objetivoscampus.fspaugtformacion.org/cursos/curso303/descarga/... · 2013-03-22 · tema1.el modelo...

Tema1.El modelo OSI y TCP/IP

1.1 El modelo de 7 capas

El desarrollo inicial de las redes de comunicaciones (LAN, MAN, WAN,…), allá por los mediados de los 80, fue ciertamente caótico. Cada compañía empleaba un estándar propietario o patentado que impedía o entorpecía la interconexión con sistemas de otros fabricantes.

Ante esta situación la industria pensó que la interconexión de redes debía estar sustentada en estándares abiertos, ampliamente conocidos por todos los fabricantes y que facilitaran tanto la conexión de redes como las economías de escala. Para ello la Organización Internacional de Estandarización, ISO - International Organization for Standardization – propuso el modelo OSI – Open System Interconnection - de 7 capas, como modelo de referencia para la construcción de redes. Este modelo, lanzado en 1984, proporcionó a los fabricantes un conjunto de normas que podían facilitar una mayor compatibilidad e interoperabilidad entre los diferentes tipos de tecnologías de red producidos por muchas de las empresas de todo el mundo.

El modelo de referencia OSI es el modelo principal para las comunicaciones de red. Aunque existen otros modelos, la mayoría de los fabricantes relacionan sus productos con el modelo de referencia OSI, sobre todo cuando quieren educar a los usuarios en el empleo de sus productos.

El modelo define las funciones de red que suceden en cada una de las capas:

Capa 1. Física

Capa 2. Enlace

Capa 3. Red

Capa 4. Transporte

Objetivos

Conocer los modelos OSI y TCP/IP, sus capas y relacionar protocolos con las mismas.

Configurar un router para permitir la interconexión de redes.

Identificar y solucionar problemas usando mensajes del protocolo ICMP.

Configurar listas de control de acceso en Routers firewall.

Capa 5. Sesión

Capa 6. Presentación

Capa 7. Aplicación

Esta separación de las funciones de red se llama división en capas, que proporciona las siguientes ventajas:

Divide la comunicación en red en partes más pequeñas y sencillas.

Facilita la normalización de los componentes de la red, al permitir el desarrollo y el soporte de múltiples fabricantes.

Permite que diferentes tipos de hardware y software de red se comuniquen entre sí.

Impide que los cambios en una capa afecten a las otras, por lo que se pueden desarrollar más rápidamente.

Divide la comunicación de la red en partes más pequeñas para hacer más fácil su comprensión.

Al tener presente este modelo, se entenderá cómo funciona una red, los dispositivos involucrados, siendo más fácil el diagnóstico y resolución de un posible fallo en la misma.

En la siguiente imagen podemos ver cómo viajan los datos de usuario de un ordenador a otro. Lógicamente, cuando el otro ordenador responda, cambiará el flujo de la información.

En dicha imagen podemos observar cómo los datos viajan desde las capas más altas a las más bajas, hasta alcanzar el medio de transmisión (cable de cobre, fibra óptica, wifi,…) y así volver a subir por la torre. El flujo de información desde arriba hacia abajo se llama encapsulación, y el contrario desencapsulación.

En el proceso de encapsulación, cada capa añade cabeceras e información necesaria, en función del protocolo implementado en dicha capa. Por tanto, según descendemos por la torre OSI vamos añadiendo más bits a la información general. A esto último se le llama sobrecarga de cabeceras.

Dos entidades pertenecientes a la capa N, pero en hosts distintos se comunican entre sí a través de un determinado protocolo, al cual nos referimos como protocolo de capa N. Para poder implementar este protocolo son necesarios los servicios de la capa inferior.

Las unidades de datos intercambiadas a nivel de protocolo se conocen como NPDU (N Protocol Data Unit – Unidad de datos de protocolo de capa N-). Por tanto, tenemos los siguientes nombres de datos en función de la capa:

Capa Dato Protocolo Aplicación APDU

Presentación PPDU Sesión SPDU

Transporte TPDU Red Paquete o Datagrama

Enlace Trama Físico Bit

En las tres capas más bajas se ha hecho referencia a los nombres comunes de los datos en dichas capas.

