SW ITC H ES

Configuracin de VTP
Para llevar a cabo esta tarea, debemos considerar la versin de VTP
con la que deseamos trabajar, el modo de operacin y un nombre de

dominio VTP vlido. En caso de ser necesario, configuraremos una


contrasea de acceso.
Recordemos que si deseamos conocer

PARA O B T E N E R

informacin con respecto a algn comando

INFORMACIN S O B R E

podemos recurrir al signo de interrogacin de


ayuda (?). Para este caso, podemos usar la orden

ALGN COMANDO

que mencionamos a continuacin: vtp ?, debemos

UTILIZAMOS E L

tener en cuenta que esta orden se encargar de


mostrarnos algunas opciones de configuracin

S IG N O ?

importantes. Se trata de opciones que son


comnmente empleadas para efectuar la gestin
de VTP. Para que dicha orden surta efecto, vale
recordar que debemos situarnos en el modo de configuracin VLAN con
la ayuda del comando denominado van database.

Switch>enable
Switchfvlan database
% W a r n i n g : It is r e c o m m e n d e d t o c o n f i g u r e V L A N f r o m c o n f i g m o d e ,
as V L A N d a t a b a s e m o d e i s b e i n g d e p r e c a t e d . P l e a s e c o n s u l t u s e r
d o c u m e n t a t i o n for c o n f i g u r i n g V T P / V L A N in c o n f i g mode.
Switch(van) vtp ?
Client
Set the d e v i c e to c l i e n t mode.
domain
Set the ame of the V T P administrative dcmain.
password
Set the p a s s w o r d for the V T P a d m i n i s t r a t i v e dcmain.
server
Set the d e v i c e to s e r v e r mode.
transparent
Set the d e v i c e to t r a n s p a r e n t mode.
v2-mode
Set the a d m i n i s t r a t i v e d c m a i n to V2 mode.
S w i t c h ( v a n ) # v t p __________________________________________________________________
t

Figura 20. Con la orden vtp ? podemos visualizar


una lista de opciones de configuracin VTP.

En el siguiente Paso a paso, veremos en forma detallada el


procedimiento que debemos realizar para configurar VTP en un switch
CISCO en modo servidor.

www.redusers.com

RO UTERS Y SW ITC H ES CISCO

BHHZ3

131

PAP: CONFIGURACION VTP EN SWITCHES CISCO

01

Entre al modo E X E C privilegiado del switch. Luego ingrese al modo de


configuracin de V L A N con la ayuda del comando v i an d a t a b a s e . En seguida
presione la tecla EN T ER para iniciar la configuracin.

Switch>enable
Switchtvlan database
% W a r n i n g : It is r e c o i m e n d e d to c o n f i g u r e V L A N f r o m c o n f i g mode,
as V L A N d a t a b a s e m o d e is b e i n g d e p r e c a t e d . P l e a s e c o n s u l t u s e r
d c c u s e n t a t i o n f o r ccn.f i g u r i n g V T P / V L A N i n c o n f i g mcde.
S w i t c h ( v a n )t

02

Una vez dentro del modo de configuracin VLAN, habilite la versin con la que
desea trabajar. En este caso la versin 2; presione la tecla EN TER.

Switch>enable
Switch#van database
% W a r n i n g : I t i s r e c o m m e n d e d t e c o n f i g u r e V L A N f r o m c o n f i g mcde,
as V L A N d a t a b a s e m o d e is b e i n g d e p r e c a t e d . P l e a s e c o n s u l t u s e r
d o c u m e n t a t i o n for c o n f i g u r i n g V T P / V L A N i n c o n f i g mode.
Switch(van)Jvtp v2-mode
V2 mode enabled.
S w i t c h (van) t\

www.redusers.com

132

03

3. C O N FIG U RA C I N DE SW ITC H ES

Ahora proceda a habilitar el switch como servidor o server. Ingrese el comando v t p


s e r v e r y posteriormente presione la tecla EN T ER.Tal como se ha mencionado, el
switch est previamente configurado en modo server.

Switch>enable
Switch#vlan database
% W a r n i n g : It is r e c c m m e n d e d t o c o n f i g u r e V L A N f r o m c o n f i g mode,
as V L A N d a t a b a s e m o d e is b e i n g d e p r e c a t e d . P l e a s e c o n s u l t u s e r
d o c u m e n t a t i o n f o r c o n f i g u r i n g V T P / V L A N i n c o n f i g mode.
S w i t c h (v a n ) # v t p v 2 - m o d e
V2 mcde enabled.
Switch(van)#vtp server
Device mode already VTP S ERVES.
w i t c h ( v l a n ) |

04

Proceda ahora a colocar un nombre vlido al dominio VTP. Para esto ingrese el
comando: v t p

d o m a in [nombre del dominio V T P ], tal y como se aprecia en la

imagen. Despus presione la tecla EN TER. Y finalice con la orden e x i t .

Switch>anabla
Switchvlan database
% W a r n i n g : It is r e consnen.ded t o c o n f i g u r e V L A N f r o m c o n f i g mode,
as V L A N d a t a b a s e m o d e is b e i n g d e p r e c a t e d . P l e a s e c o n s u l t u s e r
d o c u m e n t a t i o n f o r c o n f i g u r i n g V T P / V L A N i n c o n f i g mode.
S w i t c h ( v a n ) tv t p v 2 - m o d e
V 2 m o d e ena b l e d .
Switch(van)#vtp server
I>evice m o d e a l r e a d y V T P S E R V I R .
Switch(van)*vtp d o m a m USERS
Chang i n g V T P d o m a i n ama fro m NUL L to USERS
Switch(van)Sexit
APPLY ccmpleted.
E x i t i n g . ...
Switch*

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

05

133

P a r a ve rifica r que todo se ha llevado a cabo de m anera satisfacto ria, puede colocar
el com ando s h o w

v tp

s t a t u s y posteriorm ente E N T E R . P a r a h acer alguna

m odificacin, basta con ingresar nuevam ente los com andos m encionados.

Switch>enable
Switch*show vtp status
VTP Versin
2
Configuration Revisin
0
Maxiaur. V L A N s s u p p o r t e d l o c a l l y
2SS
Number of exiating VLANs
S
VTP Operating Mode
Server
VTP Domain ame
USERS
VTP Pruning Mode
Disabled
V T P V2 M o d e
Enabled
V T P T r a p a Ser.eraticn
Disabled
O x Z B 0 x A 3 0x34 O x F I O x Z C 0 x 1 9 0 x 0 7 0x0
MDS digest
C o n f i g u r a t i o n l a 3 t m o d i f i e d b y 0 0 . 0 . 0 at 3 - 1 - 9 3 0 4 : 2 3 : 5 9
L o c a l u p d a t e r I D is 0 . 0 . 0 . 0 <no v a l i d i n t e r f a c e found)
Switch#

Al igual que para la configuracin de VLAN, existe un modo distinto


al antes citado para llevar a cabo una operacin con VTP. Es necesario
situarnos en configuracin global, y teclear los comandos para
configurar la versin, el modo de operacin y el nombre del dom inio
VTP. Debemos destacar que para configurar un switch en modo cliente,
debemos seguir el mismo procedim iento, ya sea desde la base de

datos de VLAN o desde el modo de configuracin global.

RESUMEN
Sin duda alguna, el rendimiento de una red representa un factor predominante en la productividad de una
organizacin. Por ello se han realizado importantes avances en la tecnologa y se ha previsto un conjunto
de mtodos que contribuyen al excelente rendimiento de una red. Uno de estos aportes son las VLAN,
las cuales fueron objeto de estudio del presente captulo. A travs de este, pudimos conocer desde la
forma de crearlas, hasta de implementarlas, el modo de operar con ellas y de dotarlas de un conjunto de
interesantes funcionalidades. En captulos posteriores nos introduciremos en el tema del enrutamiento.

www.redusers.com

134

U d k i

3- C O N FIG U RA C I N DE SW ITCHES

Actividades
TEST DE AUTOEVALUACIN_____________________
1

Defina el trmino VLAN.

Cul es el propsito principal de crear una VLAN?

Cules son los modos de asignacin de puertos para una VLAN?

Mencione dos herramientas de software para la configurar VLAN dinmicas.

Cules son los tipos de VLAN que describe CISCO?

Cul es el comando para asignar una sub-interfaz a una VLAN?

En qu consiste el mtodo VLAN

Mencione los modos de operacin VTP existentes en un switch CISCO.

Qu comando me permite configurar un switch en modo cliente?

10

Trunking Protocol?

A qu se denomina VTP pruning?

EJERCICIOS PRCTICOS_________________________
1

Disee dos VLAN con los siguientes datos: ID_VLAN:

12 y 15, respectivamente.

NOMBRE: Estudiantes y Docentes, respectivamente.

Configure un enlace troncal para FaO/1 de un switch con un etiquetado dotlq.

Trace una topologa que ilustre los modos VTP y configure uno de los switches
en modo server, otro en modo client y el ltimo en modo transparent.

Configure el nombre de dominio de un switch cuyo nombre sea: IPN.

PROFESOR EN LINEA
Si tiene alguna consulta tcnica relacionada con el contenido, puede contactarse
con nuestros expertos: profesor@redusers.com

www.redusers.com

///////////////

Enrutamiento
En este captulo conoceremos el funcionamiento y la
importancia del proceso de enrutamiento dentro del mbito
de las redes CISCO. Veremos la configuracin y asignacin
de rutas tanto de forma dinmica como esttica en un router.
Haremos tambin un recorrido por los protocolos OSPF, EIGRP
y BGP para la optimizacin del encaminamiento de informacin
residente en las tablas de ruteo de un dispositivo de red.

Introduccin

Configuracin bsica de O SPF ... ...157

al enrutamiento................... 136

Introduccin a E I G R P ..
Configuracin bsica de E IG R P ..

lf.3

Enrutamiento esttico......... 138


Configuracin de rutas estticas... .138

Protocolo BG P.................. lftS


Configuracin bsica de B G P .....

...159

1M>

Protocolos de enrutamiento.. 146


t

Resumen........................... ..lf>9

Enrutamiento dinmico....... 147


Protocolo de informacin de ruteo. 148
Introduccin a O S P F ................... 153

Actividades.......................

170

HHHZ23

4
. ENRUTAM IENTO

Introduccin al enrutamiento
El enrutamiento es definido como un servicio que nos ofrece
prcticamente cualquier router o enrutador de red. Este servicio
consiste en una estructura lgica de rutas que establecen el
encaminamiento de la informacin emitida en las redes de datos.
O bien, lo podemos definir simplemente como un proceso realizado
por el router para enviar paquetes a la red de destino.
El repositorio donde se almacena toda informacin se llama tabla

de ruteo. Consiste en un espacio del cual se vale el router para


determinar los puertos de salida que debe utilizar para retransmitir
un paquete hasta su destino.

Figura 1. Para arrojar las tablas de ruteo desde nuestra


PC, basta con introducir el comando router p rin t desde la CLI.
Si deseamos conocer la estructura de una tabla de ruteo, podemos
hacer una sencilla prueba desde nuestro equipo de cmputo domstico
(que se encuentre correctamente conectado a la red). Para ello tenemos
que abrir el smbolo del sistema de Microsoft Windows (CLI) y
ejecutar la orden: route print. Notemos que se han desplegado una
serie de datos, entre los que encontramos: direcciones IP de origen y
destino, mscaras de red, mtricas, etctera.

www.redusers.com

pn=sn

RO UTERS Y SW ITC H ES CISCO

Debemos tener en cuenta que los routers a menudo aprenden


todo sobre las redes remotas mediante el uso de rutas estticas y
tambin protocolos de enrutamiento dinmico. Consideremos que
se trata de dos modos de configuracin o tipos de enrutamiento a los
cuales generalmente recurre el administrador de redes para efectuar la
correcta gestin de la comunicacin entre los diferentes dispositivos
que se encuentran presentes en una red segmentada.
La configuracin del enrutamiento esttico consiste en una
asignacin manual de rutas. En cambio, el enrutamiento dinmico
consiste en un proceso de configuracin de rutas capaz de emplear
uno o ms protocolos (por ejemplo OSPF, EIGRP, BGP, etctera)
para efectos de comunicacin. Ms adelante, en el tema denominado

Enrutamiento esttico y enrutamiento dinmico, respectivamente,


analizaremos las caractersticas, la representacin y la forma de
configuracin de las rutas estticas y dinmicas.

Determinacin de la mejor ruta


Envo de paquetes

Recepcin
de paquetes

Figura 2. El enrutamiento es un proceso realizado


por el router para el envo de paquetes hacia un destino.

www.redusers.com

138

lU d ik i

4
. ENRUTAM IENTO

Enrutamiento esttico
Las rutas estticas son habitualmente definidas por el
administrador de redes corporativas y prcticamente muy empleadas
en redes de conexin nica (portadoras de una sola ruta de entrada y
de salida). Por lo que de dicho modo se evita la sobrecarga de trfico
que generan los protocolos de enrutamiento. Debemos saber, adems,
que este tipo de asignacin de rutas nos permite definir de manera
manual nuestras propias tablas de ruteo.
Muchos administradores, hoy en da, siguen apostando por la
configuracin de rutas estticas. La razn de ello quiz sea: la

seguridad, la optimizacin de recursos adicionales para la


configuracin, su economa y su facilidad de diagnstico, aunque
no son la mejor opcin a la hora de trabajar con un esquema topolgico
ms complejo. Recordemos que entre ms amplia sea nuestra red,
mayor ser el coste en tiempos de su implementacin.

Red 10.1.1.0/24

Figura 3. El enrutamiento e st tic o


es por lo general utilizado en redes de pequea envergadura.

Configuracin de rutas estticas


La configuracin de rutas estticas se presenta como un proceso
muy sencillo de realizar; para ello solo debemos partir de una red bien
configurada, mediante la cual ser posible efectuar la comunicacin
entre los equipos de diferentes redes.
Antes de describir el proceso de enrutamiento esttico,
imaginemos por un momento que se tienen cuatro routers conectados
en forma de anillo, los cuales representan una red diferente cada uno.

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

139

Ahora de lo que se trata es de que los cuatro puedan com unicase entre
s, cm o podemos hacer posible esta com unicacin?
La respuesta est en elegir algn tipo de enrutam iento vlido (tal
como la configuracin de rutas estticas), pues sin este es evidente
que existe la posibilidad de com unicacin entre routers adyacentes,
pero jam s entre routers de extremo a extremo.
Para ilu strar la explicacin anterior, analicem os la siguiente
topologa realizada en Packet Tracer, la cual nos servir de gua para
com enzar con el proceso de asignacin de rutas estticas. Esto con el
nico fin de conseguir la convivencia entre los diferentes dispositivos
de red sin im portar la ubicacin en la que se encuentren.

192.

1841
R3

Figura 4. Topologa de cuatro routers lista para


efectuar el proceso de configuracin de ru ta s e s t t ic a s .

ORIENTACION GEOGRAFICA
Cualquier red local tiene una posicin geogrfica inequvoca. De esta manera cada punto de origen ge
nera una direccin y distancia hasta el punto de destino. Cada enrutador como parte de la red sabe su
posicin geogrfica y conoce los canales a travs de los cuales tiene que enrutar hasta el prximo nodo
regional o continental, segn las distancias.

www.redusers.com

HHHZ23

4
. ENRUTAM IENTO

Antes de dar inicio, tenemos que considerar, siempre, el tipo y la

clase de interfaz que estamos utilizando. Hasta ahora sabemos que


un router puede tener tanto interfaces de tipo serial como ethernet,
pues recordemos que las primeras por lo regular tienen dos clases de
conexin: DCE y DTE, las cuales han sido descritas desde el Captulo
1 de este libro. Aunque con fines prcticos, vamos a retomar este
principio para dejar en claro que todo router debe incluir por lo menos
una interfaz capaz de llevar la sincronizacin del reloj (clock rate).
No obstante, los administradores son libres de poder elegir a cul de
ambas interfaces ser asignado dicho clock y a cul no.
Si por alguna razn, necesitamos saber cul es la interfaz encargada
de sincronizacin del equipo, recurramos al comando show controllers
ejecutado desde el modo de acceso EXEC privilegiado.
Inter:;:-

. 1 fSllmmm

iH a r d w a r e is Pov r e r Q U I C C M P C 8 6 0
D C E V . 35, c l o c k r a t e 4 0 0 0 0 0 0
i d b at 0 x 3 1 0 8 1 A C 4 , d r i v e r d a c a a t r u c t u r e at 0 x 8 1 0 8 4 A C 0
SCC Regi3ters:
G e n e r a l [ G S M R ] = 0 x 2 : 0 x 0 0 0 0 0 0 0 0 , P r o t o c o l - 3 p e c i f i c [P S M R ] = 0 x 3
venta [SCCZ]=0x0000, M a s k [SCCM]=0x0000, Status [SCCS]=0x00
T r a n s m i t on Dem a n d [TODR]=OxO, Data Sync [DSR]=0x7Z7
Interrupt Registers:
Config [CICR]=0x00367F80, Pending [CIPR]=0x0000C000
Mask
[CIMR]=0x00200000, I n - s r v
[CISR]= 0 x 00000000
Cocmand register [CR]=0xS80
Port A [PADIR]=0x1030, [PAPAR]=0xFFFF
[ P A O D R ] = 0 x 0 0 1 0 , [P A D A T ]= 0 x C B F F
P o r t 3 [ P 3 D I R ] = 0 x 0 9 C 0 F , [F B F A R ] = 0 x 0 3 0 0 1
[ P 3 0 D R ] = 0 x 0 0 0 0 0 , [P B D A T ] = 0 x 3 F F F D
Port C [PCDIR]=0x00C, [PCPAR]=0x200
[PCSO]=0xC20,
[P C D A T ]= 0 x D F 2 , [ P C I N T ] = 0 x 0 0 F
Receive Ring
r m d (3012830)^: s t a t u s 9 0 0 0 l e n a t h 6 0 C a d d r e s s 3 B 6 D A C 4

Figura 5. Para verificar la clase de in te rfa z que posee


un router basta con utilizar el comando show co n tro llers.
El proceso de configuracin de rutas estticas se hace con la ayuda
de la orden ip route, el cual es a menudo muy sencillo de utilizar.
Gracias a esta, es posible referir las rutas por las que deseamos enviar
los paquetes de informacin hacia un equipo destino.
La sintaxis de dicho comando es: ip route [IP red] [mscara de red]
[interfaz de salida/IP del siguiente salto]. Aunque actualmente podemos

utilizar parmetros adicionales en el comando para dotar de mayor

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

141

versatilidad dicha configuracin (parmetro distancia adm inistrativa y


permanente, respectivamente). Para que esta orden surta efecto, debemos
estar posicionados en el modo de configuracin global de nuestro
router. En el siguiente Paso a paso comenzamos con la descripcin
detallada del proceso de configuracin de rutas estticas:

PAP: PROCESO DE CONFIGURACIN DE RUTAS ESTTICAS

En primera instancia, ser necesario que ingrese al modo de configuracin global


del primer router a configurar (identificado como R1 en la topologa).
Posteriormente, coloque la orden i p ro u te y en seguida la direccin de la
primera red a la que desea llegar (extremo izquierdo), su mscara de red y la
interfaz de salida de Rl. Presione la tecla ENTER.

Press RETURN to get

3tarted.

Rl>enable
RlSccnfigure terminal
I n t e r c o n f i g u r a t i o n cornmands,

one p e r line.

Znd with CNTL/Z.

Rl(ccnfig)$ip route 192.168.11.0 255.255.255.0


R l ( c c n f i g )t

serialO/O/O

CONVERGENCIA Y UNIFORMIDAD
La convergencia es un fenmeno que ocurre cuando las tablas de ruteo se encuentran en un estado de
uniformidad. Por lo tanto, se dice que la red cae en estado de convergencia, cuando todos los routers
poseen informacin completa y precisa sobre la red. RIP e IGRP tienen convergencia lenta, en tanto que

EIGRP y OSPF poseen convergencia ms rpida.

www.redusers.com

142

02

4
. ENRUTAM IENTO

Ahora, proceda a hacer lo mismo para la red del otro extremo (derecho).
Posteriormente presione ENTER. En seguida la orden e x i t dos veces. Para guardar la
configuracin establecida teclee el comando w r. Finalice presionando la tecla ENTER.

Rl>enable
Rljconfgure terminal
E n t e r c o n f i g u r a t i o n conntands, o n e p e r line.
E n d w i t h CNTL/Z.
R l (c o n f i g ) * i p r o u t e 1 9 2 . 1 6 3 . 1 1 . 0 2 5 5 . 2 5 5 . 2 5 5 . 0 s e r i a l O / O / O
Rl(config)fip route 192.168.12.0 255.255.255.0 serialO/O/1
Rl(config)texit
Rl *
< S Y S - 5 - C O N F I G _ I : C c n f i g u r e d f rorr. c o n s o l b y c o n s o l
Rlfwr
Building configuration...
[OK]
Rlf|

03

Realice la misma configuracin para el router identificado como R3. Coloque la


orden i p r o u t e

y la direccin de la primera red a la que desea llegar, su mscara

de red y la interfaz de salida de R3.

P r e s s R E T U R N t o g e t sts r t e d .

R2>enable
R2#configure terminal
E n t e r c o n f i g u r a t i o n c o m m a n d a , o n e p e r line.
E n d w i t h CNTL / Z .
R2(config)#ip route 192.168.10.0 255.255.255.0 serislO/O/1
R2 (config) ?|

www.redusers.com

n n u n

RO UTERS Y SW ITC H ES CISCO

04

143

En este punto deber configurar la red de la misma forma que en el Paso 2, luego
presione la tecla ENTER, posteriormente la orden e x i t dos veces. Con el comando
w r puede guardar la configuracin.

R2>nable
R2tconfigure terminal
Z n t e r c o n f i g u r a t i o n c c m m a n s , o n e p e r line.
Znd with CNTL/Z.
R2 c o n f i g ) $ i p r o u t e 1 9 2 . 1 6 3 . 1 0 . 0 2 5 5 . 2 5 5 . 2 5 5 . 0 s e r i a l O / O / 1
R 2 ;c o n f i g ) ? i p r o u t e 1 9 2 . 1 6 8 . 1 3 . 0 2 5 5 . 2 5 5 . 2 5 5 . 0 s e r i a l O / O / O
3 2 (config)texit
R2 i
SSYS-5-CONFIG_I: Configured from consol b y consol
R2#wr
Building configuration...
COK]

R2*|_______________________________________________

05

Verifique que la configuracin ha surtido efecto tanto en el router R1 como en el


R3 (esta verificacin la puede hacer desde el router actual). Para ello coloque la
orden show i p

ro u te

y presione la tecla ENTER.

UJ-enable
R 2 t a h o w i p route
Cede: C - cormacted, S - acatic, I - IGR?, R - RIP, M - mobiLe, B - BGP
D - SI3RF, I X - SIGR? external, O - OSPF, IA - O S P F inser area
MI - OSPF MfiCA e u t e r n a l t y p o

1,

N3 -

OSPF N S S i e x t o e n a l

ty p o

SI - O S P F externa! type 1, S2 - O S ? F axcernal type 2,


SCP
1 - IS-IS, II - IS-IS level-1, L2 - IS-IS levl-2, la - IS-IS intar
- c a n dida ce ceraulc, 'J - p a r-uaer aca t i c route, o - o d r
P - p ^ r i o d i c d e v n l o a d e d tatie rout*
-

G a t e w a y of laat resort is nat set


S
C

192 .168.10.0/24 is d i r e c t l y c o m e c t e d , Seral0/C/0


1 9 2 . 1 S 8 .11.0/24 is d i r e c t l y c o m e c t e d , SerialO/O/l
C
1 9 2 . 1 68.12.0/24 is d i rectly c o m e c t e d , Serial0/C/0
S
191 1SS 13 0/34 ia d i r s e t l y eorneetad, Soi-ialO/C/1
32#______________________________________________________________________________________

www.redusers.com

144

06

4
. ENRUTAM IENTO

Finalice haciendo ping desde R l a R3. La sintaxis es: p i ng

[ d i r e c c i n

IP ]

ms EN T ER . Donde direccin I P es el ID de la red con la que queremos


comunicarnos.

!U>n*bl*
01 t p t n g
T '/ ym

1*7

IM

11 O

ic ^ i

to

Abose.

S r d in g 6, 1 0 0 -b y t ICMP Scho* t o 1 9 2 .1 6 8 .1 1 .0 , C iM O u t i

! ! !! !

Succtss ra*.e it ICO p r c # a t

2 c o n d i:

(5/5), r c u n d - t r i p nin/ftvg/mtx - 3 / 4 / 6 na

R lt p in g 192.163.12.0
T y p e e s c a p e 3e3u er.ee t o a b o r t .
S e r.d in g 5 , 1 0 0 - b y t e ICMP I c h c a

! ! !! !

to

1 9 2 .1 6 3 .1 2 .0 ,

tim e o u t i3

2 aecon cs:

Success ra.e 3 ICO percent; <5/5) # r c u n d - r r i p B i n / a v g / s a x = 4/5/7 na

07

Ahora, realice la prueba de conectividad con el comando ping esta vez de R3 a R l.


Presione EN T ER por cada configuracin efectuada. Repita todo el procedimiento
para todos los routers que contiene la topologa.

R2 > n*D X

152.168.10.0
Typ* eicif* *qu*nc to *fcort.
Sanding 6, 100-byt ICMP Schoa te 192.168.10.0, tinaaut la 2 conda:

1!!! 1

Succaaa rata ia 100 parcact (S/5), r o u a d - t n p en/avj/nax 3/4/6 ma


R2tp-ng 152.168.13.0
Typa icipe aaquanca to t e z z .
Sanding S, 100-byta ICMP Scho* to 192.168.13.0. tiaaaut it 2 aaconda:
11i i !

Succaaa rata ia 100 parcant (S/S), r o u a d - t n p d n / a v g / a a x 4/4/S ma

www.redusers.com

n n u n

RO UTERS Y SW ITC H ES CISCO

145

Como pudimos notar, anteriormente solo

EN CUALQ UIER

exista comunicacin entre los routers

adyacentes. Con la adecuada configuracin

TOPOLOGA, D E B E M O S

de un enrutamiento (en este caso esttico),


conseguiremos la comunicacin no solo entre
equipos adyacentes, sino de extremo a extremo.

EFE C T U A R LA MISMA
CONFIGURACIN EN

Para concluir con cualquier topologa, por muy

CADA ROUTER

grande que esta sea, habr que efectuar siempre


la misma configuracin para cada router. Aunque
como ya se mencion, si somos congruentes, esta

tarea puede ser muy agobiante en un futuro cuando comencemos a


trabajar con redes ms grandes; es por ello que se han implementado
algunos protocolos de enrutamiento dinmico, los cuales vamos a
analizar en el tema correspondiente (Enrutamiento dinmico).

Router>enable
Routersconfigure terminal
E n t e r c o n f i g u r a t i o n c o m a n d a , one per line.
End with CNTL/Z.
R o u t e r ( c o n f i g ) # i p r o u t e 0 . 0 . 0 . 0 0 . 0 . 0 . 0 s e r i a l 0 / 0 / 0 100
R o u t e r ( c o n f i g ) s i p r o u t e 0 . 0 . 0 . 0 0 . 0 . 0 . 0 s e r i a l 0 / 0 / 1 100
Router(config)tfexit
Router#
%SYS-5-CONFIG_I: Configured from consol by consol
Routerwr
B u i l d i n g c o n f i g u r a t i o n . ..
[OK]

Figura 6. En esta imagen, se muestra la


configuracin de una ruta e s t tic a por defecto.
Actualmente, contamos con un tipo especial de rutas estticas: las
rutas por defecto. Estas son a menudo utilizadas por los administradores
como recurso para poder enviar trfico a destinos que no concuerden
con las tablas de enrutamiento de los dispositivos que integran la red.
Las rutas por defecto, al igual que las rutas estticas
convencionales, se configuran mediante el comando ip route en el

www.redusers.com

146

Udki

4. ENRUTAMIENTO

modo de conguracin global. Su sintaxis es:

LOS PROTOCOLOS

ip route 0.0.0.0 0.0.0.0 [interfaz de salida] [distancia

DE ENRUTAM IENTO

administrativa].

Las rutas estticas nos proporcionan una

DINMICO AYUDAN A

serie de caractersticas interesantes que para

E N F R E N T A R CIERTOS

determinados escenarios pueden ser nuestra


primera opcin. Por lo general, estas pueden

PROBLEM AS

llegar a presentar graves limitaciones, como:


la poca escalabilidad y falta de adaptabilidad a
fallas, sobre todo, como ya se ha mencionado,

durante el proceso de crecimiento de la red.


Una alternativa para resolver algunos de los problemas que presenta
el enrutamiento esttico es el uso y la aplicacin de los protocolos de

enrutamiento dinmico. En el siguiente tema conoceremos algunas


caractersticas y diferencias con respecto a las rutas estticas.

Protocolos de enrutamiento
Los protocolos de enrutamiento son una manera de compartir
rutas de forma dinmica; tienen como fin facilitar el trabajo del
administrador de redes, pues ya no se ve en la necesidad de configurar
las rutas estticas en cada router, adems de que si ocurren cambios en
la topologa estos tambin cambiarn sus tablas de enrutamiento.
Los protocolos de enrutamiento, generalmente, se pueden
clasificar en grupos segn sus caractersticas:

Estado de enlace: son aquellos que conocen la red completa, es


decir, conocen la topologa y con base a ello, toman sus decisiones.

Vector distancia: son protocolos capaces de tomar decisiones


de rutas con base al uso de una mtrica que implica el uso de
algoritmos o frmulas, como veremos ms adelante cuando
comencemos a configurar un protocolo llamado OSPF.
Con fines prcticos y para solventar la duda de muchos de nosotros
vamos a definir la palabra mtrica: este trmino a menudo es definido
como todo aquel valor que toman los diferentes protocolos de

www.redusers.com

lU d ib i

RO UTERS Y SW ITC H ES CISCO

147

enrutamiento para poder determinar la mejor ruta hacia una red de


destino. Hoy en da es muy comn encontrarnos con routers que tengan
ms de un nico camino. Por lo que ante esta situacin es recomendable
el uso de algn mtodo para determinar el camino ms conveniente.

Figura 7. Los protocolos de enrutamiento


se clasifican en grupos segn sus caractersticas.

Enrutamiento dinmico
Debemos considerar que las rutas dinmicas, a diferencia de
las rutas estticas, se encargan de hacer uso de protocolos de red
especiales que se adaptan de manera automtica para facilitar el
intercambio de informacin entre los equipos que se encuentran
conectados a la red.
Consideremos que el enrutamiento dinmico generalmente se aplica
en redes de gran tamao, por lo que podemos decir que se trata de un
mtodo escalable y tambin adaptable, adems de esto, se encarga de
proporcionarnos la opcin de recuperacin frente a fallas.

www.redusers.com

148

U d k i

4
. ENRUTAM IENTO

Figura 8. El router puede auxiliarse de algn protocolo


de enrutamiento para transmitir la informacin.
En el mbito del enrutamiento dinmico, vamos a conocer una
serie de protocolos interesantes para el encaminamiento de la
informacin, entre los cuales tenemos el protocolo de informacin

de enrutamiento, del cual comenzaremos a platicar en la siguiente


seccin. Antes de comenzar a abordar dicho tema, recordemos la
definicin de protocolo: se trata de un estndar de comunicacin
existente en una red, es decir, el lenguaje mediante el cual se entienden
las computadoras para poder comunicarse.

Protocolo de informacin de ruteo


Uno de los protocolos ms antiguos que se han utilizado en el
mbito del enrutamiento dinmico es RIP (Routing information protocol
- Protocolo de informacin de enrutamiento). Se trata de un protocolo
de vector distancia que utiliza la cuenta de saltos del router como

mtrica.
A menudo, los routers tienen la capacidad de determinar la
mejor ruta con base al ancho de banda definido, aunque esto
depende directamente del protocolo de enrutamiento empleado para
intercambiar la informacin. Pues debemos saber que cada protocolo
puede emplear una mtrica diferente.
La versin ms actual del protocolo RIP es la versin 2, la cual se
caracteriza por integrar un nivel de seguridad superior a su antecesor

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

149

(versin 1: la cual es ejecutada por defecto

E L TO TAL M AXIMO

en el router), adm ite adems C I D R (classless


interdom ain routing), V L S M (va ria b le ength

D E S A L T O S QUE

subnet mask) y un resum en de rutas asignadas.


Otro dato ms que debemos conocer sobre

A D M IT E R IP E S DE

R I P es que el total mximo de saltos es de 15. En

15, S O B R E ESO E S

caso de exceder este valor, se considera un rango

IN A L C A N Z A B L E

inalcanzable. El protocolo RIP, adems, hace uso

U D P y se encuentra asociado al puerto 520.

F ig u ra 9 . R I P es el nombre de un protocolo que


nos permite el enrutamiento de la informacin en una red.

Configuracin de RIP
Para com enzar con la configuracin de rutas dinm icas m ediante el
em pleo de R I P vam os a recurrir al com ando router rip, y a algunas otras
rdenes adicionales descritas a continuacin:

LA DISTANCIA ADMINISTRATIVA
En mbitos del enrutamiento en redes, existe un trmino conocido como distancia administrativa. Esta
se define como una medida usada por los routers CISCO para seleccionar la mejor ruta cuando hay ms
de dos rutas distintas hacia el mismo destino para dos protocolos de enrutamiento. La distancia adminis
trativa para RIP es de 110, mientras que para O SPF es de 120.

www.redusers.com

pgggsa

150

4
. ENRUTAM IENTO

El comando denominado versin, se encarga de especificar el nmero


de versin que vamos a manejar.
El comando network, se encarga de aadir una o ms redes a nuestro
protocolo RIP. Y finalmente, la orden distance aade una distancia
administrativa dentro del rango 1-255. Por defecto en RIP es 120.

Router>enable
Router#ccnfigure terminal
Enter c o n f i g u r a t i o n commands, one per line.
End w i t h CNTL/Z.
R o u t e r ( c o n f i g ) t r o u t e r rip
Router(config-router)#version 2
R o u t e r ( c o n f i g - r o u t e r )# n e t w o r k 1 9 2 . 1 6 8 . 1 . 0
Router(config-router)#network 192.163.3.0
R o u t e r ( c o n f i g - r o u t e r ) # d x s t a n c e 100
Router(config-router)#exit
Router(config)#exit
Router#
%SYS-5-CONFIG_I: Configured from consol b y consol
Routerlwr
Building configuration...
[OK]

Figura 1 0 . En la presente imagen se muestra


un ejemplo de configuracin de rutas dinmicas con R IP .

A continuacin, vamos a describir el proceso de

LA CONFIGURACION

configuracin de rutas dinmicas con el protocolo

DE RUTAS

RIP. Para esto, nos apoyaremos en una topologa


de red establecida. Analicemos cada uno de los

DINMICAS P U E D E

nodos y su respectiva direccin IP.


Para la explicacin del ejercicio, asumamos que

E F E C T U A R S E CON E L

existe ya una previa configuracin de interfaces.

PROTOCOLO R IP

partamos de la prueba de funcionamiento

verificando la conexin con el comando ping.


Notemos que al intentar hacer ping con cualquier
router adyacente, la comunicacin ser exitosa. Pero si deseamos hacer
una prueba de conectividad con otro equipo de extremo a extremo,
jams conseguiremos la comunicacin. Veamos que sucede algo similar
a lo expuesto en la topologa de enrutamiento esttico, pues la razn
de ello se debe a la ausencia de un enrutamiento adecuado.

www.redusers.com

n n u n

RO UTERS Y SW ITC H ES CISCO

151

192.168.20.0/24

Figura 11. Topologa de configuracin


de rutas dinmicas con el protocolo R IP .

La solucin a este problema est en utilizar un protocolo de


enrutamiento como RIP para efectuar el proceso de configuracin
de rutas dinmicas. Para comenzar dicho procedimiento, vamos a
analizar el siguiente Paso a paso:

PAP: PROCESO DE CONFIGURACION DE RUTAS DINAMICAS

01

Entre a la consola del dispositivo, intente ingresar la secuencia de comandos para las
rutas dinmicas: r o u t e r

r i p ms EN TER. Coloque la versin, en este caso la v2.

21>enable
Slconfigure terminal
Inter configuration ccmnands,
SI<confxg)?router rip
SI(config-router)fversion 2
S I (c o n f i g - r o u t e r >?

one p e r line.

E nd w i t h CNTL/Z.

www.redusers.com

152

02

4. ENRUTAM IENTO

Ahora, trate de colocar la direccin I P de las redes a la que se encuentran


conectadas las interfaces del router que ha comenzado a configurar. Para este caso
se trata de la I P 192.168.10.0 y 192.168.50.0. Anteponga n e t w o r k .

Sl>enable
Slfconfigure terminal
S n t e r c o n f i g u r a t i o n commar.da, ene p e r line.
SI {c c n f i g ) r o u t e r r i p

End with CNTL/Z

S I{c o n fig - r o u t e r )t v e r s io n 2

S I ( c o n f i g - r o u t e r ) tn e t w o r k 1 9 2 . 1 6 8 . 1 0 . 0
S I ( c o n f i g - r o u t e r ) f n e t w o r k 1 9 2 . 1 6 8 . SO.O
Rl(config-router)iexit
SI config) sexitj

SI*
% S Y S - 5 - C O N F I G _ I : C o n f i g u r e d f r e m c o n s o l b y ccn.3ole
Rltwr
3uilding configuration...
[OK]

03

Si efecta este proceso en los routers faltantes, usted podr comprobar la


comunicacin establecida en cada uno de los equipos que integran la topologa.
Para ello realice la prueba de conectividad con el comando p i ng en cada router.

R l t p i n g 1 9 2 . 168.10.2
T y p e e s c a p e 5equen.ee to abort.
S e n d i n g 5, 1 0 0 - b y t e I C M P E c h o * to 192.168.10.2,

i i i 11

S u c c e a a rate ia 100 p e r c e n t

time o u t ia 2 aeconda:

(5/5), r o u n d - t r i p n i n / a v g / m a x = 3/4/5 ma

Sl#ping 192.168.20.2
T y p e e s c a p e seq u e n c e to abort.
S e n d i n g S, 1 0 0 - b y t e I C H P E c h e s to 1 9 2 . 1 6 3.20.2, t i m e o u t is 2 seconds:
m il

S u c c e s s rate is 100 p e r c e n t

5/5), r o u n d - t r i p m i n / a v g / m a x = 6 / 8/11 ms

SlOping 192.168.30.2
T y p e e a c a p e sequence to abort.
S e n d i n g 5, 1 0 0 - b y t e ICMP E c h o a to 192.168.30.2, t i m e o u t ia 2 aeconda:
i! i
S u c c e a a rate ia 100 p e r c e n t

www.redusers.com

(5/5), r o u n d - t r i p m i n / a v g / m a x 8 / 9/13 ma

n n u n

RO UTERS Y SW ITC H ES CISCO

04

153

Una vez probada la conectividad, intente visualizar mediante el comando show la


configuracin antes realizada. A menudo puede hacer uso del comando show i p
ro u te

r i p para cada router.

