Para asegurar la configuración de nuestro router existen varios comandos que encriptan contraseñas o exigen el cumplimiento de ciertos requerimientos, como ejemplo:
R1(config)#service password-encryption (encripta todas las contraseñas)
R1(config)#security password min-leght "10" (cumplimiento de longitud)
R1(config)#line aux 0 R1(config-line)#no password R1(config-line)#login **evita registros en líneas que no se utilizan**
Las listas de acceso permiten o niegan servicios, redes o una ip específica para que ingrese o salga de su LAN local, según en la interfaz donde se aplique.
Las ACL Estándar bloquean o permiten el origen. Sus números de identifiación pueden ir desde el 1 al 99; mientras que las ACL Extendidas bloquean o permiten origen, destino, protocolo y puerto, sus número de identificación van desde el 100 hasta el 199.
**en este caso debemos ingresar en el comando la red o host de origen y luego el de destino para finalizar con "eq" y el puerto del servicio que queramos bloquear o permitir, en el ejemplo denegamos ftp, pero permitimos http. Luego debes aplicar la ACL en una interfaz de entrada o salida.
1. reinicia el router. 2. presiona "suspensión" en la terminal, Packet Tacer puedes detener el booteo de la IOS con el teclado presionando Control + Pausa. 3. se iniciará la consola en modo Rommon. 4. cambia la configuración Config register. 5. reinicia el router. 6. ingresa a modo enable. 7. copia la configuración de inicio de NVRAM a la configuración RAM. 8. verifica y cambia las contraseñas. 9. levanta las interfaces. 10. guarda los cambios.
Comandos de configuración paso a paso:
rommon1>confreg 0x2142 rommon2>reset
router>enable router#copy st run router#show run router#configure terminal router(config)#interface fastethernet 0/0 router(config-if)#no shutdown router(config)#interface serial 0/0/0 router(config-if)#no shutdown router(config)#enable secret "cisco" router(config)#config-register 0x2102 router(config)#exit router#copy running-config startup-config
SSH (Secure SHell, en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo la computadora mediante un intérprete de comandos, y también puede redirigir el tráfico de X para poder ejecutar programas gráficos si tenemos un Servidor XUnix y Windows) corriendo. Además de la conexión a otros dispositivos, SSH nos permite copiar datos de forma segura (tanto ficheros sueltos como simular sesiones FTPclaves RSA para no escribir claves al conectar a los dispositivos y pasar los datos de cualquier otra aplicación por un canal seguro tunelizado mediante SSH.
Point-to-point (Punto-a-punto) – Una subinterface punto-a-punto es usada para establecer una conexión PVC a otra interface física o subinterface en un router remoto. En este caso, cada par de routers punto-a-punto está en su propia subred y cada subinterface punto-a-punto tendría un simple DLCI. En un ambiente punto-a-punto, cada subinterface está actuando como una interface punto-a-punto. Por lo tanto, el tráfico de la actualización de enrutamiento no está sujeto a la regla de split-horizon (Horizonte Dividido).
Comandos de Configuración:
R1(config)#INterface Serial 0/0/0 R1(config-if)#no shutdown R1(config-if)#encapsulation frame-relay R1(config-if)#interface serial 0/0/0.100 point-to-point R1(config-subif)#ip address 10.0.0.1 255.0.0.0 R1(config-subif)#frame-relay interface-dlci 100
***si la interface es point-to-point se le debe designar un DLCI específico***
Multipoint (Multipunto) – Una simple subinterface multipunto es usada para establecer múltiples conexiones PVC a múltiples interfaces físicas o subinterfaces en routers remotos. Todas las interfaces participantes estarían en la misma subred. El tráfico de la actualización de enrutamiento está sujeto a la regla split-horizon (Horizonte Dividido).
Comandos de Configuración:
R1(config)#interface serial 0/0/0.110 multipoint R1(config-subif)#ip address 20.0.0.1 255.0.0.0 R1(config-subif)#frame-relay map ip 30.0.0.2 110 broadcast cisco R1(config-subif)#frame-relay map ip 40.0.0.2 120 broadcast cisco
***si la interface es multipoint es necesario indicarle a través de un mapeo cuales serán las IP que se conectarán a los DLCI de dicha interface***
Frame Relay es un protocolo wan de alto rendimiento que funciona en las capas física y de enlace de datos. Las conexiones frame relay se crean al configurar routers CPE u otros dispositivos para comunicarse con un switch frame relay del proveedor de servicios, éste configura el switch frame relay, que ayuda a mantener las tareas de configuración del usuario final a un nivel mínimo.
La conexión entre un dispositivo dte y un dispositivo dce comprende un componente de capa física y un componente de capa de enlace de datos:
El componente físico define las especificaciones mecánicas, eléctricas, funcionales y de procedimiento necesarias para la conexión entre dispositivos. Una de las especificaciones de interfaz de capa física más comunmente utilizadas es la especificación RS-232.
El componente de capa de enlace define el protocolo que establece la conexión entre el dispositivo dte como un router y el dispositivo dce como un switch.
VC: se refiere a un circuito virtual que se genera en una red frame relay entre dos dte. un DLCI puede identificar a un VC.