La división de capas, nos permite dividir la funcionalidad de red y sustituir un protocolo por otro, siempre y cuando cumpla con la funcionalidad de la capa correspondiente.

1.1.1 Capa 7: La capa de aplicación

La capa de aplicación en el modelo OSI define un conjunto de herramientas que los programas pueden usar para acceder a la red. Los programas de la capa de aplicación proporcionan servicios a los programas que ven los propios usuarios, siendo por tanto la capa más cercana a los mismos. Proporciona servicios de red, como acceso e impresión de ficheros. Un ejemplo típico de la capa 7 es el protocolo http que permite la comunicación entre un cliente y un servidor web. Existen otros protocolos de capa 7 como telnet o ftp.

1.1.2 Capa 6: La capa de presentación

Su función es presentar los datos del host origen en una forma que las aplicaciones del host receptor puedan entender, asegurando que la información que se envía a la capa de aplicación de un sistema se va a poder leer por la capa de aplicación de otro sistema. Si es necesario, la capa de presentación traduce múltiples formatos de datos empleando un formato común. Una de las tareas más importantes de esta capa es el cifrado / descifrado.

La mayoría de los sistemas informáticos almacenan alguna forma de ficheros de texto. Un sistema DOS o Windows 98 usualmente almacena texto usando una serie de códigos de 8 bits en formato ASCII (American Standard Code for Information Information Interchange), mientras que un Windows XP usa Unicode de 16 bits. Así la letra A tendría diferente representación en ambos formatos:

Sistema Codificación Letra A ASCII 01000001

Unicode 16 bits 0000000001000001

Sería pues la capa de presentación, la que permitiría presentar la letra A, independientemente de la codificación efectuada.

Si bien, esta función es un servicio de la red, la realidad es que son las propias aplicaciones las que realizan esta conversión, por lo que la capa de presentación no se suele implementar. No debemos olvidar que el modelo OSI es un modelo de referencia.

1.1.3 Capa 5: La capa de sesión

Gestiona las conexiones entre máquinas de la red. La capa de sesión proporciona servicios a la capa de presentación. También sincroniza el diálogo entre las capas de presentación de los dos hosts y administra el intercambio de datos. Además de regular la sesión, esta capa permite una eficiente transferencia de datos y clase de servicio.

1.1.4 Capa 4: La capa de transporte

La capa de transporte divide los datos que recibe de las capas superiores en piezas menores. En el lado receptor, la capa de transporte reensambla los paquetes de las capas inferiores y pasa los datos reunidos a las capas superiores. Esta capa también proporciona información de errores.

El objetivo de la capa de transporte es proporcionar una comunicación fiable entre los dos hosts. El servicio de esta capa se basa en detectar y recuperar errores así como en el control del flujo.

Son protocolos de la capa de transporte el TCP (Transmission Control Protocol – Protocolo para el control de la transmisión -), UDP (User Datagram Protocol – Protocolo de datagrama de usuario -) y el SPX (Sequenced Packet Exchange – Intercambio de paquetes secuenciado - ).

La capa de transporte es la última que es extremo a extremo (host – host).

1.1.5 Capa 3: La capa de red

Esta capa define las rutas que deben seguir los paquetes (unidades de datos del protocolo de esta capa), desde el origen al destino. Estas rutas no tienen por qué coincidir para una misma comunicación. Para ello es necesario un direccionamiento lógico (por ejemplo, el direccionamiento IP) del cual se ocupa esta capa.

Son protocolos de esta capa el IP (Internet Protocol – Protocolo de Internet -) y el IPX (Internetwork Packet Exchange – Intercambio de paquetes entre redes-).

1.1.6 Capa 2: La capa de enlace

La capa de enlace de datos proporciona un tránsito de datos fiable a través de un enlace físico. Especifica las reglas para identificar dispositivos en la red, determinar qué máquina debe usar la red en un momento dado y comprobar si hay errores en los datos que se reciben en la capa física. Hay que señalar que las funciones realizadas por esta capa sólo afectan a un remitente y un destinatario.