Rl > e n a b l e
R l # s h o v ip route rip
1 7 2 . 1 6 . 0 . 0 / 2 4 is s u b n e t t e d ,
R
1 9 2 . 1 6 8 . 2 0 . 0 / 2 4 [120/1] v i *
R
1 9 2 . 1 6 3 . 3 0 . 0 / 2 4 [120/2] v i a
[120/2] v i a
R_____1 9 2 . 1 6 8 . 4 0 . 0 / 2 4 [120/1] v i a

2 subnets
192.168.10.2,
1 9 2 . 1 6 8 . S O .1,
192.168.10.2,
192.168.50.1,

00:00:27,
00:00:22,
00:00:27,
00:00:22,

Srial0/0/0
SerialO/O/1
SerialO/O/O
ScrialO/O/1

Al terminar de efectuar la configuracin anterior, notemos que


ahora ya existe una comunicacin de extremo a extremo. Para verificar
la configuracin realizada no olvidemos utilizar el comando show.
A menudo podemos usar show ip protocols.
Actualmente R IP nos ofrece muchas cualidades con respecto al
enrutamiento esttico, aunque no es el protocolo ms moderno,
ni el ms utilizado desde que aparecieron otro tipo de protocolos.
En el siguiente tema, abordaremos otros protocolos de renombre
actualmente utilizados.

Introduccin a OSPF
O SPF (Open Shortest Path First) es un protocolo de enrutamiento por

estado de enlace. Su propsito se centra en el clculo de la ruta ms


corta. Habitualmente usa el menor costo como medida de mtrica.
La frmula de la mtrica es: (10**8)/ BandWidth, donde BandYVidth es el
ancho de banda expresado en bps.

www.redusers.com

154

HHHZ23

4
. ENRUTAM IENTO

OSPF construye adems una base de datos

O S P F C O N STRUYE

enlace-estado (link-state database, LSDB)

UNA B A S E DE DATOS

idntica en todos los enrutadores de una zona


(que significa que OSPF trabaja con zonas o reas).

EN LACE-ESTAD O

Muchos administradores han catalogado a OSPF


como un protocolo ms flexible en comparacin

EN TODOS LOS

con otros como IGRP y RIP.

ENRUTADORES

OSPF soporta VLSM, por lo que lo convierte en


un protocolo classless y nos permite, adems,
sumar el costo que le den las rutas.

Para poder decidir dichas rutas, OSPF utiliza un algoritmo con el


nombre de DIJKTRA o simplemente SPF.

Figura 1 2 . El costo en OSPF depende


del ancho de banda y no del nmero de saltos.

El protocolo OSPF se caracteriza tambin por utilizar dos


direcciones para comunicarse entre los routers: la IP de multidifusin
224.0.0.5 y la 224.0.0.6, mediante el cual un DR (router designado) se
comunica con un BDR (corresponde a un router designado de reserva)
a travs de los denominados paquetes Helio.
El router que funciona como DR, por lo general, lleva el valor de
prioridad ms alto (ya que es el que ejecuta las tareas de envo y

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

155

sincronizacin), el cual debe m antener una relacin de adyacencia con


el equipo BDR. Este ltim o se encarga de representar el router suplente,
el cual entrar en accin en caso de que exista un fallo en el router
designado o que funciona como principal.
Recordem os, siempre, que tanto en entornos conocidos como
m ultiacceso, como en entornos ethernet, debe elegirse un router DR
y un BDR para fines de representacin de la red. Pues este proceso no
tiene efectos en redes OSPF punto a punto.
R3
R l (DR)

R2 (BDR)

R4

Figura 13. Para el proceso de configuracin


OSPF se debe elegir entre un DR y un BDR.
Para efectuar la adm inistracin de seleccin del DR y el BDR
participante en el dom inio OSPF, necesitam os realizar una
configuracin especial, la cual exige que presentem os un rango de
prioridad, siendo en forma predeterm inada 1, hasta 65535.

Los protocolos de enrutamiento con clase no envan informacin de la mscara de subred en las actua
lizaciones de enrutamiento. Los primeros protocolos de enrutamiento como RIP fueron con clase, pues
en aquel momento, las IP se asignaban en funcin de las clases de IP, por lo que no era necesario que un
protocolo incluyera una mscara de subred.

www.redusers.com

HHHZ23

4
. ENRUTAM IENTO

2801>enable
2801#configure terminal
Z n t e r c o n f i g u r a t i o n commands, o n e p e r line.
End with CNTL/Z.
2 8 0 1 ( c o n f i g ) f i n t e r f a c e f a s t e t h e r n e t 0/0
2 8 0 1 ( c o n f i g - i f )# i p 0 3 p f p r i o r i t y 1
2 8 0 1 (config-if)#exit
2 8 0 1 (config)$exit
2801#
*SYS-5-CONFIG_I: Configured from consol by consol

Figura 1 4 . Proceso de administracin de la


seleccin del DR y el BDR en un dominio OSPF.
Para verificar desde la consola de un router si este ha sido configurado
como designado o de reserva (y su configuracin IP), podemos recurrir
a la secuencia de comandos siguiente: show ip ospf neighbor detail. No
olvidemos efectuarlo desde el modo de acceso EXEC privilegiado.

2801>enable
2801#Sh ip ospf neighbor
Neighbor

192.168.100.2,

In the

area

0 via

ia

interface

interface

N e i g h b o r p r i o r i t y is
Options

detail

1,

is

FULL,

6 arate

change3

0x00
in

N e i g h b o r is up

fcr 00:03:17

First

192.168.100.2

FastZthernetO/O

State

Dead timer due


I n d e x 1/1,

address

00:00:32

retransmission queue

l e n g t h 0,

0 x 0 ( 0 ) / 0 x 0 (0)

Next

0 x 0 ( 0 ) / 0 x 0 (0)

Last

retransmission

sean

l e n g t h is

Last

retransmission

sean tie

0,

nunber of

m x i m u m is

is 0 msec,

retransmission 0

m x i m u m is

0 nsec

Figura 1 5 . Modo de verificar el router


configurado como DR y BDR, respectivamente.

www.redusers.com

n n u n

RO UTERS Y SW ITC H ES CISCO

157

Configuracin bsica de OSPF


El enrutamiento por OSPF persigue un proceso de configuracin
en una sola rea o en mltiples reas. La diferencia entre ambos
mbitos se centra bsicamente en el nmero de reas que puede
alcanzar. Tengamos en cuenta que en la configuracin de OSPF de
mltiples reas define tres tipos de routers: router interno, router

backbone y router fronterizo (ABR).


Para efectuar la configuracin bsica del protocolo OSPF, debemos
utilizar la siguiente secuencia de rdenes:
Router ospf [nmero de proceso], en seguida, network [direccin IPWilcard] rea [nmero].

Consideremos que la wilcard no es ms que

LA W IL C A R D O

la inversa de la mscara de red. La mscara


comodn, como tambin se conoce, es a menudo

M SCARA COMODN

empleada por el enrutamiento OSPF con el fin

E S LA IN V E R S A

de especificar la red o subred que se desea


publicar. Por ejemplo, la wilcard de la mscara

DE LA M SCARA

255.255.255.0 es 0.0.0.255.

DE RED

Resulta importante decir que podemos utilizar


comandos adicionales como: ip ospf priority
[nmero], bandwidth [kbps], ip ospf cost [nmero].

24>enable
24?configure terminal
E n t e r c o n f i g u r a t i o n ccxranands, o n e p e r l i n e .
End
2 4 {config)router ospf 1
2 4 ( c o n f i g - r o u t e r ) rnetwork 1 9 2 . 1 6 8 . 1 0 . 0 0 . 0 . 0 . 2 5 5
2 4 [ c o n f i g - r o u t e r ); n e t w o r k 1 9 2 . 1 6 8 . 2 0 . 0 0 . 0 . 0 . 2 5 5
2 4 (config-router);network 192.168.50.0 0.0.0.255
2 4 ( c o n f i g - r o u t e r )# d o w r
Building configuration...
COK]
2 4 (config-router
)

wit h CNTL/Z.
area 0
area 0
area 0

Figura 1 6 . En la presente imagen, se


puede apreciar la configuracin bsica de OSPF.

www.redusers.com

158

USERS

4 . E N R U T A M IE N T O

Para demostrar el funcionamiento del protocolo

USAMOS SHOW

OSPF, podemos basar la nueva configuracin en

IP ROUTE OSPF

una de las topologas antes realizadas. Para ello,


omitamos el enrutamiento esttico efectuado

PARA VERIFICAR

con ip route y route ospf router rip del tradicional

EL E N R U T A M I E N T O

enrutamiento dinmico. En su lugar, coloquemos la


secuencia de comandos de router ospf.

DINMICO

Al finalizar podrem os notar que dicho ejercicio


ofrece prcticam ente el mismo resultado.
Para verificar que la tarea de enrutam iento

dinm ico por medio del protocolo OSPF ha surtido efecto,


recom endam os el uso del comando show ip route ospf.

23>enable
23#show ip route espf
O
O

192.168.10.0
192.168.40.0

[110/128]
[110/123]

via
via

192.168.20.1,
192.168.30.2,

00:44:36,
00:42:39,

SerialO/O/1
SerialO/O/O

192.168.50.0

[110/192]

via

192.168.20.1,

00:40:47,

SerialO/O/1

[110/192]

via

192.168.30.2,

00:40:47,

SerialO/O/O

23*

Figura 17. En la presente imagen se muestra


la forma de verificar el enrutamiento por medio de OSPF.

El protocolo R IP es un protocolo de una sola rea, lo que significa que a medida que la red crece, el nme
ro de rutas notificadas crece al igual que los tiempos de propagacin y convergencia. En redes grandes,
es deseable limitar el alcance de las notificaciones dividiendo la red en mltiples reas. Normalmente, las
redes O SPF se disean utilizando mltiples reas.

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

159

Al trabajar con OSPF, nos encontrarem os con una gran variedad de


comandos, tanto de ejecucin como de verificacin de la inform acin.
No todos han sido em pleados en los ejem plos anteriores; sin embargo,
pueden ser de gran utilidad al momento de trabajar con el proceso de
configuracin de rutas dinm icas. Veamos la siguiente tabla:

TABLA 1: COMANDOS AUXILIARES EN LA CONFIGURACIN OSPF


T

FUNCIN

COMANDO

interface loopback [nmero]

Encargado de crear una interfaz virtual para definir el ID


de router.
Expresa el ancho de banda para la interfaz, que luego

bandwidth

ser utilizado para el clculo del coste OSPF.

ip ospf cost [nmero]

Expresa el modo de asignar un valor de coste. Su rango


es de 1 - 65535.

ip ospf authentication-key [password]

Establece un password de autenticacin en texto plano.

ip ospf message-digest-key [nmero] md5

Se encarga de establecer niveles de encriptacin a las

[tipo de encriptacin]

contraseas asignadas.
Muestra la configuracin efectuada de los procesos

show ip ospf

OSPF.

show ip ospf interface

Muestra la configuracin efectuada de las interfaces


inmersas en el proceso de configuracin OSPF.

show ip ospf neighbor detail

Muestra la informacin de routers vecinos. Incluyendo los


que han sido elegidos DR o BDR.
Muestra la informacin correspondiente a los protocolos

show ip protocols

de enrutamiento.
Se encarga de mostrar la tabla de ruteo (rutas) en el

show ip route

dispositivo.

I
Tabla 1. Comandos de configuracin y verificacin OSPF.

Introduccin a EIGRP
Dentro del gran rubro del enrutam iento, tenemos en especial
un protocolo capaz de com binar las ventajas que nos aportan los

protocolos de estado de enlace con los de vector distancia.

www.redusers.com

160

USERS

4 . E N R U T A M IE N T O

Este protocolo se trata de EIGRP (Enhanced

EL PROTOCOLO

In terio r G atew ay Routing Protocol - Protocolo de

EIGRP DERIVA

enrutam iento de gateway m ejorado), el cual deriva


del nativo protocolo de CISCO: IGRP.

DEL PROTOCOLO

Por supuesto que EIGRP incorpora


caractersticas ms actuales en com paracin

NATIVO DE

con su antecesor. Existe un cambio con respecto

CISCO IGRP

a su mtrica, manejo de VLSM y manejo de


rutas. EIGRP se encarga, incluso, de publicar la
inform acin de la tabla de ruteo solo a los routers

vecinos. Por tanto, este protocolo m antiene una tabla de topologa, una
tabla de ruteo y una tabla de vecinos.
La m trica usada por este protocolo est conform ada por parm etros
y factores que perm iten encontrar la m ejor ruta. Entre ellos cinco
constantes inm ersas en la frm ula que nos va a perm itir determ inar la
m ejor ruta en una red. Dichas constantes se definen a continuacin:

K l = bandwidth: expresa el valo r m nim o del ancho de banda (kbps)


configurado en la interfaz. Exige el uso del com ando bandwidth.

K2= rely: se define como fiabilidad entre el origen y el destino.


Define lo confiable que puede ser la interfaz en el rango de 1 a 255.

K3= dly: expresa la sum atoria de todos los retardos entre un router
de origen y el destino (m icrosegundos).

K4= load: expresa la carga de trfico entre el origen y el destino.

K5= MTU: es la mxima unidad de transm isin residente en rutas


EIGRP, la cual generalm ente no se utiliza.
Los valores por defecto para cada constante son los siguientes:

K l = l , K2=0, K3= l, K4=0, K5=0.

QUE ES LA SUMARIZACION?

Sumarizacin es la transliteracin de la palabra summarization, que originalmente se debera decir


resumen de rutas. Consiste en una tcnica usada por los routers/protocolo de enrutamiento que enva
actualizaciones de enrutamiento. En esta actualizacin, la red se encarga de representar la conectividad
mltiple con redes que tienen un prefijo comn.

www.redusers.com

USERS

R O U T E R S Y S W I T C H E S C IS C O

161

Debemos saber que la ruta que posea la

LA RU TA Q UE

m trica ms baja ser considerada como la ruta


ms ptima. Veamos la frm ula com pleta para

P O S E E LA M T R IC A

el clculo de la mtrica, donde participan las

MS B A JA ES

variables antes expuestas.

C O N S ID E R A D A
Mtrica = 256 * [(K l* 10**7/BW + K2 * BW/256

COMO P T IM A

- Load + K3* (SUM DLY/10))* K5/K4*Rely]


Dadas las conversiones para el clculo de la

m trica (aplicando los valores de cada constante), queda una frm ula
ms compacta, la cual usarem os de hoy en adelante.

Figura 18. Frmula para el c l c u l o


de l a

m t r i c a de los protocolos EIGRP.

Para entender m ejor lo antes expuesto, vam os a colocar un ejemplo.


Veamos la siguiente imagen, donde tenemos seis routers conectados
entre s, y deseamos conocer la m ejor ruta. Para tal efecto, debemos
sustituir los valores que han sido expuestos en la presente topologa
sobre la frm ula anteriorm ente planteada.
Im aginem os que se desea llegar del router RA al router RE (red
origen y destino, respectivam ente). Para ello, es necesario determ inar
en prim era instancia el ancho de banda (BW) de cada enlace.

VULNERABILIDAD EN BGP
Las vulnerabilidades en el protocolo BGP no son novedosas. El caso ms reciente relacionado con
esto fue la cada de Youtube, el cual despareci del mapa durante unas horas en todo el mundo, tras la
introduccin de instrucciones errneas en el protocolo BGP, durante durante el intento por evitar que los
usuarios accedieran a un video sobre caricaturas de Mahoma.

www.redusers.com

162

lU d ik i

4
. EN R U T A M IEN T O

El recorrido inicial implica pasar del router RA,

E L P R IM E R EXTREM O

al RB, RC y RD por un extremo. Lo mismo sucede

C UENTA CON UN

para el extremo opuesto: del router RA, pasa al RF,


RE y RD. El primer extremo cuenta con un mnimo

MNIMO DE 512 K B P S

ancho de banda de 512 kpbs, en tanto que para el

DE ANCHO

extremo contrario contamos con los 256 kbps.


En este sentido, imaginemos que el delay

DE BANDA

correspondiente es de 2000 microsegundos base


para efectuar la sumatoria (SUM).

Mtrica: 5,153,600

Figura 19. Topologa de ejemplo para el clculo de la mtrica utilizada para


efectos de enrutamiento por EIGRP.

El clculo de la mtrica por RA, RB, RC y RD es el siguiente:

Mtrica = 256 * (10**7/512 + 2000 + 2000 + 2000/10)=5, 153, 600


El clculo de la mtrica por RA, RF, RE y RD es el siguiente:

www.redusers.com

nnun

R O U T E R S Y S W IT C H E S C ISC O

163

Mtrica = 256 * (10**7/256 + 2000 + 2000 +

EN E IG R P

2000/10)=10, 153, 600

LA M TRIC A
Si seguimos el principio establecido por EIGRP

MS B A J A E S

para obtener la mejor ruta (la mtrica ms baja


ser considerada la ruta ms ptima), resulta

CO N SID ERA D A LA

obvio que la ruta ms conveniente es la trazada

RUTA MS PTIMA

en el extremo superior (RA, RB, RC y RD).

Configuracin bsica de EIGRP


Para efectuar la configuracin bsica de EIGRP, es necesario la
activacin de dicho protocolo, su A S (Autonomous System - Sistema
autnomo) y sus respectivas interfaces de conexin. Para activar
dicho protocolo empleamos el comando router eigrp [nmero de sistema
autnomo-1 a 65535] y en seguida la orden network [ IP de red].

El comando network puede incluso emplear una mscara comodn


o wilcard para individualizar una interfaz, quedando como:

network [IP de red][wilcard].

Router>enable
Routerfcconfigure terminal
Z n t e r c o n f i g u r a t i o n commands, one p e r line.
Znd w i t h CNTL/Z.
R o u t e r ( c o n f i g ) # i n t e r f a c e s e r i a l 0/0
R o u t e r ( c o n f i g - i f )S i p a d d r e s 9 1 7 2 . 1 7 . 0 . 1 2 5 S . 2 5 5 . 2 S 5 .0
R o u t e r ( c o n f i g - i f ) # i n t e r f a c e a e r i a l 1/0
R o u t e r ( c o n f i g - i f ) i p a d d r e s a 1 7 2 . 1 7 . 2 0 . 1 2 5 5 . 2 5 5 . 2 5 5 . 0
Router(config-if)*exit
R o u t e r ( c o n f i g ) r o u t e r eigrp 200
R o u t e r ( c o n f i g - r o u t e r )^ n e t w o r k 1 7 2 . 1 7 . 0 . 1 0 . 0 . 0 . 0
Router(config-router
)

Figura 20. Aqu se muestra la configuracin bsica del protocolo EIGRP.


La configuracin de EIGRP a menudo exige el uso de comandos
adicionales, algunos se describen en la siguiente tabla:

www.redusers.com

164

USERS

4 . E N R U T A M IE N T O

T A BLA 2: COMANDOS A U X ILIA R E S EN LA CONFIGURACIN EIG R P


COMANDO

FUNCIN
Encargado de habilitar el registro de los cambios de adyacencia de routers

eigrp log-neighbor-charges

vecinos.
ip summary-address [AS] [IR]

Sirve para crear manualmente un resumen de rutas EIGRP.

[Mscara de red]
show ip protocols

Muestra los protocolos configurados en mbito EIGRP.

show ip route eigrp

Se encarga de mostrar la tabla de ruteo (rutas) en el dispositivo.

Tabla 2 . Comandos de configuracin y verificacin EIG RP.

Recordem os que es necesario efectuar la verificacin de la


configuracin EIGRP que hemos realizado, para efectuar esta tarea
podemos ayudarnos del comando show, tal y como se m uestra en la
T a b la que presentam os anteriorm ente.
En este sentido es im portante m encionar que no debemos olvidar
tam poco em plear algn modo de autenticacin vlido para EIGRP.

Pfiy&Cdl

Config

CU

IO S Command Line Interface

ia

O-iW.-rx;

"c ig u

10Z **

i l M l 1-at fo ; aL2

as r.ot i
In co oQ j r d s t - f * - c r l i n
fo r i U i a * u
es: ? :
n e t v : r c ; f l a m e l e r u c e le * u a a rcs
D a fa u ls e e t v c r c j xccn>-.d i r i a r c B i a i o s c t c c i

srcar t r i e vai^ht * i i ,

n-o. r * - : # n - o , - <

SICAS r o t u n a ftcpocur.t 10J


ICA v a x u iu s M t n e r u i a e M
3 o 4 i# ? r o u t ir .f: t i g r f 10 d
A a tm A tte r r v a n
Ajt a t ii:s f id s r M i

i a u r '.u :t o n i t r
tr n u it i i t i m -

f r-

K i v '.ut path* 4
to u tln g

fo t

Itt.Mi 100

1 9 M I I 10 3
f to u iln j T n f o w tio r . 5 o c *

Gataay
C '.iitccc
l u ; U^dafca
Disvtucc. iu*r.al yZ ca'.cioaI I" 3
Acusan: zoscc:! ia "ex<rrp 20C **
fritarme
f i l ^sx l i n for aL2

2>zezcza 23

eot

J-i.

Copy

P3SC6

Figura 2 1 . En la presente imagen, se muestra


la forma de verificar la configuracin E IG R P previamente efectuada.

www.redusers.com

165

R O U T E R S Y S W IT C H E S C ISC O

Protocolo BGP
BGP (Border Gateway Protocol) es el protocolo que utilizan los
grandes nodos de internet para comunicarse entre s y transferir una
gran cantidad de informacin entre dos puntos de la red. Tengamos en
cuenta que su misin se centra en encontrar el camino ms eficiente
entre los nodos para propiciar que se establezca
una correcta circulacin de la informacin entre

B G P ES UTILIZADO

equipos conectados a internet.


BGP es usado por grandes proveedores

POR G R A N D E S

de conectividad a internet (ISP) y aunque es

P R O V E E D O R E S DE

bastante complejo, no deja de ser el favorito de


muchos administradores de redes. Tambin es

CONECTIVIDAD

considerado el nico protocolo que actualmente

A IN T E R N E T

soporta enrutamiento entre dominios.


Recordemos que otras caractersticas elementales
de este protocolo son las siguientes:
Adems de soportar VLSM, CIDR y sumarizacin.

Su funcionamiento se basa en la asociacin de redes AS de tal suerte


que otros dispositivos envan trfico hacia el destino a travs de AS.
BGP es un protocolo path-vector que mantiene muchas de las
caractersticas de los protocolos vector distancia.
AS 500

AS 501

Figura 2 2 . El protocolo BGP se encarga


de asociar redes con sistemas autnomos (AS).

www.redusers.com

166

USERS

4 . E N R U T A M IE N T O

Configuracin bsica de BGP


El com ando que se utiliza en esta ocasin para activar el protocolo
B G P en una red es: router bgp,

acom paado del nmero de sistema

autnomo. Desde luego que no nos hemos librado de la secuencia de


rdenes como network [direccin I P ] [m scara de red], para la asignacin
de direcciones de red, ni del comando show para m ostrar las
configuraciones efectuadas.
i-of~izri

P.txiInC
Config

Physir.ftl

CU

IO S Command Une Interface

louumMbl*
H c > u L r * c o n f lg jf t # n a l r l
C n u r c o n f i g u r t t i o a camnmn6^, c u # p i

Rouus
A o u

in ISO

t t c f t M

t w

o c l

I L u i t ; ' m < i *t M i t i

3 . u i ; ' c vx .ig
lU u c e r

c c ^ fig

lin

trd wiih nrrw

1*2 1 2.5.0 m i k 2 1 1 2 1 1 . 2 1 1 D
1S

l(S .2 .t

ic u .v i

&>

I t t l o h M ; 192 1C3.3.& t t a v t u
s o u tc r: tr o

IZO
1*0

iy T .c .M ft f. s t ic a

A e u te s o o n f if - z Jt c : H s ii
c I C C R ^ < | ___________________________________________________________________________________________________

Copy

F ig u r a 2 3 . En la presente imagen, se muestra


el proceso de configuracin bsica de BGP.

Es necesario m encionar que antes de com enzar con el proceso


de configuracin BGP tengamos previam ente configuradas nuestras
interfaces, tal y como se ilustra en el siguiente Paso a paso.
Con la finalidad de poder guiarnos en la configuracin, se ha
propuesto la siguiente topologa.

SISTEMAS AUTONOMOS
Un sistema autnomo es un conjunto de redes y dispositivos routers IP que se encuentran administra
dos por una sola entidad que cuenta con una poltica comn de definicin de trayectorias para internet.
Para obtener informacin detallada sobre esta definicin, podemos consultar RFC1930.

www.redusers.com

HHHZ3

R O U T E R S Y S W IT C H E S C ISC O

167

Figura 24. En esta imagen se muestra


la topologa base para la configuracin del protocolo BGP.

PAP: PROCESO DE CONFIGURACIN DE RUTAS ESTTICAS

01

En primera instancia, configure todas las interfaces tanto seriales como ethernet
presentes en la red. En este caso efecte dicha configuracin sobre el router
principal. Recuerde ir guardando la configuracin previa.

Router>enable
Routerconfigure terminal
I n t e r c o n f i g u r a t i o n ccrnnanda, o n e p e r line.
End w i t h CNTL/Z.
Router(config #interface serial 2/0
R o u t e r ( c o n f i g - i f )S d e a c r i p t i o n C o n e x i o n a I S P 1, A S 2 S 0 0
Router(config-if)#ip address 192.168.1.5 255.255.255.0
Router(config-if)texit
R o u t e r ( c o n f i g ) S i n t e r f a c e a e r i a l 3/0
R o u t e r ( c c n f i g - i f S d e s c r i p t i o n C o n e x i o n a I S P 2, A S 2520
R o u t e r ( c o n f i g - i f )# i p a d d r e s s 1 9 2 . 1 6 8 . 2 . 5 2 5 5 . 2 5 5 . 2 5 5 . 0
Router(config-lf fexit
R o u t e r ( c o n f i g ) * i n t e r f a c e f a s t e t h e r n e t 0/0
R o u t e r ( c o n f i g - i f )tfdescription C o n e x i o n a r e d int e r n a , A S 2 0 0 0
Router(config-if)#ip address 172.16.5.2 255.255.255.0
Router(config-if exit
R o u t e r ( c o n f i g ) t\

www.redusers.com

168

02

4
. EN R U T A M IEN T O

Declare el comando r o u t e r

bgp

[n m e ro de A S ] asignado a la red principal e

introduzca las redes correspondientes para el intercambio de informacin con ayuda


del comando n e tw o r k . Luego salga de la configuracin y guarde sus cambios.

Poutr>#ntbl
PouttrtconiQure traln*l
tntmr

f * n n f t g u m m m p M i , on
r o u t r ( c o r . f i g f r o u t o i bgp 2COO

I ln xm vi* nrrui

Poutei <
curTi y-x:I %&5*-4-Oa7*:D
ixquzm

c c u lU r u i fricfc *

lu u iv i- ia .

Mrully.

P o u t# r(c o rf

in # t v o r k

17?

2&S

2S*

6 o u t r (m r .fig - r o u t r fn * lg h > ^ r

119 U f t 1 4 r * n o * - f l 7 ( 0 )

P o u te s ( c o r .f g r o u t e r I n t i ^ h k o :

192 . 1 ( 0 2 . 4

r c n o it u

2 (2 3

P u u ti <cor.f g -x a u ta x ; fa o l y t c h i j n l i i l o a

Routtr<corfig-rDuttr;ftxir
S o u t t r (cor.f i g t n d

R ou trl
4 S Y S -fc -C O K T IC _ I:

03

C c n fiju x c d fro m c c n i o l o b y c c n s o lo

Ahora, solo basta verificar la configuracin efectuada. Para ello, ejecute el comando
sh o w i p bgp sum m ary, ms la tecla EN T ER para desplegar un resumen de la
configuracin BGP.

R u u v r> a b l

Pous*r*hew Ip bjp inrm*ry


b G P rcuctr l d i c u n t r o.0.0.0, loci A> r.ucor 2oco
CP

to blo

v ersi n

ia

i,

mar.

routng

to blc

v ersio r.

C network n 'sri# * r i n g 0 byt:** o f n*rrr>ry

c patr. entriti usir.g 9 eytti


nnory
C/0 DCP p a th 'b ca tp sth tt r :b u te e n frie s uoing 0 bytes of ncxnory
C B*P A5-PATH n t n c i uino 0 bytat cf narrorr
C S i? ju t v -iu p CdMt n u i t f l ualng C b y tv o zmaaL/
C

filto s -lite

cacho o n t r i o a

u o m g 3 b y t o a o f stomory

Bitioli cacht t.r.nti: coxzi&; 1 U t pi)c t) usir.o 32 bytts of tatncry


BGP ualn? 32 i c u l by~s oT cwiiciy
B C r
4Ctlvity 0 / 0 proflxca, C / 9 potas, acn i ntorvol 5 C saco

Kvlghbor
19?

1 4

1 9 2 .1 6 8 .2 .4
S o u t*rf

www.redusers.com

AS M s^ rcvd KsgSotftft

4 mn

2620

o
9

T b lV .r

Xr&2 CuvQ Up/Dowa

0 00-30-44

0 0 9 :3 8 :4 4

3 tt/ ? x R d

R O U T E R S Y S W I T C H E S C IS C O

USERS

169

Como podemos ver, acabamos de em plear


algunos com andos adicionales, los cuales a
menudo pudieran ser de utilidad, como el

PARA VERIFICAR LAS


C ONF I GURACI ONES

siguiente: neighbor [direccin IP ] remote-ass [nmero],

REALIZADAS

el cual se declara para identificar al router vecino


o grupo con el que se establece una sesin y su AS

PODEMOS

respectivo.

USAR SHOW

Para verificar las configuraciones previas


realizadas, podemos recu rrir a alguna variante del
com ando show:
show ip bgp
show ip route summary
show ip bgp summary

ES
El enrutamiento es un proceso que todos los administradores de red debemos prever al momento de
poner en marcha cualquier red de cmputo, sobre todo si queremos garantizar el intercambio de in
formacin de manera eficiente, ntegra y rpida. En este captulo, pudimos apreciar la importancia del
enrutamiento, los tipos de asignacin: esttica y dinmica, y desde luego la ejemplificacin de los
principales protocolos de enrutamiento de estado de enlace y vector distancia: RIP, OSPF, EIGRP y
BGP. En el siguiente captulo, analizaremos las listas de control de acceso (ACL).

www.redusers.com

170

U d k i

4
. EN R U T A M IEN T O

Actividades
TEST DE AUTOEVALUACIN______________________
1

Defina con sus propias palabras enrutamiento.

Cul es la diferencia entre rutas estticas y rutas dinmicas?

Cul es la secuencia de comandos para la configuracin de rutas estticas?

Mencione la clasificacin de los protocolos de enrutamiento dinmico.

Cul es la mtrica utilizada por el protocolo RIP?

Mencione por lo menos tres protocolos de enrutamiento dinmico.

Cul es la mtrica empleada por el protocolo OSPF?

Cul es el comando para conocer si un router est designado como DR o BDR?

Escriba la frmula para el clculo de la mtrica del enrutamiento EIGRP.

10

Qu es un sistema autnomo (AS)?

EJERCICIOS PRCTICOS_________________________
1

Realice una topologa de red en Packet Tracer y efecte el enrutamiento esttico


para conseguir la comunicacin entre seis routers.

Efecte el enrutamiento dinmico mediante el protocolo RIP.

Realice la configuracin de tres routers para designar un equipo DR y un BDR.

Plantee dos ejercicios sobre rutas EIGRP para el clculo de la ruta ms ptima.

Efecte la configuracin bsica BGP sobre una topologa de tres routers.

PROFESOR EN LINEA
Si tiene alguna consulta tcnica relacionada con el contenido, puede contactarse
con nuestros expertos: profesor@redusers.com

www.redusers.com

///////////////

Listas de Control
de Acceso (ACL)
En este captulo conoceremos todo lo relacionado con las
Listas de Control de Acceso. Desde sus caractersticas,
funciones y clasificacin, hasta la forma de crearlas y ponerlas
en marcha sobre el router para obtener un mayor nivel de
seguridad en la red. Adems haremos un recorrido por los
tipos de puertos y protocolos ms comunes en una ACL.

Introduccin a las A C L........ 172

Protocolos de

Verificacin de A C L ............. 206

Listas de Control de

configuracin A C L............... 178

Acceso en V L A N ..................208

Puertos TCP y U D P ............. 179

Resumen..............................213

Tipos de ACL....................... 182

Actividades.......................... 214

172

USERS

5. LIST A S D E C O N T R O L D E A C C E S O (A C L )

Introduccin a las ACL


Hoy en da, se hace cada vez ms necesario el control del trfico
de datos entrante (in) y saliente (out) en una red conectada a internet;
esto con el propsito de prevenir o solucionar problem as derivados
de ataques inform ticos, virus, servicios
ilegales, polticas de restriccin, filtrado de

LAS ACL SON REGLAS

rutas y actualizaciones. Para evitar este tipo de

QUE ESTABLECEN

situaciones, se ha desarrollado una alternativa


que cum ple con el propsito de filtrar el

CONJUNTOS

trfico perm itiendo o denegando determ inadas

DE PERMISOS Y

conexiones. Dicha alternativa recibe el nombre de


A C L (Access Control List).

RESTRICCIONES

Considerem os que las A C L o Listas de Control


de Acceso se definen como un conjunto ntegro
de reglas en las que se establecen condiciones

de perm iso y restriccin que a menudo son usadas para identificar y


filtrar trfico que entra y sale en una red. Este trfico originalm ente se
encarga de transitar por la interfaz de un dispositivo de red, tal y como
lo hiciera un rew all o cortafuegos.
Las Listas de Control de Acceso, generalmente, son aplicadas tanto a
puertos de servicio como nombres de dom inios que estn disponibles
en una term inal virtual de red, basndose en determ inado tipo de

protocolos, e incluso en direcciones de red (IP).


Por lo general, las razones para efectuar la im plem entacin de
ACL en una red varan de acuerdo con la organizacin en la que nos
encontrem os, aunque se sabe que el principal objetivo es proporcionar
un nivel de seguridad para el acceso a la red.

CONTROL DE ACCESO EN GNU-LINUX


Es importante mencionar que para efectuar el control de acceso a la informacin dentro del sistema
operativo del pingino, a menudo nos valemos de la asignacin de polticas de seguridad mediante tres
tipos de permisos:

read (lectura), write (escritura) y ejecucin (exe), los cuales conforman la base de

programacin de una ACL convencional.

www.redusers.com

USERS

R O U T E R S Y S W I T C H E S C IS C O

173

F ig u r a 1 . Las AC L trabajan de manera muy similar a los firewalls en una red.


El funcionam iento de una ACL se centra en un algoritm o selectivo
para decidir si se ha de perm itir (permit) o denegar (deny) el trfico
por las interfaces de un dispositivo residente en la red.
Actualm ente podemos encontrar diferentes tipos de ACL, las cuales
estn clasificadas segn su com plejidad. Las ms conocidas son: las

ACL estndar y las ACL extendidas. La explicacin detallada de cada


tipo de ACL ser abordada ms adelante en el tema correspondiente.

Quiz muchas veces hemos odo hablar del trmino

seguridad informtica. Debemos considerar que

se trata de un rea del rubro tecnolgico encargada del estudio de herramientas, mtodos, reglas y
tambin leyes fehacientes para realizar la proteccin correcta de la infraestructura computacional en
contra de amenazas tales como las que mencionamos a continuacin: accesos no autorizados, ataques,
sabotaje y mal uso de la informacin.

www.redusers.com

5. LISTAS DE C O N T R O L DE A C C E S O (ACL)

192.168.101.254

Figura 2. En el presente esquema se muestra la representacin de una ACL.


Despus de conocer la definicin, las razones de implementacin y
los tipos generales de ACL, vale la pena hacer nfasis en la aplicacin
de Listas de Control de Acceso en un router. Para llevar a cabo esta
tarea, podemos valernos del mtodo de las tres P, el cual refiere que
una ACL puede configurarse por protocolo, por direccin y por interfaz.

Por protocolo: para efectuar el control de flujo de trfico debe


definirse una ACL para cada protocolo habilitado en la interfaz.

Por direccin: las ACL controlan el trfico para una direccin y


tambin en una interfaz. Derivado de esto, deben crearse dos ACL
por separado para controlar el trfico entrante y saliente.

Por interfaz: controlan el flujo de trfico para una interfaz.


Por ejemplo, EthernetO/O o serialO/O/O.

Funcionamiento de las ACL


Las ACL nos ofrecen una serie de caractersticas interesantes,
las cuales debemos conocer para comprender detalladamente tanto
el funcionamiento de una ACL como su forma de implementacin.
Algunas de ellas sern citadas a continuacin:
Una ACL es una lista compuesta por una o ms instrucciones.
Pueden ser asignadas a una o ms interfaces de un dispositivo.

www.redusers.com

175

R O U T E R S Y S W IT C H E S C ISC O

En caso de considerar solo el trco de tipo TCP-IP, para cada


interfaz, solo se debe asignar una ACL para trfico entrante

(in) y otra para el trfico saliente (out).


Derivado de lo anterior, a menudo se

LOS P A Q U E T E S

presenta la clasificacin de las ACL, segn el


procesamiento de paquetes: listas de acceso

ENTRANTES DEBEN

entrantes y listas salientes.

S E R FILTRAD O S

Listas de acceso entrantes: los paquetes


entrantes deben ser filtrados antes de ser

A N T E S DE S E R

enrutados a una interfaz de salida. En caso de

EN RUTAD O S

que el paquete pase la prueba de filtrado, este


ser procesado para el enrutamiento, de lo
contrario ser descartado.
No
Existe ACL en la interfaz?

Paquete entrante

[ S
No

^^Cumplimiento
^
de las
\
condiciones

DENEGAR

S
Aplicar la condicin

Figura 3. En esta imagen, se esquematiza el


procesamiento de una 1i s t a de acceso entrante.
Listas de acceso salientes: los paquetes entrantes regularmente
son encaminados a la interfaz de salida. Posteriormente se procesan
por medio de listas de acceso salientes. Esto quiere decir que
los paquetes que salen deben ser enrutados antes de pasar a ser
filtrados. Como se puede observar, se trata de un proceso contrario
a lo sucedido con las listas de acceso entrante.

www.redusers.com

176

USERS

5 . L IS T A S D E C O N T R O L D E A C C E S O (A C L )

Cada comando puede perm itir o d en egar el trfico, usando para


esto tanto el origen y destino del trfico como el protocolo usado.
Los routers com paran la ACL lnea por lnea. En caso de existir
alguna concordancia, toma la accin de aceptar o denegar el trfico,
por lo que se omite la revisin del resto de los renglones.

Figura 4. Esquema

que muestra el procesamiento de una

1 ista de

a c ce so s a l i e n t e .
En caso de no existir concordancia alguna, el trfico ha de denegarse
en form a com pletam ente autom tica.
Al final de cada ACL se encuentra im plcita la accin deny any.

