Configuración de Autenticación MD5 para OSPF

Podemos proteger nuestro protocolo de comunicación, en este OSPF:

Autenticación en la interfaz

R1(config)#interface serial 0/0/0
R1(config-if)#ip ospf message-digest-key "1" md5 "cisco"
R1(config-if)#ip ospf authentication message-digest

Autenticación en la configuración de OSPF

R1(config)#router ospf "1"
R1(config-router)#area 0 athentication message-digest

Comandos de Seguridad:

Para asegurar la configuración de nuestro router existen varios comandos que encriptan contraseñas o exigen el cumplimiento de ciertos requerimientos, como ejemplo:

R1(config)#service password-encryption (encripta todas las contraseñas)

R1(config)#security password min-leght "10" (cumplimiento de longitud)

R1(config)#line aux 0
R1(config-line)#no password
R1(config-line)#login
**evita registros en líneas que no se utilizan**

R1(config)#line vty 0 4
R1(config-line)#exec-timeout "3"
**tiempo limitado**

R1(config)#service tcp-keepalives-in (vty seguro)

R1(config)#ip ssh time-out "15"
R1(config)#ip ssh authentication-retries "2"
**ssh con tiemo e intentos de autenticación**

Access List: Estándar y Extendida

Las listas de acceso permiten o niegan servicios, redes o una ip específica para que ingrese o salga de su LAN local, según en la interfaz donde se aplique.

Las ACL Estándar bloquean o permiten el origen. Sus números de identifiación pueden ir desde el 1 al 99; mientras que las ACL Extendidas bloquean o permiten origen, destino, protocolo y puerto, sus número de identificación van desde el 100 hasta el 199.

Pasos a seguir:

1. Creación de una ACL:

R0(config)#access-list 1 permit 10.10.10.2 0.0.0.0

**en este caso se utiliza la wilcard 0.0.0.0 para fijar la dirección ip**

2. Aplicar la ACL

**Se puede aplicar en una interfaz FastEthernet o Serial como entrada o salida**

R0(config)#interface fastethernet 0/0
R0(config-if)#ip access-group 1 in (como entrada)

R0(config-if)#ip access-group 1 out (como salida)


En el caso de las ACL extendidas tenemos que ingresar más datos:


R0(config)#access-list 101 deny tcp 10.10.10.2 host 30.30.30.11 eq 20
R0(config)#access-list 101 deny tcp 10.10.10.2 host 30.30.30.11 eq 21
R0(config)#access-list 101 permit tcp 10.10.10.2 host 30.30.30.11 eq 80

**en este caso debemos ingresar en el comando la red o host de origen y luego el de destino para finalizar con "eq" y el puerto del servicio que queramos bloquear o permitir, en el ejemplo denegamos ftp, pero permitimos http. Luego debes aplicar la ACL en una interfaz de entrada o salida.

Algunos puertos de protocolos más usados:

20 TCP FTP
21 TCP FTP
22 TCP SSH
23 TCP TELNET
25 TCP SMTP
53 TCP DNS
53 UDP DNS
80 TCP HTTP
110 TCP POP3

Es necesario destacar dos comando:

ACCESS-LIST "1" DENY ANY
**se encuentra por defecto**

ACCESS-LIST "101" PERMIT IP ANY ANY
**para permitir todo**

Recuperación de Configuración y Cambio de Contraseña

Pasos:

1. reinicia el router.
2. presiona "suspensión" en la terminal, Packet Tacer puedes detener el booteo de la IOS con el teclado presionando Control + Pausa.
3. se iniciará la consola en modo Rommon.
4. cambia la configuración Config register.
5. reinicia el router.
6. ingresa a modo enable.
7. copia la configuración de inicio de NVRAM a la configuración RAM.
8. verifica y cambia las contraseñas.
9. levanta las interfaces.
10. guarda los cambios.