La capa de enlace de datos está dividida en dos subcapas:

MAC: Control de acceso al medio

LLC: Control de enlace lógico.

Dependiendo de la fiabilidad de esta capa, obliga más o menos en términos de fiabilidad a la capa de transporte.

1.1.7 Capa 1: La capa física

La capa física define las especificaciones eléctricas, mecánicas, procedimentales y funcionales para crear el enlace físico entre dos hosts. Se definen características como nivel de voltaje, velocidad de datos – bps – distancias máximas de transmisión, conectores,…

CAPA DE ENLACE

Logical Link Control (LLC)

Medium Access Control (MAC)

Es decir, esta capa transforma los “unos” y “ceros” en niveles de tensión para ser transmitidos. Por ejemplo, se podría establecer que un “uno” equivale a 5 voltios y un “cero” a 0 voltios.

1.2 El modelo TCP/IP

Hemos visto el modelo de referencia OSI de ISO como modelo básico para comprender mejor el diseño y construcción de redes. Sin embargo, Internet, o en sus orígenes como ARPANET está basada en el modelo TCP/IP. Con este modelo el DoD pretendía que en caso de guerra nuclear no se produjera un corte total de las comunicaciones ya que los paquetes podrían circular de forma automática por otros enlaces en caso de caída.

El modelo TCP/IP tiene las siguientes capas:

Capa de aplicación

Capa de transporte

Capa de Internet

Capa de acceso a la red

La relación con las capas del modelo OSI es la indicada en la tabla siguiente:

Modelo OSI TCP/IP Aplicación

Presentación Sesión

Aplicación

Transporte Transporte Red Internet

Enlace de datos Física

Acceso a la red

Es importante observar que algunas de las capas del modelo TCP/IP tienen los mismos nombres que las capas del modelo OSI. No hay que confundir las capas de los dos modelos, aunque tengan el mismo nombre, ya que las funciones pueden variar de un modelo a otro.

Resumen

En este tema hemos visto el modelo OSI como modelo de referencia para diseñar y analizar las redes de ordenadores. Su división en capas permite una mejor comprensión del comportamiento de las redes y nos ayuda a localizar con mayor facilidad los problemas que pudieran surgir en las comunicaciones. También hemos visto el modelo TCP/IP como modelo más próximo a una implementación real que el modelo OSI.

Tema2.Direccionamiento IP

2.1 Introducción a TCP/IP

Como ya vimos en un tema anterior, el Departamento de Defensa de los Estados Unidos creó el modelo de referencia TCP/IP para construir una red resistente a ataques nucleares. El modelo TCP/IP tiene cuatro capas: Aplicación, Transporte, Internet y acceso a RED

Objetivos





Aunque algunas capas tiene el mismo nombre que capas del modelo OSI, al ser un número diferente de ellas, cuatro frente a siete, la funcionalidad por capa también varía.

Capa de Aplicación. Maneja protocolos de alto nivel y temas de representación, codificación y control del diálogo. Es decir asume las funciones de las capas de aplicación, presentación y sesión del modelo OSI. Son protocolos de la capa de aplicación:

Protocolo de transferencia de hipertexto o HTTP (Hypertext Transfer Protocol). Es el protocolo fundamental de la Word Wide Web. Define el formato y el modo de transmisión de los mensajes, así como las acciones que deben llevar a cabo los servidores y navegadores web en respuesta a distintos comandos.

Protocolo de transferencia de archivos o FTP (File Transfer Protocol). Es un servicio fiable orientado a conexión que utiliza TCP para transferir archivos entre sistemas. Permite transferencia de archivos tanto binarios como en modo texto.

Protocolo trivial de transferencia de archivos o TFTP (Trivial File Transfer Protocol). Es un servicio sin conexión que utiliza el protocolo UDP. Se suele usar en entornos LAN ya que permite una transferencia más rápida que FTP, siempre y cuando el entorno sea estable.