LA IMPORTANCIA DEL L00PBACK


Las direcciones de red catalogadas como loopback poseen la capacidad de probar si la tarjeta de red
interna de algn dispositivo de red est enviando datos BGP (Border Gateway Protocol). El rango de las
direcciones loopback es 127.0.0.0, de las cuales la ms utilizada es la 127.0.0.1.

www.redusers.com

USERS

R O U T E R S Y S W I T C H E S C IS C O

177

Paquetes a las
interfaces en el
grupo de acceso

Concordancia
de la primera
v

prueba

Concordancia
de las siguientes
\

pruebas

Permitir
(a interfaz
destino)
Concordancia

PERMITIR
0 DENEGAR

de las ltimas
v

pruebas

No
(denegacin implcita)

Denegar

Papelera para
descartar
paquetes

F ig u r a 5 . En la presente imagen, se ilustra


el funcionamiento general de una ACL.

RESTRICCION DE ACCESO
Es interesante mencionar que de la misma manera que se restringen los accesos a un destino u origen,
se puede restringir el acceso mediante Telnet a un router determinado. Esto se realiza con el fin de ase
gurarse de que solo los administradores de dicho dispositivo pueden establecer la conexin. Lo anterior
implica realizar una lista completa de los administradores que s pueden acceder a este router va Telnet
(incluyendo la IP empleada por el administrador).

www.redusers.com

178

USERS

5. LIST A S D E C O N T R O L D E A C C E S O (A C L )

Protocolos de
configuracin ACL
A lo largo de este captulo, vam os a encontrarnos con algunos
trm inos que hacen referencia a temas tales como: protocolos y

puertos em pleados en la configuracin de una ACL. Esto quiere decir


que para llevar a cabo la configuracin de una Lista de Control de
Acceso requerirem os en su momento de la asignacin o invocacin de
algn protocolo o puerto de com unicacin existente.
Algunos de los protocolos ms utilizados y que generalm ente se
em plean en el m bito de la configuracin de las Listas de Control de
Acceso se m uestran en la siguiente tabla:

TABLA 1: PROTOCOLOS PRESENTES EN LA CONFIGURACIN DE ACL


T PROTOCOLO/COMANDO

T DESCRIPCIN

Tcp

Transmission Control Protocol (Protocolo de Control de Transferencia).

IP

Internet Protocol (Protocolo de Internet).

Udp

User Datagram Protocol (Protocolo de Datagrama de Usuario).

Ospf

OSPF Routing Protocol.

Icmp

Internet Control Message Protocol (Protocolo de Mensajes de Internet).

Eigrp

Cisco EIGRP Routing Protocol.

(]

Tabla 1. Protocolos ms utilizados en la configuracin de una ACL.

r
i

PUERTOS Y MS PUERTOS
J k

Actualmente podemos encontrar una gran variedad de puertos TCP / UDP utilizados por los adminis
tradores de redes. Si queremos conocer cules son estos puertos, podemos consultar la pgina web
que se encuentra en la direccin www.vermiip.es/puertos. A travs de este portal, tambin es posible
conocer nuestra direccin IP pblica.

www.redusers.com

R O U T E R S Y S W IT C H E S C ISC O

Puertos TCP y UDP


Como se ha citado previamente, existe una gran variedad de
protocolos de comunicacin en la actualidad. Aunque dos de ellos son
los ms representativos y a menudo utilizados en el mbito de las
telecomunicaciones: el TCP y el UDP.

Protocolo TCP: es un protocolo de la capa de transporte del


modelo OSI. Est orientado a la conexin, por tanto nos ofrece una
transmisin confiable de los datos (transmisin bidireccional).

Protocolo UDP: se trata de un protocolo no orientado a la conexin.


Se encarga del intercambio de datagramas sin confirmacin o
garanta de entrega. UDP se define en la RFC768.
Derivado de lo anterior, debemos saber que tanto el modelo OSI,
como el modelo TCP-IP se encargan de exponer una gran variedad de
puertos que emanan de sus capas, los cuales a menudo son referidos
para la configuracin de ACL. Recordemos que la tarea de filtrado de
paquetes se implementa con la finalidad de controlar el acceso a la red.
La misma que se lleva a cabo de manera especfica en la capa de red
del modelo OSI y en la capa de internet del modelo TCP-IP.

Modelo OSI

Modelo TCP-IP

Capa de Aplicacin
Capa de Presentacin

Capa de Aplicacin

Capa de Sesin
Capa de Transporte

Capa de Transporte

Capa de Red

Capa de Internet

Capa de Enlace de Datos

Capa de acceso a la red


(NAL)

Capa Fsica

Figura 6. El filtrado de paquetes para el control


de acceso tiene su origen en la capa de red del modelo O S I.

www.redusers.com

HHHZ23

5. LISTAS DE C O N T R O L DE A C C E S O (ACL)

Actualmente, los protocolos TCP y UDP mantienen asociados un


conjunto de puertos conocidos como: puertos TCP y puertos UDP.
Para poder comprender lo que vamos a analizar ms adelante
es necesario comenzar a definir el trmino puerto: se trata de una
interfaz de comunicacin, la cual se encuentra generalmente numerada
con el fin de identificar la aplicacin que la usa. Esta numeracin tiene
a bien indicarse mediante una palabra (equivalente a 2 bytes o 16

bits), por lo que existen 65,535 ID de puertos.

Figura 7. Esta imagen muestra un


esquema de puertos TCP y UDP existentes.

www.redusers.com

181

R O U T E R S Y S W IT C H E S C ISC O

Los puertos de comunicacin normalmente se encuentran


asignados a un protocolo. Esta asignacin es, a menudo, definida por
una organizacin conocida como IANA (Internet Assigned Numbers
Authority), la cual ha agrupado dichos puertos en tres categoras:
Puertos bien conocidos (TCP/UDP).
Puertos registrados (TCP/UDP).

GENERALM ENTE,

Puertos privados (TCP/UDP).

LOS P U E R T O S DE

Puertos bien conocidos: se definen como

COMUNICACIN SON

puertos reservados para el sistema operativo.


Se trata de puertos inferiores al 1024.

ASIGNAD O S A U N

Puertos registrados: son aquellos que

PROTOCOLO

pueden ser usados por cualquier aplicacin.


Estos puertos se encuentran comprendidos
entre 1024 y 49151.

Puertos privados: normalmente se asignan en forma dinmica a


las aplicaciones de clientes al iniciarse una conexin. El rango de
estos puertos es de 49152 a 65535. Consideremos que son conocidos
como puertos dinmicos.
Los puertos que a menudo son invocados en la configuracin de
una ACL pueden ser declarados de dos modos distintos en el router:
mediante el nmero de puerto o mediante una palabra clave.
Recordemos que cada puerto de comunicacin tiene asociado un
nombre y un valor numrico como se ha visto hasta ahora.

Usos de nmeros de puerto


access-list 114 permittcp 192.168.20.0.0.0.0.255 any eq 23
access-list 114 permittcp 192.168.20.0.0.0.0.255 any eq 21
access-list 114 permit tcp 192.168.20.0.0.0.0.255 any eq 20
Usos de palabras clave
access-list 114 permit tcp 192.168.20.0.0.0.0.255 any eq telnet
access-list 114 permittcp 192.168.20.0.0.0.0.255 any eq ftp
access-list 114 permittcp 192.168.20.0.0.0.0.255 any eq ftp-data

Figura 8. Existen dos modos de declarar


un puerto durante la configuracin de una ACL.

www.redusers.com

182

USERS

5. LIST A S D E C O N T R O L D E A C C E S O (A C L )

Tipos de ACL
Sabemos que existen diferentes tipos de ACL debidamente
clasificadas, y que tanto las ACL estndar como las ACL extendidas son
las ms representativas y empleadas por los adm inistradores de redes,
pues estas representan la base de algunos tipos de ACL modernas.
En la actualidad existe una clasificacin especial de Listas de Control
de Acceso: las ACL com plejas, entre las que tenemos: ACL dinmicas,

reflexivas

basadas en tiempo.

Muchos adm inistradores en redes, a menudo, recurren al hbito de


nombrarlas en vez de asignar un rango numrico que las identifique (ACL

numeradas); cuando esto sucede son conocidas como ACL nombradas.

TABLA 2: TIPOS DE ACL


CLASIFICACIN

FUNCIN
ACL estndar.

ACL nombradas o numeradas.


ACL extendidas.
ACL dinmicas.

ACL complejas.

ACL reflexivas.
ACL basadas en tiempo.

Tabla 2 . Clasificacin de los tipos de ACL.

La diferencia entre cada una de ellas radica generalm ente en la


form a de filtrar dicho trfico en la red, el cual se encuentra en funcin
de la seguridad. Cada tipo de ACL puede utilizarse de acuerdo con la
necesidad de la organizacin (tamao, requerim ientos y escalabilidad).

Listas estndar
Las ACL estndar tambin son conocidas como ACL bsicas o
simples. Este tipo de listas solamente permite filtrar conexiones segn la

direccin IP de red-subred-host de origen. Las ACL estndar a menudo


se caracterizan por ofrecer un control mnimo de flujo de trfico en la red.

www.redusers.com

pn=sn

R O U T E R S Y S W IT C H E S C ISC O

Interfaz

Lgica de las ACL estndar

Figura 9. La ACL estndar utiliza una


d i r e c c i n I P para el filtro de conexiones.
Como se puede apreciar, las ACL estndar cuentan con una lgica
bastante sencilla, pero una de sus principales desventajas es que no
es muy segura en comparacin con otro tipo de ACL. Sin embargo,
encontraremos que este tipo de listas es de vital efectividad cuando se
trabaja en una pequea organizacin.

Configuracin ACL estndar


Consideremos que para efectuar la configuracin de una ACL
estndar, debe emplearse el comando access-list, acompaado de su
respectivo conjunto de parmetros. Para tales efectos, debemos estar
situados en el modo de conguracin global del IOS.

www.redusers.com

184

HHHZ23

5. LISTAS DE C O N T R O L DE A C C E S O (ACL)

Su declaracin sobre la CLI se asigna de la

LAS ACL, A MENUDO,

siguiente manera: access-list [ID de la ACL] [permit

INVOCAN LA

/ deny] [IP origen] [wilcard / any]. Donde el ID de

la ACL se encuentra comprendido entre 1 y 99

DIRECCIN DE RED

(aadiendo un rango de 1300 a 1999 en rango

P A R A E L CONTROL

extendido). Como se puede ver, el parmetro


permit o en su caso deny permite o deniega el flujo

D EL TRFICO

del trfico en la red respectivamente. Las Listas


de Control de Acceso estndar, a menudo, invocan
la direccin de red (IP origen) para el control

del trfico que proviene o se dirige a un dispositivo (pudindose


incluso expresar una direccin IP para host). Esta generalmente viene
acompaada de una wilcard, definida en trminos lgicos como una
operacin NOT de la ya conocida mscara de red. Para entender
mejor este concepto, debemos saber que la wilcard posee todos los bits
de red con valor 0 a los host con valor 1.

Router>enable
Router#configure terminal
Enter c o n f i g u r a t i o n commands, one p e r line.
En d w i t h CNTL/Z.
R o u t e r ( c o n f i g ) a c c e s s - l i s t 20 d e n y 1 9 2 . 1 6 8 . 0 . 0 0 .0 .0.2S5
R o u t e r ( c o n f i g ) ^ a c c e s s - l i s t 20 p e r m i t any

Figura 1 0 . En la presente imagen se muestra


la configuracin inicial de una ACL e s t n d a r .
El comando permit, acompaado del trmino any, especifica en estos
casos si se ha permitido el acceso a cualquier origen o destino.
Una vez configurada la ACL estndar, es necesario asignarla a una

interfaz: para ello, se invoca en primera instancia la interfaz del router

www.redusers.com

USERS

R O U T E R S Y S W I T C H E S C IS C O

185

correspondiente. Por ejem plo: interface serial 0/0/0,

PARA APLICAR UNA

efectuando posteriorm ente la siguiente secuencia


de comandos: ip access-group [ID de la ACL] [in /

A C L A L TRFICO

out]. Debemos saber que para aplicar la ACL al

E N T R A N T E POR LA

trfico entrante por la interfaz se debe m anejar el


parm etro denom inado in; en cambio, en el caso

I N T E RF A Z SE USA EL

de que necesitem os establecer una ACL para el

PARMETRO IN

trfico saliente ser necesario que utilicem os el


parm etro conocido como out.

Router>enable
Router#configure
Enter

terminal

configuration commands,

one per

R o u t e r (c o n f i g ) # a c c e 3 3 - 3 t

20

R o u t e r (c o n f i g ) # a c c e 3 3 - l i 3 t

20 p e r m i t

R o u t e r (c o n f i g ) $ i n t e r f a c e
R o u t e r (c o n f i g - i f ) # i p
Router(config-if)

line.

End with CNTL/Z.

deny 192.168.0.0

fastethernet

acce33-group

20

0.0.0.255

any
0/0
in

it

Router(config)$exit
Router#
%SYS-5-CONFIG_I: Configured

from consol

by

consol

F ig u r a 1 1 . Configuracin de la interfaz de una A C L e s t n d a r .


A continuacin vam os a describir un ejem plo prctico para
com prender el funcionam iento y la configuracin de una AC L estndar.
Para ello veam os el siguiente Paso a paso:
\\Z\

CALCULADORA PARA REDES


A travs de la pgina de internet que se encuentra en la direccin

www.subnet-calculator.com es

posible tener acceso a un llamativo recurso para que podamos efectuar el clculo de wilcard, subredes,
rangos de direcciones IP, entre otras operaciones importantes. Consideremos que este tipo de recursos
es muy til a la hora de trabajar con redes de datos.

www.redusers.com

186

HHHZ23

5. LISTAS DE C O N T R O L DE A C C E S O (ACL)

PAP: PROCESO DE CONFIGURACIN DE UNA ACL ESTNDAR


Debe determinar las direcciones que han de
0

a i

permitirse o denegarse. La actual

configuracin debe realizarla mediante el uso del comando a c c e s s - 1 i s t .

Router>enabie
Soucerjccnfigure terminal
I n t e r c o n f i g u r a t i o n ccronand3, o n e p e r line.
Znd w i t h CNTL/Z.
X o u t e r ( c o n f i g ) * a c c e s s - l i s t IS d e n y 1 7 2 . 1 6 . 0 . 0 0 . 0 . 0 . 2 S S
R o u t e r ( c o n f i g ) * a c c e * s - l i s t IS p e r m i t a n y

02

Una vez permitida o denegada la conexin correspondiente, debe configurar la


interfaz a la que desea asociar la A C L creada. Si no ha asignado una direccin de
red a dicha interfaz, puede realizarlo en este momento.

Router>enabl
Routerfconfigure terminal
n t e r c o n f i g u r a t i o n c c m m a n d s , o n e p e r line.
Z n d w i t h CNTL / Z .
R o u t e r (c c n f i g ) y a c c e = 3 - l i s t 15 d e n y 1 7 2 . 1 6 . 0 . 0 0 . 0 . 0 . 2 5 5
R o u t e r c o n f i g ) * a c c e = s - l i s t 15 p e r m i t a n y
R o u t e r <c o n f i g ) f i n t e r f a c e f a s t e t h e r n e t 0/0
R o u t e r ( c o n f i g - i f )t i p a d d r e s s 1 0 . 0 . 0 . 1 2 5 5 . 2 5 5 . 2 5 5 . 0

www.redusers.com

R O U T E R S Y S W IT C H E S C ISC O

03

nnun is7

Finalmente utilice el comando i p access-group acompaado del ID de la ACL


y el indicador de flujo de entrada o salida, segn corresponda (in / out), con el fin
de comenzar a asociar la interfaz definida a la ACL recientemente creada. Para
finalizar presione la tecla ENTER.

3oucer>enable
Routertccnfigure terminal
E n t e r c o n f i g u r a t i o n c o m m a n d * , o n e p e r line.
End wit h CNTL/Z.
R o u t e r {config) iraccess-list IS d e n y 1 7 2 . 1 6 . 0 . 0 0 . 0 . 0 . 2 5 5
R o u t e r (config) # a c c e 3 5 - 3 t 15 p e r m i t a n y
Router (config) interface f=3tetherr.et 0/0
R o u t e r ( c o n f i g - i f )<flp a d d r e 3 3 1 0 . 0 . 0 . 1 2 5 5 . 2 5 5 . 2 5 5 . 0
R o u t e r ( c o n f i g - i f )* i p a c c e a a - g r o u p 15 o u t
Router(config-if)exit
Router(config)fexit
Router;
*SY S-5-CONFIG_I: Ccnfigured from consol b y consol

Listas extendidas
Las ACL extendidas a menudo suelen
utilizar una lgica de funcionamiento (prueba
de paquetes) ms compleja, ya que permiten
controlar el trfico en base a la direccin IP

de origen, la direccin de destino, puertos


TCP-UDP origen-destino y el tipo de protocolo
utilizado. Por tanto, a diferencia de lo que sucede
con la ACL estndar, las listas extendidas nos

LA S ACL EX T EN D ID A S
PRESENTAN
UNA LGICA DE
FUN CIO N AM IEN TO
MS C O M P L E JA

van a permitir especificar la ubicacin a la que se


dirige el trfico, por lo que de este modo tenemos
la opcin de denegar o tambin permitir que se efecte un trfico de
una manera mucho ms especfica. Actualmente las listas extendidas
suelen ser las ms utilizadas, sobre todo porque nos ofrecen mayor
control del trfico y son ms seguras.

www.redusers.com

5. LISTAS DE C O N TRO L DE A C C ESO (ACL)

Figura 1 2 . La lgica de funcionamiento de


una ACL e x t e n d i d a suele ser ms compleja.

www.redusers.com

USERS

R O U T E R S Y S W I T C H E S C IS C O

189

Configuracin ACL extendida


Para dar de alta una Lista de Control de Acceso extendida, al
igual que una ACL estndar, debemos em plear el comando access-

list, acom paado de su respectivo conjunto de parm etros. Para


su configuracin, no olvidem os estar situados en el modo de

conguracin glo b al del IOS.

Router>enable
Router#configure

terminal

Enter c onfiguration commands, one per line.


Route r ( c o n f i g ) a c c e s s - l i 3 t 120 deny ?
ahp

Authenticaticn Header

eigrp

Cisco'3

EIGRP

routing protocol

e3p

Encapsulation

Security Payload

gre

Cisco's

icmp

Internet

ip

Any

ospf

OSPF

tcp

Transmission Control

udp

User

Router(config

GRE

End with CNTL/Z.

Protocol

tunneling

Control Message

Internet

Protocol

Protocol

routing protocol
Datagram
)

Protocol

Protocol

F ig u r a 1 3 . Modo de verificar los p r o t o c o l o s aplicados a una ACL.


La sintaxis correcta para la declaracin de una ACL extendida se
expresa de la siguiente manera: access-list [ID de la ACL] [permit / deny]

[protocolo] [IP origen][wilcard / any] [IP destino] [wilcard / any]. Donde el


ID de la ACL se encuentra esta vez com prendido entre 100 y 199 (con
un rango extendido de 2000 a 2699). Como puede verse, el parm etro

permit o en su caso deny se encarga de perm itir o denegar el flujo del


trfico en la red. Como ejem plo de protocolos vlidos en estos casos

ACL PARA GAMA ALTA


Las ACL Turbo aparecieron a partir de la versin 12.1.5 T del software CISCO IOS y solo son aplicables
a plataformas de gama alta. Este tipo de listas de acceso garantiza un alto rendimiento del router, ya que
por lo regular son compiladas en cdigo ejecutable.

www.redusers.com

190

HHHZ23

5. LISTAS DE C O N T R O L DE A C C E S O (ACL)

podemos citar: IP, ICMP, TCP, UDP, EIGRP,

PA R A C O N FIG URAR

OSPF, etctera. Una manera sencilla de conocer

UNA ACL EXTEND ID A

los protocolos (que se pueden permitir o denegar)


que soporta nuestro router es mediante el uso de

E S P E C IF IC A M O S LA

la siguiente secuencia de comandos: access-list [ID

IP DE ORIGEN E IP

de la ACL] [deny / permit] ?

Recordemos que para la configuracin de una

DE DESTINO

ACL extendida debemos especificar la direccin

de red (IP origen) y direccin de red (IP destino)


para mantener el control del trfico en la red.
En el mbito del control de acceso, todas nuestras direcciones vienen
generalmente acompaadas de una wilcard o mscara comodn.
Una vez configurada la ACL extendida, procedamos a asignarla a
una interfaz: para tal efecto, sigamos el procedimiento utilizado en la
configuracin de las listas estndar.

Router>enable
Router?configure terminal
E n t e r c o n f i g u r a t i o n commands, one p e r line.
End with CNTL/Z
R o u t e r ( c o n f i g ) _____________
# a c c e s s - l i s t 150 d e n y t c p h o s t 2 0 4 . 2 0 4 . 1 0 . 1 a n y eq
<0- 5535>
Port number
ftp
F i l e T r a n s f e r P r o t o c o l (21)
pcp3
P o s t O f f i c e P r o t o c o l v 3 (110)
smtp
S i m p l e H a i l T r a n s p c r t P r o t o c o l (25)
telnet
T e l n e t (23)
WWW
W o r l d W i d e W e b (HTTP, 80)
R o u t e r (c o n f i g
)

Figura 14. Modo de verificar los puertos


para la configuracin de una ACL.

Al iniciar la configuracin de una ACL, a menudo podemos incluir


argumentos tales como el trmino any, eq [Puerto] (que en este caso
especifica el nmero de puerto, por ejemplo: 80/www-http) y el
trmino host (direccin de un equipo en particular). Lo anterior con
el fin de hacer ms precisa nuestra configuracin. Una forma de

www.redusers.com

n n u n

R O U T E R S Y S W IT C H E S C ISC O

191

igual modo fcil para conocer los puertos que se pueden invocar
desde nuestro router es mediante el uso de la siguiente secuencia de
comandos: access-list [ID de la ACL] [deny / permit] [protocolo] any [direccin
IP de host o de red] eq ?

Para poder comprender mejor la configuracin de una A C L


extendida, vamos a describir un ejemplo prctico. Para ello veamos el
siguiente Paso a paso:

PAP: PROCESO DE CONFIGURACION DE UNA ACL EXTENDIDA

01

De igual modo que en las ACL estndar, primero debe determinar las direcciones de
red que han de permitirse o denegarse. Para esto introduzca el comando a c c e s s 1 i s t , acompaado del protocolo vlido, la direccin IP origen y destino.Termine
con su respectiva mscara comodn. Presione la tecla ENTER.

Rcuter>enable

R o u t e r tc o n f i g u r e t e r m i n a l
E n t e r c o n f i g u r a t i o n cocsnand*, o n e p e r line.
End wit h CNTL/Z.
R o u t e r ( c o n f i g ) a c c e s s - l i a t ISO d e n y t c p h o s t 1 7 2 . 1 6 . 0 . 1 a n y e q 80
Router(conf i g ) *acce3s-li3t 1 5 0 permit ip a n y a n y

)// TE RESULTA TIL?


Lo que ests leyendo es el fruto del trabajo de cientos de personas que ponen todo de s para lograr un mejor
producto. Utilizar versiones "pirata" desalienta la inversin y da lugar a publicaciones de menor calidad.
NO ATENTES CONTRA LA LECTURA. NO ATENTES CONTRA T I. COMPRA SLO PRODUCTOS ORIGINALES.
Nuestras publicaciones se comercializan en kioscos o puestos de voceadores; libreras; locales cerrados; supermercados e internet
(usershop.redusers.com). Si tieres alguna duda, comentario o quieres saber ms, puedes contactarnos por medio de usersh3p@1edusers.com

www.redusers.com

192

02

ESSS

5. LISTAS DE C O N T R O L DE A C C E S O (ACL)

Ahora, debe configurar la interfaz a la que desea asociar la A C L que acaba de crear.
Asigne una direccin de red vlida y finalmente presione la tecla EN T ER. No olvide
guardar su configuracin.

3outer>enble
Router*configure terminal
Z n t e r c o n f i g u r a t i o n conanands, one p e r line.
and w i t h CNTL/Z.
R o u t e r ( c o n f i g ) * a c c e s s - l i * t 150 d e n y t c p h o s t 1 7 2 . 1 6 . 0 . 1 a n y e q 80
R o u t e r ( c o n f i g ) a c c e s s - l i s t 150 p e r m i t i p a n y a n y
R o u t e r ( c o n f i g ) t i n t e r f a c e f a s t e t h e r n e t 0/0

03

Finalice la configuracin asociando la interfaz antes creada a la A C L. Para ello


utilice el comando i p a c c e s s - g r o u p

acompaado del ID de la A C L y el

indicador de flujo de entrada o salida, segn corresponda (in / out).

Router>enable
Routerfconfigure terminal
Z n t e r c o n f i g u r a t i o n c c m m a n d s , o n e p e r line.
Znd wit h CNTL/Z.
R o u t e r c o n f i g ) y a c c e s s - l i s t 150 d e n y t c p h o s t 1 7 2 . 1 6 . 0 . 1 a n y e q 80
Router ccnfig)access-list 150 permit ip any any
R o u t e r :c o n f i g ) ? i n t e r f a c e f a s t e t h e r n e t 0/0
R o u t e r ( c o n f i g - i f ) i p a c c e s s - g r o u p 150 i n
R o u t e r ( c o n f i g - i f )j e x i t
Router(ccnfig)jexit
Router;
% S Y S - S - C O N F I G _ I : Cor.figured f r o m c o n s o l b y c o n s o l

www.redusers.com

193

n n u n

R O U T E R S Y S W IT C H E S C ISC O

Listas dinmicas
Las ACL dinmicas son a menudo conocidas tambin como

Lock and Key ACL (ACL de bloqueo). Estas se


encuentran dentro de la clasificacin de las listas

LAS ACL DINAMICAS

de acceso complejas.
Es necesario considerar que las ACL dinmicas

T A M B I N SON

son listas que solo nos permiten efectuar el flujo

CONOCIDAS COMO

de trfico tras la autenticacin de usuarios va


remota (mediante el uso de Telnet). A partir de este

LOCKAND

momento, consideremos que una ACL dinmica se

KEY ACL

agrega a una ACL extendida permitiendo el trfico


durante un perodo de tiempo (time-out).

La PC02 se conecta virtualmente


al Router C para autentificarse

La PC02
puede
usar FTR
HTTP para
conectarse
al Router C
192.168.40.0

2950-24
SW3

2950-24
SW2

Laptop - PT
PC02
192.168.20.10

Laptop - PT
PC03
192.168.40.10

Figura 1 5 . Las ACL d i n m i c a s


usan un mecanismo bsico de autenticacin.

www.redusers.com

194

USERS

5. LIST A S

D E C O N T R O L D E A C C E S O (A C L )

Configuracin ACL dinm ica


Para efectos de configuracin de una ACL dinmica, se necesitarn
los comandos antes explicados. Aunque vale recordar que este tipo
de listas se centra en la autenticacin por medio de telnet, por lo que
es necesario haber creado una cuenta de autenticacin de usuarios
(utilizando el com ando username y en seguida haber configurado la
lnea correspondiente con la ayuda de line vty 0 4).

Router>enable
Router#configure
Enter

terminal

configuration ccmmands,

R o u t e r (c o n f i g ) ? u s e r n a m e
Router(config)Sinterface

one per

editorial
serial

access-group

Router(config-if)#no

shutdown

Interface

End with CNTL/Z.

password users

0/0/0

R o u t e r ( c o n f i g - i f ) i p
%LINK-5-CHANGED:

line.

100

in

Serial0/0/0,

changed

State

to down

Router(config-if)#exit
Router(config)#access-li3t

100 permit

any host

Router(config)#acce3s-list

100 permit

tcp

R o u t e r ( c o n f i g)#acce33-list 100 dynamic


0 0.0.0.255 192.168.40.0 0.0.0.255
Router(config)tfline vty

10.2.2.2

any host

te3tlist

eq 23

10.2.2.2

timeout

eq 23

15 p e r m i t

0 4

R o u t e r ( c o n f i g - l i n e )? l c g i n l o c a l
R o u t e r {c o n f i g - l i n e ) f|

F ig u r a 1 6 . Configuracin de las AC L d i n m i c a s en un router.


Para com prender m ejor el funcionam iento de una ACL dinmica,
im aginem os una arquitectura cliente-servidor, donde el cliente
solicita inform acin al servid or en la red (en su defecto, acceso a un
recurso). Este ltim o se encarga de proporcionar el servicio o recurso
al cliente, siempre y cuando cum pla con la regla de autenticacin.
De lo contrario su peticin ser negada.

Un firewall es una herramienta de control de acceso, esto significa que posee la habilidad de limitar y
controlar el acceso a los sistemas anfitriones y las aplicaciones mediante ciertas reglas. Para conseguir
dicho control, cada entidad que desea ganar acceso debe recurrir al proceso de autenticacin.

www.redusers.com

\BPMsl d

R O U T E R S Y S W IT C H E S C ISC O

195

Router

Figura 17. Representacin de una ACL dinmica,


con el ejemplo de una arquitectura e l i e n t e - s e r v i d o r .

Listas reflexivas
Debemos tener en cuenta que en toda red
moderna, el trfico que proviene desde el exterior
debe ser bloqueado a menos que quede permitido

EN LAS R E D E S

por una ACL o se retome el trfico iniciado desde

M ODERNAS, EL

el interior de la red.
Debemos saber que muchas aplicaciones

TRFICO EX T ER IO R

comunes se basan en TCP, el cual construye

DEBE SER

un circuito virtual entre dos puntos finales.


Las soluciones para el filtrado de trfico basado

BLOQUEADO

en la conectividad de dos vas de TCP son:


TCP establecida.
ACL reflexiva (solo en ACL nombradas).
Hace tiempo, surge la primera generacin de solucin de filtrado de
trfico basado en TCP establecida como orden en las ACL extendidas:
established. Consideremos que este comando, usado solo para TCP de

entrada (opcional), se encarga de bloquear todo el trfico de respuesta


TCP presente dentro de la red (asumiendo que el trfico est asociado a
una conexin nueva iniciada desde el exterior), a menos que predomine
un conjunto de bits ACK o RTS establecido.

www.redusers.com

5. LISTAS DE C O N T R O L DE A C C E S O (ACL)

PC01

Red interna

PC02

Figura 18. En el presente esquema se visualiza una


topologa que ilustra las ACL de TCP e s t a b l e c i d o .
Actualmente, los administradores de red utilizan las ACL reflexivas
para permitir el trfico IP de las sesiones procedentes de su red al
tiempo que niega el trfico IP de las sesiones originadas fuera de la red.
Es entonces cuando el router lleva a cabo la tarea de examinar el trfico
de salida y cuando ve una nueva conexin, se agrega una nueva entrada
en una ACL temporal para permitir las respuestas hacia adentro.
Las listas reflexivas a menudo se encargan de permitir el flujo de
trfico solo si es iniciado en una direccin, pero sin usar las banderas
de conexin de TCP. Anteriormente hemos visto que en vez de
direccin de red IP se pueden colocar otros protocolos, adems de un
conjunto de criterios adicionales apegados al protocolo en cuestin.
Debemos saber adems qu TCP a menudo nos permite agregar

www.redusers.com

n n u n

R O U T E R S Y S W IT C H E S C ISC O

197

al final del identificador de origen o destino un

E S IM PO R TA N T E

identificador de puerto, que en ocasiones nos


permite incluir adicionalmente algunas banderas

VALORAR LA

de conexin como established.


Este caso particular de TCP es muy til cuando

CONDICIN P E R M IT

se tienen dos redes de las cuales una es confiable

PA R A C O N EXIO N ES

y la otra no. Ante esto es preferible valorar la

C O N F IA B L E S

condicin permit solo para conexiones cuya


solicitud provenga de la red confiable, es decir,
que se abran desde la red interna y no se puedan
abrir conexiones desde la red externa.

Router>enable
Routertfconfigure te rminal
R o u t e r (c o n f i g ) a c c e 3 3 - l i 3 t 1 0 0 p e r m i t t c p a n y 80 1 9 2 . 1 6 3 . 1 . 0 0 . 0 . 0 .
R o u t e r ( c o n f i g ) * a c c e 3 s - l i 3 t 100 d e n y ip any any
Router(config)#interface 3erial 0/0/0
R o u t e r ( c o n f i g - i f )s i p a c c e s s - g r o u p 1 0 0 i n
R o u t e r ( c o n f i g - i f ) $|

Figura 1 9 . Configuracin de una ACL de TCP e s t a b l e c i d o .

Configuracin ACL reflexiva


Es importante mencionar que para efectuar el proceso de
configuracin de una ACL reflexiva deben emplearse dos palabras
claves adicionales, tales como: reflect y evalate.
Podemos, incluso, colocar una IP de salida, en la cual se va a
permitir el trfico, pero antes deben crearse las ACL necesarias para
el trfico de retorno con reflect y de entrada se le debe indicar a la ACL
que evale (a travs de la orden conocida como evalate) las entradas
dinmicas por la ACL de salida.

www.redusers.com

HHHZ23

5. LISTAS DE C O N T R O L DE A C C E S O (ACL)

Router(config)$ip access-list extended SALIDA


R o u t e r ( c o n f i g - e x t - n a c l )S p e r m i t i c m p 1 7 2 . 1 8 . 0 . 0 0 . 0 . 0 . 2 S S a n y r e f l e c
R o u t e r (c o n f i g - e x t - n a c l )* i p a c c e a s - l i s t e x t e n d e d E N T R A D A
R o u t e r (c o n f i g - e x t - n a c l )^ e v a l a t e T I C H P
R o u t e r (c o n f i g - e x t - n a c l )f i n t e r f a c e s e r i a l 2 / 0
R o u t e r ( c o n f i g - i f ) i p a c c e s s - g r o u p S A L I D A out
R o u t e r ( c o n f i g - i f )# i p a c c e s s - g r o u p E N T R A D A i n
Router(config-if
)

Figura 2 0 . Asignacin de una direccin


IP para configurar una ACL r e f l e x i v a .
Para llevar a cabo la configuracin de una ACL reflexiva vamos a
guiarnos del siguiente ejercicio (adjunto a la topologa), el cual nos
ayudar a comprender en tres sencillos pasos su configuracin.

Regreso de trfico
Puerto 80 y 53 permit.
El resto deny.

Inicio de trfico
Puerto 80 y 53.

Red interna

Figura 2 1 . Topologa para la configuracin de una ACL r e f l e x i v a .

www.redusers.com

B H H Z 3

R O U T E R S Y S W IT C H E S C ISC O

199

PAP: PROCESO DE CONFIGURACION DE UNA ACL REFLEXIVA

01

En primer lugar, cree una A C L Jn te r n a que busque nuevas sesiones salientes.


Perm ita el servicio proporcionado por los puertos en cuestin, coloque un nombre
vlido y un tiempo de espera adecuado

(10 segundos).

Router>enable
R o u t e r * c o n f i g u r e t e rminal
I n t e r c o n f i g u r a t i o n cssx&anda, o n e par lina. E n d w i t h CNTL'Z.
Routericonfig)tip accaaa-liat extended ACL_Interna
R u u i t r ;c o n f lg-ttxx,-nac >fpex.au t t c p any n y q 60 r i e c i K A V - A C L - ? F L E X I \
R o u t e r ! c o n f i g - e x t - n a c l > f p e n n i t u d p any a n y eq 53 r e l e c t D N S - A C L - Z F L E X H
R o u t e r ;c o n f i g - e x t - n a c l ) tex::
R o u t e r ( c o n f i g )t

02

Proceda a crear una A C L _ E X T E R N A que utilice las A C L reflexivas para examinar


el trfico del entorno. Declare la lista extendida y evale con e v a l u a t e .

*outer>nable
Routerconfaure terminal
E n t r conflgur*tion ccnsnandi, on p: line. End wich CKTL/Z.
auter (conflg)lip accaaa-liat extendad ACL_Interne
Router(config-axt-nacl)fpermit tcp aay any eq 80 reflect NAV-ACL-BEFLEXIV
Kouchx. (conflg-axt-nacl) poimi.1, udp ay xy y 53 xaflecb Dtta-ACX.-RZFL5XIV
Router(confg-ftxt-nacl) f exit
Router(config)tip acceas-liat extended A C L_XTERNA
Router (conf ig-axt-nacl) levtlutce HAV-ACL REFLEXIVA
Router(config-ext-nacl)fevaluate DNS-ACL REFLEXIVA
Router(config-ext-nacl)tdeny ip any any
Router(config-ext-nacl)#exit
Rcuter ccnfig'';

www.redusers.com

200

03

ESSS

5. LISTAS DE C O N T R O L DE A C C E S O (ACL)

Finalmente asocie las A C L creadas a una interfaz apropiada. Para ello utilice el
comando i p a c c e s s - g r o u p . Y determine cul es de entrada ( i n) y cul de
salida ( o u t ) . Finalice guardando la configuracin previa.

Routr>nabl*
H o u t t r t c o n n g u r * tnBinl
Entr configuration coantndi. on* p*r lia*. End with CNTL/Z.
Rout*r config)tlp
xtnd*d XCL_Int*rn
Router conflg-xt-nci) pncut tep *ay *ny q 80 rflct KAV-ACL-PXrLEXIV
Routr c o n f l g - x t - n c l >tprmlt u d p aay *ny *q 53 rflct DBS-ACL-REFLEXXV
Routr c o n f i g - x t - n c l 1txit
Routr conflg)91p ccas>li*c xtndtd A C L_EXTZRNA
R ou ta c c o n i f e m

IIA V X C L A Z r U X r A

Routr conflg-xt-n*ci)#vlu*t DKS-ACL REITEXIVA


Routr conflg-xt-ncl)tdny p * n y *ny
Rout*r config-xt-ncI>txit
R ou vtt c o n f l9 ) $ ia t . t f (c

19/0/1

Routr c o n f i g - i f )#ip ccas-group ACL-Intra out


Routr c o n f i g - i f )#ip cc*i-grcup ACL-ZX7IRXA ln
R o u tr Ic o n f ig -if ) tj

Listas basadas en tiempo


Como su nombre lo indica, las ACL basadas en tiempo son
aquellas que tienen como propsito restringir el acceso a ciertos
dispositivos de red por rangos de tiempo definidos (horas, das). Esta
funcin es bastante til a la hora de controlar el
acceso a algunas redes (incluyendo internet) en

LAS ACL BASADAS EN

horarios fuera de oficina o, en su defecto, para

TIEMPO PER M IT EN

controlar el uso indiscriminado del recurso; por


ejemplo, en das no laborales.

R EST R IN G IR EL
ACCESO POR RANGOS

Para llevar a cabo la configuracin de estas


listas, es necesario que tengamos conocimientos
previos sobre las ACL extendidas y que tambin

DE TIEMPO

manejemos los comandos bsicos que nos


permitirn verificar, administrar y modificar
ciertos parmetros de un dispositivo de red

(router o switch), tales como: la fecha o la hora del sistema, entre


otros datos importantes.

www.redusers.com

tzsHza

R O U T E R S Y S W IT C H E S C ISC O

Figura 2 2 . Las ACL b a s a d a s en t i e m p o se encargan


de restringir el acceso a una red en rangos definidos de tiempo.