Comandos de configuración paso a paso:

rommon1>confreg 0x2142
rommon2>reset

router>enable
router#copy st run
router#show run
router#configure terminal
router(config)#interface fastethernet 0/0
router(config-if)#no shutdown
router(config)#interface serial 0/0/0
router(config-if)#no shutdown
router(config)#enable secret "cisco"
router(config)#config-register 0x2102
router(config)#exit
router#copy running-config startup-config

Router: Conexión y Administración por SSH

SSH (Secure SHell, en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo la computadora mediante un intérprete de comandos, y también puede redirigir el tráfico de X para poder ejecutar programas gráficos si tenemos un Servidor XUnix y Windows) corriendo. Además de la conexión a otros dispositivos, SSH nos permite copiar datos de forma segura (tanto ficheros sueltos como simular sesiones FTPclaves RSA para no escribir claves al conectar a los dispositivos y pasar los datos de cualquier otra aplicación por un canal seguro tunelizado mediante SSH.

Comandos de configuración:

Router(config)#hostname R0
R0(config)#line vty 0 4
R0(config-line)#transport input ssh
R0(config-line)#exit
R0(config)#username "redes" password "cisco"
R0(config)#ip domain name "global"
R0(config)#crypto key generate rsa

Frame Relay: point to point / multipoint

Point-to-point (Punto-a-punto) – Una subinterface punto-a-punto es usada para establecer una conexión PVC a otra interface física o subinterface en un router remoto. En este caso, cada par de routers punto-a-punto está en su propia subred y cada subinterface punto-a-punto tendría un simple DLCI. En un ambiente punto-a-punto, cada subinterface está actuando como una interface punto-a-punto. Por lo tanto, el tráfico de la actualización de enrutamiento no está sujeto a la regla de split-horizon (Horizonte Dividido).


Comandos de Configuración:

R1(config)#INterface Serial 0/0/0
R1(config-if)#no shutdown
R1(config-if)#encapsulation frame-relay
R1(config-if)#interface serial 0/0/0.100 point-to-point
R1(config-subif)#ip address 10.0.0.1 255.0.0.0
R1(config-subif)#frame-relay interface-dlci 100

***si la interface es point-to-point se le debe designar un DLCI específico***

Multipoint (Multipunto) – Una simple subinterface multipunto es usada para establecer múltiples conexiones PVC a múltiples interfaces físicas o subinterfaces en routers remotos. Todas las interfaces participantes estarían en la misma subred. El tráfico de la actualización de enrutamiento está sujeto a la regla split-horizon (Horizonte Dividido).

Comandos de Configuración:

R1(config)#interface serial 0/0/0.110 multipoint
R1(config-subif)#ip address 20.0.0.1 255.0.0.0
R1(config-subif)#frame-relay map ip 30.0.0.2 110 broadcast cisco
R1(config-subif)#frame-relay map ip 40.0.0.2 120 broadcast cisco

***si la interface es multipoint es necesario indicarle a través de un mapeo cuales serán las IP que se conectarán a los DLCI de dicha interface***

CCNA4: Frame Relay

Frame Relay es un protocolo wan de alto rendimiento que funciona en las capas física y de enlace de datos. Las conexiones frame relay se crean al configurar routers CPE u otros dispositivos para comunicarse con un switch frame relay del proveedor de servicios, éste configura el switch frame relay, que ayuda a mantener las tareas de configuración del usuario final a un nivel mínimo.

La conexión entre un dispositivo dte y un dispositivo dce comprende un componente de capa física y un componente de capa de enlace de datos:

El componente físico define las especificaciones mecánicas, eléctricas, funcionales y de procedimiento necesarias para la conexión entre dispositivos. Una de las especificaciones de interfaz de capa física más comunmente utilizadas es la especificación RS-232.

El componente de capa de enlace define el protocolo que establece la conexión entre el dispositivo dte como un router y el dispositivo dce como un switch.

VC: se refiere a un circuito virtual que se genera en una red frame relay entre dos dte. un DLCI puede identificar a un VC.

DLCI: Data Link Connection Identifier, identificador de canal del circuito establecido en Frame Relay. El DLCI se aloja en la trama e indica el camino a seguir por los datos en el VC establecido.


Encapsulación Frame Relay:

Frame Relay toma paquetes de datos de un protocolo de capa de red, como IP o IPX, los encapsula como la parte de datos de una trama frame relay y luego pasa a la capa física para entregarla en el cable.