Sistema de archivos de red o NFS (Network File System). Se trata de un conjunto de protocolos de sistema de archivo que permite el acceso remoto a archivos a través de una red.

Protocolo simple de transferencia de correo o SMTP (Simple Mail Transfer Protocol). Permite la transmisión de correo electrónico sobre redes de computadoras.

Emulación de Terminal o Telnet. Proporciona la capacidad de acceder remotamente a otro ordenador y trabajar en él como si del ordenador local se tratara.

Protocolo simple de administración de redes o SNMP (Simple Network Management Protocol). Este protocolo ofrece herramientas para poder monitorizar y controlar los dispositivos de una red.

Sistema de nombres de dominio o DNS (Domain Name System). Permite convertir nombres de dominio en direcciones IP.

Capa de transporte. Esta capa proporciona servicios de transporte desde un host de origen a un host de destino. Establece una conexión lógica entre ambos extremos, es decir, proporciona una conexión extremo a extremo. Los protocolos de esta capa se encargan de segmentar y posteriormente reensamblar los datos de las aplicaciones de la capa superior. Son protocolos de la capa de transporte:

Protocolo de datagrama de usuario o UDP (User Datagram Protocol). Establece un servicio de transporte de datos desde el origen al destino. Es no fiable y no orientado a conexión

Protocolo para el control de la transmisión o TCP (Transmission Control Protocol). Establece un servicio de transporte de datos desde el origen al destino. Es fiable y orientado a conexión. La fiabilidad es soportada mediante una técnica de control por ventana deslizante, números de secuencia y acuse de recibo. La conexión se refiere a una fase inicial de establecimiento de la conexión entre origen y destino.

Capa Internet. Es el equivalente a la capa de red del modelo OSI. En TCP/IP la capa Internet está soportada por el protocolo Internet o IP (Internet Protocol). Este protocolo se encarga del envío de paquetes desde el origen al destino atravesando nodos de la red que pueden ser diferentes para cada paquete. En este caso se establece una conexión host a host o nodo a nodo en lugar de la conexión extremo a extremo de la capa de transporte. En esta capa, aparte de IP podemos encontrar los siguientes protocolos:

Protocolo de mensajes de control de Internet o ICMP (Internet Control Message Protocol). Proporciona capacidades de control y mensajería.

Protocolo de resolución de direcciones o ARP (Address Resolution Protocol). Determina las direcciones MAC a partir de direcciones IP.

Protocolo de resolución inversa de direcciones o RARP (Reverse Address Resolution Protocol). Determina la dirección IP a partir de la dirección MAC.

Básicamente, IP realiza lo siguiente:

Definir un paquete y un esquema de direccionamiento

Transferir datos en la capa Internet y la capa de acceso a red

Enrutar paquetes a hosts remotos

IP es considerado como protocolo de best effort o mejor esfuerzo, es decir hace todo lo posible para entregar el paquete en destino pero no lo garantiza. Dicha garantía, si es requerida, debe provenir de protocolos de capas superiores.

Capa de acceso a red. Comprende las funcionalidades inherentes a las capas física y de enlace de datos del modelo OSI. Como ya hemos visto anteriormente en esta capa se procede a la encapsulación de los datos de la capa superior en tramas. En este particular los datos corresponden a los paquetes IP.

En la siguiente tabla podemos ver la relación entre el modelo OSI y TCP/IP

Modelo OSI TCP/IP Aplicación

Presentación Sesión

Aplicación

Transporte Transporte Red Internet

Enlace de datos Física

Acceso a la red

2.2 Estructura del paquete IP

El paquete IPv4 se divide en dos partes, cabecera y datos. La parte de los datos contiene la información encapsulada del protocolo de capa superior, mientras que la cabecera tiene los campos que definen el comportamiento del protocolo.

En dicha es estructura podemos destacar los siguientes campos:

Versión. Indica la versión del protocolo. En este caso es 4.

Tamaño de la cabecera. Indica el tamaño de la cabecera en palabras de 32 bits.

Tipo de servicio. Indica el tratamiento preferente que debe recibir el paquete en su transmisión por la red.