Configuracin ACL basadas en tiempo


Para efectos de configuracin de una ACL basada en tiempo,
debemos definir previamente los tiempos de acceso, entre los que se
consideran horas especficas y das por semana. Este tiempo debe ser
definido con un nombre para su posterior identificacin.

www.redusers.com

USERS

5 . L IS T A S D E C O N T R O L D E A C C E S O (A C L )

En el siguiente Paso a paso se ilustra el proceso de configuracin de


una ACL basada en tiempo. Para com prender este contenido, vam os
a basarnos en el siguiente escenario: im aginem os que se requiere
denegar el acceso a internet a un grupo de usuarios de una red local
durante horas de oficina, concediendo nicam ente el acceso durante el
lapso de com ida y despus de las horas entre las 18:00 y las 20:00.

PAP: CONFIGURACIN DE UNA ACL BASADA EN TIEMPO

(-J

Lo primero que tiene que hacer es crear un rango de tiempo que defina momentos
especficos del da y de la semana. Esto es posible ingresando el comando tim erange

[nom bre] y la orden p e r io d ie

[Rango de d ia s / h o r a s ].

Presione la tecla ENTER por cada secuencia de rdenes ejecutadas.

R o u t e r (config) ? tirne-range T I E M P O - E M P L E A D O
Router(config-time-range)$peric-dic veekdays 13:00 to 14:00
R o u t e r ( c o n f i g - t i m e - r a n g e ) p e r i o d i c v e e k d a y s 1 8 : 0 0 t o 2 0 : 0 0
R o u t e r (c o n f i g - t i m e - r a n g e ) t e x i t
R o u t e r (c o n f i g ) |___________________________________________________________

ACL BASADA EN FECHAS Y HORARIOS


La ACL basada en fechas y horas es mucho ms comn de lo que imaginamos. Sobre todo si lo en
focamos a nivel corporativo (Pyme). Para su implementacin se hace uso de un Server NTP y un router,
donde el servidor se encarga de mantener la sincrona de los tiempos y delegar la aplicacin de polticas
de acceso en la red.

www.redusers.com

R O U T E R S Y S W IT C H E S C ISC O

02

BHHZ3

203

Defina la A C L correspondiente, encargada de permitir todo el trfico desde


cualquier origen hacia cualquier destino en el horario sealado. Si lo que requiere
es mayor nivel de control, puede trabajar con protocolos TCP/UDP.

Router(config)time-range TIEMPO-EMPLEADO
Router (config-time-range) periodic weekd a y s 13:00 to 14:00
R o u t e r ( c o n f i g - t u n e - r a n g e ) t p e r i o d x c weekd a y s 18:00 to 20:00
Router(config-time-range)Sexit
R o u t e r ( c o n f i g ) a c c e s s - l i s t 100 p e r m i t ip 192.168.1.0 0.0.0.25S any
R o u t e r ( c o n f i a ) a c c e s s - l i s t 100 den v io anv anv
R o u t e r (config) |

03

Para concluir, aplique las A C L creadas a una interfaz adecuada. Para ello utilice el
comando i p a c c e s s - g r o u p . Determine adems la entrada ( i n) y la salida
( o u t ) . Finalice guardando la configuracin previa.

Router(config)?time-range TIEMPO-EMPLEADO
R o u t e r ( c o n f i g - t i m e - r a n g e ) p e r i o d i c weekd a y s 13:00 to 14:00
R o u t e r ( c o n f i g - t i m e - r a n g e ) p e r i o d i c weekd a y s 18:00 to 20:00
Router(config-time-range)exit
R o u t e r ( c o n f i g ) a c c e s s - l i s t 100 p e r m i t i p 1 9 2 . 1 6 8 . 1 . 0 0 . 0 . 0 . 2 5 5 a n y
R o u t e r ( c o n f i g ) a c c e s s - l i s t 100 d e n y i p a n y a n y
R o u t e r ( c o n f i g ) i n t e r f a c e fasteth e r n e t 0/0
R o u t e r ( c o n f i g - i f ) i p a c c e s s - g r o u p 100 in
Router(config-if)(exit
R o u t e r (config) |

www.redusers.com

204

BSHZS

5. LISTAS DE C O N TRO L DE A C C ESO (ACL)

Listas nombradas
Hasta este momento, quiz nos estemos preguntando qu diferencia
existe entre una ACL numerada y una ACL nombrada en cuanto a
desempeo se refiere? Y cul es la forma de asignar nombre a una ACL?
Sabemos que las listas numeradas tienen un rango numrico
asignado para su identificacin, mientras que las listas nombradas
son identificadas por un nombre.
En las listas numeradas no es posible borrar entradas individuales
de una lista especfica. Mientras que en las listas nombradas esto
se encuentra permitido. Por tanto, es posible tanto la modificacin
como la reconfiguracin inicial de dichas listas. Aunque debemos
saber que las listas de acceso de diferentes tipos no podrn jams
compartir un mismo nombre. La forma de declaracin de una lista
nombrada es mediante el uso de una cadena de identificacin en vez
de un valor numrico preestablecido: tal y como se explica en el tema:

Conguracin ACL nombrada.


Cuando realicemos alguna configuracin de ACL IP con nombre,
es recomendable recurrir al comando ip access-list ? desde el modo de

conguracin global. Consideremos que esto nos ayudar a decidir


si queremos aplicar un rango numrico vlido o un nombre
de identificacin a una ACL tipo estndar o extendida.

Router>enable
Router?configure terminal
E n t e r c o n f i g u r a t i o n ccmmands, one p e r line.
Router(config)?ip access-list ?
extended
Zxtended Access List
standard
Standard Access List
Router(config)#ip access-list |

Znd w i t h CNTL/Z.

Figura 2 3 . El tipo de ACL a configurar se


puede verificar desde el IO S del router.

www.redusers.com

R O U T E R S Y S W IT C H E S C ISC O

HHHZ3

205

Configuracin ACL nombrada


Para efectos de configuracin de una ACL IP con
nombre, se puede recurrir a la sintaxis siguiente:
ip access-list [tipo ACL standard / extended] [nombre].

PO D EM O S P R O C E D E R

Notemos que cada vez que invocamos la presente

A R E A L IZ A R LA

secuencia de rdenes, el prompt de la CLI cambia


a: Router(config[std/ext]nacl)#.
A continuacin, mostramos un ejemplo

CONFIGURACIN
DE UNA ACL IP CON

prctico para su configuracin: iniciemos creando

NOMBRE

una ACL extendida con el nombre USERS, que


se encargue de denegar el trfico de cualquier
origen a cualquier destino hacia el puerto FTP
(21), permitiendo cualquier trfico IP. Finalmente asociemos dicha
informacin a la interfaz fastethernet O/O.

Router>enable
Router#configure terminal
Z n t e r c o n f i g u r a t i o n coircnands, o n e p e r l i n e .
End w i t h CNTL/Z.
Router{config)ip access-li3t extended USERS
R o u t e r ( c o n f i g - e x t - n a c l ) # d e n y tcp any any eq ftp
R o u t e r ( c o n f i g - e x t - n a c l )f p e r m i t i p a n y a n y
Router(config-ext-nacl)#exit
R o u t e r ( c o n f i g ) $ i n t e r f a c e f a s t e t h e r n e t 0/0
R o u t e r ( c o n f i g - i f )$ i p a c c e s s - g r o u p U S E R S o u t
Router(config-if)fcexit
R o u t e r (conf i g )
t \

Figura 2 4 . Configuracin de la ACL I P USERS desde el IO S de un router.


Para la configuracin de una ACL, se puede hacer uso de una interfaz
grfica de usuario (GUI) originalmente creada por CISCO, la cual recibe
por nombre Cisco Configuring Proffesional (C C P ). Esta interfaz es fcil
de instalar y administrar desde cualquier PC para la configuracin
de dispositivos de red. La seccin para la configuracin de listas de
acceso se encuentra en la opcin Security-firewall. Para acceder a esta
plataforma es necesario estar registrados en la pgina de CISCO.

www.redusers.com

206

USERS

5 . L IS T A S D E C O N T R O L D E A C C E S O (A C L )

& K*

Cisco Configuration Professional

>(MHMMtf

UW* Via

I liaNtaMI

IP*
U
101M.M 104

> .# 1l^ C

tuda
w.*)

Figura 2 5 . CCP es una alternativa grfica


de CISCO para la configuracin de dispositivos de red.

Verificacin de ACL
Recordem os que para verificar cualquier configuracin efectuada
podemos hacer uso de la orden show con sus respectivos parmetros.
Para el caso de las ACL, contam os con una serie de comandos
especficos; para conocerlos, analicem os la siguiente tabla, en la que se
describe brevem ente la funcin de cada uno de estos.

TABLA 3: VERIFICACION DE UNA ACL


T

COMANDO

DESCRIPCION

show running-config

Muestra las ACL en el router y la informacin de asignacin de interfaz.

show ip interfaces

Muestra las asignaciones de ACL (de manera particular).

show access-list

Muestra el contenido de las ACL (pudiendo especificar [nmero / nombre]).

debug ip packet

Permite analizar la forma en la que son aplicadas las ACL.

Tabla 3. Verificacin de una ACL con el comando show.

www.redusers.com

USERS

R O U T E R S Y S W I T C H E S C IS C O

207

Hoy en da, es muy com n que los

P A R A E L IM IN A R

adm inistradores de redes requieran en un


momento dado de la elim inacin de Listas de

UNA ACL D EBEM O S

Control de Acceso. La razn de ello puede derivar


de la necesidad de cambios en las polticas

C O M P L E T A R DOS

de seguridad de la organizacin, errores de

FA SES 0 TAREAS

asignacin, reconfiguracin, etctera. Esta tarea

S E N C IL L A S

consiste en dos sencillas fases:


La prim era fase es la elim inacin de la

interfaz donde fue aplicada la ACL.

La segunda, elim inacin de la ACL deseada.

Router>enable
Router#configure
Znter

terminal

configuration ccmmands,

Router(config)finterface
Router(config-if

ip

one per

line.

fastethernet
accesa-group

End with

CNTL/Z.

0/0
150

in

Router(config-if)sexit
R o u t e r (config)

Router(config

acce33-3t

150

F ig u r a 2 6 . Proceso de eliminacin de una ACL.

ACL SOBRE LNEAS VTY


En la actualidad, las Listas de Control de Acceso o ACL se pueden aplicar no solo sobre interfaces
de conexin, sino tambin sobre lineas VTY. Debemos tener en cuenta que esta ltima aplicacin se
realiza con el fin de controlar ciertas redes especficas y tambin para controlar el acceso de algunos
dispositivos para establecer una sesin ejecutiva a travs de las lneas virtuales que son utilizadas para
la administracin remota del sistema.

www.redusers.com

208

5. LISTAS DE C O N T R O L DE A C C E S O (ACL)

Listas de Control de
Acceso en VLAN
Hasta ahora, hemos hablado de ACL aplicadas en los routers, pero
qu hay de las listas de control de acceso en una VLAN? Ha llegado
el turno de los switches, y es que no podemos dejar de lado este tipo
de dispositivos capaces de soportar hasta tres tipos de ACL, las cuales
garantizan no solo la proteccin, sino tambin la restriccin de accesos
a todo un grupo de equipos conectados a una red.
Tengamos en cuenta que una VLAN ACL
(conocida como VACL) generalmente proporciona

U N A V L A N ACL

el control de acceso para todos los paquetes que

PRO PO RCIO N A

estn en forma residentes dentro de una VLAN o


que estn dirigidos dentro y fuera de una VLAN

CONTROL PA R A LOS

para la captura de VACL.


A diferencia de las ACL tradicionales, las cuales

P A Q U E T E S DENTRO

se aplican solo en paquetes enrutados, las VACL

DE UNA VLAN

se aplican a todos los paquetes y pueden ser


referidas a cualquier VLAN.

Configurar

Figura 27. El switch es el dispositivo


donde se efectuar la configuracin VACL.

www.redusers.com

USERS

R O U T E R S Y S W I T C H E S C IS C O

209

Configuracin de VACL
Para efectuar la explicacin del proceso de configuracin de una
VACL, y con fines prcticos, vam os a iniciar listando detalladam ente,
en esta ocasin, el conjunto de pasos a seguir:

Definicin de un mapa de acceso VLAN.

Configuracin de una clusula de ajuste en un


mapa de acceso VLAN que corresponda.

Luego realizam os la configuracin de una

EN P R IM E R LU G A R
D EBEM O S PROCEDER

clusula de accin en un mapa de acceso VLAN.

A D E F IN IR

La aplicacin de un mapa de acceso VLAN.

Posteriorm ente se efecta la verificacin de la

UN M A P A D E

configuracin del mapa de acceso VLAN.

ACCESO VLAN

Configuracin de un puerto de captura.


Configuracin y conexin VACL.
En la siguiente tabla se m uestra la secuencia de comandos
em pleados para la configuracin de VACL:

T A B L A 4: C O M A N D O S E M P L E A D O S PA R A C O N F IG U R A R U N A VACL
COMANDOS

DESCRIPCIN

van access-map map_name

Define un mapa de acceso VLAN: opcionalmente, se puede especifi

[0-65535]

car un nmero de identificacin previsto en un rango de 0 a 65535.

match [IP / IPv6] address

Permite configurar una clusula de ajuste. Se puede colocar una

[1-199 - 1300/2699] [acl_

direccin IP, el nombre y nmero de ACL. Opcionalmente podemos

ame] [MAC address acl _name]

colocar la direccin MAC.

action drop [log] \ forward


[capture / van van JD ] /
redirect ethernet / slot/port
port-channel [channeIJD]

van filter map_name vlan-list

Efecta la configuracin de una clusula de accin sobre el mapa de


acceso VLAN: para configurar una clusula de accin, debe utili
zarse la orden action con su respectiva secuencia de parmetros.

Este comando nos permite aplicar el mapa de acceso VLAN a las


VLAN especificadas.

Tabla 4. Comandos para configuracin VACL.

www.redusers.com

210

USERS

5 . L IS T A S D E C O N T R O L D E A C C E S O (A C L )

El proceso de configuracin de una VACL requiere, adems,


la configuracin de un puerto de captura: se trata de una interfaz
que debe ser configurada para capturar el trfico ltrado VACL.
Este proceso exige el uso de las siguientes rdenes:

T A B L A 5: C O N FIG U R A C I N DE U N PUERTO DE C A P T U R A VACL


T PASO

COMANDOS

DESCRIPCIN

Paso 1.

interface [tipo / nmeroJD]

Definicin de una interfaz.

switchport capture allowed van [add / all

Esta orden nos permite filtrar el trfico

/ except / remove] vlanjist

capturado.

switchport capture

Configuracin del puerto de captura.

Paso 2.

Paso 3.

1
T a b la 5 . Pasos para la configuracin de un puerto de captura VACL.

Finalm ente debemos tener en cuenta que para verificar la


configuracin del mapa de acceso VLAN (incluyendo las asignaciones
VACL y VLAN), debemos em plear el comando denom inado show con sus
argum entos correspondientes.

S w i t c h ( c o n f i g ) f v l a n a c c e 3 3 - m a p V A C L 10
Switch(config-access-map) # action forward
S w i t c h (conf ig-access-map) m a t c h io addresa V A C L
t

S w i t c h (conf ig-a cce 33- nap)

van

access-nap VACL

20

S w i t c h (conf ig-a cce aa- nap) # a c t i o n drop


S w i t c h (c o n f i g )

van

filter VACL vlan-liat

2_______________________________

F ig u r a 2 8 . Ejemplo de configuracin de una V A C L desde un switch.

www.redusers.com

USERS

R O U T E R S Y S W I T C H E S C IS C O

2
1
1

En la siguiente Tabla, describim os la funcin de las rdenes para


verificar la configuracin VACL realizada:

T A B L A 6: V E R IF IC A C I N D E C O N F IG U R A C I N V A C L
T

DESCRIPCIN

COMANDOS

show van access-map [map_name]

Verifica la configuracin del mapa de acceso VLAN.

show van filter [access-map map_name

Verifica la configuracin del mapa de acceso VLAN most

/ van vlanjd]

rando las asignaciones entre VACL y VLAN.

Tabla 6.

Modos de verificacin de una VACL.

Antes de continuar, debemos aclarar que no


es lo mismo configurar una VACL que configurar

NO ES LO MISMO

una ACL para filtrar el trfico entre VLAN. Pues a

CONFIGURAR UNA

m enudo solemos confundirlo cuando se trata de


cosas totalm ente distintas.
La configuracin de una ACL requiere, por lo

VACL QUE UNA ACL


PARA EL TRFICO

general, de una preparacin previa inicial del

EN T R EV LA N

conjunto de VLAN residentes en la red, para


posteriorm ente aplicar y probar la ACL creada que
se va a encargar de filtrar el trfico entre dichas
VLAN. Los pasos a seguir son:
Configurar las VLAN en el switch de la topologa.
Configurar y verificar los enlaces troncales.
Configurar un router para enrutam iento entre VLAN.

Configurar, aplicar y probar una ACL para filtrar el trfico entre VLAN.

ccp

cisco

CCP (Cisco Configuration Professional) es un conjunto de herramientas que tienen como finalidad
guiar y auxiliar al administrador de redes en su labor. Esta interfaz grfica se puede descargar desde el
portal del fabricante. Actualmente viene en dos versiones: CCP y CCP Express.

www.redusers.com

2
1
2

USERS

5. LIST A S D E C O N T R O L D E A C C E S O (A C L )

Router

Configuracin, aplicacin
y prueba de la ACL

F ig u r a 2 9 . Sobre el r o u t e r debe efectuarse


la configuracin, aplicacin y prueba de la ACL.

Debemos saber que para efectuar algn tipo de

PARA EST A BLEC ER

configuracin especial, como esta, a menudo se

CONFIGURACIONES

recurre al uso de las ACL extendidas. Recordemos


que en el mbito de las listas de acceso, el trmino

E S P E C IA L E S SE

configurar se refiere al acto de invocar una serie

RECU RRE A L A S

de comandos para crear las ACL que se requieran


en la red; aplicar consiste en asociarla a una

ACL EXTENDIDAS

interfaz vlida para el dispositivo y finalm ente el


trm ino probar hace referencia al acto de verificar
la configuracin previam ente ejecutada (comando

show). Estas tareas se deben realizar desde el router principal.

ACL EN WINDOWS
Los sistemas Windows tambin incorporan ACL, con el objetivo de mantener seguros los servicios que
integran. En el caso de sistemas Server estas son invocadas para brindar proteccin a un conjunto de
equipos aunados a una red. Windows 2008 Server es un ejemplo de ello.

www.redusers.com

USERS

R O U T E R S Y S W I T C H E S C IS C O

213

Router>enable
Routerfcconfigure
Znter

terminal

configuration

ccmmands,

R o uter (config) Jfaccess-list


Router(config)#acces3-li3t
Router(config

100
100

one

per

line.

End with

deny ip 192.163.3.0
permit ip any any

CNTL/Z.

0.0.0.255

192.

Figura 3 0 . Ejemplo de configuracin de una ACL en una VLAN.

RESUMEN
Las Listas de Control de Acceso, o ACL, representan hoy en da una solucin a los problemas por trfico
innecesario en la red. Sobre todo si deseamos mantener el control de acceso a ciertas aplicaciones,
puertos, e incluso usuarios no autorizados para la manipulacin de la informacin corporativa. En este
captulo, tuvimos la oportunidad de conocer los tipos de ACL ms utilizados: ACL estndar y ACL
extendidas, as como la forma en la que se crean y se implementan en una red CISCO. En el siguiente
captulo, abordaremos la traduccin de direcciones de red.

www.redusers.com

214

lU d ik i

5. LISTAS DE C O N T R O L DE A C C E S O (ACL)

Actividades
TEST DE AUTOEVALUACIN
1

Mencione el propsito principal de una ACL.

Realice un esquema de procesamiento de una lista de acceso entrante.

Cules son los tipos de ACL ms representativos en el mbito de las redes?

Mencione cinco

Defina

Mencione las tres categoras de puertos TCP/UDP para listas de acceso.

Mencione por lo menos tres puertos UDP privados.

Qu diferencia existe entre la ACL

En qu consiste una Lista de Control de Acceso

10

protocolos presentes en la configuracin de una ACL.

puerto de comunicacin.

estndar y la ACL extendida?

Mencione la secuencia de comandos para la

dinmica?

eliminacin de una ACL.

EJERCICIOS PRACTICOS
1

ACL IP estndar, dados los siguientes datos:


Denegacin al host 192.168.3.0. Con la condicin de permitir a cualquier
origen con asociacin a la interfaz serial 0/0/1.

Desde un router CISCO, arroje los protocolos para la configuracin de una ACL.

Escriba la sintaxis correcta para la configuracin de una

Efecte la configuracin de una

Realizar la configuracin de una

ACL extendida.

ACL IP nombrada y una numerada.

PROFESOR EN LINEA
Si tiene alguna consulta tcnica relacionada con el contenido, puede contactarse
con nuestros expertos: profesor@redusers.com

www.redusers.com

/ / / / / / / / / / / / / / /

NAT y PAT
En este captulo abordaremos dos temas relacionados
con la traduccin en el mbito de las redes CISCO: NAT
y PAT. Conoceremos caractersticas, funciones, tipos de
implementacin y modos de configuracin. Tambin
definiremos trminos de vital importancia y expondremos
interesantes topologas que nos harn comprender tanto su
funcionamiento como su diseo sobre dispositivos de red.

Traduccin de

Configuracin de P A T ...................234

direcciones de red (N A T ).....216


Tipos de direcciones I P ................. 218

Resumen.............................237

Funcionamiento de N A T............... 224


Configuracin de NAT...................226

Traduccin de direcciones
de puertos (PAT)................. 233

71

71

Actividades......................... 238

216

6. NAT Y PAT

Traduccin de
direcciones de red (NAT)
NAT (Network address translation - Traduccin de direcciones
de red) se presenta como un importante mecanismo utilizado
comnmente para asignar una red completa (o tambin un conjunto
de redes) a una sola direccin IP.

NAT permite a un nico dispositivo, como un router, actuar como


un agente entre una red pblica externa (global) y una red interna
(local). Se usa a menudo con un grupo especial
de direcciones llamadas direcciones de intranet,

NAT S E UTILIZA

aunque es capaz de trabajar con cualquier tipo

CON D IR EC C IO N ES

de direccionamiento IP.
Originalmente internet no fue pensado para

E S P E C IA L E S

ser una red tan extensa como lo es hoy en da,

DEN O M IN AD AS

por tal motivo se reservaron solo 32 bits para


direcciones IP, lo que supone un equivalente

DE IN TR A N ET

a 4, 294, 967, 296 direcciones nicas.


Actualmente el nmero de computadoras
conectadas a internet ha aumentado de manera

gradual, lo cual ha provocado que se terminen las direcciones IP


existentes. A raz de esto surge NAT.
La idea de NAT se centra bsicamente en la traduccin de las

direcciones privadas en direcciones IP registradas. Pues gracias


a ello, tanto las Pymes, como las grandes compaas solo tendrn que
utilizar una direccin IP en vez de una distinta para cada equipo.

Figura 1. NAT permite la traduccin


de direcciones de una red privada a una pblica.

www.redusers.com

R O U T E R S Y S W I T C H E S C IS C O

USERS

NAT est diseado para co n servar IP al usar

217

direccion es p rivad as en redes internas (LAN

NAT S E DISEO PARA

dom sticas, hogar u oficina) y co n ve rtirla s a

CONSERVAR LA IP AL

pblicas para despus encam inarlas a internet.


Para que esto suceda, es preciso configurar el
d isp o sitivo p rin cip al (router) conectado a la red.

USAR DIRECCIONES
PRIVADAS EN REDES

Debem os, adem s, saber que en el contexto

INTERNAS

de trad u cci n de direccio n es de red existen


d iversos trm inos de sum a relevancia, los cuales
no debem os pasar por alto. Algunos de ellos se
m encionan a continuacin:

Direccin local interna (inside local): se trata de la d irecci n IP


asignada a un host perteneciente a la red interna.

Direccin global interna (inside global): se trata de la IP asignada


por nuestro ISP, la cual representa la direccin local ante el mundo.

Direccin local externa (outside local): se trata de la d irecci n IP


de un host externo.

Direccin glo b al externa (outside global): d irecci n IP asignada


por el prop ietario del host de una red externa.
Com o se puede observar, las direccion es de entrada pueden referirse

con la palabra inside, m ientras que las de salida se refieren con el


trm ino outside. Para cada caso estas pueden ser locales o globales,
com o verem os ms adelante en el tema: C onguracin de NAT.
Los routers CISCO in clu ye n una tabla que contiene com o cam pos
los trm inos antes sealados. Para poder v is u a liz a r dicha tabla, debe
efectuarse la configuracin NAT del router y enseguida teclear la
siguiente secuencia de rdenes: show ip nat translations desde el modo
de acceso EXEC privilegiado.

Los routers cumplen con la funcin de guardar las entradas de NAT en una tabla de traduccin por un
perodo de tiempo establecido. Para conexiones TCP, el perodo por defecto es de 86,400 segundos, o
24 horas; mientras que para UDP dicho perodo es de 300 segundos o cinco minutos.

www.redusers.com

6. N A T

USERS

Y PAT

R o u te r> e n a b le

Router#3how

ip

Pro

g lo b a l

tcp

In sid e

nat

1 9 8 .1 0 .1 .6 :8 0

translations
In sid e

lo c a l

1 9 8 .1 0 .1 .6 :8 0

O u tsid e

lo c a l

2 0 0 .2 .3 0 .1 :1 0 2 5

R outer#

Figura 2. Los routers CISCO incluyen una tabla


que muestra las IP externas e internas tanto locales como globales.

Tipos de direcciones IP
Debem os saber que en m bito de las redes,
existen dos tipos de direcciones IP, las direcciones

EXISTEN DOS TIPOS

privadas y direcciones IP pblicas. Aqu

DE DIRECCIONES

es im portante m encionar que no es lo m ism o


hablar de tipos de direcciones IP, que clases de

IP: DIRECCIONES

direcciones IP (las cuales ya se han m encionado

PRIVADAS

en el Captulo 1 de este libro). Tam poco debemos


confun dir ninguna de estas referencias con los

Y PBLIC AS

tipos de asignacin de direcciones IP: dinmico y

esttico, los cuales van de la mano con los tipos


de im plem entacin de NAT.

PROTOCOLO DE CONFIGURACIN DINMICA


DHCP o protocolo de configuracin dinmica es un protocolo de red que permite a los usuarios de una
red de datos obtener parmetros de configuracin de manera automtica. El uso de DHCP es altamente
recomendado para organizaciones que desean implementar redes muy amplias.

www.redusers.com

USERS

R O U T E R S Y S W I T C H E S C IS C O

Figura 3. Esquema

219

que muestra las clases,

los tipos y modos de asignacin de una

di reccin I P .

Direcciones IP privadas
Para ilu strar el trm ino direccin de red privada im aginem os una
red dom stica o de oficina que conecta vario s equipos de cm puto a
un router. Tom em os en cuenta que cada uno de ellos tendr una IP
propia dentro de esa red (que a m enudo es referida com o red privada).
Esa IP privada ser vlid a solam ente dentro de dicha red (LAN en la
que acta y no son aceptadas por los routers) e in visib le en cualquier
otra. Dicho con otras palabras, son visib les nicam ente por otros hosts
de su propia red o de otras redes privadas interconectadas por routers.
Generalm ente son u tilizadas en las em presas para los puestos de
trabajo. Los equipos con direcciones IP privadas pueden salir a
internet por m edio de un router (o Proxy) que tenga una IP pblica (la

Es importante mencionar que una intranet puede ser definida como una red privada a menudo conocida
simplemente como red interna, la cual se encuentra construida sobre la base de los protocolos TCP/

IP. En este sentido, debemos considerar que una intranet se encarga de utilizar tecnologas de internet
para enlazar los recursos informativos de una organizacin, desde simples documentos de texto hasta
sistemas de gestin de informacin.

www.redusers.com

6. N A T

USERS

Y PAT

cual ser definida ms adelante en este mismo tema); sin embargo, desde
internet no se puede acceder a com putadoras con direcciones IP privadas.

LAN en un departamento

L J
PC - P T
PC01-B

Switch - PT
Empty - SA

Switch - PT
RED

Empty - SB

INTERNA

PC-PT

PC02-B

Laptop - PT
PC01-A

Laptop - PT

Laptop - PT

PC02-A

PC03-A

Figura 4. Las d ire c c io n e s I P


p riv a d a s son a menudo usadas en redes internas.
H oy en da de los ms de cuatro mil m illones de direcciones
perm itidas por IPv4, tres rangos estn especialm ente reservados para
utilizarse solam ente en redes privadas. Para saber cules son esos
rangos, en funcin de la clase de direccin IP, veam os la siguiente tabla:

T A B L A 1 : RANGOS DE LAS D IR EC C IO N ES DE RED PRIVADAS


Y CLASE DE IP

Y RANGO (PRIVADAS)

T NMERO DE DIRECCIONES IP

Clase A

10.0.0.0 a 10.255.255.255

16,777,215

Clase B

172.16.0.0 a 172.31.255.255

1,048,576

Clase C

192.168.0.0 a 192.168.255.255

65,535

Tabla 1. Rango de direcciones IP privadas.

www.redusers.com

USERS

R O U T E R S Y S W I T C H E S C IS C O

Com o podem os ver, estos rangos no tienen encam inam iento fuera
de una red privada, y por tanto no es posible la com unicacin con
las redes pblicas. La solucin a este tipo de situaciones consiste en
em plear la trad u cci n de direccion es de red o NAT.

Red privada

Red pblica

Peticin

Peticin traducida

Origen: 192.168.1.29

- Origen: 85.67.4.35

Destino: 209.45.3.20

Destino: 209.45.3.20

1 V

h
----------- ~

'

NAT Router

Servidor

Cliente

IP Privada: 192.168.1.1

209.45.3.20

192.168.1.29

IP Pblica: 85.67.4.35

Respuesta traducida

Respuesta

Origen: 209.45.3.20

Origen: 209.45.3.20

Destino: 192.168.1.29

Destino: 85.67.4.35

Figura 5. Las direcciones IP privadas son traducidas a IP pblicas.


Una form a sen cilla de poder conocer nuestra d irecci n IP p rivad a
desde cu alq u ier PC conectada a una red es m ediante el uso de la

term inal de com andos (sm bolo del sistem a en W in d o w s o term inal
en GNU-Linux). Para tener acceso a dicha in form aci n, basta con

CISCO SUPPO RT C0MMUNITY


Una direccin web que no puede faltar en la seccin favoritos de nuestro explorador de internet es la si
guiente: www.supportforums.cisco.com/thread/2080455; se trata de un foro residente en el portal
de CISCO donde podremos exponer nuestras dudas o consultar informacin respecto a NAT, PAT u otros
temas relacionados con las redes CISCO.

www.redusers.com

6. N A T

USERS

Y PAT

ingresar el com ando: ipeonfig (para el caso ele W indows) e ifconfig (para
sistem as GNU-Linux) seguido de un ENTER.
C :\> ip c o n f ig
C o n figu ra c i n
A d a p t a d o r de

IP
LAN

de

W indow s

in a l n b ric a

C o n e x i n

de

red

in a l n b ric a :

S u f i j o DNS e s p e c f i c o p a r a l a c o n e x i n . . :
U n c u lo : d ir e c c i n IP v6 l o c a l . . . : f e 8 0 : : 8 8 8 : d d f 8 :c 9 6 e :4 0 c 6*14
D i r e c c i n I P u 4 ....................................................... : 1 9 2 . 1 6 8 . 1 . 1 0 9
M s c a r a d e s u b r e d ............................................... : 2 5 5 . 2 5 5 . 2 5 5 . 0
P u e r t a d e e n l a c e p r e d e t e r n i n a d a ................. : 1 9 2 . 1 6 8 . 1 . 2 5 4
A d a p t a d o r de
Estado
S u fijo

Ethernet

C o n e x i n

de

rea

lo c a l:

d e l o s n e d i o s .................................. .
DNS e s p e c f i c o p a r a l a c o n e x i n .

A d a p t a d o r de

Ethernet

U irtu a lB o x

H o st-O n ly

.
.

: n e d io s
:

desconectados

Netw ork:

S u f i j o DNS e s p e c f i c o p a r a l a c o n e x i n . . :
U n c u lo : d ir e c c i n IP v6 l o c a l . . . : fe 8 0 ::a 4 c 0 :6 fb e :7 4 3 d :e 5 8 7 x l8
D i r e c c i n I P w 4 ...............................................1 9 2 . 1 6 8 . 5 6 . 1
M s c a r a d e s u b r e d ............................................... : 2 5 5 . 2 5 5 . 2 5 5 . 0
P u e r t a d e e n l a c e p r e d e t e r n i n a d a ................. :
A d a p t a d o r de
Q n f -i i o

Ethernet

n K IQ

p e n p r f

UMware
i r o

-; * ;*

Netw ork A d a p te r
1 *

r n n p v i n n

U M n e tl:
-

Figura 6. La orden ip e o n fig nos permite


ver la direccin IP privada de nuestro equipo.

Direcciones IP pblicas
Una PC con una direccin IP pblica es accesible o visib le desde
cu alq u ier otro equipo que se encuentre conectado a internet (red
pblica). Este tipo de direccion es tienen a bien id en tificar cualquier
equipo conectado a internet, a d iferen cia de las direccion es privadas,
que son conocidas y accesibles en redes internas (em presa, hogar,
oficina). H ab itualm ente este tipo de direccion es son reconocidas y
aceptadas por los routers de todo el m undo.

QUE ES SDM ?
SDM es la abreviatura de Cisco Router and Security Device Manager. Consiste bsicamente en
una herramienta de mantenimiento basada en una interfaz web desarrollada por la compaa Cisco, que
soporta un amplio nmero de routers Cisco IOS. Tengamos en cuenta que en la actualidad se entrega
pre-instalado en la mayora de los routers nuevos de Cisco.

www.redusers.com

USERS

R O U T E R S Y S W I T C H E S C IS C O

C :\> p in g

223

u u u .go o g le .c o m

H acie n d o p in g a
R e sp u e sta desde
R e sp u e sta desde
R e sp u e sta desde
R e sp u e sta desde

v j u i - j . g o o g l e . c o m [ 1 7 3 . 1 9 4 . 1 1 5 . 8 4 ] c o n 32 b y t e s
1 7 3 . 1 9 4 . 1 1 5 . 8 4 : b y t e s = 3 2 tiem p o= 52 m s TTL=58
1 7 3 . 1 9 4 . 1 1 5 . 8 4 : b y t e s = 3 2 tiem po=51m s TTL=58
1 7 3 . 1 9 4 . 1 1 5 . 8 4 : b y t e s = 3 2 tiem po=51m s TTL=58
1 7 3 . 1 9 4 . 1 1 5 . 8 4 : b y t e s = 3 2 tiem po=50m s TTL=58

de

dato?

E s t a d s t i c a s de p i n g p a r a 1 7 3 . 1 9 4 . 1 1 5 . 8 4 :
P aq u e te s: e n v ia d o s = 4, r e c ib id o s = 4, p e rd id o s = 0
<0y. p e r d i d o s ) .
T ie m p o s a p r o x i m a d o s de i d a y v u e l t a en m i l i s e g u n d o s :
M n i m o = 5 0 m s , M x i m o = 5 2 m s , M e d i a = 51m s
C :\> _

Figura 7. Mediante el comando ping podemos


conocer la I P p b lic a de la pgina de Google.
Actualm ente existen portales web que nos

EXISTEN DIVERSOS

perm iten conocer nuestra direccin IP pblica. Su


consulta es m uy sencilla, y solo necesitam os tener

PORTALES W E B QUE

una conexin a internet. Muchas veces conocer

NOS INFORMAN

este dato puede sernos de utilidad, por esta razn


vam os a m encionar algunas pginas que nos

SO B R E LA DIRECCIN

pudieran ser de ayuda para efectuar esta tarea:

IP PBLICA

www.cual-es-mi-ip.net,www.whatismyip.com,
www.checkm yip.com ,www.my-ip.es, www.
verm iip.es y w w w.m onip.org, esta ltim a incluso

m uestra el sitio web del lugar en el que se realiza la consulta. Ahora, si lo


que deseam os es localizar una direccin IP definida, podem os recurrir al
siguiente portal: www.internautas.org/w-iplocaliza.html.

Trabajar con GNU-Linux, implica el uso de su lnea de comandos llamada terminal. A travs de esta, es posi
ble invocar comandos empleados en las redes de datos tal como ifconfig, que incluye la misma funcin que
ipconfig de Windows. Si usted es usuario del sistema operativo del pingino, la terminal ser su mejor aliada.

www.redusers.com

6. N A T Y

USERS

PAT

P.S

DlfiCCTORIO UJB

_________my-ip.es:

189.191.66.0
A a d ir a F a v o rito s (CONTROL+D)

D CTfllUS D TU CONCXIN.
V e m o s c u e utilizas:

S a fa ri -

W in d o w s N T 6.1

Navegador: Mozila/5.0 (Windows NT 6.1) AppleWebKit/537.36


(K H T M L , like G e c k o ) C h o r r e , 2 9 . 0 . 1 5 4 7 . 7 6 S d fa r i/ 5 3 7 . 3 0

Figura 8. Algunas
permiten conocer nuestra

pginas de internet nos

d ir e c c i n I P p b lica.

Funcionamiento de NAT
Para com prender el funcionam iento de NAT,
prim eram ente, debemos conocer sus tipos de

EL MODO NAT

im plem entacin: esttico y dinmico, los cuales

ESTTICO EFECTA

han sido definidos originalm ente para controlar el


trfico hacia el exterior.

LA TRADUCCIN DE
MANERA UNVOCA

NAT esttico: en este m odo de


im p lem entacin, la trad u cci n entre direccion es

UNA A UNA

de red p rivad as y direccion es IP pblicas se


efecta de m anera u n vo ca una a una. Este
representa el caso ms sencillo de configuracin.

RFC 1918
RFC-1918 es un documento que incluye todo lo relacionado a la localizacin de direcciones privadas de
internet. A travs de l podemos encontrar interesantes tpicos referentes al tema; desde informacin
sobre los espacios de direcciones privadas, consideraciones operacionales y condiciones de seguridad.

www.redusers.com

USERS

R O U T E R S Y S W I T C H E S C IS C O

225

NAT DINMICO

PC I

IP Privadas

IP Pblicas

Pool

214.93.234.12

10.0.0.X

214.93.234.13

10 . 0 .0.1

PC2

10. 0 . 0.2
214.93.234.13

Trfico direccionado privado


Trfico direccionado pblico
PC3
10.0.0.3

Figura 9. En este esquema se muestra


el funcionamiento de NAT e s t tic o .