***FRAME RELAY UTILIZA ARP INVERSO PARA ASIGNAR EL DLCI***

Comandos Frame Relay:

R1(config-if)# ip address 192.168.1.1 255.255.255.252
R1(config-if)# no shutdown
R1(config-if)# encapsulation frame-relay
R1(config-if)# bandwith 64
R1# show frame-relay pvc

***en caso de que se quiera configurar Frame Relay en una red con OSPF, se debe ingresar el siguiente comando de configuración para obtener conectividad***

R1(config-if)# ip ospf network point-to-point (punto a punto)
R1(config-if)# ip ospf network point-to-multipoint (punto a multipunto)

CCNA4: Encapsulación PPP; Autenticación PAP y CHAP

PPP: Protocolo Punto a Punto, proporciona conexiones router a router y host a red, sobre circuitos síncronos y asíncronos. Establece, configura, matiene y termina una conexión punto a punto.

PAP: Autenticación PPP, Protocolo de enlace de dos vías, de texto plano.

CHAP: Autenticación PPP, Protocolo de enlace de tres vías, de texto encriptado.


Comandos Configuración Interfaz, Encapsulación PPP, Autenticación PAP:

Router(config)#hostname R1
R1(config)#username R3 password xxxx
R1(config-if)#interface serial 0/0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#clock rate 128000
R1(config-if)#encapsulation PPP
R1(config-if)#ppp authentication pap
R1(config-if)#ppp pap sent-username R1 password xxxx


Router(config)#hostname R3
R3(config)#username R1 password xxxx
R3(config-if)#interface serial 0/0/0
R3(config-if)#ip address 192.168.1.2 255.255.255.252
R3(config-if)#no shutdown
R3(config-if)#encapsulation PPP
R3(config-if)#ppp authentication pap
R3(config-if)#ppp pap sent-username R3 password xxxx


Comandos Configuración Interfaz, Encapsulación PPP, Autenticación CHAP:

Router(config)#hostname R1
R1(config)#username R3 password xxxx
R1(config-if)#interface serial 0/0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#clock rate 128000
R1(config-if)#encapsulation PPP
R1(config-if)#ppp authentication chap


Router(config)#hostname R3
R3(config)#username R1 password xxxx
R3(config-if)#interface serial 0/0/0
R3(config-if)#ip address 192.168.1.2 255.255.255.252
R3(config-if)#no shutdown
R3(config-if)#encapsulation PPP
R3(config-if)#ppp authentication chap

CCNA2: Ruta estática y Ruta por defecto

Ruta Estática: Las rutas estáticas se definen administrativamente y establecen rutas específicas que han de seguir los paquetes para pasar de un puerto de origen hasta un puerto de destino. Se establece un control preciso del enrutamiento según los parámetros del administrador.
Las rutas estáticas por default especifican un gateway (puerta de enlace) de último recurso, a la que el router debe enviar un paquete destinado a una red que no aparece en su tabla de enrutamiento, es decir que desconoce. Las rutas estáticas se utilizan habitualmente en enrutamientos desde una red hasta una red de conexión única, ya que no existe más que una ruta de entrada y salida en una red de conexión única, evitando de este modo la sobrecarga de tráfico que genera un protocolo de enrutamiento. La ruta estática se configura para conseguir conectividad con un enlace de datos que no esté directamente conectado al router. Para conectividad de extremo a extremo, es necesario configurar la ruta en ambas direcciones. Las rutas estáticas permiten la construcción manual de la tabla de enrutamiento. El comando ip route configura una ruta estática, los parámetros del comando definen la ruta estática.


Comandos:

Forma 1:

Router#configure terminal
Router#(config)# ip route "red de destino" "máscara de subred" "siguiente salto"

Ejemplo Forma 1:

Router#(config)#ip route 192.168.0.0 255.255.255.0 10.0.0.1


Forma 2:

Router#configure terminal
Router#(config)#ip route "red de destino" "máscara de subred" "interfaz de salida"

Ejemplo Forma 2:

Router#(config)#ip route 172.168.0.0 255.255.255.0 serial 0/0/0



Ruta por Defecto: Las rutas por defecto se utilizan para poder enviar tráfico a destinos que no concuerden con las tablas de enrutamiento de los dispositivos que integran la red. El caso más común para su implementación sería el de redes con acceso a Internet ya que sería imposible contener en las tablas de enrutamiento de los dispositivos todas las rutas que la componen. Las rutas por defecto, al igual que las rutas estáticas comunes, se configuran mediante el comando ip route en el modo Configuración Global.


