Está en la página 1de 45

ENRUTAMIENTO IP

CONOCIMIENTOS PREVIOS
REPASO DE IP
Un enrutador o router es aquel capaz
de leer las IP de los paquetes y
localizar la manera de que un
paquete llegue a su destino.
Lgicamente estamos trabajando a
nivel 3 del modelo OSI (red), pues los
routers, desmontan el paquete que
les llegue hasta poder obtener su IP
de destino.
Adems los routers con capaces de
elegir una ruta u otra en funcin de
distintos parmetros que le harn
elegir la mejor entrega (best effort).
Para ello consulta su TABLA DE
RUTAS, que no es ms que un
espacio de almacenamiento en el que
tiene asociadas unas rutas de red a
una interfaz concreta. Si no posee
esa ruta, usara ICMP para indicarle
al emisor la imposibilidad de llegar al
destino y destruye el paquete.
EXAMINANDO TABLA DE RUTAS
DESTINO DE RED
Redes o direcciones a las que el enrutador puede encaminar paquetes.
MSCARA DE RED
PUERTA DE ACCESO
Direccin accesible directamente al router, por donde enviar los paquetes en busca de su destino.
INTERFAZ
Direccin IP de la tarjeta de red por la que enviar un paquete para alcanzar un destino determinado.
METRICA
Valor que se asocia a una ruta para elegirla antes que otra en funcin de parmetros como el
nmero de routers a atravesar para llegar al destino, saturacin de la red, etc. A MENOR MTRICA
MAYOR PRIORIDAD.
DIRECCIONES ESPECIALES
127.0.0.0 bucle invertido para comprobar la pila
TCP/IP
0.0.0.0 identifica la puerta de enlace, es decir,
aquellos paquetes cuya direccin no consigue
encaminar con las rutas disponibles en la tabla sern
enviados a la puerta de enlace.
224.0.0.0 direccin de multidifusin
255.255.255.255 direccin de difusin.
Las tablas de rutas no son exclusivas de los
routers, cada estacin tiene su propia tabla de
rutas que puede visualizarse a travs del
comando route print
OPERACIONES CON LA TABLA DE RUTAS
Cuando una mquina va a mandar un paquete, mira su tabla de rutas
para averiguar si conoce ese destino de red.
Recordamos que para averiguar el destino de red, multiplicaba en binario la
IP de destino por su propia mscara.
Si conoce el destino encamina el paquete hacia la interfaz asociada.
Si no lo conoce, encamina el paquete hacia la NIC asociada a la red
0.0.0.0. (puerta de enlace predeterminada), si esta no est configurada,
devolver un mensaje de error.
LAS TABLAS DE RUTAS SE GUARDAN EN RAM, al arrancar el
equipo se examinan las redes y se establecen las entradas de la
tabla de rutas. Si yo aado entradas manualmente, estas no
perduran en el reinicio de la mquina, si bien, como ya veremos,
puedo hacer que una ruta sea persistente.
REPASO DE CLCULO REALIZADO POR UN EQUIPO ANTE
UNA DIRECCIN DADA
Direccin de destino 10.12.159.3
Direccin de origen: 62.158.1.56
Mscara de origen: 255.248.0.0
El producto de IP destino por mscara = 10.8.0.0
Se comprueba si existe una entrada en la tabla de rutas para esa
direccin de red.
ENRUTAMIENTO ESTTICO
Es cuando el administrador edita la tabla de
rutas directamente para aadir acceso a
nuevas redes, nuevas puertas de enlace, etc.