NAT dinmico: en este m odo, las direccio n es p rivad as son


trad u cid as aleato riam ente por las direccio n es pblicas que haya
d isponibles. Lo que quiere d ecir que cuando una IP p rivad a necesita
trad uccin, el router se encargar de seleccion ar una IP pblica
de entre un grupo (o pool) de direccion es IP, esto para efectos de
co n versi n a una IP privada.

PAQUETES TCP Y UDP


La mayor parte del trfico generado en internet son paquetes TCP y UDP; para estos protocolos los
nmeros de puerto se cambian, as la combinacin de la informacin de IP y puerto en el paquete devuelto
puede asignarse sin ambigedad a la informacin de direccin privada y puerto correspondiente.

www.redusers.com

6. N A T Y

USERS

Esttico

IP Privadas

IP Pblicas

Pool

214.93.234.12

10.0.0.X

214.93.234.13

PAT

PC I

10.0 .0.1
214.93.234.12

214.93.234.13
PC2

10.0.0.2

Trfico direccionado privado


Trfico direccionado pblico

F ig u r a 1 0 . En este esquema se muestra


el funcionamiento de NA T d i n m i c o .

Configuracin de NAT
La configuracin de NAT en un router es un proceso m uy sencillo de
realizar. A p artir de este m om ento es cuando vam os a d ecid ir qu tipo
de im p lem en taci n vam os a asignar (esttico o dinmico) y tam bin
las interfaces que estn en juego para la conexin.
Vam os a in icia r con la configuracin de NAT esttica. Para efectuar
dicho proceso debe usarse la siguiente secuencia de com andos: ip
nat inside source static [ I P local interna] [ I P global externa], y finalm ente la

declaracin de interfaces tanto interna com o externa, respectivam ente.

Una red privada virtual (VPN) es una conexin segura punto a punto a travs de una red pblica como
internet. El servidor VPN acepta la conexin, autentica al usuario y al equipo que se est conectando, y
transfiere los datos entre el cliente VPN y la red corporativa. Los datos enviados a travs de la conexin
recorren una red pblica, y pueden ser cifrados para garantizar la privacidad.

www.redusers.com

USERS

R O U T E R S Y S W I T C H E S C IS C O

227

Para entend er la configuracin de NAT, nos encargarem os de ve r la


siguiente topologa y de id en tificar los datos corresp on d ientes a la IP

nat inside y la IP nat outside.

Red local (privada)

Red local (privada)


IP nat inside

IP nat outside

Inside

Outside

FaO/2

Fa0/0

Fa0/1

Inside Global

Outside Global

.1

FaO/2

J .1

2950-24

1841

2950-24

SI

Router

S2

.2

.2

PC-PT

local

PCA

Outside
0ca|

PCB

192.168.0.0

187.0.0.0

Figura 11. Topologa de configuracin de NAT e s t tic o .


Una vez an alizad a dicha figura explorem os el siguiente Paso a

paso, de esta form a ilu strarem o s el proceso de configuracin de NAT


esttico sobre un router CISCO.

NAT INSIDE Y OUTSIDE


Los mandatos a nivel de interfaz, IP nat inside tienen como fin indicar qu interfaces son parte de la
red interior, en tanto que la IP nat outside indica qu interfaces son parte de la red exterior. Si en algn
momento, hacemos NAT entre una red interna y una red externa, hay que especificar qu interfaces
estn en cada lado.

www.redusers.com

228

EHHZ23

6- NAT Y PAT

PAP: PROCESO DE CONFIGURACION DE NAT ESTATICO


Primero, debe conocer la direccin interna y global externa, las que deben

01

declararse en la primera lnea de configuracin, tal y como se muestra en la figura.

Router>enable
R o u t e r # c o n f i g u r e tersninal
E n t e r c o n f i g u r a t i o n cosanands, o n e p e r l i n e .
End with CNTL/Z.
Router(config)?ip nat inside source static 192.163.0.2 137.0.0.10
R o u t e r (c o n f i g ) t

02

Posteriormente debe determinar las interfaces (tanto de salida como de entrada)


que se vern inmersas en dicha configuracin. Inicie con la interfaz interna
(entrada). Acto seguido, valide la interfaz con el comando i p n a t

i n s i de.

Router>enable
Router#configure terminal
Znter co n f i g u r a t i o n concands, one pe r line.
End with C N T L / Z .
Router(config)ip nat inside source static 192.168.0.2 187.0.0.10
R o u t e r ( c o n f i g ) f i n t e r f a c e f a s t e t h e r n e t 0/0
Router(config-if)fip address 192.168.0.1 255.255.255.0
Router(config-if)#ip nat inside
R o u ~ e r ( c o n f i g - i f ) n o s h u t d o w n
Router(config-if)exit
R o u t e r { c o n f i g -t

www.redusers.com

BHa55

RO UTERS Y SW ITC H ES CISCO

03

229

Proceda ahora a configurar la interfaz externa (salida). Al terminar pulse la tecla


EN T ER y luego valide la interfaz, esta vez, con el comando i p n a t o u t s i de.
Para finalizar, guarde la configuracin previa.

Router>enable
Roucerjtconfigure terminal
I n t e r c o n f i g u r a t i o n commanda, one p e r line.
Snd with CNTL/Z.
Router(config #ip nat inside source static 192.168.0.2 187.0.0.10
R o u t e r ( c o n f i g ) i n t e r f a c e f a s t e t h e r n e t 0/0
R o u t e r ( c o n f i g - i f )* i p a d d r e s s 1 9 2 . 1 6 8 . 0 . 1 2 5 5 . 2 S 5 . 2 5 5 . 0
R o u t e r ( c o n f i g - i f )# i p n a t i n e i d e
Router(config-ifi#no ahutdown
R o u t e r (c o n f i g - i f ) jtexit
R o u t e r ( c c n f i g > i n t e r f a c e f a s t e t h e r n e t 0 / 1
Router(config-if>#ip address 187.0.0.1 255.255.0.0
R o u t e r ( c o n f i g - i f )# i p n a t o u t s i d e
R o u t e r ( c o n f i g - i f )# n o a h u t d o w n
Router(config-if)#exit
R o u t e r ( c o n f i g )t

04

Para verificar la configuracin realizada, no olvide invocar show, acompaado de


los parmetros correspondientes: utilice la secuencia: sh o w i p n a t
s t a t i s t i c s , y acto seguido escriba la orden show i p

Router>enable
Router#show
Total
Inside
Hit3:

ip nat

Interfaces:
Interfaces:

Expired

Misses:

t r a n s a t io n s .

translations:

Outside

nat

statistics
1

<1 3 t a t i c ,

FastEthernetO/l

dynamic,

extended)

, SerialO/O/O

FastEthernetO/O

translations: 0

Dynamic mappings:
RouterSshov

ip nat

Pro

Inside

global

----

187.0.0.10

translations
Inside

local

192.168.0.2

0ut3ide

local

----

www.redusers.com

230

6. N A T Y

USERS

PAT

Finalm ente nos hace falta ilu strar el proceso de configuracin de

NAT dinmico; para ello, vam os a tom ar com o base la topologa del
Paso a paso anterior. Solo que esta vez con una pequea variante:
pues en lugar de considerarse la asignacin de una IP una a una, se
efectuar por grupo (pool). Una vez aclarado lo anterior, procedam os
a explorar el siguiente Paso a paso, en el que se ilu stra el proceso de
configuracin de NAT dinm ico sobre un router CISCO.

PAP: PROCESO DE CONFIGURACIN DE NAT DINMICO


Debe c re a r un

pool de direcciones, nom brarlo y asociarlo al rango de direcciones

proporcionado por su IS P . L a d eclaraci n d inm ica se efect a con i p


[n o m b r e

del

[m a s c a ra

de

p o o l]

[IP

de

in ic io ]

[IP

fin a l]

nat

pool

n e tm a s k

r e d ] . Po sterio rm en te pulse la te c la E N T E R .

Router>enable
Routerfconfigure
Enter

terminal

configuration

Router[config)*ip

cc:rnr.and3,

one

nat pool USERS

per

line.

187.0.0.10

End with
187.0.0.20

CNTL/Z.
netmask

255.

R o u t e r ( c o n f i g ) $|

FUNCIN DE UN POOL
Un pool de direcciones IP es un grupo de direcciones del servidor DHCP que se crea en una red de rea
local. Se encuentran en estado de alquiler por parte del servidor y todo dispositivo que se conecte tendr
alquilada la direccin por un tiempo o hasta que el dispositivo se apague o se desconecte.

www.redusers.com

BHHZ3

RO UTERS Y SW ITC H ES CISCO

02

231

Ahora proceda a definir una Lista de Control de Acceso (A C L ) que permita solo
las direcciones que deban traducirse, y asocelas al pool previamente creado. Para
esto, utilice el comando a c c e s s

- lis t .

Router>enable
Router?configure terminal
I n t e r c o n f i g u r a t i o n conraanda, o n e p e r l i n e .
Znd w i t h CNTL/Z.
R o u t e r ( c o n f i g ) * i p nat pool USZRS 187.0.0.10 187.0.0.20 netmask 255
Router(config)faccess-list 1 permit 192.168.0.0 0.0.0.255
Router(config)*ip nat inside source list 1 pool USZRS
R o u t e r ( c o n f i g ) tj

03

Acto seguido, determine las interfaces involucradas en dicha configuracin. Para


ello, inice con la interfaz interna (entrada) y en seguida presione la tecla EN TER.
No olvide validar la interfaz con el comando i p

nat

in s id e .

Router>enable
Routerfccnfigure terminal
Z n t e r c o n f i g u r a t i o n ccrnmands, e n e p e r l x n e .
Znd w i t h CNTL/Z.
R o uter ccnfig)?ip nat pool USZRS 187.0.0.10 187.0.0.20 netmask 255
R o u t e r ;c c n f i g ) a c c e s 3 - l i s t 1 p e r m i t 1 9 2 . 1 6 8 . 0 . 0 0 . 0 . 0 . 2 5 5
Router(ccnfig)ip nat inside 3eurce list 1 pool USZRS
R o u t e r c o n f i g ) y i n t e r f a c e f a s t e t h e r n e t 0/0
R o u t e r c o n f i g - i f )# i p a d d r e s s 1 9 2 . 1 6 8 . 0 . 1 2 5 5 . 2 5 5 . 2 5 5 . 0
R o u t e r ( c o n f i g - i f )# i p nat inside
R o u t e r ( c c n f i g - i f )t n o s h u t d o w n
Router(config-if)#exit
R o u t e r (c o n f i g ) t

www.redusers.com

232

04

EHHZ23

6- NAT Y PAT

Proceda ahora a configurar la interfaz externa (salida). Al terminar pulse la tecla


EN T ER y acto seguido valide la interfaz esta vez con el comando i p n a t
o u t s i de. Para finalizar, guarde la configuracin previa.

3cuter>er.=fcle
R o u t e r i;c o n f i g u r e t e r m i n a l
E n t e r c o n f i g u r a t i o n c o n m a n d a , o n e p e r line.
Z n d w i t h CNTL/Z.
R o u t e r ( c o n f i g ) l i p nat pool USERS 187.0.0.10 187.0.0.20 netmask 2S5.2S5
Router(config)facceaa-liat 1 permit 192.168.0.0 0.0.0.255
Router(config)#ip nat inside source list 1 pool USERS
R o u t e r ( c o n f i g > i n t e r f a c e f a s t e t h e r n e t 0 / 0
R o u t e r ( c o n f i g - i f )# i p a d d r e s s 1 9 2 . 1 6 8 . 0 . 1 2 5 5 . 2 5 5 . 2 5 5 . 0
R o u t e r ( c o n f i g - i f )# i p n a t i n s i d e
R o u t e r ( c o n f i g - i f )t n o s h u t d o w n
Router(config-if)texit
R o u t e r ( c o n f i g ) f i n t e r f a c e f a s t e t h e r n e t 0/1
R o u t e r ( c o n f i g - i f )# i p a d d r e s s 1 8 7 . 0 . 0 . 1 2 5 5 . 2 5 5 . 0 . 0
R o u t e r ( c o n f i g - i f )# i p n a t o u t s i d e
R o u t e r ( c o n f i g - i f )# n c s h u t d o w n
Router(config-if)sexit
Router(config)#exit
Routerf
%SYS-5-C0N?IC_I: Configured from consol by conaole

05

Para finalizar, verifique la configuracin previamente efectuada con la ayuda del


comando show i p

nat

s t a t i s t i e s , y escriba la orden sh o w i p

nat

t r a n s a t i o n s . No olvide pulsar la tecla EN T ER por cada lnea tecleada.

Router>enable
R o u t e r s a h o w ip nat atatiatica
T o t a l t r a n a l a t i o n a : 1 (1 a t a t i c , 0 dynaciic, 0 e x t e n d e d )
Outside Interfacea: FaatEthernetO/1 , SerialO/O/O
Inside Interfaces: FastSthernet0/0
Hits: 0 Miases: 0
Expired translations: 0
Dynarr.ic n a p p i n g s :
Inside Source
acce3s-list 1 pool USERS refCount 0
p o o l U S E R S : n e t m a s k 2 5 5 . 2 S 5 . 2 5 5 .0
start 187.0.0.10 end 187.0.0.20
t y p e g e n e r i c , t o t a l a d d r e s s e s 1 1 , a l l c c a t e d 0 (0%), m i a s e s
R c u t e r s h o w ip n a t trar.3laticn
Pro
Inside global
Inside local
Outside local
Outsic
--187.0.0.10
192.163.0.2
------Router?

www.redusers.com

BHHZ3

RO UTERS Y SW ITC H ES CISCO

233

Traduccin de direcciones
de puertos (PAT)
PAT (Port address translation - Traduccin de

PAT P R E S E N T A

direcciones de puertos), a menudo conocido como

NAT sobrecargado, es tambin un mecanismo

V ER SA T ILID A D

bastante utilizado con el fin de preservar el escaso

direccionamiento pblico y el abaratamiento de


costos. Frecuentemente es utilizado por muchos

UN AHORRO

C O N S ID E R A B L E DE

administradores de redes gracias a que presenta

D IR EC C IO N ES IP

una enorme versatilidad y tambin un ahorro


considerable de direcciones IP.

NAT DINMICO

IP Privadas
10.0.0.1:80
10.0.0.2:80
10.0.0.3:80

IP Pblicas
214.93.234.1:8000
214.93.234.1:8001
214.93.234.1:8002

PC2
10 .0 .0.2

Trfico direccionado privado


Trfico direccionado pblico
PC3
10.0.0.3
___________________________________________________________________________________________________ /

Figura 1 2 . Aqu se muestra la topologa


tradicional de NAT s o b r e c a r g a d o (PAT).

www.redusers.com

234

ESSS

6. NAT Y PAT

PAT se encarga de traducir mltiples

PATTRADUCE

direcciones IP privadas (habitualmente

D IR EC C IO N ES

entregadas mediante DHCP) para posteriormente


usarlas como una sola direccin de red pblica

PRIV A D A S PA RA

(utilizando diferentes puertos). A menudo, PAT

U S A R L A S COMO UNA

permite que dicha direccin sea utilizada por


varios equipos de la intranet.

SO LA P B L IC A

Para comprender el funcionamiento de la


topologa, decimos que PAT permite que varias
direcciones pblicas sean traducidas en una sola

direccin de red utilizando diferentes puertos.

Configuracin de PAT
Para efectuar la configuracin de PAT, debemos seguir un
procedimiento muy similar (en tres pasos) al utilizado para configurar
NAT. En el siguiente Paso a paso explicamos la forma de configurar PAT.

PAP: PROCESO DE CONFIGURACION DE NAT DINAMICO


Prim ero debe definir una ACL que permita solo las direcciones que deban
traducirse. No olvide asociarlas a una interfaz de salida (N A T sobrecargado o PAT).

Router>enable
Routerfconfigure terminal
Enter c o n f i g u r a t i o n ccmmands, one p e r line.
End w i t h CNTL/Z.
Router(config)faccesa-liat 1 permit 192.163.0.0 0.0.0.255
Router(config)fip nat inside source list 1 interface fastethernet
R o u t e r (c o n f i g ) t|_____________________________________________________________________

www.redusers.com

235

RO UTERS Y SW ITC H ES CISCO

02

Ahora defina las interfaces involucradas en dicha configuracin. Para ello, inicie
con la interfaz inside y en seguida presione la tecla EN T ER. No olvide validar la
interfaz con el comando i p

n a t in s id e .

R o u t e r>er.abie
Router*ccnfigure terminal
Znter co n f i g u r a t i o n cc=mand3, one per line.
Znd w i t h CNTL/Z.
Router(config)*access-list 1 permit 192.168.0.0 0.0.0.2SS
Router(config)jip nat inside source list 1 interface fastethernet 0
R o u t e r c o n f i g ) i n t e r f a c e f a 3 t e t h e r n e t 0/0
R o u t e r c o n f i g - i f )# i p a d d r e s s 1 9 2 . 1 6 3 . 0 . 2 2 5 5 . 2 5 5 . 2 5 5 . 0
R o u t e r ( c o n f i g - i f )# i p n a t i n s i d e
R o u t e r ( c o n f i g - i f )# n o s h u t d o w n
R o u t e r ( c o n f i g - i f )fcexit
Router(config)#

03

Contine con la configuracin de la interfaz outside. Al terminar presione la tecla


EN T ER y valide la interfaz con el comando i p n a t

o u t s i de. No olvide guardar

los cambios en la configuracin previa.

Router>enabie
Routerconfigure terminal
Z n t e r c o n f i g u r a t i o n commands, one per line.
Znd w i t h CNTL/Z.
Router(config)#access-list 1 permit 192.168.0.0 0.0.Q.25S
R o u t e r ( c c n f i g '# i p n a t i n s i d e 3 c u r c e l i 3 t 1 i n t e r f a c e f a s t e t h e r n e t
R o u t e r ( c o n f i g j t i n t e r f a c e f a s t e t h e r n e t 0 / 0
Router(config-if)ip address 192.163.0.2 255.255.255.0
R o u t e r ( c o n f i g - i f )# i p n a t i n s i d e
R c u t e r ( c c n f i g - i f )# n o s h u t d o w n
R o u t e r (c o n f i g - i f ) f e x i t
R o u t e r ( c o n f i g ) f i n t e r f a c e f a s t e t h e r n e t 0/1
R o u t e r .c c n f i g - i f ) f i p a d d r e s s 1 9 7 . 0 . 0 . 2 2 5 5 . 2 5 5 . 2 5 5 . 0
Rcuter(ccnfig-if)#ip nat inside
R o u t e r ( c o n f i g - i f )#no shu t d o w n
Router(config-if)fexit
R o u t e r ( c o n f i g ) #|____________________________________________________________________

www.redusers.com

236

6. N A T Y

USERS

PAT

Com o pudim os o b servar hasta este m om ento, la configuracin


efectivam en te es bastante parecida a la que se presenta m ediante el
uso de NAT, con la nica d iferen cia de que, al iniciar, debe declararse
una Lista de Control de Acceso y asociarla a PAT con ayud a del
parm etro overload (sobrecargado).

Rcuter>eneble
S o u t e r s h o w ip n a t ?
3tat3tC3
Translaticn 3tati3tics
translations
Translaticn entries
R c u t e r # 3 h c w ip n a t

Figura 13. Para verificar la configuracin NAT, es necesario


utilizar el comando show ip nat [argum entos].

Verificacin de NAT y PAT


Recordem os que para ve rifica r la in fo rm aci n p reviam en te efectuada
en los routers, debem os re cu rrir al com ando show. En la siguiente
tabla, se m uestra un resum en de los com andos ms usados para la
ve rificaci n de NAT y PAT:

LA FUNCION DEL ISP


Como sabemos, un Proveedor de Servicios de Internet (ISP - Internet Service Provider) es una orga
nizacin que brinda el servicio de conexin a internet a sus clientes. De esta forma, un ISP se encarga
adems de proporcionar rangos de direcciones de red a cualquier entidad que desea conectar un grupo
de computadoras con acceso a internet.

www.redusers.com

USERS

R O U T E R S Y S W I T C H E S C IS C O

237

TABLA 2: VERIFICACIN DE CONTENIDOS NAT Y PAT


T COMANDO

show ip nat translation

DESCRIPCIN
Muestra las traducciones de las direcciones IP efectuadas en el router. Arroja
una tabla de direcciones de red internas y externas configuradas.

show ip nat statistics

Muestra la configuracin previa de las interfaces (estadsticas NAT).

debug ip nat

Se encarga de mostrar los procesos de traduccin de las direcciones de red.

Tabla 2. Verificacin de NAT y PAT.

Como pudimos apreciar, el mecanismo de traduccin tanto de direcciones de red como de puertos esf
a menudo, utilizado por los administradores de redes con el fin de optimizar el direccionamiento IP. Hoy
en da existen diversas formas de implementacin, las cuales han sido creadas para solventar cualquier
necesidad en cuestin con la traduccin de direcciones: estticas, dinmicas y de sobrecarga (PAT).
En el siguiente captulo abordaremos el tema DHCP.

www.redusers.com

238

lU d ik i

6. NAT Y PAT

Actividades
TEST DE AUTOEVALUACIN
1

Explique en qu consiste la traduccin de direcciones de red.

Cules son los tipos de direcciones de red que existen?

Mencione por lo menos tres rangos de direcciones privadas.

En qu consiste una direccin local externa?

Cules son los tipos de implementacin de NAT?

Mencione la secuencia de comandos utilizados para configurar NAT

Cules son los pasos para efectuar la configuracin de NAT

Cul es la secuencia de comandos para verificar una configuracin de NAT?

Explique en qu consiste una

10

esttico.

dinmico?

intranet.

En qu consiste el mecanismo de traduccin PAT?

EJERCICIOS PRACTICOS______________________
1

Obtenga la direccin de red privada de su equipo personal y antela.

Realice una tabla con los rangos de direcciones IP privadas existentes.

Ingrese a www.cual-es-mi-ip.net y tome nota de su direccin pblica.

Efecte la configuracin de NAT esttica desde su router CISCO.

Describa el funcionamiento del comando show ip nat statistics y efecte la


verificacin de la configuracin realizada en el punto cuatro.

PROFESOR EN LINEA
Si tiene alguna consulta tcnica relacionada con el contenido, puede contactarse
con nuestros expertos: profesor@redusers.com

www.redusers.com

/ / / / / / / / / / / / / / /

Servicio
DHCP
En este captulo veremos la definicin, las caractersticas
y el funcionamiento del servicio DHCP en las redes CISCO.
Abordaremos cmo asignar un pool de direcciones desde un
servidor para el abastecimiento de IP dinmicas a los clientes
de la red. Para finalizar, conoceremos la configuracin del
cliente - servidor DHCP desde un router CISCO y el uso de un
router como Proxy DHCP.

Introduccin a DHCP

240

Configuracin de D H C P server..... 247


Configuracin de DHCP client......251

Asignacin de direcciones

Configuracin del Proxy D H C P..... 252

de red............................

242

Topologa cliente - servidor.....

243

Configuracin del router..... 246

71

71

Resumen

Actividades

253
254

240

ESSS

7. SERVICIO DHCP

Introduccin a DHCP
El protocolo de configuracin dinmica de host, o DHCP (Dynamic

host configuration protocol), consiste en un protocolo de red estndar,


el cual se describe a detalle en el RFC-2131 (www.ietf.org/rfc/

rfc2131.txt). DHCP, a menudo, es conocido como un protocolo de


configuracin de servidores (servers), cuyo objetivo principal se centra
en simplificar la administracin de redes muy grandes.

DHCP o protocolo de configuracin dinmica es un protocolo de red


que permite a los usuarios de una red de datos obtener parmetros de
configuracin automtica. El uso de DHCP es altamente recomendado
para organizaciones que desean implementar redes muy amplias.
Ke t wc r k

H a r l r mg

jleauett fox ^ 3 i q c ; i 2131

Z rs m s

B u flM ll
HmzzSx 1M ?

O b tc lv tti:

C it e g o r y t s s a ra a ro t T r i o *

Oytttftie

Oyr.tzqrr%zi?r. Preueol

S tatu s et t h i f

7hi dacuMr.t

ui.k pretecol x ;.%

in te r n e t 3 w w . i t y . ana
9 og ctstto r.9 ?cr
u o ic v m o ;!.
? : m : lo
c ic a c r
"U itm t
O f t i c u l P r e t c c s l f i t a f r O * ifTD }| f r tfv# t A f . l a r l i f i t i e A
* j.J U C 4 I o f m u u x s tc c d l. B U t t lf r M M f t r U U # m c c
- f c llr a n C .

A d itn et
Tha DyiYAitic M eit C a n fiy u r m e n

pr3<riS9 %

tr * n * v e .v *

ocx.f*a-xiiex. i & t o i m 13 &d#;t c& # : : r : r r.ttwexft.

Tci
DHCF i a

M M .1 o n t i w

(t o o t it r a p

fr r e t o r c

c a p a n l i v / s t a a tG M tto i l i e o i t i o e

(b X T P

or r ^ n r u

[!] ty.Tf

|1 ) ,

c .U rv f U t

ttv e r n o r t im

:^

i?vi

cf

TOOTf r e la y agen ta |t# * i j # ar*j w c r p a r t ic ip a r a ? can in t e r o e * r a t e


Wltfc B X T P P *X llO lM C # l # 1 .
T iO lt c r COAMftCf

1. f lt r M u c t i c o ............................. . . . . ....................................... 2
1.1..c ^ . 9 CC F C IM I............................................................................ 3
1.2 R t l a t t a 4erc.......... .. .................... ..

1.3 T i o l i & l d eria iL ion


1.4

q u i r Mr . t a ,

u .......................................................4

................................................ ...... .............................................................................5

l . b T tn a n e io g ? ...........................................................................................

Figura 1. A travs del link w w w . i e t f . o r g / r f c / r f c 2 1 3 1 . t x t


podemos verificar informacin concerniente a DHCP.
De manera especfica, DHCP permite obtener una

d i r e c c i n

IP (acompaada de su mscara de red y su puerta de enlace


correspondiente) que finalmente ser asignada a cada dispositivo
conectado a la red de datos. Dicho protocolo se basa en un modelo
c l i e n t e

- s e r v i d o r ,

en el que por lo general un servidor posee una

base de datos de direcciones IP

d in m

ic a s

y las va asignando a los

host cliente conforme stas van quedando libres. El protocolo DHCP,

www.redusers.com

USERS

R O U T E R S Y S W I T C H E S C IS C O

por lo general, asigna al cliente una d irecci n

LO S R O U T E R S

de red por un determ in ado perodo de tiem po.


Este parm etro es a m enudo configurado por el

C IS C O A C T U A L E S

ad m in istra d o r de redes desde su servidor.

IN C O R P O R A N LA

H oy en da, los routers CISCO tienen


inco rp o rad a la fu n cio n alid ad de cliente y servid o r

F U N C I N D E C L I E N T E

DHCP. Estos poseen tam bin la capacidad de

Y S E R V ID O R D H C P

actu ar com o d isp o sitivo s Proxy (conocidos


com o servid o res Proxy), en vian d o respuesta
a las solicitu d es requeridas por los clientes

DHCP al se rv id o r residente en la red. El router a m enudo co nvierte


el broadcast local de peticin de un cliente DHCP en un paquete

unicast y lo en va al serv id o r DHCP.

Broadcast

Unicast

1841
Laptop - PT

RouterO

Cliente

Server - PT
Servidor

Figura 2. Los routers CISCO incorporan


la funcionalidad de c l i e n t e y s e r v id o r .
Para que no exista duda con respecto a lo expuesto con anterioridad,
es necesario conocer la definicin de serv id o r Proxy: consiste en un
equipo in term ed iario situado entre el sistem a del usuario e internet.

DHCP CON SOFTW ARE L IB R E


Internet software consortium desarrolla servidores DHCP en el mundo del software libre. Este es el
servidor DHCP ms usado y uno de los que mejor cumple las RFC. La ltima versin en fecha es la 3.0,
pero an es una versin beta. Una de las principales innovaciones en esta versin es la posibilidad de
actualizar en forma dinmica un DNS de acuerdo a las IP proporcionadas por el servidor DHCP.

www.redusers.com

242

ESSS

7. SERVICIO DHCP

Es importante considerar que a menudo funcionan

E L SER V ID O R

como cortafuegos (ms conocidos como rewall)

PRO XYSE

y tambin como filtro de contenidos.


En este sentido, el servidor Proxy representa

P R E S E N T A COMO

por lo general un mecanismo de seguridad

UN M EC AN ISM O DE

que ha sido implementado por el ISP o por los


administradores de la red en un entorno de

SEG U R ID A D D EL IS P

intranet, esto se presenta con el fin de realizar la


desactivacin del acceso a ciertas sedes web (las
cuales generalmente poseen contenido ofensivo

o inadecuado para el usuario de la red de datos). Ms adelante, en este


mismo captulo, hablaremos en detalle sobre el uso de un router como
un dispositivo Proxy DHCP.

Asignacin de
direcciones de red
Aunque se sabe que la administracin de las direcciones IP puede
efectuarse en algunas ocasiones desde un sistema operativo modo
server (como en el caso de Windows o GNU-Linux), debemos tener
presente que esta tarea tambin puede llevarse a cabo sobre el
propio IOS de un router, tal y como veremos ms adelante en el tema

Conguracin del router.

Yft. firfin & r irrpr


t

nng hy

tr te i r tn v r u t^ r IP

HUM
Ifijflj

i N* V* iryt J m X tn tm ti Ihv wvt* tfafoUJ* t

pv

i*

A
flti

4tfri>i0N*rvt*icrf'ir tt?u toui#h * tw ntfwg/Mbni


U
U Yuui m mnk* INt
nmk, )v
trrqts et m m IP/wVWit
|:<

|"- 7 7 Z

<| i.

>

Lm tj

Figura 3. En la prctica, el servicio DHCP


es muy utilizado en servidores W indow s.

www.redusers.com

pn= sn

RO UTERS Y SW ITC H ES CISCO

Topologa cliente - servidor


Con el fin de ilustrar la forma en que se asignan direcciones de red
dinmicas (DHCP) en una arquitectura cliente-servidor tradicional,
vamos a emplear como ejemplo una topologa desarrollada en el propio
Packet Tracer de CISCO. Esta esquematizacin tiene como propsito
mostrarnos el proceso de configuracin de un servidor fsico (en el
que puede existir un sistema operativo Windows o GNU-Linux Server
instalado) y sus respectivos clientes.

Laptop - PT
PC01

PC04

10.1.233.0/24

Server - PT
Servidor

IP: 10.1.233.254
M.R: 255.255.255.0
Gateway: 10.1.233.254
DNS: 148.204.235.2

Figura 4. Topologa tomada como base


para efectuar la configuracin cliente - servidor DHCP.
Como podemos ver en la imagen recin presentada, dicha topologa
se encuentra conformada por cinco computadoras, un switch y

un servidor. Con fines prcticos, vamos a comenzar configurando


el servidor y posteriormente cada uno de nuestros clientes (cinco
computadoras) desde Packet tracer. Este proceso se ilustra y comenta
en detalle en el Paso a paso que mostramos a continuacin:

www.redusers.com

244

7. SERVIC IO DHCP

PAP: PROCESO DE CONFIGURACION DEL SERVICIO DHCP


Debe asignar una direccin IP esttica al servidor. Esta tarea se efecta en

01

Packet Tracer dando clic sobre el icono del servidor presente en la topologa.
Dirjase a D e s k t o p y haga clic sobre la opcin I P

c o n fig u r a tio n .

^ Sftvdcf

:,rnj

Desktop

1
X
ir

C o m n io n d

C o n fig u r a ! to n

P rom p t

Txt mor
^1

'

IP
W

a t

D i j t U 'r

V IH

Lf

02

Escriba la direccin I P esttica de su eleccin, la mscara de red, su gateway


y un D N S vlido. Finalice cerrando la ventana actual.

IP Configuration
DHCP

Static
W eb Browser
IP A d d re s s

10 l.?33.?S4

Subret Masfc

255.255.25S.0

Default Gateway

10 1.233.2S4

DNS Server

www.redusers.com

BHHZ3

RO UTERS Y SW ITC H ES CISCO

03

245

Contine presionando la pestaa C o n f i g, y enseguida pulse la opcin DHCP


ubicada a la izquierda de la ventana actual. Llene los datos solicitados: nombre
del pool, gateway, DNS, rango del pool, nmero mximo de usuarios, etctera.

U jm J
r ity * .*

C v o f* L

lm % k iv p

_____

v k .

<1.00 A l
IM .P
i

AJ9 0 0 VD S U *o g

H IM V K 1 K

C rv te i

H TT f

ir - o 1 m

Pool N om o

CXP

J u lt C t t * a y

T fT *

DNC S t r v r

Cn

E l

OW

tv v tfP o o J

t a i . 2 3 1 .2 M
H 0 .2 0 4 . m

.2

un

KT>

io

22)

5 u t> n o t M N k i

266

166

266

M j v i m t n i n u n t > r

kU A Il
PC-PT
K 05

* u r t t* A t m :

A f

U N fl f

mm n P
r r r p s r v f:

o .o .o .o

'

IN IU U A U .
r u rttw n t

P o o l Ni D fju lt G at D N S S f

S t J t I P Ac S u b r ^ t 1 M * x N u i T F T P

w - r v ...

1 0 .1 .2 3 3 . 0 J S S . . . .

L
9

1 0 .1 .2 3 3 .... H 8 ? ...

^
"

SO

O .O .O .C
1
*1
-----------
i

04

Haga clic sobre PC01. Presione I P

c o n f i gu r a t i on y seleccione DHCP. Espere

un par de segundos (en los que notar que se ha establecido un direccionamiento


vlido de modo dinmico). Efecte este proceso en las PC restantes.

pcoi

K d l

_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ j

C U c o IP

( o m m a n lrM f tf

www.redusers.com

USERS

7 . S E R V IC IO D H C P

f"

Ha llegado el momento de comprobar la configuracin realizada previamente,

Para ello, seleccione una de las PC de la topologa (PC origen) y haga clic sobre
su respectiva pestaa Command prompt. Realice ping colocando la direccin IP
de la PC destino. Contine con este proceso en cada equipo.

T PC02
Phy3cal

Config

Dockto?

Software/Scrviccs

C om m and Prom pt
PC Cr

Pnkm r

i*4 tlft t O

to.l.IM.4
1 0 .1 .2 9 3 .4 w it h 32 h y % % 9 e 4 u
S U p ly E o m 1 0 . 1 . 3 3 . 4 :

b y t i- 3 J

K t p iV r r o a
* .IM .4
S U p ly f i o . 1 C .1 .3 3 3 .4

W4MJ2 tim*tfl rr^ui


tiMUg 77>Ui

fcvplV ti un 1 0 .1 .2 3 3 .4

D y U fX

10 1

l l f i n

77> U I

itA'.lauwi

f d t 1 0 .1 .2 3 3 4.
* M C 4 , l+ r+ M T+ ti

Xfip;djiiaAbt uuaJ Ulp ;mi


m n i v * * f.

4 0 J> tt 3 <C%

Bill, moadi.

tw ,

Configuracin del router


Recordem os que la configuracin del servicio D H CP en un router
CISCO, en general, se efecta tanto a n ivel serv id o r com o tam bin
a nivel cliente, siguiendo la m ism a lgica que en la expuesta en una
topologa cliente - se rvid o r trad icion al, solo que en esta ocasin se
realiza a travs del uso de com andos.

SCOPE
Un s c o p e es definido como un rango vlido de direcciones IP que se encuentran disponibles para su uso
en equipos cliente de una red. El scope habitualmente es configurado desde el servidor DHCP, el cual
determina el p o o l de direcciones IP que el servidor puede proporcionar a los clientes DHCP.

www.redusers.com

247

RO UTERS Y SW ITC H ES CISCO

Es necesario tener en cuenta que todo router es capaz de incluir


dichas funcionalidades; nos ofrece la posibilidad de administracin
y configuracin de interfaces, por las cuales viajan los paquetes (de
direccionamiento) para su posterior asignacin.
Para ilustrar el proceso de configuracin de un router para la
asignacin de direcciones IP a un conjunto de dispositivos finales
en una red, analicemos la siguiente topologa, la cual nos servir de
base para atender la configuracin de DHCP server y DHCP client,
respectivamente, descritas ms adelante en el tema correspondiente:

Empty-Rl

Empty-R2

Figura 5. Esta imagen ilustra la topologa para


la configuracin de un router como cliente y servidor DHCP.

Configuracin de DHCP server


Debemos saber que en la mayora de los routers, la funcin conocida
como server DHCP viene habilitada en forma predeterminada (en caso
contrario debemos efectuar su activacin).
La configuracin del servicio DHCP sobre un servidor requiere
que realicemos la aplicacin de algunos parmetros de configuracin
elementales, los cuales se describen en el Paso a paso que
presentamos a continuacin:

www.redusers.com

248

7. SERVIC IO DHCP

PAP: PROCESO DE CONFIGURACION DE DHCP SERVER


Prim ero es necesario configurar la interfaz de salida del router. Para ello invoque

01

el comando i n t e r f a c e

[t ip o

- Nm ero I D ] y guarde la configuracin.

Router>enable
Routerlconfigure terminal
Z nt er c o n f i g u r a c i n coxmanda, one par lina.
Znd w i t h CNTL/Z.
R o u t e r ( c o n f i g ) S i n t e r f a c e f a s t e t h e r n e t 0/0
Router(config-if)#ip address 10.1.233.254 255.255.255.0
R o u t e r ( c o n f i g - i f )? n o s h u t d o w n
Router(config-if)?exit
Routar(config)$

02

Ahora habilite DHCP, invoque el comando s e r v i d e DHCP desde el modo de


configuracin global. Coloque un nombre vlido del pool DHCP. Esto se consigue
con i p d h cp

p o o l y en seguida el nombre que quiera asignar.

Router>enable
Routersconfigure terminal
Z n t e r c o n f i g u r a t i o n coamands, one p er line.
Zn d w i t h CNTL/Z.
R o u t e r c o n f i g ) i n c e r f a c e f a s t e t h e r n e t 0/0
R o u t e r c c n f i g - i f ) i p a d d r e = s 1 0 . 1 . 2 3 3 . 2 5 4 2 5 5 . 2 5 5 . 2 5 5 . 0
Router(config-if)*no shutdown
Routar(config-if)axit
Router(config)sservice dhcp
Router(config)yip dhcp pool USZRS
R o u t e r (d f a c p - c o n f i g ) i

www.redusers.com

BHHZ3

RO UTERS Y SW ITC H ES CISCO

03

249

Contine especificando la red principal donde obtendr el rango de las direcciones


I P utilizadas. Lo anterior se efecta mediante el comando n e t w o r k
[d ir e c c i n

I P ] [m s c a ra

de

r e d ] . Enseguida presione la tecla EN TER.