Comandos:

Forma 1:

Router#configure terminal
Router#(config)#ip route 0.0.0.0 0.0.0.0 "siguiente salto"


Forma 2:

Router#configure terminal
Router#(configure)#ip route 0.0.0.0 0.0.0.0 "interfaz de salida"

CCNA4: Acceso a la Wan

Una WAN es una red de comunicación de datos que opera más allá del alcance geográfico de una LAN.

Las WAN se diferencian de las LAN en varios aspectos. Mientras que una LAN conecta computadoras, dispositivos periféricos y otros dispositivos de un solo edificio u de otra área geográfica pequeña, una WAN permite la transmisión de datos a través de distancias geográficas mayores. Además, la empresa debe suscribirse a un proveedor de servicios WAN para poder utilizar los servicios de red de portadora de WAN. Las LAN normalmente son propiedad de la empresa o de la organización que las utiliza.

Las WAN utilizan instalaciones suministradas por un proveedor de servicios, o portadora, como una empresa proveedora de servicios de telefonía o una empresa proveedora de servicios de cable, para conectar los sitios de una organización entre sí con sitios de otras organizaciones, con servicios externos y con usuarios remotos. En general, las WAN transportan varios tipos de tráfico, tales como voz, datos y video.

Las tres características principales de las WAN son las siguientes:

* Las WAN generalmente conectan dispositivos que están separados por un área geográfica más extensa que la que puede cubrir una LAN.

* Las WAN utilizan los servicios de operadoras, como empresas proveedoras de servicios de telefonía, empresas proveedoras de servicios de cable, sistemas satelitales y proveedores de servicios de red.

* Las WAN usan conexiones seriales de diversos tipos para brindar acceso al ancho de banda a través de áreas geográficas extensas.


En la Capa de Enlace de Datos del Modelo OSI están presentes los siguientes servicios WAN: Frame Relay, ATM, HDLC; mientras que en la Capa Física tenemos: conexiones eléctricas, mecánicas y operativas.

Existen las siguientes Tecnologías de Conmutación de Paquetes: X-25, Frame Relay y ATM.

Como opción de conexión a internet tenemos: DSL, Modem por Cable y Acceso inalámbrico de Banda Ancha.

Tecnología VPN:

VPN: es una conexión encriptada a través de una red pública como internet. Dentro de sus beneficios podemos encontrar: ahorro de costos, seguridad, escalabilidad y compatibilidad de servicios de banda ancha. Podemos encontrar dos tipos de VPN: VPN de sitio a sitio y VPN de acceso remoto.

CCNA1: Cálculo de Host, IP Válidas, Operación AND Binaria, Cálculo de Broadcast, Prefijo y Máscara de Subred

1. Qué número me permite obtener la cantidad de hosts requeridos.

2. Calcular los hosts o direcciones IP disponibles.

Ejemplo: necesitamos 2 direcciones ip disponibles para una red, por lo general este cálculo se realiza para dos routers de una red, por lo tanto, nos sirve el 2² = 4 -2 (dirección de red y Broadcast) nos da como resultado 2 IP Válidas para utilizar.

3. Ahora debemos calcular la máscara de subred, para esto debemos restarle al número 32 el número que utilizamos para elevar con base 2, es decir, si utilizamos el mismo ejemplo anterior debemos expresar lo siguiente: 32-2= 30, este resultado es el PREFIJO de nuestra red. Dicho prefijo podemos utilizarlo como máscara de subred válida para nuestra red de dos direcciones IP válidas, entonces lo expresamos de la siguiente manera: 255.255.255.252 y en binario seria: 11111111.11111111.11111111.11111100, si contamos la cantidad de unos nos dará como resultado 30, que corresponde al prefijo de nuestra red.