200.200.3.5 10.0.0.5
200.200.3.6 10.0.0.1
0.0.0.0 200.200.3.6 200.200.3.5
200.200.3.0 200.200.3.5 200.200.3.5
10.0.0.0 200.200.3.6 200.200.3.5
10.0.0.0 10.0.0.1 10.0.0.1
200.200.3.0 200.200.3.6 200.200.3.6
0.0.0.0 10.0.0.1 10.0.0.5
10.0.0.0 10.0.0.5 10.0.0.5
200.200.3.0 10.0.0.1 10.0.0.5
PRCTICA-1
Escribe las tabla de rutas que habra que aadir
en cada uno de estos equipos
10.0.25.3 20.0.30.5
10.0.25.1 15.0.0.1 15.0.0.2 20.0.30.1
PARA AADIR RUTAS ESTTICAS
Usamos el comando Route con los
modificadores necesarios.
Recordamos que las rutas se generan a
iniciarse la mquina y si queremos hacerlas
persistentes, es decir, queremos que no
desaparezcan al apagar la mquina debemos
escribir el modificador p
PRCTICA-2
En grupos de 3 (1 enrutador y 2 clientes), generar las
rutas necesarias para que la mquina-1 llegue a la
mquina 2 y viceversa.
Tendris que usar 2 direcciones IP asignadas a la misma
tarjeta, ya que no disponemos de 2 interfaz.
Comprobar la tabla de rutas y que podis llegar de una
mquina a otra.
RECORDAD: Planificar y Documentar.
MQUINA-1 MQUINA-2
ROUTER
PRCTICA-3
Toda la clase va configurar sus 2 direcciones IP para poder
comunicarse a travs de ellas con las mquinas vecinas.
OBJETIVO: que cada mquina est en 2 redes distintas y todas
puedan comunicar con todas.
Uso de tracert para localizar problemas
FUNCIONA? Si la respuesta es que NO razonar por qu y lo que
necesitaramos para que pudiera funcionar
10.0.0.1 20.0.0.2 20.0.0.1 30.0.0.2 30.0.0.1 40.0.0.2
a3s01 a3s02 a3s03
MQUINA-1
1 X 10= 10
10.0.0.1
+10=20
20.0.0.2
MQUINA-2
2 X 10= 20
20.0.0.1
+10=30
30.0.0.2
MQUINA-3
3 X 10= 30
30.0.0.1
+10=40
40.0.0.2
DATO IMPORTANTE
Un Windows 2000 Server,
tiene la capacidad de enrutar,
para lo que necesita 2 tarjetas.
Si no habilitamos el servicio de
enrutamiento y queremos
mantener las rutas de manera
esttica, debemos habilitar el
reenvo IP para que pasen los
paquetes de una tarjeta a otra
(VER AYUDA).
En la prctica anterior los
reenvos funcionaban porque
realmente slo tenamos una
tarjeta FSICA.
INSTALANDO SERVICIOS DE
ENRUTAMIENTO Y ACCESO
REMOTO
CONFIGURANDO SERVIDOR
En Windows 2000 Server, el componente ENRUTAMIENTO Y
ACCESO REMOTO se instala con el sistema operativo.
Para acceder a la consola usamos la ruta PROGRAMAS-
>HERRAMIENTAS ADMINISTRATIVAS->ENRUTAMIENTO Y
ACCESO REMOTO

Enrutamiento de Windows 2000 ofrece:
Protocolos de enrutamiento dinmico (OSPF, RIP v1
y v2)
Conexiones bajo demanda
Filtrado de paquetes
Traslacin de direcciones (NAT)
Acceso remoto (RAS)
Enrutado de diversos protocolos
Etc.
En la consola de enrutamiento y acceso remoto,
podemos seleccionar el equipo a administrar.
En un dominio Windows 2000 se necesita
pertenecer al grupo Servidor RAS y IAS para
poder administrarlo.
ENRUTAMIENTO DINAMICO
INTRODUCCIN
Un protocolo de enrutamiento dinmico cumple
con las siguientes funciones.
Es capaz de elegir dinmicamente la mejor ruta para
un paquete IP.
Actualiza sus tablas de rutas de manera automtica,
comunicando con otros routers con los que se pasa
informacin.
Ahorra una gran cantidad de trabajo de
administracin, pues cada modificacin de rutas es
actualizada automticamente y comunicada al resto
de los routers
PROTOCOLOS DE VECTOR
DISTANCIA
Usan el algoritmo de Bellman-Ford
Permiten a los routers comunicar el contenido de sus tablas con sus
vecinos.
Asocian una mtrica a las rutas para establecer cual es la mejor.
No tienen conocimiento del estado de la red ni de su topologa.
Cuando reciben una tabla de rutas de un enrutador vecino:
Aade las entradas que no tiene y les incrementa la mtrica
Si la ruta la conoce y su mtrica es superior o igual a la que el ya tiene,
la desecha.
Si la ruta la conoce pero la mtrica es menor, la aade, sustituyendo a
su antigua ruta.
Las tablas de los routers se comunican por broadcast, los
protocolos menos evolucionados, por multicast los ms modernos y
por unicast los que permiten configurar vecinos predeterminados.
Son protocolos de vector distancia:
RIPv1
RIPv2