Router>enable
Routerfconfigure terminal
Z n t e r c o n f i g u r a t i o n c c n m a n d s , o ne p e r line.
Znd w i t h CNTL/Z.
R o u t e r ( c c n f i g ) i n t e r f a c e f a s t e t h e r n e t 0/0
R o u t e r ( c o n f i g - i f ) * i p a d d r e s s 1 0 . 1 . 2 3 3 . 2 5 4 2 5 S .2 5 S .2 S S .0
R o u t e r ( c o n f i g - i f )# n o s h u t d c w n
Router(config-if)#exit
Router(ccnfig)#service dhcp
Router ccnfig)$ip dhcp pcol USZRS
R o u t e r idhcp-ccnfrg) t n e t w o r k 1 0 . 1 . 2 3 3 . 0 2SS .255.255.0
RouterIdhcp-ccnfig)S

04

Defina la puerta de enlace o gateway. Utilice d e f a u l t - r o u t e r

[IP

del

g a t e w a y ] . Acto seguido, presione la tecla EN T ER. Es necesario saber que si se


cuenta con un

DNS, lo podemos incluir debajo del gateway.

R o u t e r >er.able
Routerconfigure terminal
Znter c o nfiguration command*, one per line.
Znd with CNTL/Z.
R o u t e r ( c o n f i g ) i n t e r f a c e f a s t e t h e r n e t 0/0
Router(config-if)#ip address 10.1.233.254 255.255.255.0
R o u t e r ( c o n f i g - i f ) n o s h u t d c w n
Router(config-if)exit
Router(config)t Service dhcp
Router(config)*ip dhcp pool USZRS
Router(dhcp-config)inetwork 10.1.233.0 2 55.255.255.0
Router(dhcp-ccnfig)defsult-router 10.1.233.254
R o u t e r ( d h c p - c c n f r g )f d n s - s e r v e r 1 4 8 . 2 0 4 . 2 3 5 . 2
Router (dhcp-config) exit
R o u t e r ( c o n f i g )t

www.redusers.com

250

05

ESSS

7. SERVICIO DHCP

Para finalizar con dicha configuracin es necesario que proceda excluyendo las
direcciones I P que no sern otorgadas por DHCP. Utilice i p d h c p e x c l ud ed
a d d re ss

[ra n g o

IP

in ic io

ran g o

IP

f in a l].

Router>enable
Souterconfigure leralnal
Z n t e r c o n f i g u r a t i o n corsnands, o n e p e r l i n e .
End with CNTL/Z.
R o u t e r ( c o n f i g ) f i n t e r f a c e f a s t e t h e r n e t 0/0
Router(config-if)iip address 10.1.233.254 255.255.255.0
R o u t e r ( c o n f i g - i f )j n o s h u t d o w n
R o u t e r <c o n f i g - i f ); e x i t
Router(config)fservice dhcp
Router(config)tip dhcp pool SZRS
Router(dhcp-config)*network 10.1.233.0 255.255.255.0
R o u t e r (d h c p - c o n f i g ) f d e f a u l t - r o u t e r 1 0 . 1 . 2 3 3 . 2 5 4
R o u t e r (d h c p - c o n f i g ) f d n s - s e r v e r 1 4 3 . 2 0 4 . 2 3 5 . 2
Router dhcp-config)exit
Router(config)$ip dhcp excluded-address 10.1.233.254
Router(config)t exit
Routert
%SYS-5-CONFIG_I: Configured from consol by consol
Router?

06

Por ltimo verifique la configuracin previa, puede hacer uso del comando show.
Para ello utilice el comando show i p

d h c p b i n d i n g . Posteriormente ser

necesario que presione la tecla EN TER.

Router>enable
R o u t e r * 3 h o w ip dhcp b i n d i n g
IP addre33

Client-ID/
Hardware

address

10.1.233.1

0090.0 C 4 0 . 0833

10.1.233.2

000A.41S3.4A1A

10.1.233.3

0 0 0 1 . 9 7 1 5 -13CS

Router#]

Laae

www.redusers.com

expxration

USERS

R O U T E R S Y S W I T C H E S C IS C O

251

En cuanto a lo anterior, es ncccsario tom ar en co n sid eraci n que la


orden ip dhcp excluded-address puede ser em pleada tam bin para sealar
la IP del host excluido. Desde luego que una de esas direccion es de red
debe ser igual a la asignada para gateway (o d irecci n IP del servidor).

Configuracin de DHCP Client


Para que un router pueda obtener din m icam ente la d irecci n IP de
una o varias interfaces, estas deben estar configuradas com o clientes
DHCP. Para in icia r la configuracin de dichas interfaces, es necesario
in vo car el com ando que ya conocem os: interface [tipo - Nmero ID] y
en seguida la orden ip address dhcp. Recordem os que para h ab ilitar las
interfaces debem os teclear la orden no shutdown.

Router>enable
Routerfcccnfigure
Enter

terminal

configuration ccmmands,

Router(config)^interface
R o u t e r ( c o n f i g - i f )# i p

one p e r

fastethernet

address

line.

End with

CNTL/Z.

0/0

dhcp

R o u t e r ( c o n f i g - i f ) t n o 3hutdown
R o u t e r ( c c n f i g - i f ) # e x it
R o u t e r ( c c n f i g ) #|

Figura 6. En esta imagen se muestra


la configuracin DHCP de un cliente en la red.

SERVIDOR DHCP DESDE WINDOWS


Windows 2008 Server proporciona las herramientas elementales para comenzar a trabajar con el ser
vicio DHCP. Esta tarea tendr efecto siempre y cuando sea agregado el rol o la funcin correspondiente:
servicio DHCP. Este es habitualmente invocado desde el administrador del servidor de Windows Server.

www.redusers.com

252

USERS

7 . S E R V IC IO D H C P

Verificacin DHCP server y client


Otros com andos que podem os em plear para ve rifica r los datos
p reviam ente in trod u cid o s se describen en la siguiente tabla:

T A B L A 1: V E R IF IC A C I N D E D H C P
COMANDO

DESCRIPCIN

show ip dhcp database

Se encarga de mostrar el estado de la base de datos de DHCP.

show ip dhcp server statistics

Se encarga de mostrar las estadsticas del servicio DHCP.

show ip dhcp binding

Nos muestra un registro de las direcciones IP, el tiempo de expiracin y el tipo.

Tabla 1. Verificacin de DHCP server y client.

Configuracin del Proxy DHCP


En esta seccin vam os a configurar el router para su uso como

Proxy DHCP. Para efectuar esta tarea, u tilizarem o s el com ando ip


helper-address [ip del servidor DHCP]. Esta orden se encarga de designar
la IP del servid o r DHCP en la fu n cio n alid ad Proxy, adem s de p erm itir
que se enven grandes cantidad es de broadcast UDP, las cuales tienden
a filtrarse segn se haya establecido en la configuracin previa.

Router>enable
R o u t e r ?c o n fig u r e
E n te r

t e r m in a l

c o n fig u r a t io n

ccncnanda,

one

per

lin e .

Znd w it h

CNTL/Z.

R o u t e r ( c o n f i g ) i n t e r f a c e f a 3 t e t h e r n e t 0/0
R o u t e r (c o n f i g - i f ) ? i p

h e lp e r -a d d r e s s

R o u t e r (c o n fig - if)i na

gh u td o vm

1 9 2 .1 6 8 .1 .2 5 4

R o u t e r (c o n fig -if)S e x it
R o u t e r (c o n f ig ) t

Figura 7. Ejemplificacin del uso de la orden ip helper-address.

www.redusers.com

USERS

R O U T E R S Y S W I T C H E S C IS C O

253

Para realiz a r la configuracin de direccion es d inm icas m ediante


el servicio DHCP, hoy en da se hace uso de m ltip les com andos,
entre los que encontram os rdenes de prueba, ad m in istra ci n y
actu alizaci n . En la siguiente tabla harem os m encin de algunos
com andos que se pueden u tiliz a r en dicho m bito:

(Jj\S

T A B L A 2: C O M A N D O S A U X IL IA R E S D H C P
COMANDO

DESCRIPCIN

release dhcp [interfaz]

Se encarga de liberar la direccin de red IP dinmica del cliente.

renew dhcp [interfaz]

Se encarga de renovar la direccin de red IP dinmica del cliente.

dns-server [IP del DNS]

Implica la colocacin de la direccin IP del DNS (Domain ame System).

domain-name [IP del DNS]

Implica la colocacin del nombre de un dominio en la red.

netbios-name-server [IP del server]

Se encarga de definir la direccin de red IP del servidor Netbios.

lease [horas minutos segundos]

Establece el tiempo de alquiler de los parmetros DHCP.

Tabla 2. Lista de comandos auxiliares DHCP.

ES
Sin duda alguna, el servicio DHCP se ha convertido en el favorito de muchos administradores de red,
pues gracias a su gran escalabilidad y versatilidad, hace posible, entre otras cosas, minimizar los errores
que se producen en las configuraciones manuales al duplicarse las direcciones de red, sobre todo si
se trata de compaas muy grandes o en vas de crecimiento. En este captulo, pudimos atender dos
perspectivas de configuracin del servicio DHCP: en primer lugar desde una red cliente - servidor
tradicional y tambin desde un router CISCO.

www.redusers.com

254

lU d ik i

7, SERVICIO DHCP

Actividades
TEST DE AUTOEVALUACIN
1

Explique en qu consiste el servicio DHCP.

En qu consiste una arquitectura cliente - servidor?

Qu funcin cumple un Proxy DHCP en una red de datos?

Qu comando debemos usar para activar el servicio DHCP desde un router?

Cules son los parmetros para efectuar la configuracin DHCP server?

Para qu sirve el comando ip dhcp excluded-address?

Cul es el propsito de la orden show ip dhcp binding?

Mencione el comando utilizado para configurar un Proxy DHCP.

En qu consiste el servicio DNS?

10

Cul es la sintaxis del comando lease en el mbito del servicio DHCP?

EJERCICIOS PRACTICOS_________________________
1

Abra un explorador web y consulte informacin referente al servicio DHCP desde


el siguiente portal: www.ietf.org/rfc/rfc2131.txt.

Monte una topologa cliente - servidor sobre Packet Tracer.

Efecte la configuracin de un servidor y un cliente desde un router CISCO.

Ponga en prctica el funcionamiento de los comandos: show ip dhcp database


y show ip dhcp server statistics.

Realice una lista de los comandos vistos en el presente captulo.

PROFESOR EN LINEA
Si tiene alguna consulta tcnica relacionada con el contenido, puede contactarse
con nuestros expertos: profesor@redusers.com

www.redusers.com

/ / / / / / / / / / / / / / /

Redes privadas
virtuales (VPN)
En este captulo conoceremos definiciones elementales para
comprender la arquitectura y el funcionamiento de las redes
privadas virtuales (VPN). Ofreceremos tambin la explicacin
tanto del proceso de configuracin de una VPN site to site
como el modo de encriptacin a travs de un tnel CRE.

Introduccin a V PN .............256

V PN de router a router................. 267

Cmo funciona una VPN? ...258

Resumen.............................273

Seguridad IP cifrada....................261

Actividades......................... 274
Proceso de configuracin
de una V P N ........................ 265

71

71

256

lU d ik i

REDES PRIVADAS VIRTU A LES (VPN)

Introduccin a VPN
Actualmente es comn que la mayora de las empresas se vean en
la necesidad de comunicarse con algunos asociados, clientes remotos
e incluso sucursales de las mismas u otras compaas a travs de

internet. Desafortunadamente, la utilizacin de este medio implica


estar sujetos a una gran cantidad de riesgos o ataques (espionaje
o escuchas, robo de identidad, intervencin o secuestro de lneas,
sabotajes, malware, etctera), pues a menudo los datos transmitidos
son mucho ms vulnerables que cuando viajan por una red interna

(privada) de la organizacin. Una alternativa para evitar problemas


de esta naturaleza consiste en utilizar internet como medio de
transmisin con un protocolo de tnel (del cual hablaremos ms
adelante, en el tema Funcionamiento de VPN). Para ello suelen
utilizarse las redes privadas virtuales o VPN (Virtual Prvate Network).
Una VPN consiste en una red que se construye dentro de una
infraestructura de red pblica (internet) y que, por lo general, es
empleada por ciertas compaas con el nico fin de procurar una

conexin segura, tanto a sus oficinas como a los usuarios remotos


que las conforman.

Red interna A

u JU L
][
][

Red interna B

Tnel (datos)

: u l u
:[

1
1

____

Figura 1. Una VPN establece una conexin


entre dos redes privadas a travs de una r e d p b l i c a .

www.redusers.com

R O U T E R S Y S W I T C H E S C IS C O

USERS

257

Las VPN establecen tip o l g ica m e n te una conexin entre dos redes
p rivad as tom ando com o base una red pblica. A m enudo nos brindan
una conexin segura a un bajo costo (se reducen costes de ancho de
banda de WAN, m ientras se aum entan las velo cid ad es de conexin al
usar la co n ectivid ad a internet de ancho de banda elevado, tales com o
DSL, ethernet o cable).
La creacin de una VPN, a m enudo, im p lica una p revia configuracin
(m ediante sistem as de seguridad de cifrad o ) y la adaptacin de
equipo fsico (hardw are) en am bos extrem os. El tipo de hardw are
al que h ab itualm en te se recurre pueden ser servid o res o routers.
Ms adelante, en el tem a Proceso de configuracin de una VPN,
conocerem os la form a de configurar una VPN creando tneles de
en crip taci n desde un router CISCO.

Figura 2. La adecuada preparacin del


hardware es la clave para el funcionamiento de una VPN.

ROUTER ASEQUIBLE
El RV180 Router Cisco es un dispositivo asequible, fcil de usar, que combina la conectividad de red de
alto rendimiento. Estos dispositivos incluyen gigabit ethernet, calidad de servicio, soporte IPv6 y seguridad
avanzada, las caractersticas necesarias para construir con xito la red de pequeas y medianas empresas.

www.redusers.com

258

ESSS

8. REDES PRIVADAS VIRTU ALES (VPN)

Actualmente existen en el mercado algunas soluciones integrales


contra escuchas, malware y todo lo relacionado con el rubro de la

seguridad informtica y las VPN (dirigidas inclusive para el usuario).


Estas aplicaciones pueden ser descargadas desde la web del fabricante
para despus ser configuradas de manera manual y as garantizar un
ambiente de seguridad. Existen soluciones gratuitas y de pago. Para
conocer algunos ejemplos, podemos consultar las siguientes pginas:

www.spotflux.com,www.tunnelbear.com,www.hotspotshield.com,
www.proxpn.com.

pro
H o w l t W o f ia

20

*
F^aiures & B n e filt

Pncirw

D ow n lo ad

F o rM o b ite

H elp Cente*

FSog

Get your guard up.

NOT

ON OUR
W ATCH

M t) qxw dudci. U libertad y la p m acxied ca Laca cncurntra bijo

B l Los robtenos y prrveedz t s de lttereet q w : controlar lo o

poed* jro puNte ver en trac


m d m o vi tifo

y e rto

nuntiaoe an recurro de todo lo qoe h * * * .

t* A * o m rro*edo

a lr > M

o r 4 t m i o *fr tjr r \*

Ptay O u r New
Web Spot

p w n i del a en p a erv p o * d I w ii t rcs d ito b a e ra as cl de k> qoe

viiievr<0

C o n ta ct Us

U w rfcieia raanera qae s* ^prraha n ain irofn fr y sis sprrv& n.

t <i\

O
*g>

tfffelCtaf

n a iu a io

K%arif

What s proXPN?

Why do 1necd it?

Wait. it*s free?

proXPN un ic de utzar H servicia

U privacidad eu fcae* u va. Ix *

fntuxto. 90c a x fu r j U cooexjoo a 1Dictad

sm cctncrax la uorm aaoa en an a troto

n*>*

Si proXFN ofreve o>cn^w bu-'AS de


minera ^atusla con on coajunto com$c<o

Figura 3. Las soluciones VPN que se ofrecen en i n t e r n e t


se basan en servidores VPN para garantizar un ambiente seguro.

Cmo funciona una VPN?


Como hemos mencionado hasta este momento, una red privada
virtual se basa en un protocolo denominado protocolo de tnel. Este
protocolo consiste en cifrar o encapsular los datos que se transmiten
desde un lado de la VPN hacia el otro.
De aqu se desprende el origen de su funcionamiento, el cual nos
permite deducir que una VPN cuenta con dos extremos, los cuales
buscan comunicarse de manera segura.

www.redusers.com

pn= sn

RO UTERS Y SW ITC H ES CISCO

Central Argentina

^ Tnel VPN
Encriptacin de datos
Sucursal Chile

Sucursal Mxico

Figura 4. Los datos transmitidos de extremo a extremo


en una VPN sern encriptados mediante un protocolo de tnel.
Derivado de lo anterior, podemos expresar que todas las VPN
utilizan algn tipo de tecnologa de encriptacin, la cual se encarga
de empaquetar los datos que son transmitidos de manera segura,
esto para su posterior envo por la red pblica, pues a menudo
nos permite realizar la proteccin de los datos que son transportados
de un extremo a otro de la conexin de red.

www.redusers.com

USERS

8. R E D E S

P R IV A D A S V I R T U A L E S (V P N )

El trm ino tnel se em plea para representar el hecho de que los


datos estn cifrados desde el m om ento en que entran a la VPN hasta
que salen de ella y, por lo tanto, son inco m p ren sib les para cualquiera
que no se encuentre en uno de los extrem os de la VPN (equipos
conectados a un serv id o r o router); es com o si
los datos via ja ra n realm ente a travs de un tnel.

CUANDO EL PAQUETE

Cuando los datos llegan a su destino, el paquete

LLEGA A SU DESTINO,

original es desem paquetado y vu elve, as, a su


estado original. A ctualm ente contam os con varias

SE DESEMPAQUETA

soluciones para la im p lem en taci n de tneles

Y VUELVE A SU

(tunneling); dos de las ms conocidas son GRE


(Generic Routing Encapsulation) e IPSec, de las

ESTADO ORIGINAL

cuales hablarem os ms adelante en este captulo.


Otro trm ino de relevan cia que a m enudo nos
vam os a en con trar al estar trab ajando con VPN es

autenticacin. Se trata de un m todo que so licita al usuario o entidad


las cred enciales co rresp o n d ien tes para com enzar con el proceso de
fo rm acin de un tnel de en crip taci n de datos.
Al trabajar con VPN, norm alm ente se em plea un sesin de

autenticacin, la cual es sim ilar al sistem a de inicio de sesin tradicional


(en el que se solicita nom bre de usuario y contrasea), con la diferencia
de que tanto las polticas como las m edidas de seguridad presentan un
nivel ms elevado de proteccin en la validacin de identidades.
Para tener acceso a la interfaz grfica de la sesin de auten ticacin,
basta con ingresar a un navegador web y escrib ir la direccin IP del
router con el que nos vam os a com unicar.
La sesin de au ten ticaci n se lle va a cabo generalm ente de m anera
aleatoria, esto con el fin de asegurar que no haya un tercer particip an te
que pudiera entrom eterse en la conversacin.

PPTP (Protocolo de Tnel Punto a Punto) es un protocolo de capa 2 desarrollado por Microsoft, 3Com,
Ascend y ECI Telematics. L2F (Reenvo de capa dos) es un protocolo de capa 2 desarrollado por Cisco,
Northern Telecom y Shiva. IPSec se presenta como un protocolo de capa 3 creado por el IETF que puede
enviar datos cifrados para redes IP.

www.redusers.com

BHHZ3

RO UTERS Y SW ITC H ES CISCO

261

Acceso Externo a R ed lJG R

Conexin V PY
i)*lfci|ffO

NotA

usuaro
r Q

-a

CLAVE

!'to*
4
UQK.
B H* WmU v *#*

H=J

C S iR C

^ .% 5 3 3 s s = r- * ~

Figura 5. Las sesiones de autenticacin


VPN son utilizadas para ofrecer un acceso seguro de conexin.

Seguridad IP cifrada
Una red privada virtual, por lo general,

UNA RED

proporciona el mximo nivel de seguridad


posible a travs de sistemas conformados por

PRIVADA VIRTUAL

un conjunto de protocolos y algoritmos de


seguridad diseados para proteger el trfico de

PROPORCIONA EL

red. Ejemplos de este tipo de sistemas o modos

MXIMO NIVEL DE

de encriptacin son el conocido sistema VPN


IPSec (Protocolo de Internet Seguro) y el modo

SEGURIDAD P O S IB L E

GRE (Encapsulamiento Genrico de Ruteo).

Sistemas de cifrado
El sistema que integra los protocolos de IPSec acta en la capa
nmero 3 del modelo OSI. Este sistema emplea por lo regular dos
protocolos que han sido desarrollados originalmente para proporcionar
seguridad a nivel de paquete (tanto para IPv4 como para IPv6); estos son:

Authentication header (AH): como su nombre lo indica, posee un


sistema de autenticacin en el encabezado del paquete IP, lo que

www.redusers.com

HHHZ23

8. REDES PRIVADAS VIRTU ALES (VPN)

hace posible tanto la integridad, como el envo correcto de los datos


al destino que corresponde.

Encapsulating security payload (ESP): es altamente utilizado


por muchos administradores. Estos protocolos proporcionan
confidencialidad adems de la opcin de autenticacin y proteccin
de integridad de la conexin y los datos.
Derivado de lo anterior, podemos citar que IPSec a su vez cuenta con
dos modos de operacin: modo transporte y modo tnel. Cualquiera de
ellos hace uso del protocolo AH o ESP para el envo de datos seguros.

IPSec modo transporte


l
e

Conexin virtual ESP 0 AH

PC
Servidor

1841

1841

1841

IPSec modo tnel


Conexin virtual ESP 0 AH
1841

1841

Servidor

Figura 6 . Diferencia entre los modos de operacin de un s i s t e m a I P S e c .


Otro sistema conocido y aplicado por muchos administradores de
redes es GRE, mediante el cual los routers a menudo se encargan de

www.redusers.com

263

RO UTERS Y SW ITC H ES CISCO

cifrar los paquetes IP con esta etiqueta, para

E L ULTIMO

despus enviarlos por la red hacia el router de


destino (situado al final del tnel), entonces

RO UTER D E S C IF R A

este ltimo router se encarga de descifrar los

LOS P A Q U E T E S

paquetes quitndoles la etiqueta GRE y dejndolos


listos para encaminarlos localmente.

Q UITN D O LES LA

Es habitual que los routers comiencen con

ETIQ UETA G RE

el proceso de segmentacin de paquetes con el


fin de enviarlos a travs del tnel, esto se debe
bsicamente a que su tamao excede la Unidad de

Transmisin Mxima (MTU) que estos soportan. Si en algn momento nos


vemos en la necesidad de contar con un apoyo adicional de interconexin
IP avanzada, al mismo tiempo en que se mantiene una conexin segura a
travs de la red pblica, la solucin es ejecutar GRE sobre IPSec.

VNP = Cana! de
comunicacin seguro
a travs de Internet

Encriptacin = Nadie en
Internet puede averiguar
el contenido de la
comunicacin
GRE o IPSec

Figura 7. I P S e c y GRE son modos de cifrado


empleados en la configuracin de una VPN.

Tipos de VPN cifrada


Los algoritmos criptogrficos definidos para el uso de IPSec deben
incluir siempre HMAC-SHA1 para garantizar la integridad y AES-

CBC, para confidencialidad. No olvidemos que tanto la autenticacin


como la encriptacin (aunque se usan en mbitos distintos) estn
estrechamente relacionadas, por lo que al trabajar con IPSec se
recomienda el uso tanto de AH como de ESP.

www.redusers.com

8. R E D E S

USERS

P R IV A D A S V I R T U A L E S (V P N )

Es necesario co n sid erar que otros sistem as

EN LA ACTUALIDAD,

que pueden tenerse en cuenta para m antener

EN EL CAMPO CISCO,

un nivel de seguridad aceptable en la red son


los siguientes: tneles VPN SSL (Secure Sockets

CONTAMOS CON

Layer) y tam bin las tecnologas de autenticacin.


En este sentido, dentro del cam po de las

DOS TIPOS DE VPN

teleco m u n icacio n es CISCO, en la actualidad

CIFRADAS

contam os con dos tipos de VPN cifradas, las


cuales m encionam os y detallam os a continuacin:

VPN IPSec de sitio a sitio: esta altern ativa es idnea para oficinas
dom sticas, o com paas dedicadas al transporte de recursos de la
red a ciertas sucursales. Su arq u itectu ra es m uy sim ple y a m enudo
es m u y em pleado por los usuarios y pym es.

VPN de acceso remoto: su arq u itectu ra es ms com pleja, pues con


ella se consigue em u lar el escrito rio rem oto. Esta m odalidad puede
instalarse u tiliz a n d o VPN SSL e incluso VPN IPSec.

VPN

Encriptacin

Tnel IPSec

Tnel GRE

Figura 8. En este esquema se muestran los tipos de VPN.

PROTOCOLOS Y MAS PROTOCOLOS


Actualmente existen otros protocolos como IP sobre IP (IP in IP) que utiliza el nmero 4 de referencia de
protocolo. Es un protocolo abierto al igual que GRE, con la nica diferencia de que GRE ofrece mayor
flexibilidad particularmente con los routers CISCO. Este ltimo soporta protocolos de capa 3 como IP e
IPX. GRE no utiliza TCP ni UDP.

www.redusers.com

BHHZ3

RO UTERS Y SW ITC H ES CISCO

265

Proceso de configuracin
de una VPN
Antes de comenzar con el proceso de configuracin de una VPN,
recomendamos tener conocimientos previos sobre sistemas o modos

de cifrado, tipos de VPN cifradas, asociaciones de seguridad


e incluso listas de control de acceso y NAT.
Para efectos de configuracin de una VPN desde un dispositivo
CISCO, debemos seleccionar primeramente el sistema de cifrado que
deseamos implementar, consideremos que, en este caso, vamos a
realizarlo mediante un tnel GRE.
Veamos el siguiente Paso a paso en el que ilustramos
detalladamente este procedimiento:

PAP: PROCESO DE CONFIGURACION DE UNA VPN

01

En primer lugar debe configurar la interfaz fsica que desea protegerse. Para ello
utilice el comando i n t e r f a c e

t n e l

[N m e r o ]. El nmero que puede asignar

puede estar comprendido en el rango de 0 a 21 474 83 647 . Despus deber


presionar la tecla EN TER.

Router>enable
R o u t e r $ c o n f i g u r e terininal
Znter configuration comnanda,
Router(config)i interface
R o u t e r { c o n f i g - i f )i

ene per

tunnel

line.

Znd w i t h CNTL/Z.

10

www.redusers.com

266

02

8. REDES PRIVADAS VIRTU A LES (VPN)

Posteriormente ingrese la direccin I P y su mscara correspondiente a dicha


interfaz. Para ello, utilice el comando i p a d d r e s s
m s c a ra de

[d ir e c c i n

IP

r e d ] . En seguida presione la tecla EN TER.

Router>enable
Router#configure

terminal

Enter configuration commands, one pe r


S o u t e r 'c o n f i g ) f i n t e r f a c e t u n n e l 1 0
R o u t e r :c o n f r g - i f ) # i p a d d r e a a

line.

192.168.1.1

Znd with CNTL/Z.

2SS.255.25S.252

R o u t e r ( c o n f i g - i f )t

03

A continuacin necesita teclear la direccin I P de origen del tnel, use t u n n e l


so u rce [d ir e c c i n
del tnel con t u n n e l

IP

de o r i g e n _ t u n e l ] . Ingrese la direccin IP de destino

d e s tin a tio n

[d ir e c c i n

Router>enable
Router#ccnfigure terminal
Enter configuration c o m a n d a ,

one per

line.

R o u t e r ( c o n f i g ) f i n t e r f a c e t u n n e l 10
Router(config-if)irip address 192.168.1.1
R o u t e r :c o n f i g - i f ) t t u n n e l
R o u t e r ( c o n f i g - i f )f t u n n e l
Router(config-if)fexit
R o u t e r ( c o n f i g ) $|

www.redusers.com

IP

de d e s t i n o _ t u n e l ] .

Znd with CHTL/Z.

255.255.255.252

source 172.16.1.1
deatination 172.16.2.1

USERS

R O U T E R S Y S W I T C H E S C IS C O

267

Para lle va r a cabo la configuracin de una red p rivad a virtu al, pero
esta vez de m anera com pletam ente grfica, podem os au x iliarnos de la

herram ienta SDM de CISCO, o en su defecto del em ulad or de redes


GNS3 (en el cual podem os incluso in stalar SDM).
3 |C k c o R o u U i n t f $ c u i i t y D * v K * U f t i M c * i |M 'M ) 1 9 ? 1 * 0 2 0 0 1

Archwy Cdil* V*r ttvrntfvivnlvv


0
*>

o **

rsTarrsr;-------- 1*
jvPNiiooasitio

|F if.vV P N fw n n fo

O
J
0,
?
AuudMi uad suwjvJi Ayum
C it a r M f t t t o r C aw V /P N

Hll.ll!.
CISCO

C d iU f i t f a o o r E ty V P N

ftO K le p k h Ji g uia r | >rlur. U n u * li* ccnftgijr.#t tAn 4 o l runnrtifar* in y ^ N

J Red onvacsa\irtui mu?


14 *13 X I VPN

CB . 1 C o m p o n e r/* * VPN

U ttfIA fftO

fe

# 5
3

jity VI*U

<

Prtrtquiiitof
aaaestifles*ctradon roul*Des**&Urac&vaooWpar)configurar
frrrvlfoeCtwVPN

*...
J

u e ilc t ta o pcin p r <on* 9u r * r ie ro u u r convo un M n M o r C m v V P N Par


i n n l c j r In to n flg i^ K n . i# |u > m # a n o c n ro r.w L r . r fifc w fili- .p iililu J ir ip g iu p qua p u e d a n con :tw * a lo a cuantas y a u i tnbM o

asteara.
ilr r .

.m e la r > i M im n t o p ara K w d w C a iy V T N j

Figura 9. A travs de la herramienta


SDM es posible configurar una VPN completa.

VPN de router a router


Com o hem os m encionado anteriorm ente, existe un tipo en p articu lar
de VPN que nos perm ite efectu ar una configuracin punto a punto, la
cual es definida com o VPN de sitio a sitio.
En este sen tido debem os tener en cuenta que la co n fig u racin
que p ro p o rcio n em o s a una VPN de ro u ter a router se p resenta
com o un claro ejem p lo para d icha im p le m e n ta ci n , pues no

l/ l/ l/

VPN EN WINDOWS 8
El cliente VPN en Windows 8, como el propio sistema operativo, ha sido optimizado para dispositivos
tctiles. Esta optimizacin permite crear una conexin VPN y conexin a redes corporativas, de un modo
ms rpido y ms fcil. El icono de conexin VPN aparece ahora en Ver redes disponibles.

www.redusers.com

c<

268

USERS

.R E D E S

P R IV A D A S V I R T U A L E S (V P N )

o lvid e m o s que, g eneralm ente, una red p riva d a

U N A R E D P R IV A D A

v irtu a l o VPN contar con dos extrem os y un

V IR T U A L C U E N T A

tnel de cifrad o de datos situ ad o en este caso


entre am bos routers.

CON D O S E X T R E M O S

En el Paso a paso siguientem ostrarem os la


form a adecuada de efectuar la en crip taci n de

YUNTNEL

un tnel-GRE, revisarem o s las in d icacio n es que

D E C IF R A D O

debem os co m p letar y tam bin entregarem os


opciones y datos im portantes.

E O / l- 1 9 2 .1 6 8 10 2 5 4 /2 4

E 0 / 0 - 8 1 .1 7 1 .1 7 1 .2 6 /3 0

LvJ
V P N T U N N E L - B e tw e e n th e t w o te s
( V ir t u a l T u n n e l)

1010.1
E O /l - 1 0 . 1 0 1 0 .2 S 4 /2 4

E 0 /0 -9 1 .4 S .2 3 .3 4 /3 0

Figura 10. Aqu vemos la conexin fsica


para efectos de configuracin de r o u t e r a ro u te r.
Com o m encionam os, para lle v a r a cabo la tarea de en crip taci n
a travs de un tnel, en una conexin de router a router, debem os
co m p letar el p roced im ien to que m encionam os a continuacin.

PROVEEDOR VPN CONFIABLE


Es recomendable tener mucho cuidado al momento de querer contratar alguna de estas compaas, pues
a menudo mucha gente podra estar usando nuestra informacin para otros medios. www.strongVPN.

com y www.reliablehosting.com han estado proporcionando servicios de internet desde 1995.

www.redusers.com

BHHZ3

R O U T E R S Y S W IT C H E S C ISC O

269

PAP: ENCRIPTACION TUNEL-GRE

01

El primer paso que debe efectuar para agregar una


una

poltica de asociacin con

comando: c r y p t o

is a k m p

opcin de encriptado es crear

su respectiva prioridad. Para ello utilice el

p o lic y

100.

Router>enable
Router#configure terminal
n t e r c o n f i g u r a t i o n commanda, one p er line.
R o u t e r {config) * c r y p t o i s a k m p p o l i c y 100
R o u t e r ( c o n f i g - i a a k m p )i

02

Znd w i t h CNTL/Z.

Posteriormente defina un

algoritmo de encriptacin.

comando: e n c r y p t i o n

a e s . Puede establecer el algoritmo MD5.

Router>enable
Routerccnfigure terminal
Z n t e r c o n f i g u r a t i o n cosmanda, one p e r line.
R o u t e r ( c o n f i g ) f c r y p t o i s a k m p p o l i c y 100
R o u t e r c c n f i g - i 3 a k r p ) e n c r aes 256
Router(ccnfig-isaknp)?

Puede utilizar A E S con el

Znd with CNTL/Z.

www.redusers.com

270

03

8. RED ES PR IVA D A S V IR T U A L E S (VPN)

La forma de expresar el nuevo algoritmo de encriptacin (M D 5 ) es mediante


el uso de la orden h a s h
un

md5. En seguida presione la tecla EN T ER y establezca

tiempo de negociacin. Finalm ente

presione la tecla EN TER.

R o u t e r ( c o n f i g ) f c r y p t o i s a k m p p o l i c y 100
R o u t e r ( c o n f ig-isakxnp) f h a s h m d 5
Router(ccnfig-i3akmp)flifetime 36400
R o u t e r ( c o n f i g - i s a k n p ) fl

04

Por ltimo, establezca una


a u t h e n t i c a t i on

autenticacin compartida

mediante el comando:

p r e - s h a r e y defina el nmero de un grupo, para el cual

puede considerar los valores 1, 2 y 5 (previam ente definidos).

Router>enable
Routerfconfigure terminal
Z n t e r c o n f i g u r a t i o n c o m m a n d a, o n e p e r l i n e .
Zn d with CNTL/Z.
R o u t e r ( c o n f i g ) f c r y p t o i s a k m p p o l i c y 100
R o u t e r ( c o n f i g - i s a k m p ) t e n e r aes 256
R o u t e r ( c o n f i g - x s a k m p ) ta u t h e n t i c a t i e n p r e - s h a r e
Router(config-isakmp)fgroup 2
Router(config-isakmp)f

www.redusers.com

BHHZ3

R O U T E R S Y S W IT C H E S C ISC O

271

Al definir un algoritmo de encriptacin,

P A R A UN A LG O R IT M O

se puede elegir entre tres posibles grupos


de bits definidos: 128, 192 y 256 bit keys.

DE E N C R IP T A C I N

Notemos tambin que al definir una poltica de

POD EM O S ELEGIR

asignacin de seguridad, debemos establecer


un valor numrico de prioridad, el cual puede

E N T R E TRES

estar comprendido entre 0 y 10000, siendo este

GRUPOS DE BITS

ltimo valor el de mayor prioridad.


Otro aspecto que vale la pena analizar tiene
su origen en el punto nmero 2 del Paso a paso

anterior. Notemos que al definir un algoritmo de encriptacin, en


este caso MD5, debemos establecer un valor entre 0 y 86400, el cual
establece un tiempo de negociacin dentro del algoritmo.

Mapas criptogrficos para una VPN


Con el fin de que nuestros dispositivos de red trabajen de la manera
ms eficientemente posible, debemos definir algo que se conoce con
el nombre de mapas criptogrficos. Al ser implementados sobre
routers, a menudo tienden a mejorar en su desempeo, adems de
permitirnos administrar de manera ptima las aplicaciones.

Router>enable
Routerfconfigure
Enter

terminal

configuration

commands,

Router(config)fcrypto map
% NOTE:

This

one per

line.

EJEMPLO-MAPA

new crypto map will

and a valid access

list

Router(config-crypto-map)#set

10

End with

ip3ec-isakmp

renain disabled until


have been

peer

CNTL/Z.
a peer

configured.

172.16.1.1

Router :config-crypto-map)f3et
transcrm-3et
R o u t e r ( c o n f i g - c r y p t o - m a p ) f m a t c h a d d r e s s 100

TUNEL-TRANSFORM

Router(config-crypto-map)f exit
Router(config)faccess-list
Router{config)finterface

100 permit

tunnel

gre host

172.16.2.1 host

172.16.2.

20

R o u t e r ( c o n f i g - i f )t
4LINK-S-CHANGED:

Interface

Tunnel20,

R o u t e r [ c o n f i g - i f )tc r y p t o m a p
Router(config-if)#

changed

State

to up

EJEMPLO-MAPA

Figura 11. Configuracin de un mapa criptogrfico


sobre un router para efectos de una red VPN.
www.redusers.com

272

8. R E D E S

USERS

P R IV A D A S V I R T U A L E S (V P N )

Las entradas de los m apas criptogrficos deben conten er cuando


m enos una ACL extendida, los m apas deben tener identificado
un router par, debe existir una negociacin con el m odo IPSec
y finalm ente ap licar dicho m apa a una interfaz vlid a.

Verificacin de una VPN


Para efectos de verificaci n de una VPN p reviam ente configurada,
em plearem os, com o es costum bre, la orden show acom paada de sus
corresp on d ien tes parm etros.

TABLA 1: COMANDOS PARA LA VERIFICACIN DE UNA VPN


COMANDO

DESCRIPCIN
Se encarga de mostrar asociaciones de seguridad, como el caso de

show crypto [isakmp sa |ipsec sa]

ISAKMP (Internet Security Association Key Management Protocol) o


polticas IPSec.
Se encarga de mostrar los mapas criptogrficos creados. Desde aqu

show crypto map

podemos consultar la interfaz asociada al tnel creado.


Muestra la informacin correspondiente a cada uno de los tneles

show tunnel

creados.

show interface tunnel [nmeroJD]

Nos permite consultar la interfaz asociada al tnel creado. Es necesa


rio especificar el nmero.

Tabla 1. Lista de comandos de verificacin de una VPN.