Longitud total. Es la longitud de la cabecera más los datos.

Tiempo de vida o TTL (Time To Live). Es un contador que limita la vida del paquete de datos en la red. Es útil para evitar que un paquete entre en un bucle indefinido.

Protocolo. Indica el protocolo de capa superior.

Checksum de cabecera. Verifica la integridad del paquete.

Direcciones de origen y destino. Son las direcciones de 32 bits que permiten enviar el paquete desde un origen a un destino.

Opciones. Permite indicar información adicional.

2.3 Direcciones IPv4

La capa de red es la encargada de establecer y regular el tráfico de datos a través de la red. La función de esta capa es encontrar la mejor ruta a través de la red. Los dispositivos utilizan el esquema de direccionamiento de la capa de red para determinar el destino de los datos al moverlos por la red.

En TCP/IP cada computadora o de forma más general, cada host, debe tener una dirección única. Dicha dirección tiene una parte que indica la red de la computadora y otra que indica la computadora dentro de dicha red.

Como ya vimos en un tema anterior una dirección IPv4, en adelante IP, está formada por 32 bits. Sin embargo, en lugar de usar la notación binaria se utiliza la notación decimal separada por puntos para facilitar la lectura humana de la dirección IP. Así tenemos que

192.168.1.1decimal = 11000000. 10101000.00000001.00000001binario

La forma de convertir decimal a binario y viceversa ya fueron explicadas en el tema 1.

IP envía los paquetes desde la red origen a la red destino. Para alcanzar la red destino, IP deduce el identificador de red al que pertenece la dirección del host de destino y con este dato y las tablas de encaminamiento de cada router intermedio determina la ruta a seguir. Una vez alcanzada la red de destino se determina el ordenador concreto al que hay que entregar el paquete.

Nota: Múltiples Interfaces

Un ordenador puede tener varias interfaces o tarjetas de red, cada una de las cuales conectada a redes diferentes. En este caso la computadora puede tener varias direcciones IP

Nota: Longitud de la cabecera

La longitud de la cabera de un paquete IP sin opciones es de 20 bytes

Pero, ¿cómo podemos saber qué parte de una dirección IP describe la red, y qué parte al host?

La respuesta inicial a esta pregunta está en las clases de direcciones.

2.3.1 Clases de direcciones IPv4

Para crear redes de distintos tamaños y clasificarlas, las direcciones IP están divididas en grupos denominados clases. Es lo que se denomina direccionamiento con clase. El bit o secuencia de bits inicial de la dirección indica la clase. Las clases y sus funciones principales son:

Clase de dirección de red Funcionalidad A Crear redes de tamaño grande B Crear redes de tamaño medio C Crear redes de tamaño pequeño D Grupos de multidifusión E Reservado para investigación

Clase A. El primer octeto indica la red, el resto (3 octetos) identifican al host dentro de la red. El primer bit de clase A es 0.

RED (0XXXXXXX) HOST (8 bits) HOST (8 bits) HOST (8 bits)

En este caso disponemos de 28 redes y 224 hosts por red.

Nota: La red 127.0.0.0

La red 127.0.0.0 está reservada para test. Así por ejemplo la dirección 127.0.0.1 corresponde al propio ordenador.

Clase B. Los dos primeros octetos indican la red. Los otros dos especifican el host dentro de la red. Esta dirección comienza con 10.

RED (10XXXXXX) RED (8 bits) HOST (8 bits) HOST (8 bits)


Clase C. Son las más utilizadas. Emplean 3 octetos para identificar la red y un octeto para identificar el host dentro de la red. Estas direcciones empiezan por 110.

RED (110XXXXX) RED (8 bits) RED(8 bits) HOST (8 bits)


Clase D. Permite enviar un paquete a múltiples receptores. Empieza por 1110.

Clase E. Reservada para investigación. Empieza por 1111

La siguiente tabla resume los rangos de las diferentes clases de redes, deducible en función de los primeros bits que identifican la clase.