PROTOCOLOS DEL ESTADO DE
ENLACE
Usan el algoritmo SPF (Short Path First)
No se intercambian tabla de enrutamiento, sino los datos
que permiten construir dicha tabla. Para ello tienen un
buen conocimiento de la topologa de la red en su
conjunto. Este conocimiento lo obtienen a travs de
paquetes LSP (Link State Packet) que se envan entre
los routers que tienen estos protocolos instalados.
Utilizan mtricas sofisticadas para saber la velocidad de
la red, saturacin, etc. para poder encaminar el
paquete por la ruta ms conveniente.
Es un protocolo de este tipo OSPF.
RIP
Usa el nmero de saltos como mtrica
Windows 2000 implementa tanto la versin 1 como la 2.
Tiene un lmite de saltos de 15 (15 enrutadores). Sin
embargo en la implementacin de Windows 2000 estos
enrutadores se quedan en 14 pues Windows 2000
entiende el primer router se encuentra a 2 saltos.

A
D
B C
A a D tiene 2 rutas, una con 1
salto y la otra con 3 saltos, se
quedara con la de 1 salto
IMPLEMENTANDO RIP
Ver vdeo de instalacin
Hay que configurar RIP para cada tarjeta. Ver vdeo de
ejemplo.

FICHA GENERAL TARJETA RIP
El uso de multidifusin (slo con
versin 2) es de gran valor, pues
evita sobrecargar la red.
La casilla Coste aadido para las
rutas, nos permite alterar la
mtrica para que se elija una ruta
antes que otra. En el caso de la
figura, a igualdad de saltos, me
interesa que elija la ruta rpida.
Para ello incremento la mtrica de
la que quiero evitar.
La casilla Etiquetas para las rutas
anunciadas (solo para versin 2)
nos permite aadir palabras a las
tramas enviadas por los routers
para poder distinguir las rutas que
han sido aprendidas por RIP de
otras (por ejemplo OSPF)
La casilla Activar autentificacin:
establece una palabra clave sin la
cual los routers no se comunicaran
(es de bajo nivel pues se enva en
texto plano)
A
D
B
C
T1
56 Kbps
T1
T1
FICHA SEGURIDAD TARJETA RIP
FICHA VECINOS TARJETA RIP
FICHA AVANZADAS TARJETA RIP
PRACTICA-4
Segn el escenario de la prctica-3 en el que
todo el aula estba unida como ROUTERS:
Unimos el ltimo router al primero
Instalamos RIP en cada equipo
Configuramos la tarjeta de red en cada equipo
con los valores por defecto
Comprobamos comunicacin con todas las
redes, y resolvemos problemas con el comando
tracert.
Observamos la tabla de rutas que se genera.
Podemos llegar a todas las redes? (por qu).