Com o podem os observar, existen diferentes parm etros que se
pueden in c lu ir al m om ento de hacer la verificaci n de la configuracin

Internet Security Association and Key Management Protocol (ISAKMP) es un protocolo criptogrfico que
constituye la base del protocolo de intercambio de claves IKE. Est definido en el RFC 2408. ISAKMP
define los procedimientos para la autenticacin entre pares, creacin y gestin de asociaciones de segu
ridad, tcnicas de generacin de claves y la mitigacin de la amenaza.

www.redusers.com

USERS

R O U T E R S Y S W I T C H E S C IS C O

273

de una VPN. Esto va a dep ender lgicam ente de lo que deseam os


conocer. Ante cu alq u ier duda d erivad a de los com andos em pleados,
no o lvid em o s usar el parm etro ?.
R o u te r> e n a b le
Router#show
in te rfa c e :

crypto

sa

F astSthern etO /l

Crypto

map

protected
lo c a l

ip se c

tag:

vrf:

id e n t

rem te
P E R M IT ,

lo c a l

addr

0.0 .0.0

(none)
(ad d r/m aak/p rot/p ort):

id e n t

current_peer

suda,

< 1 2 .0 .0 .0 /2 5 5 .0 .0 .0 /0 /0 )

{addr/m ask/p rot/p ort):


11 .0 .0 .1

port

(1 0 .0 .0 .0 /2 5 5 .0 .0 .0 /0 /0 )

500

f l a g s = { o r i g i n _ i s _ a c l ,}

#pkt3

encap3:

0,

#pkts

encrypt:

0,

#pkt3

d ig e st:

*pkt3

decapa:

0,

Spkts

decrypt:

0,

#pkt3

v e rify :

$pkt3

com pre3sed:

#pkt3

not

ccm pressed:

tfpkta

not

decom pressed:

fse n d

errors

lo c a l
path

0,

crypto
m tu

#pkt3

trecv

0,

ip

decoxnpre33ed:

tfpkt3
0,

m tu

conpr.

$pkt3

errors

e n d p t.:

1500,

Figura 12.

0,

fa ile d :

decom press

fa ile d :

0.0.0.0,
1500,

rem te

ip

m tu

crypto

id b

endpt.:1 1 .0 .0 .1

FaatZthernetO /l

Modo de verificar la asociacin de seguridad

desde un router con la orden

show crypto ipsec sa.

i/ i/ i/

La libertad y la privacidad en lnea se encuentran actualmente bajo amenaza. Por esta razn los gobier
nos y proveedores de internet quieren controlar lo que est a nuestro alcance mientras se mantiene un
registro de todo lo que hacemos. Las

VPN

se convierten en una herramienta

verstil y segura, la cual

nos permitir navegar annimamente y sin supervisin: un mtodo de resistencia ante los problemas por
robo de identidad, sabotajes y prcticas ilcitas, de las cuales estamos protegidos tanto empresas como
usuarios navegantes de la red.

www.redusers.com

274

lU d ik i

8. RED ES PRIVAD AS V IR T U A L E S (VPN)

Actividades
TEST DE AUTOEVALUACIN
1

Describa el funcionamiento de una red privada virtual (VPN).

Cules son los tipos de

Mencione por lo menos tres protocolos de encriptacin de datos.

En qu consiste el sistema o modo IPSec?

Mencione el nombre de los dos modos de operacin de IPSec.

Cul es el comando utilizado para definir una autenticacin definida?

IPSec utiliza dos

Qu es un mapa criptogrfico?

Mencione por lo menos dos comandos para verificar la configuracin VPN.

VPN cifrada?

protocolos importantes de seguridad, cules son?

EJERCICIOS PRACTICOS_______________________
1

Consulte la siguiente pgina

www.proxpn.com e instale la aplicacin VPN.

Efecte el proceso de configuracin de una VPN e imprima su resultado en


formato TXT.

Monte una topologa

VPN site to site sobre Packet Tracer. Documente sus

observaciones.

mapa criptogrfico sobre la topologa creada en el punto tres.

Configure un

Ejecute la orden

show crypto map desde el IOS de un router previamente

configurado.

PROFESOR EN LINEA
Si tiene alguna consulta tcnica relacionada con el contenido, puede contactarse
con nuestros expertos: profesor@redusers.com

www.redusers.com

/ / / / / / / / / / / / / / /

Conexiones
fsicas
En este apndice revisarem os los conceptos relacionados con
la, actualizacin y adm inistracin de una red, analizarem os
los tipos y representacin de dispositivos de red, modos de
transm isin de datos, medios de netw orking, normas de
cableado estructurado y estndares de com unicacin.

Conexin de dispositivos
de red..................276
Medios de transmisin
networking..............277

Normas de cableado...... 299


t

Resumen................305

Actividades.............. 306

276

lU d ik i

A P N D IC E A. C O N E X IO N E S FSICAS

Conexin de
dispositivos de red
Con el fin de familiarizarnos con el paradigma de las redes CISCO,
es necesario conocer la forma en la que son representados grficamente
cada uno de los dispositivos que conforman una red en la actualidad.
Esto, antes de comenzar a hablar de medios de netvvorking, normas de
cableado y conexiones fsicas.

Figura 1.

En este esquema se muestra una

representacin grfica de los dispositivos de red.


Cada uno de estos equipos tiene una figura que hace posible
identificarlos dentro de una topologa de red. Tener conocimiento sobre
estos grafos a menudo resulta til, sobre todo cuando existe la necesidad
de interpretar una conexin fsica. Estas representaciones forman hoy
un estndar en la grafologa de redes de datos e incluso de voz.

www.redusers.com

277

R O U T E R S Y S W IT C H E S C ISC O

Medios de transmisin
networking
Las redes de cmputo, a menudo, necesitan de un medio por
donde circulen las diferentes seales portadoras de informacin
(generalmente se trata de bits). Estos medios pueden ser mediante un
cable de cobre (UTP, cable coaxial) e incluso a travs del propio aire,
en el caso de las conexiones inalambricas.

Tecnologas

Medios no inalrrbricos o guiados

U S an

usan

Diferentes tipos de cables


para realizar la conexin a la red

ejemplos

Estndares de conexin definidos


por el IEEE permitiendo una
fcil conectividad

ejemplos

Fibra ptica

Figura 2. Esquema de clasificacin


de los medios de transmisin networking.

www.redusers.com

278

lU d ik i

A P N D IC E A. C O N E X IO N E S FSICAS

Los medios de networking (medios fsicos de transmisin)


conforman la base de las redes informticas en cuanto a infraestructura
se refiere, pues son los encargados de establecer tanto la conexin

fsica como la conexin lgica entre dispositivos.

Unidireccional
Simplex

Bidireccional

No simultneo
Half dplex

R iH irorrinn al

Figura 4. En este esquema se muestran los


modos de transmisin de datos en una red.
Se sabe que a travs de los medios de networking es posible el flujo
de diversos tipos de trfico, de datos, video e incluso de la propia
voz. En el presente tema del apndice, abordaremos las categoras,
las caractersticas y el ambiente de aplicacin de
dichos medios. No olvidemos que actualmente el

EL C A B L E DE

rendimiento de esa red se encuentra en funcin

COBRE ES EL MS

del medio de networking utilizado.


Debemos saber que desde los inicios de las

EMPLEADO PARA

redes, el cable de cobre ha sido el ms empleado

LAS REDES DE

para la puesta en marcha de las conocidas


redes de rea local (LAN). Actualmente existen

R E A LO C A L

diversos tipos de cables de cobre disponibles en


el mercado. Estos conductores, a menudo, son
capaces de transportar informacin utilizando

corriente elctrica, por lo que se recomienda tener conocimientos


previos de electrnica antes de comenzar a instalar una red.

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

279

Los m edios de tran sm isi n u tiliz a d o s en


las redes poseen d istin tas esp ecificaciones y

LOS MEDIOS DE

caractersticas tcnicas, las cuales a m enudo se

TRANSMI SI N

encu entran im presas sobre su em paque com ercial


o en su defecto en la datasheet (hoja de datos)
lo calizad a en la pgina web del fabricante. En

POSEEN DISTINTAS
ESPECIFI CACIONES Y

otras ocasiones, podem os en con trar cables que


in clu ye n un co njunto de in scrip cio n es im presas

CARACT ER STI CAS

sobre su cub ierta externa.


Estas esp ecificaciones generalm ente suelen ser:
velo cid ad de tran sm isin, d istan cia de tendido recom endada, categora
y m odo de tran sm isin. En cuanto a este ltim o punto, podem os
m en cio n ar tres m odos de tran sm isin de datos estndar: sim plex, h alf
dplex y full dplex. La d iferen cia entre ellos se centra bsicam ente en
la d irecci n en la que fluye el trfico de datos.

El estndar ethernet
Cuando hablam os sobre redes, seguram ente viene a nuestra m ente
un trm ino m uy conocido por m uchos: ethernet, el cual consiste
en un estndar de redes de rea local, cuyo nom bre p rovien e del
concepto fsico: ether. Este estndar a m enudo em plea el m todo

CSMA/CD (Acceso m ltip le por deteccin de portadora con detector de


co lisiones), el cual se encarga de m ejorar notoriam ente el ren d im iento
de dicha co n ectivid ad . Ethernet define no solo las caractersticas de
los m edios de tran sm isi n que deben u tilizarse para establecer una
conexin de red, sino tam bin todo lo relativo a los n iveles fsicos de
dicha co n ectivid ad , adem s de b rin d ar los form atos necesarios para las
tram as de datos de cada n ivel del M odelo OSI.

Actualmente se desarrollan soluciones de cableado punta a punta totalmente blindada; por mencionar
un ejemplo, el famoso

TERA

de

Siemon,

el cual excede las especificaciones de la I0S/1EC

trata del sistema de cableado de par trenzado de cobre de alto desempeo (superior a
un ancho de banda de

Cat7A.

Se

10 Gbps), con

1.2 GHz.

www.redusers.com

280

USERS

APNDICE A.

C O N E X IO N E S F S IC A S

Servidor

Impresora

H H
Switch

Switch

Switch

Impresora

Computadoras

Rack

Figura 5. El estndar e t h e r n e t es
originalmente muy popular entre las redes LAN.
El desarrollo de esta tecnologa ha tenido un fuerte apoyo de algunas
com paas como: Digital, Intel y Xerox, siendo actualm ente el m todo
ms p op ular em pleado en el m undo para establecer conexiones de

LO NUEVO EN DISPOSITIVOS CISCO


La empresa CISCO sigue creciendo, y desde luego que no termina de sorprendernos. Algunas novedades
en dispositivos son las series

2911, 2951

y para

3800,

1900, 2900

3800.

especficamente el equipo

mayor seguridad, cifrado VPN e integracin POE.

www.redusers.com

Para la serie

3825.

2900

tenemos: el modelo

2901,

Entre muchas caractersticas, incorporan

USERS

R O U T E R S Y S W IT C H E S C IS C O

281

redes locales. Los routers y sw itches CISCO

LOS PRIMEROS

incorporan a m enudo este estnd ar en sus


puertos, llam ados puertos ethernet, los

MEDIOS USADOS POR

cuales son, por lo general, configurados. Estos

ETHERNET

se encuentran asociados a una interfaz m ejor


conocida como: interfaz ethernet.

SE ORIGINARON

Las esp ecificaciones de IEEE 802.3 dieron

EN IEEE 802.3

origen a los prim eros m edios u tilizad o s


por ethernet. Estas norm as determ inan las
caractersticas que tienen que ver con el alcance
de la seal y la capacidad de tran sm isin. Veamos cules son:

10BASE2: se refiere a la velocidad de transm isin a 10 Mbps. Su tipo


de transm isin es de banda base. El 2 determ ina la longitud mxima
aproxim ada del segmento que es de 200 m etros. La longitud mxima
del segmento es de 185 metros. Se aplica sobre cable coaxial.

10BASE5: se refiere a la velo cid ad de tran sm isi n a 10 Mbps. El


tipo de tran sm isin es de banda base. El 5 representa la capacidad
que tiene el cable para que la seal recorra 500 m etros antes de que
la atenuacin interfiera. Se ap lica sobre cable coaxial.

10BASET: se define com o velo cid ad de tran sm isi n a 10 Mbps. El


tipo de tran sm isi n es de banda base. La T en dicha nom enclatura
significa twisted (par trenzado).

TABLA 1: ESPECIFICACIONES ETHERNET IEEE 802.3


VELOCIDAD DE

TIPO

D ISTANCIA

MODO DE

TRANSMISION

DE C A B LE

MAXIMA

TRANSMISION

10Base2

10 Mbps

Coaxial

185 m

Simplex

lOBaseT

10 Mbps

Par trenzado

100 m

Half dplex

100BaseT4

100 Mbps

Par trenzado (Cat3 UTP)

100 m

Full dplex

lOOBaseTX

1000 Mbps

Par trenzado (Cat5 UTP)

100 m

Full dplex

lOOOBaseT

1000 Mbps

Par trenzado (Cat5e UTP)

100 m

Full dplex

lOOOBaseT

1000 Mbps

Par trenzado (Cat6 UTP)

100 m

Full dplex

lOOOOBaseT

10000 Mbps

Par trenzado (Cat6a UTP)

50 m

Full dplex

TEC NO LO G IA

Tabla 1. Especificaciones tcnicas de ethernet.

www.redusers.com

HHHZ23

A P N D IC E A. C O N E X IO N E S FSICAS

Como podemos apreciar, de estas especificaciones se derivan


algunos trminos que se definen a continuacin:

Velocidad de transmisin: es un valor en el cual se puede


distinguir la capacidad mxima de la tecnologa respectiva a
la transmisin de datos. Esta puede definirse de 10 a 10.000 Mbps
(Mega bits por segundo), segn la tecnologa empleada.

Tipo de cable: es el tipo del medio de transmisin de datos (el tipo


de cable se define de acuerdo con las especificaciones tcnicas y con
el material empleado para su diseo).

Categora del cable: de acuerdo con ciertas normas es que se


establece la categora de un cable. El aumento de la categora se
encuentra en funcin de algunas caractersticas como la frecuencia
y capacidad. Podemos encontrar algunos medios que manejan las
siguientes categoras: Cat5, Cat5e, Cat6, Cat6a, Cat7 y Cat7a.

Distancia mxima (longitud): es el mximo de distancia que puede


haber entre dos nodos, descartndose la medicin de dispositivos
de repeticin de seales.

Figura 6. El cable UTP Cat6a es un medio


de transmisin moderno en el sector telecomunicaciones.
Actualmente, la manera ms prctica de poder apreciar esta
tecnologa es, sin duda, en los medios de networking y los

www.redusers.com

BHHZ3

R O U T E R S Y S W IT C H E S C ISC O

283

dispositivos de red, pues es evidente que

PACKETTRACER

todos estos equipos por lo regular incorporan


interfaces de tipo ethernet, solo que en diferentes

NOS B R IN D A

capacidades (ancho de banda). En el Captulo 2

IN F O R M A C I N

de este libro, se han sealado estas capacidades,


sin embargo, si en algn momento deseamos

R E L E V A N T E SOBRE

obtener mayor informacin sobre el tema,

C A D A EQUIPO

podemos recurrir a la explicacin preparada para


cada equipo de red desde la interfaz grfica de

Packet Tracer. Desde aqu podemos consultar


incluso una descripcin breve de cada interfaz, los modelos y las series
del dispositivo que las incorpora.

xrt

.
.
QQ QQ U

B l

lc*n

ffVW* VWm
AjngiMtuti anwt.mUrti

portrmr-o* woGJmo*m

10/10<IjmT orlOOewF* E

Figura 7. En Packet Tracer se describen


algunas caractersticas de las interfaces ethernet.

Cable coaxial
El cable coaxial est conformado por un conductor de cobre
rodeado de una capa de plstico aislante y flexible. Sobre este material
aislante se ubica una malla de cobre tejida, la cual acta como el
segundo blindaje para el conductor interno. Esta capa se encarga de
reducir an ms la cantidad de interferencia electromagntica externa.
Por encima de estas, tiene un revestimiento exterior para definir la

www.redusers.com

284

USERS

APNDICE A.

C O N E X IO N E S F S IC A S

esttica del cable (generalm ente de color negro). La ap licacin de este


tipo de m edio nos perm ite realizar tendidos a m ayores distancias que
con el cable de par trenzado (100 metros). El cable coaxial trabaja con
50 Ohm s y actualm ente es utilizado por las em presas que ofrecen el
servicio de televisin por cable, trabajando a 75 Ohms.
Revestimiento
exterior
Malla
de cobre
Capa de plstico
aislante (dielctrico)

Conductor
de cobre

Figura 8 . En este esquema se lustran los componentes de un cable coaxial.


En la actualidad, el uso del coaxial se ap lica por lo general en el
ram o in d u strial de la televisi n por cable (CATV). A ctualm ente, en las

red es hbridas y HFC (H yb rid fbre coaxial), ha alcanzado incluso


un grado de m adurez que se traduce en la integracin de servicio s
ms all de la televisi n , en particular, la trada form ada por telfono,
televisi n e Internet de banda ancha.

CLASIFICACION DE LA FIB R A OPTICA


La fibra ptica utilizada actualmente en el rea de telecomunicaciones suele clasificarse fundamentalmen
te en dos grupos segn el modo de propagacin: fibra

monomodo

y fibra

multimodo.

La primera es

aquella capaz de guiar y transmitir un solo rayo de luz (un modo de propagacin), mientras que la fibra
multimodo puede emitir N rayos de luz.

www.redusers.com

R O U T E R S Y S W IT C H E S C ISC O

p n = sn

Cable de par trenzado


sin blindar (UTP)
Del trmino en ingls Unshielded Twisted Pair (UTP). El cable de par
trenzado sin blindaje consiste en un medio de cuatro pares de hilos
trenzados. Cada hilo de cobre de dicho cable se encuentra revestido
por un material aislante de colores. Este tipo de medio posee el efecto

por cancelacin, el cual entra en accin ante posibles interferencias.


El cable UTP es el medio de networking ms utilizado en la actualidad.
Este tipo de medio de transmisin a menudo se puede adquirir por
bobinas (rollos), las cuales contienen alrededor de 305 metros de cable
con un grosor entre 0.40 y 0.50 mm. Algunas marcas comerciales de
cable de par trenzado son: Xcase, Panduit, Furukawa, Nexxt, Belden.
Actualmente contamos con cable UTP Cat 6a (categora 6 aumentada).

Figura 9. Actualmente es muy comn conseguir bobinas de


cable de par trenzado en el mercado de las telecomunicaciones.

Cable de par trenzado blindado (STP)


Del trmino en ingls Shielded Twisted P a ir (STP). El cable de par
trenzado blindado combina las tcnicas de blindaje y trenzado de
cables. Este medio de transmisin reduce el ruido electrnico desde el
exterior del cable, como por ejemplo, la interferencia electromagntica

www.redusers.com

286

ESSS

A P N D IC E A. C O N E X IO N E S FSICAS

(RFI). La diferencia de un UTP y STP se encuentra en el modo de


proteccin ante las posibles interferencias en el medio. Este cable
es generalmente utilizado en ambientes donde residen interferencias
tanto electromagnticas como de radiofrecuencia.

FiguralO.

El

cable STP es utilizado

en ambientes sujetos a interferencias y ruido.

Cable de par trenzado


apantallado (ScTP)
Del ingls Screened Twisted Pair (ScTP), consiste en una combinacin
entre el cable UTP y el STP tradicional. Este cable
tambin es conocido como par trenzado de papel

SCTP SE P R E S E N TA

metlico. Como su nombre lo indica, este medio

COMO U N A

consiste en un cable UTP envuelto en un blindaje


de papel metlico de 100 Ohms.

C O M B IN A C I N
ENTRE EL C A B LE UTP

Las cubiertas metlicas de un cable STP y


ScTP, por lo general, se mantienen conectadas a

tierra en ambos extremos, esto con la finalidad

Y STP T R A D IC IO N A L

de evitar ruido en el medio. Consideremos que


este cable por lo regular es utilizado en ambientes
susceptibles a interferencias.

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

287

Figura 1 1 . Los medios S cTP deben conectarse


a tierra en ambos extremos para evitar ruido en el medio.

Cable de fibra ptica


El cable de fibra ptica es el m edio u tiliz a d o para los enlaces de

backbone (cableado ve rtical en un edificio o entre edificios). Soporta


m ayores distan cias e im portantes capacidades de trfico. Este tipo de
m edios de netw orking, a m enudo, u tiliz a la luz para tra n sm itir datos.
Esto es posible gracias a una delgada fibra de vid rio o m ateriales
plsticos. Los pulsos elctricos hacen posible que el transm isor de
fibra ptica genere seales lum inosas que son en viad o s finalm ente
por el ncleo de la fibra. El receptor capta las seales lum inosas y las
co n vierte en seales elctricas en el extrem o opuesto de la fibra ptica.
Sin em bargo no hay electricid a d en el cable de fibra ptica.

VIDA UTIL DEL CABLEADO


Es importante tener en cuenta que, a fin de evitar problemas de raz en redes de telecomunicaciones,
resulta una buena opcin considerar la contratacin de un servicio de cableado cuyo ciclo de vida sea
superior a los diez aos. De esta manera, contaremos con un soporte de dos a tres generaciones
de equipo activo.

www.redusers.com

288

ESSS

A P N D IC E A. C O N E X IO N E S FSICAS

** Wllch

Figura 12.

fibra ptica es a menudo


llevar a cabo enlaces backbone.

El cable de

utilizado en redes para

Es importante considerar que algunos dispositivos de red actuales


ofrecen ranuras o puertos denominados SFP (Small Form Factor) los
cuales se encuentran etiquetados como Mini-GBIC ports, estos se
encargan de ofrecer soporte para bra ptica.

Figura 13. Algunas series de dispositivos CISCO


incorporan ranuras SFP para la insercin de mdulos GBIC.

www.redusers.com

R O U T E R S Y S W IT C H E S C ISC O

IW d d Z

289

Estos permiten la insercin de elementos


conocidos como mdulos de conexin SFP +

LOS M O D U LO S SFP

OPTIC, los cuales integran la tecnologa de

+ OPTIC IN T E G R A N

sustitucin en caliente (hot swap), lo que


significa que pueden ser instalados sin opcin a

LA T E C N O L O G A DE

interrumpir el trfico de la red y sin necesidad

S U S T ITU C I N

de reiniciar el equipo. Un ejemplo de ello son los

EN C A L IE N T E

switches Catalyst 3550 series. Otras gamas de


switches, por citar como ejemplo los de la serie

1900, generalmente incluyen sus conectores


para fibra ptica en la parte frontal del equipo. Por otro lado, existen
tarjetas especiales para routers (de las cuales vamos a hablar ms
adelante en el tema: Tarjetas de interfaz CISCO) que nos permiten
interactuar con cable de fibra ptica, por ejemplo.

Figura 14. Las tarjetas lOGbE permiten


la integracin de perifricos a la PC, al igual que los mdulos GBIC.
En el mbito de las redes computacionales, muchos dispositivos

nales modernos incluyen en forma predeterminada puertos


que entregan soporte para fibra ptica. En caso de no contar con
computadoras con este tipo de interfaces de conexin, podemos
recurrir a la adquisicin de una de ellas. A menudo pueden solicitarse
como adaptadores ethernet lOGbE.

www.redusers.com

290

HSS

A P N D IC E A. C O N E X IO N E S FSICAS

Cable de consola
Recordemos que algunos dispositivos como el switch, los access
point (AP), los firewall y los routers, a menudo, son configurados
mediante un puerto fsico conocido como puerto de consola. Estos
dispositivos generalmente incorporan un cable para su configuracin
inicial o administracin, a travs de este puerto, pudiendo ser del
propietario en algunas ocasiones. Consideremos que el cable de
consola posee un plug RJ-45 en uno de sus extremos y en el otro
presentan un conector COM (serial - DB9).
El cable de consola tradicional generalmente es plano e incluye 8
hilos al igual que el cable de par trenzado. Su configuracin es muy
simple y es conocido como cable rollover. En el tema: Normas de

cableado conoceremos la forma de configurarlo.

Figura 15. Cable de consola tradicional. Incluye un conector


DB9 en un extremo y un pl ug RJ-45 en el extremo opuesto.
Antes de comenzar a configurar algn dispositivo por puerto de

consola, debemos prever que nuestra PC posea cuando menos un


puerto COM, pues las computadoras actuales (en la mayora de los
casos: notebooks) no cuentan con un puerto de este tipo, por lo que
ser necesario utilizar un convertidor de COM a USB.
Para poder ejecutar de manera correcta la hyperterminal utilizando
un convertidor COM a USB, debemos instalar su respectivo driver

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

291

y posteriorm ente elegir la opcin COM [nm ero de puerto]. Este proceso
es prcticam ente el m ism o que em pleam os para efectuar una conexin
directa con el cable de consola a la interfaz RJ-45. Los convertidores, a
m enudo, los podem os conseguir en cualquier tienda de electrnica.

.
*/
Instruction Manual

'v f W l

m M

Figura 16. Convertidor DB9

USB

que se

utiliza para la configuracin de dispositivos por consola.


A ctualm ente, m uchos d isp o sitivo s de n etw orking integran una
interfaz USB (hem bra USB 5-pin tipo B) para ser configurados, tal es
el caso de d isp o sitivo s de la serie 1900 (1921 o 1941), 3900 series
y switches Catalyst 2960-S series POE+. La consola USB soporta
la operacin a m xim a velocid ad (12 Mb/s), cuyo puerto no adm ite
el control de flujo por hardw are. Se trata de una alte rn a tiva para la
configuracin de d isp o sitivo s de red com o el sw itch o el router.

l/ l/ l/

ESTANDAR RS-232
El estndar

RS-232

nace hace ms de cuarenta aos y fue originalmente desarrollado para regir las

comunicaciones entre computadoras y equipos de mdem de la poca. Este estndar ha sido muy em
pleado en cables para la conexin remota entre routers. Algunas arquitecturas fsicas para estos cables
son:

EIA/TIA-232, EIA/TIA-449, V.35, X.21 y EIA-530.

www.redusers.com

292

P Z n iH

A P N D IC E A. C O N E X IO N E S FSICAS

Figura 17. Ejemplo de dispositivos que incorporan


puertos USB 5-pin tipo B para configuracin.
La aplicacin de los conectores USB 5-pin tipo B en dispositivos de red
implica tener que utilizar un cable mucho ms delgado que el tradicional
cable de consola, actualmente descrito como cable USB 4-pin tipo -A /

USB 5-pin tipo B. En caso de no contar con este medio de transmisin,


puede conseguirse en tiendas de electrnica convencional.

Figura 18.

Los cables

USB y Mi ni-USB son

empleados para configurar dispositivos de red modernos.

www.redusers.com

p n = sn

R O U T E R S Y S W IT C H E S C ISC O

Para ilustrar el proceso de conexin entre un dispositivo de red y un


dispositivo final mediante un cable de consola (ya sea va RJ-45 o por
medio de un cable USB), proponemos montar una topologa de red punto
a punto desde Packet Tracer. Para esto es necesario arrastrar tanto un
router como una PC al rea de trabajo y tratar de efectuar una conexin

fsica con la ayuda de un cable de consola. Posteriormente vamos a


dar clic sobre la PC en la opcin Terminal. Aceptamos la configuracin
establecida y desde ese momento se accede al IOS del dispositivo.

Ccrrfg

3F

Dmirtop

5ofV m jc+J5m rv<0*

T e r m rn a l

T rw .

cav

*
9

**

Seure

rnm

Figura 19. Figura montada en Packet Tracer


que ilustra la conexin fsica de una PC a un router CISCO.

Cable de conexin serial


Toda conexin fsica serial cuenta con un dispositivo etiquetado
como equipo terminal de datos (DTE - Data terminal equipment), en un
extremo, y un dispositivo de equipo de comunicacin de datos (DCE Data communication equipment), en el otro. Esta conexin fsica entre
dispositivos es posible gracias a un juego de dos cables de transmisin
de datos, denominados cables de conexin serial. Cada medio se
encuentra generalmente constituido por un conector especial en cada
extremo: un conector Smart Serial (V.35) por un lado, el cual se encarga
de conectar al dispositivo DTE, mientras que del lado opuesto, el
conector Winchester acta como el medio para conectar un dispositivo

www.redusers.com

294

ESSS

A P N D IC E A. C O N E X IO N E S FSICAS

DCE (como el caso de mdems o CSU/DSU) o, en su defecto, establecer


la red de transmisin del proveedor del servicio WAN.
Cuando nos veamos en la necesidad de establecer una conexin de
red punto a punto entre routers, por ejemplo, deben empalmarse los
extremos Winchester del juego de cables de conexin serial (notemos que
uno es macho y otro es hembra) para la configuracin de interfaces.

Figura 20. Una conexin punto a punto entre routers


se realiza con la ayuda de un juego de cables de conexin serial.
Algunos ejemplos de equipos de terminal de

U N A IN T E R F A Z Q U E

datos en las redes pueden ser: un router, una

T R A B A J A EN MODO

computadora personal, una impresora e incluso


una copiadora (multifuncional). Aunque para

S E R IA L PU ED E

establecer una conexin entre dispositivos es

T E N E R D IF E R E N T E S

indispensable la presencia de interfaces de


conexin, como el caso de las interfaces seriales

A R Q U IT E C T U R A S

en un router, por ejemplo. Recordemos que una


interfaz que trabaja en modo serial, por lo general,
puede tener diferentes arquitecturas fsicas.

Aunque actualmente cualquier dispositivo de red posee la capacidad de


soportar prcticamente cualquier tipo de interfaces de conexin, gracias
a su capacidad de expansin (haciendo uso de tarjetas adaptadoras, las
cuales describiremos en el siguiente tema del presente apndice).

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

Dispositivo

Dispositivo

DTE

DCE

Terminal

Terminal

macho

hembra

Conector

Conector

Smart Serial

Smart Serial

295

Conector Winchester
V. 3.5

Figura 2 1 . Esquema que muestra la forma en que deben conectarse


dos routers fsicamente mediante un juego de cables de conexin serial

Funcionamiento
de las conexiones seriales
El fu n cio n am ien to de las conexiones seriales es m uy sim ple, pues
por lo regular las seales em itidas las recibe el DCE remoto, el
cual decodifica la seal nuevam ente en una secuencia de bits. Esta
secuencia es en viad a posteriorm ente al DTE remoto.
El DCE puede co m p ren d er co n vertid o res de seales, generadores de
tem po rizaci n, regeneradores de im pulsos y d isp o sitivo s de control,
as com o otras fu n cion es tales com o la proteccin contra errores o
llam ada y respuesta autom ticas.
En una topologa de red CISCO, en la que se em pleen enlaces
seriales, tenem os la opcin de configurar una velo cid ad de reloj (clock

rate), con el nico fin de lograr la sincronizacin de dichos equipos.


Pero en este punto debem os tom ar en consid eracin que por cada par

LA TECNOLOGIA P0E EN LOS SWITCHES


PO E es un estndar que emite 48 volts como mximo para alimentar los dispositivos conectados a cada
puerto del switch. Los equipos soportados, a menudo, pueden ser telfonos IP, cmaras de seguridad
(video vigilancia), access point, etctera. El switch 2960-S series es un ejemplo de esta integracin.

www.redusers.com

lU d ik i

A P N D IC E A. C O N E X IO N E S FSICAS

de dispositivos conectados entre s, con que uno

L A S I N T E R F A C E S DE

solo tenga la configuracin clock rate es ms

TIPO S E R IA L ESTN

que suficiente. En este sentido es importante


que recordemos que es habitual que el DCE lleve

A S O C IA D A S A L

siempre esta sincronizacin.


Recordemos que durante el desarrollo de los

PARMETRO

diferentes captulos del libro, hemos mencionado

CLOCK RATE

que las interfaces de tipo serial estn asociadas al


parmetro clock rate, el cual debe configurarse
desde el dispositivo de red. Siempre que uno

de los cables del juego tiene en un extremo un conector Winchester


macho, mientras que el otro cable posee un conector hembra. Del
extremo en el que ha de conectarse un dispositivo DCE, deber
predominar el conector hembra, mientras que del lado en el que est
el dispositivo DTE, debe estar presente el conector Winchester macho.
Por tanto, el equipo conectado en el extremo hembra debe llevar la
sincronizacin (clock rate).

SeO/O/O

SeO/O/1

SeO/O/O

Figura 22. Representacin de la comunicacin


entre dispositivos por medio de interfaces seriales.
A modo de conclusin sobre el presente tema, podemos decir que
tanto DTE como DCE consisten en un enlace punto a punto, lo que
hace posible una conexin remota entre dispositivos.

www.redusers.com

297

R O U T E R S Y S W IT C H E S C ISC O

Figura 23. Para conectar un cabl e smart

serial

necesitamos de una interfaz fsica por dispositivo.

Tarjetas de interfaz CISCO


Las tarjetas de interfaz de CISCO, aunque no estn clasificadas como
medios de transferencia de datos, puesto que se trata de dispositivos
perifricos que auxilian a la comunicacin, merecen ser descritas en
este apndice. Estas tarjetas por lo general se clasifican de acuerdo
con las tecnologas de red existentes y con las
aplicaciones que soporta. Por ejemplo, tarjetas

LAS T A R J E T A S DE

de interfaz WAN (WIC) apoyan las tecnologas


WAN, tales como gigabit ethernet y tarjetas de

IN T ER F A Z W AN

interfaz de voz (VIC), tecnologas de voz de


soporte. Las tarjetas de interfaz de voz / WAN

P U E D E N SO PO RTAR

(VWIC) pueden soportar tanto servicios como

SER V IC IO S Y

aplicaciones de voz, datos, dependiendo de las


capacidades del router en el que est instalado el

A P L IC A C IO N E S DE VOZ

mdulo VWIC. Las tarjetas de interfaz WAN de

alta velocidad mejorada (EHWIC) proporcionan


la posibilidad de ampliar las capacidades LAN y WAN, respectivamente,
tales como gigabit ethernet y ethernet de conmutacin.
Los mdulos EHWIC son compatibles actualmente con las series
1861-E, la serie 1900, 2900 y 3900.

www.redusers.com

298

ESSS

A P N D IC E A. C O N E X IO N E S FSICAS

Figura 24.

Las series 1900, 2900 y 3900

de routers CISCO integran los modernos mdulos EHWIC.


Las tarjetas de interfaz de CISCO actualmente estn disponibles
en dos factores de forma que permiten proporcionar una mayor
modularidad y funcionalidad para los usuarios:

Tarjetas de interfaz de un solo ancho.


Tarjetas de interfaz de doble ancho.
Debemos saber que el nmero de ranuras en

EL M ODELO

nuestros equipos va a depender bsicamente

2951 IN C LU Y E

del modelo o serie del dispositivo; por ejemplo,


algunos modelos, como el 2951 series, incluyen

C O M P A T IB IL ID A D

un divisor de ranura para tarjetas de interfaz de

P A R A T A R J E T A S DE

doble ancho, ante esta situacin se recomienda


retirar este divisor. Otro ejemplo que podemos

D O B LE A N C H O

emncionar en este momento es el siguiente: para


instalar tarjetas de interfaz de doble ancho en
routers CISCO de la serie 3800, es necesario

retirar un separador que viene incluido por cada ranura. Las ranuras
residentes en los dispositivos de red, por lo regular, son identificadas
como SlotO, Slotl, hasta N, por lo que para insertar alguna tarjeta
adaptadora debe tenerse en cuenta el nmero de ranura.

www.redusers.com

BHHZ3

R O U T E R S Y S W IT C H E S C ISC O

299

T"
11 111

Cmm 1*4?

