Para que los administradores de red puedan monitorear y resolver problemas de red, deben tener un conjunto completo de documentación de red precisa y actual. Esta documentación incluye:
Archivos de configuración, incluidos los de la red y los del sistema final:
ontienen registros precisos y actualizados del hardware y el software usados en una red. En los archivos de configuración de la red, debe existir una tabla para cada dispositivo de red utilizado con toda la información relevante sobre ese dispositivo.
Diagramas de topología física y lógica: Se centran en el hardware y el
software usados en los dispositivos del sistema final, como servidores, consolas de administración de red y estaciones de trabajo de los usuarios. Un sistema final configurado incorrectamente puede tener un impacto negativo en el rendimiento general de una red.
Niveles de rendimiento de referencia
Diagramas de topología de la red
Los diagramas de topología de la red mantienen un registro de la ubicación, la
función y el estado de los dispositivos en la red. Hay dos tipos de diagramas de topología de la red: la topología física y la topología lógica.
Topología física
Una topología física de la red muestra la distribución física de los dispositivos
conectados a la red. Para resolver problemas de la capa física, es necesario conocer la forma en que los dispositivos están conectados físicamente.
Topología lógica
La topología lógica de la red ilustra la forma en que los dispositivos se conectan
a la red de manera lógica, es decir, cómo los dispositivos transfieren datos a través de la red al comunicarse con otros dispositivos. Los símbolos se usan para representar los elementos de la red, como routers, servidores, hosts, concentradores VPN y dispositivos de seguridad.
Medir el rendimiento y la disponibilidad iniciales de los dispositivos y enlaces
de red fundamentales permite que un administrador de red determine la diferencia entre un comportamiento anormal y un rendimiento correcto de la red, a medida que esta crece o cambian los patrones de tráfico. Una línea de base también proporciona información sobre si el diseño actual de la red puede satisfacer los requisitos comerciales. Sin una línea de base, no existe ningún estándar para medir la naturaleza óptima de los niveles de tráfico y congestión de la red.
Al documentar la red, con frecuencia es necesario reunir información
directamente de los routers y los switches. Los comandos obvios y útiles para la documentación de red incluyen ping, traceroute y telnet. Al preguntarles a los usuarios finales acerca del problema de red que tal vez experimenten, use técnicas de interrogación eficaces. Esto lo ayudará a obtener la información necesaria para registrar los síntomas de un problema.
Lo que da inicio a un esfuerzo de resolución de problemas es la detección de
un problema con la conectividad de extremo a extremo. Dos de las utilidades más comunes que se utilizan para verificar un problema con la conectividad de extremo a extremo son ping y traceroute; El comando traceroute muestra la ruta que los paquetes IPv4 toman para llegar al destino. De manera similar a lo que sucede con el comando ping, se puede usar el comando traceroute del IOS de Cisco para IPv4 e IPv6. El comando tracert se usa con el sistema operativo Windows. El rastreo genera una lista de saltos, direcciones IP de router y la dirección IP de destino final a las que se llega correctamente a través de la ruta.
La mayoría de los protocolos de la capa de aplicación proporcionan servicios
para los usuarios. Los protocolos de la capa de aplicación normalmente se usan para la administración de red, la transferencia de archivos, los servicios de archivos distribuidos, la emulación de terminal y el correo electrónico. Con frecuencia, se agregan nuevos servicios para usuarios, como VPN y VoIP.
La mayoría de los problemas frecuentes con las ACL se debe a una
configuración incorrecta. Los problemas con las ACL pueden provocar fallas en sistemas que, por lo demás, funcionan correctamente. Comúnmente, las configuraciones incorrectas ocurren en varias áreas:
Selección de flujo de tráfico: el tráfico se define según la interfaz de
router por la que viaja y según la dirección en la que viaja el tráfico. Para que funcione de manera adecuada, se debe aplicar la ACL a la interfaz correcta y se debe seleccionar el sentido de tráfico apropiado.
Orden de entradas de control de acceso: el orden de las entradas en
una ACL debe ir de lo específico a lo general. Si bien una ACL puede tener una entrada para permitir específicamente un flujo de tráfico en particular, los paquetes nunca coincidirán con esa entrada si una entrada anterior en la lista ya los denegó. Si el router ejecuta las ACL y la NAT, es importante el orden en que se aplica cada una de estas tecnologías a un flujo de tráfico. La ACL de entrada procesa el tráfico entrante antes de que lo procese la NAT de afuera hacia dentro. La ACL de salida procesa el tráfico saliente después de que lo procesa la NAT de adentro hacia fuera.
Deny any implícito: cuando la ACL no requiere un alto nivel de seguridad,
este elemento de control de acceso implícito puede ser la causa de un error de configuración de ACL.
Direcciones y máscaras wildcard IPv4: las máscaras wildcard IPv4
complejas proporcionan mejoras importantes en términos de eficiencia, pero están más sujetas a errores de configuración. Un ejemplo de una máscara wildcard compleja consiste en usar la dirección IPv4 10.0.32.0 y la máscara wildcard 0.0.32.15 para seleccionar las primeras 15 direcciones host en la red 10.0.0.0 o 10.0.32.0.
Selección del protocolo de la capa de transporte: al configurar las ACL,
es importante que se especifiquen solo los protocolos de la capa de transporte correctos. Cuando no están seguros de si un flujo de tráfico determinado usa un puerto TCP o un puerto UDP, muchos administradores de red configuran ambos. Especificar ambos puertos provoca una abertura a través del firewall, lo que posibilita a los intrusos un camino dentro la red. También introduce un elemento adicional en la ACL, de modo que el procesamiento de esta toma más tiempo, lo que imprime mayor latencia a las comunicaciones de la red.
Puertos de origen y destino: controlar el tráfico entre dos hosts de
manera adecuada requiere elementos simétricos de control de acceso para las ACL de entrada y de salida. La información de dirección y de puerto del tráfico generado por un host que responde es el reflejo de la información de dirección y puerto del tráfico generado por el host de origen.
Uso de la palabra clave established: la palabra
clave established aumenta la seguridad provista por una ACL. Sin embargo, si la palabra clave se aplica incorrectamente, pueden tener lugar resultados imprevistos.
Protocolos poco frecuentes: las ACL configuradas incorrectamente
suelen causar problemas en protocolos distintos de TCP y UDP. Los protocolos poco frecuentes que están ganando popularidad son VPN y los protocolos de cifrado.
La resolución de problemas de capa 2 puede ser un proceso desafiante. La
configuración y el funcionamiento de estos protocolos son fundamentales para crear redes con ajustes precisos y en condiciones de funcionamiento. Los problemas de capa 2 causan síntomas específicos que, al reconocerse, ayudan a identificar el problema rápidamente. Existen síntomas y problemas característicos de la capa física, la capa de enlace de datos, la capa de red, la capa de transporte y la capa de aplicación que el administrador de red debe reconocer.