4. Ahora debemos realizar una operación AND BINARIA, entre la dirección de red que tenemos y la máscara de subred expresándola en binario según lo siguiente obtendremos la dirección de broadcast. 0+0=0 / 0+1=0 / 1+0=0 / 1+1=1

Si la dirección de red fuera: 192.168.0.0 y el prefijo es 30 o 255.255.255.252 esta sería la operación a realizar:

Campo de red Campo de host

192.168.00000000.000000 00

255.255.11111111.111111 00

192.255.00000000.000000 11

En el campo de red se realiza la operación AND Binaria y en el Campo de host se ponen todos los bits en 1.

5. Ahora debemos transformar a decimal el número que obtuvimos con la operación, en este caso es: 192.168.0.3, porque el 00000011 (que corresponde al último octeto) en decimal es el número 3.

6. Entonces obtenemos lo siguiente:

Nuestra dirección de red es: 192.168.0.0

Nuestra máscara de subred es: 255.255.255.252

Nuestro Broadcast es: 192.168.0.3

Por lo tanto, las direcciones IP VÁLIDAS son 2, como lo requería el ejercicio al principio:

Primera IP VÁLIDA: 192.168.0.1

Segunda y última IP VÁLIDA: 192.168.0.2

(QUE CORRESPONDEN A LOS NÚMEROS QUE ESTÁN ENTRE EL 0 Y EL 3), en orden sería

RED: 192.168.0.0

1 IP: 192.168.0.1

2 IP: 192.168.0.2

Broadcast: 192.168.0.3

Operación Inalámbrica

La operación inalámbrica consta de los siguientes pasos:

1.- Beacon: el punto de acceso emite faros o beacon periódicos, (SSID, velocidades admitidas y la implementación de seguridad).

2.- Sondear: el cliente envía la sonda (SSID y velocidad admitida). El AP envia la respuesta al sondeo (SSID, velocidad y seguridad).

3.- Autenticar: Petición de autenticación abierta (tipo abierta o clave compartida).

4.- Asociar: Petición de asociación (dirección MAC cliente, Dirección MAC AP (BSSID) y finalmente el ESS (ESSID).

**Respuesta de asociación: satisfactoria o no.

CCNA3: Capítulo 7

Las WLAN utilizan radiofrecuencia, en lugar de cables en la Capa Física y la Subcapa MAC de la Capa de Enlace de Datos.

La radiofrecuencia no tiene límites, como los límites de cable envuelto. La falta de dicho límite permite a las tramas de datos viajar sobre el medio RF para estar disponibles para cualquiera que pueda recibir la señal RF.

La señal RF no está protegida de señales exteriores. Las radios que funcionan independientemente en la misma área geográfica, pero que utilizan la misma RF o similar, pueden interferirse mutuamente.

La transmisión RF está sujeta a los mismos desafíos inherentes a cualquier tecnología basados en ondas, como la radio comercial.

Las bandas RF se regulan en forma diferente en cada país. La utilización de las WLAN está sujeta a regulaciones adicionales y a conjuntos de estándares que no se aplican a las LAN conectadas a cables.

Las WLAN conectan a los clientes a la red, a través de un AP en lugar de un switch ethernet. Las WLAN, además utilizan un formato de trama diferente al de lass LAN ethernet conectadas por cable. Y también requieren información adicional en el encabezado de la Capa 2 de la trama.

Los dispositivos que centralizan la administración de WLAN grandes que utilizan muchos puntos de acceso son: el controlador LAN inalámbrico y los puntos de acceso livianos.

La atenuación de la señal RF restringe directamente el alcance del AP. El acceso al medio se controla mediante un mecanismo distribuido. Los métodos de autenticación en el estándar 802.11 son: la clave compartida y la autenticación abierta, ésta última no utiliza verificación de cliente o AP. TKIP permite cambios de clave por paquete y 802.11 incorpora un servidor RADIUS para la autenticación de la empresa.

Para permitir la conectividad de una red inalámbrica nueva es necesario establecer el acceso abierto tanto en el AP como en cada dispositivo conectado. Los SSID predeterminados en fabricantes específicos de AP son normalmente conocidos y pueden permitir conexiones inalámbricas hostiles. Si los puntos de acceso se implementan en un entorno poblado, el método par identificar la interferencia RF es realizar un levantamiento manual del sitio seguido por uno asistido.

Las NIC inalámbricas pueden ser: PCMCIA, USB o PCI

Los Routers inalámbricos cumplen el rol de punto de acceso, switch ethernet y router.