DLCI: Data Link Connection Identifier, identificador de canal del circuito establecido en Frame Relay. El DLCI se aloja en la trama e indica el camino a seguir por los datos en el VC establecido.
Encapsulación Frame Relay:
Frame Relay toma paquetes de datos de un protocolo de capa de red, como IP o IPX, los encapsula como la parte de datos de una trama frame relay y luego pasa a la capa física para entregarla en el cable.
***FRAME RELAY UTILIZA ARP INVERSO PARA ASIGNAR EL DLCI***
Comandos Frame Relay:
R1(config-if)# ip address 192.168.1.1 255.255.255.252 R1(config-if)# no shutdown R1(config-if)# encapsulation frame-relay R1(config-if)# bandwith 64 R1# show frame-relay pvc
***en caso de que se quiera configurar Frame Relay en una red con OSPF, se debe ingresar el siguiente comando de configuración para obtener conectividad***
R1(config-if)# ip ospf network point-to-point (punto a punto) R1(config-if)# ip ospf network point-to-multipoint (punto a multipunto)
PPP: Protocolo Punto a Punto, proporciona conexiones router a router y host a red, sobre circuitos síncronos y asíncronos. Establece, configura, matiene y termina una conexión punto a punto.
PAP: Autenticación PPP, Protocolo de enlace de dos vías, de texto plano.
CHAP: Autenticación PPP, Protocolo de enlace de tres vías, de texto encriptado.
Ruta Estática: Las rutas estáticas se definen administrativamente y establecen rutas específicas que han de seguir los paquetes para pasar de un puerto de origen hasta un puerto de destino. Se establece un control preciso del enrutamiento según los parámetros del administrador. Las rutas estáticas por default especifican un gateway (puerta de enlace) de último recurso, a la que el router debe enviar un paquete destinado a una red que no aparece en su tabla de enrutamiento, es decir que desconoce. Las rutas estáticas se utilizan habitualmente en enrutamientos desde una red hasta una red de conexión única, ya que no existe más que una ruta de entrada y salida en una red de conexión única, evitando de este modo la sobrecarga de tráfico que genera un protocolo de enrutamiento. La ruta estática se configura para conseguir conectividad con un enlace de datos que no esté directamente conectado al router. Para conectividad de extremo a extremo, es necesario configurar la ruta en ambas direcciones. Las rutas estáticas permiten la construcción manual de la tabla de enrutamiento. El comando ip routeconfigura una ruta estática, los parámetros del comando definen la ruta estática.
Comandos:
Forma 1:
Router#configure terminal Router#(config)# ip route "red de destino" "máscara de subred" "siguiente salto"
Router#configure terminal Router#(config)#ip route "red de destino" "máscara de subred" "interfaz de salida"
Ejemplo Forma 2:
Router#(config)#ip route 172.168.0.0 255.255.255.0 serial 0/0/0
Ruta por Defecto: Las rutas por defecto se utilizan para poder enviar tráfico a destinos que no concuerden con las tablas de enrutamiento de los dispositivos que integran la red. El caso más común para su implementación sería el de redes con acceso a Internet ya que sería imposible contener en las tablas de enrutamiento de los dispositivos todas las rutas que la componen. Las rutas por defecto, al igual que las rutas estáticas comunes, se configuran mediante el comando ip route en el modo Configuración Global.
Una WAN es una red de comunicación de datos que opera más allá del alcance geográfico de una LAN.
Las WAN se diferencian de las LAN en varios aspectos. Mientras que una LAN conecta computadoras, dispositivos periféricos y otros dispositivos de un solo edificio u de otra área geográfica pequeña, una WAN permite la transmisión de datos a través de distancias geográficas mayores. Además, la empresa debe suscribirse a un proveedor de servicios WAN para poder utilizar los servicios de red de portadora de WAN. Las LAN normalmente son propiedad de la empresa o de la organización que las utiliza.
Las WAN utilizan instalaciones suministradas por un proveedor de servicios, o portadora, como una empresa proveedora de servicios de telefonía o una empresa proveedora de servicios de cable, para conectar los sitios de una organización entre sí con sitios de otras organizaciones, con servicios externos y con usuarios remotos. En general, las WAN transportan varios tipos de tráfico, tales como voz, datos y video.
Las tres características principales de las WAN son las siguientes:
* Las WAN generalmente conectan dispositivos que están separados por un área geográfica más extensa que la que puede cubrir una LAN.
* Las WAN utilizan los servicios de operadoras, como empresas proveedoras de servicios de telefonía, empresas proveedoras de servicios de cable, sistemas satelitales y proveedores de servicios de red.
* Las WAN usan conexiones seriales de diversos tipos para brindar acceso al ancho de banda a través de áreas geográficas extensas.
En la Capa de Enlace de Datos del Modelo OSI están presentes los siguientes servicios WAN: Frame Relay, ATM, HDLC; mientras que en la Capa Física tenemos: conexiones eléctricas, mecánicas y operativas.
Existen las siguientes Tecnologías de Conmutación de Paquetes: X-25, Frame Relay y ATM.