PRCTICA-5
En grupos de 3 aproximadamente, nos aislamos del
resto de routers con las opciones de vecinos y
observamos nuestra tabla de rutas de nuevo.
Probamos las opciones de contrasea.
Analizamos las tramas RIP con el monitor de red y
comprobamos la teora entregada en las fotocopias.
El objetivo es impedir que se comuniquen las tablas de
rutas con todos los routers y slo con mis vecinos. Para
comprobarlo intentamos comunicar con estos vecinos
(repuesta positiva) e intentamos comunicar con el resto
de redes (respuesta negativa).
Despus deshabilitamos los vecinos (todo el aula a la
vez), pero establecemos contraseas en grupos de 3.
Misma comprobacin que antes.
DIFERENCIAS ENTRE RIPv1 Y RIPv2 y
COEXISTENCIA CON OTROS PROTOCOLOS
RIPv2 aporta sobre RIPv1
RRIPv2 es capaz de anunciar rutas por multicast
RIPv2 puede usar autenticacin por contrasea
RIPv2 soporta VLSM (Variable Length Subnet Mask)
permitiendo uso adecuado de las subredes.
Coexistencia con otros protocolos
Otros protocolos como OSPF pueden usarse simultneamente
con RIP, el problema viene por los valores de mtrica aportados
que no son comparables. As que Cmo decide ante una
misma ruta cual camino elegir? Hay que configurarlo a travs de
un coeficiente llamado DISTANCIA ADMINISTRATIVA, a menor
coeficiente ms fiable ser el protocolo.
Si queremos forzarlo a travs de la consola VER VDEO
EXPLICATIVO.
OSPF
Open Short Path First (abrir el camino ms corto
primero)
Es un protocolo de estado de enlace
Usa el algoritmo de Dijkista
Sus caractersticas principales son:
Alta velocidad de convergencia (tiempo que tardan todos los
routers en disponer de la misma tabla de rutas)
Soporta VLSM (trabajo con redes subneteadas)
Enva slo datos cuando es necesario y no a un tiempo
establecido como RIP.
No tiene problemas de bucle ni lmite de saltos
Su implementacin requiere una alta comprensin de los
parmetros que usa y una terminologa asociada
IMPLEMENTANDO OSPF
La instalacin de OSPF es idntica a la de
RIP.
Al igual que RIP hay que asociar el
protocolo a cada tarjeta que queremos
que lo implemente
Las opciones de configuracin posibles,
como son las zonas, seguridad, vecinos
NBMA, requieren de la lectura previa de la
terminologa OSPF (referida en las
fotocopias)
FILTRADO DE PAQUETES IP
CONCEPTOS GENERALES
Los filtros se aplican sobre tarjetas y no sobre el router en general
Los filtros permiten establecer qu trfico y de qu tipo se va a
permitir, bien por direcciones IP o bien por protocolos y puertos.
FILTROS DE ENTRADA:
El paquete llega a la tarjeta y es comparado (IP origen, IP destino,
puertos) con el filtro, si no est permitido se manda un mensaje al
emisor y NO PASA A SER EXAMINADA LA TABLA DE RUTAS.
FILTROS DE SALIDA:
Primero, como un paquete IP normal, se comprueba la tabla de rutas
para decidir por qu interfaz va a salir. Una vez en la interfaz, se
compara su IP origen, IP destino, puertos, etc. con el filtro y toma la
decisin marcada en el filtro.
El Filtro de entrada consume menos recursos del router, si bien la
decisin de establecer un filtro de entrada o salida depende del
escenario de implementacin:
Si queremos que desde muchas redes no se pueda acceder a una
mquina en otra red, lo lgico sera aplicar un filtro de salida sobre la
interfaz a la que pertenece la mquina de destino.
Si por el contrario queremos que desde una red no se pueda acceder a
muchas estableceremos un filtro de entrada.
EQUIPO A PROTEGER
DE ACCESOS
FILTRO
DE
SALIDA
FILTRO DE
ENTRADA
EL EQUIPO NO
DEBE ACCEDER A
NINGUNA DE LAS
TRES REDES
Antes de establecer un filtro hay que realizar la siguiente planificacin:
- Sobre que tarjeta voy a realizar el filtro?
- Es un filtro de entrada o de salida?
- Afecta a mquinas en concreto o a redes enteras?
- Qu tipo de trfico quiero filtrar (TCP, ICMP,) y que servicio (puerto 23, etc.)?
- Qu accin deseo para el filtro?:
- Procesar todos los paquetes a los que no se aplica el filtro (dejo pasar todo menos lo
que cumple con el filtro)
- Omitir todos los paquetes que no cumplen con el filtro (no dejo pasar nada que no
cumpla con el criterio del filtro)
Ejemplo de filtro:
Aplicar sobre la conexin de rea local (1)
Filtro de entrada
Sobre la red de destino 192.168.0.0
Para el protocolo ICMP
Deje pasar el resto del trfico.
VER VDEO IMPLEMENTACIN
Cuando el filtro lo quiero implementar
sobre una mquina en concreto he de
poner la mscara de red a
255.255.255.255