C IS C O

~~~

1
.A

i- f c
--- H H

---- 7 j r

.
j p j ..

Figura 25. En la imagen se ilustra el ejemplo


de ranura doble y simple, presente en dispositivos de red.

Normas de cableado
Como sabemos hasta ahora, el medio de networking ms usado y
popular en las redes actuales es el par trenzado. Por ello mismo, vamos
a describir algunos parmetros de suma relevancia sobre estos medios.
Como se ha dicho, estn constituidos por 8 hilos cuyo orden no
es aleatorio, sino que est definido por diversas
normativas elaboradas por la EIA (Asociacin de

E L MEDIO DE

Industrias Electrnicas) y la TIA (Asociacin de


Industrias de Telecomunicaciones).

N E T W O R K IN G MS

Las normativas establecidas para el diseo


y la certificacin de una conexin fsica es algo
que todos los administradores de redes debemos

UTILIZADO EN LA
A C TU ALID AD E S E L

conocer. Las normas ms conocidas en el mbito


de las redes son sin duda dos: la norma T568-A y

P A R T R EN ZA D O

la norma T568-B (mejor conocidas como normas A


y B, respectivamente). Aunque no son las nicas.
Estas normas avalan la forma en la que debe ser configurado o creado
un cable de red de par trenzado especficamente. Hasta el momento

www.redusers.com

300

USERS

APNDICE A.

C O N E X IO N E S F S IC A S

sabem os que existen diversas form as en las que se presenta el cable


de par trenzado: UTP, STP, ScTP; por lo general, estos cables son
distinguidos a razn del m aterial fsico de proteccin que los constituye.

Pair 2

Pair 3

T568A

T568B

Figura 2 6 . Sobre la base de este


esquema podemos configurar una red estndar.
Las norm as A y B son u tilizad as para configurar de igual modo
rosetas m urales (RJ-45), jack s m odulares y paneles de parcheo (patch
panel). Cada norm a ser u tiliz a d a segn lo requiera la red.
Actualm ente tenem os dos opciones bsicas para la configuracin de un
cable ethernet de par trenzado utilizando las normas antes m encionadas:

Conguracin directa (straight-throug).

Configuracin cruzada (cross-over).

ESTABILIZACION A 10 G B PS
Actualmente el mercado informtico se encuentra plagado de abundantes soluciones para las redes.
Podemos incluso encontrarnos con convertidores de interfaz para routers o switches o cables para esta
bilizar la conexin de 10 Gbps entre host, servidores de seguridad y AS (como el caso del cable Cisco
SFP-H10GB-CU3M 10GBASE-CU SFP+ 3m Twinax) o S F P + OPTIC (fibra ptica).

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

301

EIA/TIA 568-B
Configuracin directa

000(1]

TX* 1

1 RX*

TX 2

2RX

RX*3

3 TX*

5
6TX-

RX-6

Norm a A

1 7

38

N orm a A

EIA/TIA 568-A

Configuracin cruzada
E

[U [T J [5 ][6 ]

JJI /113
W

Norm a A

Momia B

Figura 27. Esquema que ilustra la configuracin


directa y cruzada de un cable UTP.

DESCARGA A TIERRA

Como sabemos, muchas instalaciones de red incluyen un soporte elctrico, el cual necesariamente debe
incluir una

descarga a tierra.

En este sentido debemos tener en cuenta que si la instalacin no se

encuentra en ptimas condiciones y respetando los estndares definidos, corremos riesgos de que se
produzcan cortocircuitos, incendios y, por lo tanto, deterioro en la infraestructura de nuestras redes de
datos, de voz o tambin elctricas.

www.redusers.com

302

USERS

APNDICE A.

C O N E X IO N E S F S IC A S

TABLA 2: CONEXIN ENTRE DISPOSITIVOS CON BASE EN NORMAS A Y B


DISPOSITIVO 1

Switch

Router

Directa

Switch

PC o Servidor

Directa/Rollover

Hub

PC o Servidor

Directa

PC

PC

Cruzada

Switch

Switch

Cruzada

Switch

Hub

Cruzada

Router

Router

Cruzada

Servidor

Servidor

Cruzada

Router

PC

Cruzada/Rollover

DISPOSITIVO 2

CONFIGURACIN DE CABLE

Tabla

2. Configuracin de los cables UTP.

La con figuracin directa co n siste en

LA CONFIGURACION

co lo car en am bos extrem os de un cable el

DIRECTA S E REALIZA

m ism o tipo de norm a, ya sea A o B. Por lo


reg u lar es u tiliz a d o para co n e ctar d is p o s itiv o s

USANDO LA MISMA

de distinta a rq u ite c tu ra entre s. En tanto

NORMA EN AMBOS

que en la con figuracin cruzada, am bos


extrem os tien en que ser co n fig u rad o s de m anera

EXTREMOS

d istin ta . Por un lado, tenem os una norm a A


y del lado opuesto, un p lu g con la norm a B.
Estos m edios a m enudo son u tiliz a d o s para

co n e cta r d is p o s itiv o s del m ism o tipo entre s. La T ab la 2 nos ofrece

Tengamos en cuenta que antes de intentar cortar, pelar o empalmar cualquier

cable fibra ptica,

debemos contar con las precauciones de seguridad y los conocimientos necesarios. Un tcnico experi
mentado debe supervisar dicha tarea hasta garantizar que se han adquirido las habilidades necesarias.
Pues de no ser as, pudiramos sufrir alguna lesin.

www.redusers.com

n n u n

R O U T E R S Y S W IT C H E S C ISC O

303

informacin relevante que nos servir como gua para conocer el tipo
de configuracin empleada al momento de efectuar la conexin fsica
de los dispositivos que componen nuestra red.

Configuracin directa

Configuracin cruzada

Switch

Router

Switch

Switch
/

Switch

Hub

Switch
/

/
*

*-

Hub

Hub

Switch
Router

Servidor

Router

s.

Router

PC

Hub

PC
m
\Q

/
Hub

Servidor

Servidor

Servidor

I
s.

Figura 28. Esquema que muestra el ejercicio


de las conexiones punto a punto en Packet Tracer.

www.redusers.com

304

USERS

APENDICE A.

C O N E X IO N E S F IS IC A S

Para poner en prctica estas configuraciones,

PODEMOS PONER

recom endam os crear un ejercicio sim ple sobre

EN PRCTICA LAS

Packet Tracer, el cual consiste en ir arrastrando


elem entos como: routers, sw itches, hubs, PC y

CONFIGURACIONES

servid o res al rea de trabajo, esto con el fin de

GRACIAS A

in terco n ectarlo s entre s. Para esta ltim a tarea


vam os a u tiliz a r el cable de conexin autom tica

PA C K ETTRA C ER

ubicado en la seccin de dispositivos de Packet


Tracer. Una vez hecho esto, lo colocam os de
d isp o sitivo a d isp o sitivo (punto a punto) hasta

lograr la conexin. N otarem os que los nodos orig inalm ente ilu m in ados
de color ro jo pasan a color verde. Pero si en algn m om ento
colocam os un cable d istin to al adecuado, los nodos no cam bian de
color, por tanto la conexin no es exitosa.
i

Configuracin rollover

Figura 2 9 . Esquema de configuracin r o l l o v e r sobre un p a t c h c o r d .

CANALETAS DE PISO

Las canaletas de piso o los

canales en forma de media luna

son muy comerciales y generalmente

empleados por los tcnicos en redes para el tendido del cable ethernet sobre superficies. Suelen ser de
aluminio o plstico rgido. La estructura de este medio depende de las exigencias de la compaa.

www.redusers.com

R O U T E R S Y S W IT C H E S C IS C O

USERS

305

Como podem os observar, cuando se conecta ya


sea un router o switch adm inistrable a una PC,

U S A M O S UN C A B L E

se u tiliza un cable con configuracin cruzada,

CRUZADO PA R A

esto con el nico fin de conseguir la com unicacin,


pero cuando desea configurarse o adm inistrarse,

C O N E C T A R UN

se u tiliza un cable de consola (rollover). Este cable

ROUTER 0

plano tiene su propia configuracin.

S W IT C H A LA PC

La finalidad de este apndice es explicar de manera breve algunos principios bsicos sobre conexiones
fsicas en una red, para complementar lo aprendido a lo largo de los captulos del presente libro.
A menudo resulta conveniente tener a mano una gua que abarque simbologa empleada en las redes,
tipos de cable, sus caractersticas y modos de configuracin, normas, entre otros aspectos, que nos
pueden ser de utilidad a la hora de poner manos a la obra.

www.redusers.com

306

A P N D IC E A. C O N E X IO N E S FSICAS

Actividades
TEST DE AUTOEVALUACIN_____________________
1

A qu nos referimos con un

Cules son los medios de transmisin existentes en el mbito de las redes?

Describa brevemente en qu consiste el

Cules son las categoras de cable ethernet ms empleadas en la actualidad?

Cul es el medio de networking usado para configurar de un dispositivo de red?

Cul es el nombre de los conectores de un juego de cables de conexin serial?

Cules son las funciones asociadas a las tarjetas de interfaz VW IC de CISCO?

Cules son los tipos de

Qu

10

normas

medio de networking?

estndar ethernet.

factor de forma

de una tarjeta de interfaz CISCO?

de cableado estructurado se emplean para par trenzado?

Qu tipo de configuracin debe usarse para conectar switches punto a punto?

EJERCICIOS PRCTICOS_________________________
1900 series.

Investigue las caractersticas tcnicas de los routers

Consiga un cable UTP y trate de seguir una configuracin

Monte una topologa de red sobre Packet Tracer en la que ilustre la conexin

cross-over.

serial de tres routers. Identifique cul est configurado como D C E y DTE.

Abra Packet Tracer e identifique los mdulos de interfaz de conexin fsica de un


router de la

serie 2800.

PROFESOR EN LINEA
Si tiene alguna consulta tcnica relacionada con el contenido, puede contactarse
con nuestros expertos: profesor@redusers.com

www.redusers.com

Servicios
al lector
En esta seccin presentamos un completo ndice temtico para
encontrar, de manera sencilla, los conceptos fundamentales de
la obra y, adems, una seleccin de interesantes sitios web con
informacin, novedades y recursos relacionados con los temas
que desarrollamos en este libro.

Indice temtico

308

Sitios web relacionados.......311

308

USERS

S E R V IC IO S A L L E C T O R

ndice temtico

A C L .........................................................172
ACL estndar..........................................173

Componentes internos.............................. 24
Concentrador............................................ 20

A C L extendida....................................... 173

Conductor de cobre................................ 283

Administrables..........................................17

Conector de voltaje.................................. 23

Algoritmo selectivo................................ 173


Asignacin de direcciones..................... 242
Asignacin de puertos............................ 106
Asignacin de voz................................... 112
Autenticacin..........................................260
A u x ilia r.................................................... 54

Belkin........................................................14
Broadcast............................................... 101
R3

Buffer........................................................39

Cable de consola...................................... 26

Conexin de dispositivos.........................276

Cableados................................................. 16

Conexin fsica....................................... 276

Canaletas de piso................................... 304

Conexin segura..................................... 256

Capa de plstico..................................... 283

Configuracin cruzada............................ 300

Categora de cab le................................. 282

Configuracin de A C L............................. 178

C C N A ........................................................42

Configuracin de N A T ............................217

Certificacin............................................. 15

Configuracin d irecta.............................300

C ID R ...................................................... 149

Configuracin inicial................................. 26

C IS C O ...................................................... 14

Configuracin interm edia.............................

Clase A ..................................................... 35

Configurar term inal.................................. 41

Clase B ..................................................... 35

Consola..................................................... 54

Clase C ..................................................... 35

Contraseas C ISC O .................................. 55

Clase de interfaz.................................... 140

Control de acceso................................... 172

Clase E ..................................................... 35

C P U ..........................................................24

Claves de acceso.......................................50
C L I............................................................ 25
Cliente - servidor................................... 243

Data sheet................................................ 22
Datos tcnicos...........................................25

Clientes D H C P ........................................241

Deny........................................................173

Clock set................................................... 50

D H C P ..................................................... 240

Colisiones............................................... 105

Direccin de host..................................... 34

Componentes externos............................. 22

Direccin de red....................................... 34

www.redusers.com

USERS

R O U T E R S Y S W IT C H E S C IS C O

309

Direccin I P .............................................33

Inside global...........................................217

Direccin IP v 4 ..........................................33

Inside local............................................. 217

Direcciones privadas.............................. 216

Interfaces administrativas........................54

Direcciones registradas..........................216

Interfaces C ISC O ................................... 297

Dispositivos de networking...................... 17

Interfaces de conexin............................. 24

Dispositivos de re d ................................... 15

Interfaces ethernet.................................. 23

D-Link.......................................................14

Interfaces seriales.................................. 294

Dominio de broadcast............................. 105

Interruptor de poder................................ 23
IO S ............................................................ 30

IP S e c ..................................................... 260

Emulador grfico..................................... 46
Encapsular.............................................. 258
Encriptacin...........................................260
End devices............................................... 20

LAN virtuales.........................................102
Lnea A U X ................................................ 51

Enrutamiento............................................36

Lnea C T Y ................................................ 51

Enrutamiento dinmico............................36

Lnea V T Y ................................................ 51

Enrutamiento esttico.............................. 36

Lneas de comando.................................. 54

Estado del enlace................................... 146

Lneas del dispositivo............................... 51

Estndar 802.1 IQ .................................. 106


Memoria R A M ..........................................24

Fibra monomodo.................................... 284

Memoria R O M ..........................................24

Fibra multimodo.................................... 284

Mtodos V P N ............................................18

Fibra ptica............................................284

M trica................................................... 146

Firew alls................................................... 18

Modalidad m ultiservicio...........................18
Modelos.................................................... 18

G atew ay................................................. 106

Modo E X E C usuario................................. 31

G BIC ports............................................. 288

Modo global de configuracin.................. 32

G R E ....................................................... 260

Modo no privilegiado................................ 31
Modo privilegiado.................................... 31

H3C........................................................... 14

Modos de transmisin............................... 51

Hembra U S B 5 .......................................291

Modos E X E C ............................................ 31

H FC .........................................................284

Mdulo de ayuda.......................................38

H istorial................................................... 39
Hostname................................................. 52
Hyperterm inal..........................................30

NAT.........................................................216
No administrables.................................... 17
N V R A M .................................................... 24

Implementacin V L A N ...........................106
Inalmbricos............................................. 16

Octetos..................................................... 33

In sid e..................................................... 217

Operaciones IO S ...................................... 38

www.redusers.com

310

USERS

Orientacin geogrfica...........................139
Origen de C ISC O .......................................53

S E R V IC IO S A L L E C T O R

Sh o w .........................................................50
Smbolo del sistem a............................... 136

O S P F ...................................................... 146

Simulador G N S3 ...................................... 46

Outside................................................... 217

Sincronizacin del reloj..........................140

Outside global.........................................217

Sistema operativo de interconexin.........25

Outside lo cal...........................................217

Slot W IC ................................................... 23
Switches C ISC O ........................................20

Packer T racer...........................................43
Palabras claves.........................................41
Perm it.................................................... 173

Tabla de ruteo.........................................136
Tarjeta de memoria.................................. 24

Procesos dinmicos.................................. 36

Tarjetas W IC ............................................. 21

Productos C IS C O ..................................... 22

T C P / IP ..................................................... 34

Programas de entrenam iento.................. 15

Tecnologas V o - IP .................................... 18

Protocolo.................................................. 34

Telnet........................................................54

Protocolo de tnel.................................. 256

Terminales virtuales................................. 25

Proxy...................................................... 241

T F T P .........................................................25

Puerto A u x ............................................... 24

Tipo de cab le..........................................282

Puerto U S B .............................................. 24

Topologa de re d .......................................51

PuertosTCP y U D P ............................... 179

Traduccin de direcciones...................... 216

Punto de acceso inalm brico................... 16

Redes virtu ales...................................... 103

U D P ........................................................149
U S B a DB-9.............................................. 26

Red interna p rivad a............................... 256


Replicacin V T P .................................... 112
R I P .........................................................148
Routers..................................................... 17
Routers adyacentes................................ 139
Routers multifuncin................................ 16
Rutas estticas........................................137

Sco p e..................................................... 246


Seguridad bsica...................................... 53
Em pty- R1

Em pty- R2

Serie 1 0 0 ............................................... 101


Series........................................................18
Series de router C ISC O ............................ 18
Servidor D H C P .......................................241

Vector distancia..................................... 146


Velocidad de transmisin........................282

Servidor Proxy........................................241

V L A N ..................................................... 102

Sesin de autenticacin..........................260

V P N ........................................................256

www.redusers.com

n n u n

R O U T E R S Y S W IT C H E S C ISC O

311

Sitios web relacionados


SITIO OFICIAL DE CISCO www.cisco.com
Es el sitio oficial del fabricante CISCO Systems Inc. Desde aqu se pueden
descargar recursos como Packet Tracer, currculas actualizadas y gran variedad
de material didctico publicado por la compaa.
.111.11.
C ISC O

T h e In te rn e t o f E ve ryth in g
c re a te s e ve n ts th a t Keep
fa n s com ing back fo r m ore.
L * * ra M o r

REDES CISCO www.redescisco.net


Interesante pgina de internet en la que se pueden encontrar diversos recursos
en cuanto a redes CISCO se refiere, tales como clases online, hojas tcnicas,
videos, manuales, guas y materiales de estudio.

Redes Cisco.NET
CCNA. CCNP. Wueless. y networking en general

RC

Vulnerabilidad de manipulacin de L S A s encontrada en


mltiples productos C isco corriendo O SP F
*

Mi l PwPfctaCflfcm*

ten
a s a . . ^ > uwi(witunr;w
' * 1 m tb rn m m . w v* !y CCNP
2SQfcUMttX

PI(IRF FwiIwimooouhi

firoNvoll
OSPF

- accurnv segundad
.% M U JflSJ IWnHI

Encuesta
U

ocorirtoo u u

onjjm tont y lo m *

Hitodt

tn * * * * *

fuM! ISA* * V t it*imif

f*m yin imm hwi m

OV*

prmmr i un it*c*M t

unyMuNxH. I

comftftfc 4 odo I tfctom* M*n>rw AS qu* ^cuU O V f pemeo4o iM f

n+gr* i

CfKUViA*W w CIj w
U u t Iv n t to |uiUn/

www.redusers.com

312 B S H Z S

S ER V IC IO S A L LEC T O R

BLOG CISCO www.planetacisco.blogspot.com


Consiste en un blog que, entre otras cosas, concentra diversos enlaces con
otros portales sobre redes de datos. Desde este sitio se puede descargar incluso
un conjunto de videos que ilustran varios temas asociados a las redes CISCO.
Los ejercicios publicados en video estn desarrollados en Packet Tracer.

1111111

CISCO

Planeta Cisco
RED USERS www.redusers.com
Pgina principal de la editorial USERS, donde se puede ubicar una seccin
dedicada enteramente a las publicaciones realizadas por diversos autores de
Latinoamrica. Entre dichas publicaciones se encuentra el coleccionable que
permite consultar informacin interesante en relacin con las redes de datos.
|% EQUSCqSPftiiunt__________________________________________ U M f f i H O P

R ed U SER S
n t a &
NOTICIAS

REVHW S

e*. *uvttmn 0200

PEQUEA EN TAMAO.
G RAN D E EN PRESTACIONES.

PUBLICACION! S

VINICOS

N iA i a * .< *#

H I iim U

AU
4*1Afgentil*

9JS - * U A fjpnfui*
C O A l ) . 4 W p t O t

D ttf*y %c n i c n b c como
p rorvtdor de Itlvfoni
In u rn tl A

A / | a I(a i

ftU<kft#rrv rr.ihiA

epjU

4 'JUt&t O U

irK*A ii
Inittgram agregara
m aniA jsrn p rw / i n
un* p/oximji
actuahtactdn

www.redusers.com

l CDMH.t*1NTO

PfcRFfcCTO

DE HBO.

SIN COSTO
ADICIONAL*

ORtSAT

B H H Z 3 313

R O U T E R S Y S W IT C H E S C ISC O

PORTAL OFICIAL DE GNS3 www.gns3.net


Es el sitio oficial de descarga del famoso emulador grfico de redes GNS3.
Desde este sitio se puede acceder a una coleccin de recursos interesantes para
hacer de dicho simulador una potente herramienta auxiliar para el diseo de
redes mediante escenarios virtuales.

EARLY ACCESS TO THE N EW GNS3


_____________ CUCK H ERE N O W _____________I

v lio K

fo r tn

ftiiim

O y n N iitip i

A p irito m o t

Ikrw n U n n l
lp

inti'r.tofvcr
W l i . i l IV t N S J t
f.N S I K ,tnn|Mn

m iim io

M )llw ifo tli.it

( o II m v#y taal n v lw o ik

.i*. cIom * .i*. ponMM*

cm npln* nutwoil** wtill**

c t o u o vrs hojtwo
SI 7MB MAM
^OUSOHAGE
ITn ItANDWIOTH

All uf Utlt w llhvul h avm y dvO K aU n a t m fk h a iilw a u<.h ai

r o u ttr i and i w l t c N i .

On willw.ni pfflvidnH in
i
i u " i i. ' t< in dnUijn .mil <imtlourci vlitin
iitttu k. H io n on lr*dltlon*l PC liatw ai* and m ay U u i r J on i'iulllpU opartltng vm lvm i,
Indudlng ttlndowt. Unu* and MacOG X.
In ordar to p ro v ld i com bata and a c a n t a tlmulatlant, UhbJ actually u a *
lo lun Ut w y #<n ofMiating vyvU n i <i In mal llltw o rll

^ 1

VPS(tt>
$0.01

24*7 Support

foilovung amulaton

<yi in; . tha w al knowfi ciico l b amulatoc.


Vi.:u ,
runt dtaktop ar>d tarvar ofaratino t v i t r n t a i wall a Juolpar Ju n a s.
'i*nu# .1 |i"ii*fi< o|Nn ourci* n u d iliin am u liiiu r, It mn c Jtcu a s a , mix m il ns

Io llo w U v l

MI-IP PUBLICA www.my-ip.es


Pgina que tiene como nico fin mostrar la direccin IP pblica en la red de
cualquier usuario que realice la consulta. Se trata de un sitio muy til cuando se
desea efectuar una serie de configuraciones sobre algn servidor o router u otro
cambio en la configuracin de estos dispositivos.

MY-IP.S

in*h m w i rfttouNini rfuuMMtu i otutuorno na

my-ip.cs:

148 204 233.242


Afuitir m invoriHN (roNiiini i)

t & m m a i 'E z m s n )
Vim mu* utW4 <

NWu.uM Irt n l (a p ta * 9 .0

( ]

W t w w v i N T A. I
*

N a v # g x io r

Tndmc/1.0)

M o iM fc - 0 o r n p o to ia ; M f l t

v .q ;

NT o . l i

it) WWrt.my O.tt

www.redusers.com

314 B S H Z S

S ER V IC IO S A L LEC T O R

SOFTONIC www.softonic.com
En el presente sitio se encontrar una gran seleccin de aplicaciones gratuitas
y versiones de prueba de ciertas aplicaciones de software ideales para el mbito
de las redes informticas. El portal permite el acceso a una lista detallada por
categoras de los programas informticos ms importantes del momento.
WNOOW5

f t s o f t o n ic

Rittfjr
WINDOWS
toftUNiuturt
N A V M U U K M tS

OCXMGA DC ..
U m iO A M S

M UISMMAIH
MAOCN
A U C 40

vaio

JlTIMOSIWXWMV.

UOMOAO

TOP DOWNLOADS:

U *,0*1 p ro f IT J I

W ttO H A U M T U K
m x M x .im u a o Y

TIENDA STEREN

IClM ne 4 W 441*

impu tu

9 9fi

www.steren.com.mx

Es una tienda virtual de artculos de electrnica. Desde este sitio es posible


realizar compras desde internet. Cuenta con un amplio catlogo de productos y
herramientas ideales para el mbito de las redes. Para seleccionar la herramienta
deseada basta consultar el catlogo y agregar el objeto seleccionado.

STEREN

I 'I
CasazBsaa
c a t o g o *

.V A M O S m

tiendas

de pnctos

foro

steren card

soporte i

0 1 0 0 50 0 3000

C *

t e r tf mcjoco

MO

C f lt lM

www.redusers.com

y C # M

r t O I

c o to y o *c h o

H H H Z 3 315

R O U T E R S Y S W IT C H E S C ISC O

SDM CISCO www.cisco.com/en/US/products/sw/secursw/ps5318/


Desde este enlace es posible tener acceso a SDM, el cual consiste en un producto
que ofrece CISCO, que habitualmente incluye una interfaz grfica, cuyo objetivo es
auxiliar al usuario en la tarea de configuracin de dispositivos de red. Este recurso
permite simplificar la administracin, especficamente de un router.

Cisco Router and Security Devce Manager


NJMt
mooociiu^cu

irto m w 1AUJI Ot M ^ ^ i d 09

Ctt9 M

M V 4 A U I Vtl N I

kul (mailRwitiNi

1*0-0*am)uavoMot
mofMic't

it Fm
dleu!

( Uf) M o u tofftA ti l+ tu n T y

V, CU 1MI 4/#h n
uvCAiiiUn im Pmj*

M iV M H I

ipmudi

5uppocl
AH KO fw l Wwmifvn frw rwrt

Slmpiify Routw D*p*oyirwnt and Uanag*mn:


k*

* * t * O ra

m Am

Houtat n o Wrintf>

mi

t l a A M i l

ftc o n i

U m qm

T i o u i m h o i l *nij AAprfi

Downu#c ktevi lw m Frotel

4 upa*
TnM*r*orf * 4 A jfftj

CERTIFICACION MEXICO www.netec.com.mx


Sitio de informacin que ofrece el servicio de certificacin profesional de
TI CCNA de CISCO. Desde este enlace el usuario tiene la posibilidad de elegir
estudiar a travs de un aula virtual, ya sea desde el hogar o la oficina. Para tal
fin, se debe llenar un formulario con los datos requeridos por el Partner.

Centro Nctec

6<*C4r

l'nHi*MuiMlo cti TI

II V'--- |
mo*>

cuw m

c iim ic A c io m )

m Cio o o m im v iu c a

hx

(C M V A C V IN O *

Inscrbase
sin costo
a nuestros
sem inarios

Promociones

peimos
(ifrrfM+fflMkjtn
in w ii <W(MtMWjrlfl

4 rtiiififw Kan tata


C M l on*t<-

4m

% ntevutodH im o v*\ttcv \ rfentsi

H ( W t QfjrtQi

T n c fc * U %

infrfueroCeftricjdoCHco

. ^ __

I muo u W(M

CoUbo*#lon

www.redusers.com

316 B S H Z S

S ER V IC IO S A L LEC T O R

CCNA www.cisco.com/web/learning/certifications/asociate/ccna
Enlace de la pgina oficial de CISCO en la que se explica la nueva modalidad de
los programas de certificacin de CISCO: CCNA Routing and Switching. Desde aqu
se puede obtener acceso a ciertos recursos como guas temticas, calendarios de
cursos y herramientas de asistencia para la certificacin.
ProdKt* A Vnrtcat

CISCO

U*poti

HtvtofkfV

T r-iQ lffart

PWtPMf^

Training & Certifications


IV

I f t t f l I ******

w vm w

I I U lM t

V f| M | 1

S ovg Big

GtHclp

v+%*Cy*#*

Ote*"** 2 fM Ok

N*<1 fw^r iinrtaalAOHfq o#


Ktcdutng m tifctttam ?
>arcti ou onrv
or

Si0f

vutmrt

c a rtrficja o n so pp o ft

>

cSl
FOIUMV US

DO&
cisco car#r canmc-iuoni

Wt or* tvt *tm onrtaorfc

KCrtd*#*nwimnVO

tnut Aisocun

Cl^cioonpopar*

Tr*cli your Pro^r***

AratKl v fechaditvtf 0

>pu* c*rl*ca6onpvowvi

RECURSOS EDUCATIVOS CISCO www.learningnetwork.cisco.com


Desde aqu es posible tener acceso a una serie interesante de enlaces al
material didctico publicado por CISCO. Recursos educativos como currculas,
libros, kits electrnicos, etctera. Se cuenta con la alternativa de solucionar dudas
con respecto a todo el programa de capacitacin CCNA R & S de CISCO.
______

C IS C O

Nttworv C#rtfCJon
Programa

____
OCJfTRY
O

f ) fe [3

The Cisco Learning NetWork

C u c o !M r M ^ M am

Stoft/wo

CoMaaUMHI MeMVi 50auap MoMfWw laa*a

ITCiiMt

Q j
laanungCaaiaf

Sale o the Year

Iv is

Cyt* Mmby 4M ta; DmMrtm ?ndimim de

'
fe

Oot llora

v i - ,
1

L
f c T j

1Mlff MfVP

a iw j u a h

OPftoruuonM

Oiwi
9

OAftCMTICV
O m c v iiit

C POUCN Al ftU ifttftU llO O i I

N w t> C e re ftc a tio n s ? W h a t b e a t d ts c r tb tt y o ir b a e k g ro u n o ?

Ouick Link

vVant lo Loarn Moro?


lutac/CMtolaiMHjOfear

* * * * *

> M K M iY o u r S a i

feShiQf!iim Rtcourcat
SWOyG^PS

CERTOTCATIONS H tG H U G H TS

LEARNING NEWS

V#*Canaca* ttm*corjj: ma
0*/Otofe Cn*p

infcmjocriorffv*i*tlrutp*W>?s
en*9*4*

www.redusers.com

M N U T ftW

usershop.redusers.com
!

Office

i SISTEMAS
WEB
ESCALABLES

Llegamos a todo el mundo

OCSMWOUOKSmOS

OJISCNM rUNJt

KMMMSOECSXTtS

GUA PRCTICA
PARA EL USUARIO

>o c a

EXCEL 2013
lAVANZADO
*

CLAVES Y HERRAMIENTAS MS POTENTES

fc

LU I

S mmimn

I IOS UOCTOS f S U l USUMO W W W i

Cree su propia red social e implemente un

Conozca la integracin con redessocia-

Conozca claves y herramientas ms poten

sistema capaz de evolucionar en el tiem

les y el trabajo en la nube, en aplicacio

tes de esta nueva versin de Excel y logre

po y responder al crecimiento del trfico.

nes modernas y ms fciles de utilizar.

el mximo de efectividad en sus planillas

-> 320 pginas / ISBN 978-987-1949-20-5

320 pginas / ISBN 978-987-1949-21-2

-> 320 pginas / ISBN 978-987-1949-18-2

S SERVICIO

NOTOCOCS N C T O O S . 5UM7TFHCHR

MQMTcncs v a o t t noAOCfc. n * uvm s

Windows T
MANUAL DEL USUARIO

2013

amoniru

>v

GUA PRCTICA
PARA EL USUARIO

Of A / M C A C M t
COMIKUUCtft M M I

M O C S S E T IM A S OPUUTW O S

kM

Access

TCNICO
AVANZADO

A m nw

r* * * * rooo n *> oc tw o v n m

i su m m > CM a u n a n o * i

BU

Consejos y secretos indispensables para

Simplifiquetareascotidianasde la mane

Acceda a consejos indispensables y apro

ser un tcnico profesional e implementar la


solucin ms adecuada a cada problema

ra ms productiva y obtenga informacin


clave para la toma de decisiones.

veche al mximo el potencial de la ltima


versin del sistema operativo ms utilizado.

320 pginas / ISBN 978-987-1949-19-9

-> 320 pginas / ISBN 978-987-1949-17-5

Excel
i 2013

ILLustrator

CS6

GUA PRCTICA
PARA EL USUARIO

320 pginas / ISBN 978-987-1949-09-0

k v - U ^

I TECNICO ^
i PROFESIONAL
DE

PC#

CLAVES OE
EMANTENMENT0
MANTEMMEKTO

YRfPARAON^B

MOfeJCCtf*I**/** MfMOMNItliM
MTlTUtaiM l I f O O J C

M C rrA H M

ivoooaraoo* ocufUNUjiiifcniMKA BU

M o t n su

h o po m coco k

w m u c n

a m jr ts

BU

La mejor gua a la hora de generar piezas

Aprenda a simplificar su trabajo, convirtien

Acceda a consejos tiles y precauciones

de comunicacin grfica, ya sean para

do sus datos en informacin necesaria para

a tener en cuenta al afrontar cualquier

web, dispositivos electrnicos o impresin.

solucionar diversos problemas cotidianos.

problema que pueda presentar un equipo.

320 pginas / ISBN 978-987-1949-08-3

320 pginas / ISBN 978-987-1949-02-1

-> 320 pginas / ISBN 978-987-1949-04-5

+ 54 (011) 4110-8700

[X ] usershop@redusers.com

usershop.redusers.com

a MACROS
U

gestin

TANM .

EXCEL 2013
PROGRAMACIN DE APUCACMNES CON VBA

nc
I EDUCACIO

BU

IOS

en

CLAVES Y CONSEJOS PARA DOMMAR E l MEJOR


SOFTWARE ADMIMSTRATTVOCONTAaiI

Obtenga informacin detallada

NUEVAS FORMAS DE ENSENAR EN LA ERA OKfTAL

uso h w m tc a m wvu na* t hm nm

AUTOUATXf SUSFUNUAS YOfTTMKI t i TMMJO

El libro indicado para enfrentar los desafos

Un libro ideal para ampliar la funcionalidad

Un libro para maestros que busquen di-

del mundo laboral actual de la mano de un

de las planillas de Microsoft Excel, desarro

namizar su tarea educativa integrando los

gran sistema administrativo-contable.

llando macros y aplicaciones VBA.

diferentes recursos que ofrecen las TICs.

352 p g in a s / ISBN 978-987-1949-01-4

320 pginas / ISBN 978-987-1857-99-9


U

320 pginas / ISBN 978-987-1857-95-1

S
U

\mmc.

SIMULACIN
DE CIRCUITOS
ELECTRNICOS

tllfWM lIMIMIOINArMIOU
iiw u W A * n n * t m t T i

DISEO Y
PROGRAMACIN
DE VIDEOJUEGOS

CS6
* n r w i io a *

>PROTEUS

InDesiqn
^

(Ma

ou

APWNOA A KSMMUAR MOUS JUICOS 30

im MJOMSC8NSUDSH OtSOl0 1

RU

ncMM * osc^w Qjwtaj0 caaxro ksoc su k

Libro ideal para introducirse en el mundo de

Esta obra rene todas las herramientas

Esta obra nos ensea sobre el diseo

la maquetacin, aprendiendo tcnicas para

de programacin que ofrece Unity para

y prueba de circuitos electrnicos, sin

crear verdaderos diseos profesionales.

crear nuestros propios videojuegos en 3D.

necesidad de construirlos fsicamente.

> 352 pginas / ISBN 978-987-1857-74-6

-> 320 pginas / ISBN 978-987-1857-81-4

-> 320 pginas / ISBN 978-987-1857-72-2

VMWARE
LO MEJOR DE LA COMPUTACION EN LA NUBE

e
MH

TECNICO
WINDOWS

VIRTUALIZACIN con

V M 'B W a

PROGRAMACIN
MANUAL DEL DESARRGLLADOR

OAGNSTlCa ROWtAONY MANTOMENTU

r i
L ^

m
\

c u im a masmo a mbmcntd su (o v o

APVfKH A mOOMMtt SM CXMOCMOTTOS W D W

Obra imperdible para crear infraestructura

Esta obra rene todos los conocimientos

Ubro ideal para iniciarse en el mundo de

virtual con las herramientas de Vmware

tericos y prcticos para convertirse en

la programacin y conocer las bases ne

segn los requerimientos de cada empresa.

un tcnico especializado en Windows.

cesarias para generar su primer software.

-> 320 p g in a s / ISBN 978-987-1857-71-5

-> 320 pginas / ISBN 978-987-1857-70-8

-> 384 pginas / ISBN 978-987-1857-69-2

+ 54 (011) 4110-8700

[X] usershop@redusers.com

Descargue un captulo gratuito


Entrese de novedades y lanzamientos
U

Compre los libros desde su casa


y con descuentos
!

SERVICIO TCNICO

N0TEB00KS
REPARACIN Y MANTENIMIENTO
DE EQUIPOS PORTTILES

Presentamos una obra fundamental para


aprender sobre la arquitectura fsica y el

Una obra ideal para aprender todas las


ventajas y servicios integrados que ofrece

funcionamiento de los equipos porttiles.

Office 365 para optimizar nuestro trabajo.

352 pginas / ISBN 978-987-1857-68-5

320 pginas / ISBN 978-987-1857-65-4

Esta obra presenta las mejores aplicacio


nes y servicios en lnea para aprovechar
al mximo su PC y dispositivos multimedia.
-> 320 pginas / ISBN 978-987-1857-61-6

TCNICAS DE 'B f

FOTOGRAFIA
\

PROFESIONAL

IDEAS DE TRABAJO Y NEGOCIO


: PARA SER UN F

IMPLEMENTACJN DE UN SISTEMA PARA


LA GESTIN JE LA SEGURIDAD

u m a a A iiB i

Esta obra va dirigida a todos aquellos que

Este libro se dirige a fotgrafos amateurs,

En este libro encontraremos una completa

quieran conocer o profundizar sobre las

aficionados y a todos aquellos que quie

gua aplicada a la instalacin y configu

tcnicas y herramientas de los hackers.

ran perfeccionarse en la fotografa digital.

racin de redes pequeas y medianas.

320 pginas / ISBN 978-987-1857-63-0

-> 320 pginas / ISBN 978-987-1857-48-7

320 pginas / ISBN 978-987-1857-46-3

! PROYECTOS DON
*

'

ACCESS
BASES DE DATOS PARA EL HOGAR.

LA OFICINA Y EL COMERCIO

Esta obra est dirigida a todos aquellos que


buscan ampliar sus conocimientos sobre

Este libro nos introduce en el apasio

Access mediante la prctica cotidiana.

nante mundo del diseo y desarrollo


web con Flash y AS3.

-> 320 pginas / ISBN 978-987-1857-45-6

-> 320 pginas / ISBN 978-987-1857-40-1

Esta obra presenta un completo recorrido


a travs de los principales conceptos sobre
lasTICsy su aplicacin en la actividad diaria.
320 pginas / ISBN 978-987-1857-41-8

+ 54 (011) 4110-8700

usershop@redusers.com

usershop.redusers.com

Llegamos a todo el mundo

CURSOS

>o c a

CON SALIDA

LABORAL

Los temas ms importantes del universo de la tecnologa, desarrollados con


la mayor profundidad y con un despliegue visual de alto impacto:
explicaciones tericas, procedimientos paso a paso,
videotutoriales, infografas y muchos recursos ms.

>
>25 Fascculos
>
>600 Pginas

Curso para dominar las principales herramientas del paquete Adobe CS3 y
conocer los mejores secretos para disear de manera profesional. Ideal para

2 DVDs / 2 Libros

quienes se desempean en diseo, publicidad, productos grficos o sitios web.

Obra terica y prctica que brinda las habilidades necesarias para

25 Fascculos

convertirse en un profesional en composicin, animacin y VFX

600 Pginas

(efectos especiales).

>
>2 CDs /1 DVD /1 Libro

25 Fascculos

Obra ideal para ingresar en el apasionante universo del diseo web y utilizar

600 Pginas
4 CDs

Internet para una profesin rentable. Elaborada por los mximos referentes
en el rea, con infografas y explicaciones muy didcticas.

Brinda las habilidades necesarias para planificar, instalar y administrar

>
>25 Fascculos

redes de computadoras de forma profesional. Basada principalmente en


tecnologas Cisco, busca cubrir la creciente necesidad de profesionales.

600 Pginas
3 CDs /1 Libros

+ 54 (011) 4110-8700

[X] usershop@redusers.com

i
Indispensable para desarrollares
y administradores de sitios, este
libro explica las tcnicas de ataque
utilizadas por los hackers.

L.

SEGURIDAD / INTERNET
320 PGINAS
ISBN 978-987-1949-31-1
V

LLEGAMOS A TODO EL MUNDO VIA

O C A *

**

MS INFORMACIN / CONTCTENOS
usershop.redusers.com ^+54 (011) 4110-8700 E usershop@redusers.com
* SLO VLIDO EN LA REPBl ICA ARGENTINA II ** VLIDO EN TODO EL MUNDO EXCEPTO ARGENTINA

+J
i
'

ROUTERS Y SWITCHES CISCO


Este libro ha sido concebido con la finalidad de preparar a los lectores interesados en obtener una certificacin CCNA R outing and
S w itc h in g e n el futuro. Aborda cuestiones desarrolladas en los programas educativos de Cisco y los temas ms frecuentes, relevantes

y demandados en la actualidad en este rubro. Se trata de una obra prctica, con ejercicios y demostraciones, que resultar de utilidad
tanto a estudiantes que incursionan en el mundo de las redes, como a especialistas que desean tener a mano una gua en espaol
para configurar dispositivos de networking.

La demanda de personal calificado en telecomunicaciones


a

requiere la formacin de estudiantes en el mbito de las


redes que estn mejor preparados para el mercado laboral.

EN ESTE LIBRO APRENDER:

^ Routers Cisco: configuracin con comandos desde IOS. Control de acceso, respaldo
de informacin y tcnicas de recuperacin ante prdida de contraseas.
^

Switches Cisco: creacin y gestin de VLAN. Configuracin de puertos e interfaces,


replicacin mediante VTP y enrutamiento entre VLAN.

Enrutamiento: configuracin y asignacin de rutas dinmicas y estticas en un


router. Protocolos OSPF, EIGRP y BGP para optimizar el encaminamiento de datos.

Gilberto Gonzlez Rodrguez es


Ingeniero en Sistemas computa-

Listas de control de acceso: caractersticas, funciones y clasificacin de ACL.

cionales y docente universitario

Creacin y puesta en marcha, puertos y protocolos ms comunes.

en el Instituto Politcnico
Nacional y en la Universidad San

Servicio DHCP: asignacin de pool de direcciones y configuracin de cliente-

Carlos de Mxico. Ha contribuido

servidor DHCP desde router Cisco.

en la redaccin de la coleccin
Tcnico en redes y seguridad de

Redes privadas virtuales (VPN): arquitectura y funcionamiento. Clasificacin y

esta editorial y es autor del libro

modos de encriptacin. Configuracin de mapa criptogrfico y de VPN site-to-site.

Servicio tcnico: notebooks.

Axcjd Mxtcriio a Red

NIVEL DE USUARIO
Bsico /Interm edio

-a
-a
-a

CATEGORA
Redes/Empresas

IS B N 978-987-1949-34-2

REDUSERS.com
En nuestro sitio podr encontrar noticias
relacionadas y tambin participar de la comunidad
de tecnologa ms importante de Amrica Latina.

PROFESOR EN LNEA
Ante cualquier consulta tcnica relacionada
con el libro, puede contactarse con nuestros
expertos: profesor@redusers.com.

789871 949341

>