Clase de dirección IP Rango (valor decimal del primer octeto) A 1 – 126 (000000001 – 01111110) B 128 – 191 (10000000 – 10111111) C 192 – 223 (11000000 – 11011111) D 224 – 239 (11100000 – 11101111) E 240 – 255 (11110000 – 11111111)

Así por ejemplo, la dirección IP 173.194.34.24 que corresponde a uno de los servidores de Google es, según la tabla, una dirección clase B. Si no recordamos los números decimales podemos proceder trasformando el primer decimal de la dirección en binario y observar la secuencia inicial de bits. Así tenemos que:

173decimal = 10101101binario

Al observar que empieza por “10” ya sabemos que se trata de una dirección clase B.

2.3.2 Direcciones IP reservadas

No todas las direcciones de una red están disponibles. Así la primera dirección del rango indica la dirección de red y la última la dirección de difusión. Por tanto, estas direcciones no pueden asignarse a hosts.

La dirección de red identifica la red. Así por ejemplo la dirección IP 193.142.5.0 corresponde a una dirección clase C que identifica una red, es decir todos los bits que identifican los hosts están a 0. Como sabemos que en una dirección clase C los bits del último octeto identifican los hosts en la red, serían direcciones válidas de hosts las siguientes:

193.142.5.1

193.142.5.10

193.142.5.15

La dirección de difusión se utiliza para enviar paquetes a todos los dispositivos de la red.

En el ejemplo anterior la dirección de difusión es la última dirección de la red. Dado que se trata de una dirección clase C, la última dirección es aquella que tiene el cuarto

octeto con todos los bits a 1, es decir, el valor más alto. Por tanto la dirección de difusión sería: 193.142.5.255

Un paquete con dirección de destino 193.142.5.255 es leído por todos los hosts de la red (193.142.5.1, 193.142.5.2, 193.142.5.10, 193.142.5.15)

2.3.3 Direcciones públicas y privadas

Las direcciones IP deben ser globalmente únicas ya que de lo contrario crearía problemas en las decisiones de enrutamiento, produciendo una degradación del comportamiento de la red.

Debido al rápido agotamiento de las direcciones IP (versión 4) se han tenido que desarrollar mecanismos para solucionar el problema. Una de las principales soluciones consiste en cambiar el esquema de direccionamiento, creando un espacio de direcciones mucho mayor. Éste es el caso de la nueva versión de protocolo IP: IP versión 6 que veremos en un tema posterior.

Otra solución adoptada ha sido diferenciar entre direcciones públicas y privadas. Mientras que las direcciones públicas deben ser únicas en Internet, las privadas sí pueden repetirse en ámbitos restringidos de una organización, con la única condición de que sea única en su ámbito.

Si bien podríamos usar cualquier dirección en un ámbito privado, existen unas determinadas direcciones que se usan para esta funcionalidad, ya que en caso de conectar con Internet, cualquier dirección de este grupo es descartada por los routers de Internet. Dichas direcciones están definidas por la RFC 1918 y son:

Clase de dirección IP Intervalo de direcciones privadas A 10.0.0.0 – 10.255.255.255 B 172.16.0.0 – 172.31.255.255 C 192.168.0.0 – 192.168.255.255

En caso de conectar una red con direcciones privadas a Internet, es necesaria una conversión a direcciones públicas. Este proceso de conversión se denomina NAT (Network Address Translation), y suele realizarse en el router frontera.

2.4 Asignación de direcciones IP

En el diseño e implementación de una red basada en TCP/IP es fundamental establecer un esquema de direccionamiento donde cada dirección sea única para una interfaz dada, de lo contrario la red no funcionará. La forma de asignar las direcciones IP a las interfaces puede ser estática o dinámica.