PRACTICA-6
En grupos de 3, establecemos filtros para:
Slo permitir telnet a la mquina del otro lado del
router
Permitir todo el trfico menos telnet
Bloquear que se puede hacer un telnet o comprobar
conectividad con las patas del router (algo habitual
en internet)
MQUINA-1 MQUINA-2
ROUTER
ENRUTAMIENTO BAJO
DEMANDA
INTRODUCCIN
La conexin bajo demanda se usa
cuando:
Las redes son de pago tipo RDSI, RTC, y
por su coste quiero que sean conexiones
temporales.
Permite usar filtros y la aplicacin de
horarios de conexin para mayor
seguridad y aprovechar tarificaciones
especiales.
IMPLEMENTACIN
Necesidades:
Una tarjeta mdem RDSI o RTC
Una conexin a internet para este router y as poder configurar una
VPN.
PASOS A SEGUIR
1 CONFIGURAR SERVIDOR
Hay que indicarle al servidor que se configure tambin como enrutador
de marcado a peticin. VER VDEO
Al hacerlo nos aparecer en la consola un nuevo aparatado
denominado puertos
2 AADIR UNA TARJETA, bien un mdem o establecer el uso de
una VPN. VER VDEO (con mdem), ms adelante trabajaremos en
la creacin de VPN.
Tenemos que crear una cuenta para que el otro router tenga acceso al
mo (se crea en la SAM del equipo)
Tenemos tambin que dar las credenciales de una cuenta vlida en el
router remoto para que nos deje conectar.



CONFIGURACION
Podemos, como se dijo anteriormente,
establecer unos horarios en los que se puedan
efectuar las llamadas y unos filtros que
determinen cuando activar la llamada (en
funcin del tipo de trfico o la red a la que vayan
dirigida)
En el siguiente ejemplo se limita la conexin a
los das laborables de la semana de 8 a 22
horas y se activa un filtro para que slo se
conecta cuando se quiera llegar a la red
20.0.0.0 para realizar un TELNET.
VER VDEO DE IMPLEMENTACIN
OPCIONES
En las opciones de la
conexin, podemos
establecer los
parmetros tpicos de
una conexin
temporal
CONFIGURAR ENTRADA DE
CONEXIONES
Cuando un equipo remoto quiere acceder a mi
red necesita una direccin IP valida en mi red
(adems de las credenciales vistas
anteriormente).
Estas direcciones pueden ser asignadas
manualmente o a travs de un pequeo DHCP
que incorpora la consola ENRUTAMIENTO Y
ACCESO REMOTO.
En el ejemplo de implementacin se van a
otorgar un rango de direcciones vlidas en mi
red que ser de la 192.168.0.75 a la
192.168.0.90 VER VDEO.
ACTIVAR MARCADO A PETICION
Tras todas las configuraciones anteriores
tenemos que decidir que tipo de trfico va
a disparar el marcado a peticin.
En el ejemplo decidimos que cuando se
necesite llegar a la red 20.0.0.0 se active
la conexin. VER VDEO
Importante asegurarse de que est marcado
el checkbox que dice usar este enrutador
para iniciar las conexiones de marcado a
peticin
PRACTICA-7
Al no disponer de un mdem para la realizacin
del marcado a peticin, se propondr la prctica
para una VPN.
En grupos de 3, un cliente y 2 enrutadores
El enrutador 1 generar una conexin de
marcado a peticin cuando el cliente solicite una
ruta que mantiene el enrutador 2 para poder
resolver la peticin del cliente
Esta prctica queda pendiente hasta que
estudiemos las VPN en el prximo mdulo
ACCESO REMOTO
MULTIDIFUSION
Los routers, por defecto, no dejan pasar multidifusiones ni
broadcast.
Para que enrutaran multidifusiones deberan disponer de un
protocolo llamado DVMRP (distance vector multicasting routing
protocol)
Windows 2000 no incorpora ese protocolo, pero s IGMP, que le
permite estar a la escucha de los puestos que en su red usan
multicast, y s deja pasar los paquetes multicast que han sido
solicitados por las mquinas de su segmento.
Para ello hay que configurar en la pata del router por el que le
llegan los paquetes multidifusin del exterior, como PROXY IGMP y
la pata del router interna, de las mquinas que estn a la escucha
de multidifusin en modo ENRUTADOR IGMP.
VER VDEO EXPLICATIVO