Como opción de conexión a internet tenemos: DSL, Modem por Cable y Acceso inalámbrico de Banda Ancha.
Tecnología VPN:
VPN: es una conexión encriptada a través de una red pública como internet. Dentro de sus beneficios podemos encontrar: ahorro de costos, seguridad, escalabilidad y compatibilidad de servicios de banda ancha. Podemos encontrar dos tipos de VPN: VPN de sitio a sitio y VPN de acceso remoto.
1.Qué número me permite obtener la cantidad de hosts requeridos.
2.Calcular los hosts o direcciones IP disponibles.
Ejemplo: necesitamos 2 direcciones ip disponibles para una red, por lo general este cálculo se realiza para dos routers de una red, por lo tanto, nos sirve el 22 = 4 -2 (dirección de red y Broadcast) nos da como resultado 2 IP Válidas para utilizar.
3.Ahora debemos calcular la máscara de subred, para esto debemos restarle al número 32 el número que utilizamos para elevar con base 2, es decir, si utilizamos el mismo ejemplo anterior debemos expresar lo siguiente: 32-2= 30, este resultado es el PREFIJO de nuestra red.Dicho prefijo podemos utilizarlo como máscara de subred válida para nuestra red de dos direcciones IP válidas, entonces lo expresamos de la siguiente manera: 255.255.255.252 y en binario seria: 11111111.11111111.11111111.11111100, si contamos la cantidad de unos nos dará como resultado 30, que corresponde al prefijo de nuestra red.
4.Ahora debemos realizar una operación AND BINARIA, entre la dirección de red que tenemos y la máscara de subred expresándolaen binario según lo siguiente obtendremos la dirección de broadcast. 0+0=0 / 0+1=0 / 1+0=0 / 1+1=1
Si la dirección de red fuera: 192.168.0.0 y el prefijo es 30 o 255.255.255.252 esta sería la operación a realizar:
Campo de redCampo de host
192.168.00000000.000000 00
255.255.11111111.111111 00
192.255.00000000.000000 11
En el campo de red se realiza la operación AND Binaria y en el Campo de host se ponen todos los bits en 1.
5.Ahora debemos transformar a decimal el número que obtuvimos con la operación, en este caso es: 192.168.0.3, porque el 00000011 (que corresponde al último octeto) en decimal es el número 3.
6.Entonces obtenemos lo siguiente:
Nuestra dirección de red es: 192.168.0.0
Nuestra máscara de subred es: 255.255.255.252
Nuestro Broadcast es: 192.168.0.3
Por lo tanto, las direcciones IP VÁLIDAS son 2, como lo requería el ejercicio al principio:
Primera IP VÁLIDA: 192.168.0.1
Segunda y última IP VÁLIDA: 192.168.0.2
(QUE CORRESPONDEN A LOS NÚMEROS QUE ESTÁN ENTRE EL 0 Y EL 3), en orden sería
Las WLAN utilizan radiofrecuencia, en lugar de cables en la Capa Física y la Subcapa MAC de la Capa de Enlace de Datos.
La radiofrecuencia no tiene límites, como los límites de cable envuelto. La falta de dicho límite permite a las tramas de datos viajar sobre el medio RF para estar disponibles para cualquiera que pueda recibir la señal RF.
La señal RF no está protegida de señales exteriores. Las radios que funcionan independientemente en la misma área geográfica, pero que utilizan la misma RF o similar, pueden interferirse mutuamente.
La transmisión RF está sujeta a los mismos desafíos inherentes a cualquier tecnología basados en ondas, como la radio comercial.
Las bandas RF se regulan en forma diferente en cada país. La utilización de las WLAN está sujeta a regulaciones adicionales y a conjuntos de estándares que no se aplican a las LAN conectadas a cables.
Las WLAN conectan a los clientes a la red, a través de un AP en lugar de un switch ethernet. Las WLAN, además utilizan un formato de trama diferente al de lass LAN ethernet conectadas por cable. Y también requieren información adicional en el encabezado de la Capa 2 de la trama.
Los dispositivos que centralizan la administración de WLAN grandes que utilizan muchos puntos de acceso son: el controlador LAN inalámbrico y los puntos de acceso livianos.
La atenuación de la señal RF restringe directamente el alcance del AP. El acceso al medio se controla mediante un mecanismo distribuido. Los métodos de autenticación en el estándar 802.11 son: la clave compartida y la autenticación abierta, ésta última no utiliza verificación de cliente o AP. TKIP permite cambios de clave por paquete y 802.11 incorpora un servidor RADIUS para la autenticación de la empresa.
Para permitir la conectividad de una red inalámbrica nueva es necesario establecer el acceso abierto tanto en el AP como en cada dispositivo conectado. Los SSID predeterminados en fabricantes específicos de AP son normalmente conocidos y pueden permitir conexiones inalámbricas hostiles. Si los puntos de acceso se implementan en un entorno poblado, el método par identificar la interferencia RF es realizar un levantamiento manual del sitio seguido por uno asistido.
Las NIC inalámbricas pueden ser: PCMCIA, USB o PCI
Los Routers inalámbricos cumplen el rol de punto de acceso, switch ethernet y router.