2.4.1 Asignación estática de una dirección IP

Es una asignación manual. Requiere que el administrador de red nos indique los datos necesarios para la configuración como son:

Dirección IP

Máscara de subred

Gateway o dirección IP del router

Direcciones DNS

En los sistemas Windows el proceso de establecer una dirección estática es similar. Veamos un paso a paso:

Nota: RFC

Las RFCs o Request for Comments (Petición de comentarios) son las normas que gobiernan los protocolos de Internet. Pueden ser propuestas por cualquiera pero sólo llegan a ser RFC si así lo decide el IETF (Internet Engineering Task Force)

1ª Panel de control Tarjetas de red Botón derecho sobre la tarjeta objetivo (un ordenador puede tener varias tarjetas) propiedades

2º En el cuadro de diálogo emergente selecciono el protocolo IP versión 4 y pulso nuevamente en propiedades.

3º Finalmente en el cuadro de diálogo emergente, pulsamos la opción Usar la siguiente dirección IP, introducimos los datos facilitados y pulsamos Aceptar.

2.4.2 Asignación dinámica de direcciones: DHCP

El protocolo de configuración dinámica de host (DHCP) permite al host obtener una dirección IP dinámicamente sin que el administrador de red tenga que realizar o proporcionar los datos de la interfaz de red de cada máquina concreta. Para ello es necesario disponer de un servidor DHCP con un conjunto de direcciones IP.

Al encender el ordenador o en caso de forzar una asignación por comandos, éste solicita una IP al servidor DHCP, el cual busca una disponible en su conjunto y se lo transmite al ordenador solicitante.

La forma en que se configura un ordenador con sistema Windows para que reciba dinámicamente una dirección IP por DHCP es similar a la asignación estática, sólo que en el tercer paso se debe pulsar la opción Obtener una dirección IP automáticamente

El host que solicita la dirección IP se dice que es un cliente DHCP.

2.5 Direcciones IP y direcciones MAC: El protocolo ARP

Para que los dispositivos se comuniquen, el host emisor necesita las direcciones IP y MAC del host receptor. Conocida la dirección IP del destino es fundamental conocer la dirección MAC de dicho destino para proceder a la comunicación. De ésto se encarga el protocolo de resolución de direcciones o ARP (Address Resolution Protocol). Los ordenadores de una LAN mantienen tablas ARP que asocian direcciones físicas (MAC) y direcciones IP.

Nota: Opciones de ámbito

Un servidor DHCP, aparte de la dirección IP suministra más datos al host como son la máscara de red, dirección de Gateway, direcciones DNS,…

Dirección MAC Dirección IP 1aff.0123.e345 195.155.3.1 1aff.0155.345d 195.155.3.2 2efe.2356.1dfd 195.155.3.5

Las entradas en dichas tablas son dinámicas.

En un sistema Windows podemos ver su tabla arp de la siguiente forma:

1º Botón de Inicio Ejecutar (Windows XP) o en el cuadro de ejecución (Windows 7) Teclear CMD

2º En la ventana de comandos tecleamos arp –a y al pulsar Intro obtenemos la tabla arp

La forma en que el protocolo ARP actualiza las tablas ARP es mediante peticiones y respuestas ARP.

Supongamos un ordenador A que quiere comunicarse con un ordenador B en un mismo dominio de difusión, pero sólo conoce la dirección IP.

Para conocer la dirección MAC de B, A realiza una petición ARP, encapsulada en una trama que tiene como dirección MAC de destino la dirección de difusión: ffff.ffff.ffff y como dirección origen su propia MAC: 1aff.0155.245d

Dicha petición llegará a todos los dispositivos del dominio de difusión, es decir hasta la interfaz LAN del router, ya que este dispositivo, como ya vimos, limita los dominios de difusión.

Todos los dispositivos del dominio de difusión leerán la MAC, pero sólo responderá el ordenador B, ya que es suya la dirección IP de la petición ARP. Es decir, B realiza la respuesta ARP, indicando su MAC al ordenador A.

Cuando el ordenador A recibe la respuesta ARP, extrae la dirección MAC del campo de dirección de la trama y actualiza su tabla ARP. Así, en la misma, aparecerá una entrada del tipo…

2efe.2356.1dfd 195.155.3.5

A partir de este momento, el ordenador A podrá comunicarse adecuadamente con el ordenador B.

En caso de que el ordenador de destino no se encuentre en el mismo dominio de difusión, responderá el router con su MAC de la interfaz LAN, es decir el router actúa como proxy ARP.

Resumen

En este tema hemos aprendido sobre el protocolo IP en su versión 4. En particular hemos visto la importancia de la estructura de direcciones, la cual permite comunicar dos ordenadores en una misma LAN o miles de kilómetros de distancia a través de la red Internet. También hemos visto los protocolos de la capa de transporte y aplicación del modelo TCP/IP, algunos de ellos tan populares como el http que soporta la World Wide Web.

Tema3.Capas superiores del modelo TCP/IP

Objetivos





3.1 La capa de transporte en TCP/IP

La mayoría de los protocolos de la capa de aplicación usan los servicios del protocolo TCP de la capa de transporte, que es orientado a la conexión y proporciona fiabilidad y control de flujo extremo a extremo. Para controlar el flujo usa las ventanas deslizantes y para proporcionar fiabilidad usa los números de secuencia y acuses de recibo.

Esta capa proporciona servicios de transporte entre el host origen y destino. Establece una conexión lógica entre los puntos finales de una red. Los servicios de transporte segmentan los datos procedentes de la capa de aplicación en el host origen para proceder a su ensamblaje y posterior entrega a la capa de aplicación en el host destino. Por tanto, la capa de transporte proporciona los siguientes servicios:

Segmentación de los datos de aplicaciones de capas superiores

Establecimiento de operaciones extremo a extremo

Envío de segmentos desde un host final a otro host final

Garantizar el control de flujo ofrecido mediante ventanas deslizantes

Asegurar la fiabilidad mediante números de secuencia y acuses de recibo

Controlar el flujo de segmentos entre origen y destino permite evitar que haya un desbordamiento del buffer del host receptor, causando con ello una posible pérdida de datos.

Disponer de un transporte fiable supone:

Asegurarse de que los segmentos entregados serán reconocidos por el emisor

Retransmitir los segmentos no reconocidos

Ordenar los segmentos en destino

Controlar y en la medida de lo posible evitar congestiones

Una misma conexión de transporte puede llevar datos de diferentes aplicaciones (correo, tráfico web,…) en un proceso de multiplexación. Esto se plasma en que cada segmento de una misma conexión de transporte puede llevar datos de diversos protocolos de la capa de aplicación.

3.2 Intercambio de señales en tres vías

El protocolo TCP de la capa de transporte es orientado a la conexión. Ello implica la necesidad de establecer una conexión anterior a la transferencia de datos entre emisor y receptor. Para establecer la conexión ambos hosts deben sincronizar los números de secuencia iniciales o ISN (Initial Sequence Number). Dicha sincronización se logra mediante el intercambio de segmentos con el bit SYN activado o también llamados segmentos SYN junto con los ISN.

La sincronización requiere que cada parte envíe su número de secuencia inicial y reciba una confirmación (ACK) (proviene de ACKnowlegment – Acuse de recibo -) desde el otro extremo. Además cada lado de la comunicación debe recibir los ISN del otro y enviar una señal ACK de confirmación.

El proceso es el siguiente:

1. El host A envía una señal SYN con un ISN x. (SYN=1, ACK=0)

2. El host B envía una señal SYN con un ISN y y acuse de recibo x+1 (SYN=1, ACK=1)

3. El host A envía una señal con acuse de recibo y+1 y número de secuencia = x +1 (SYN = 0, ACK = 1)

Tras este intercambio ambos extremos conocen los números de secuencia que va a enviar el extremo opuesto así como los que deben de confirmar.

El intercambio de señales en tres pasos es un mecanismo de conexión asíncrono ya que los números de secuencia no están vinculados a un reloj global de la red.

Así si el host A envía un SYN con un ISN = 160, el host B responde con un SYN con acuse de recibo de 161 (le está diciendo al host A que confirma lo anterior y espera un segmento con número de secuencia 161) y su propio ISN, por ejemplo 275. Finalmente el host A responde con un ACK (ojo! Ya no es un SYN) acusando recibo del último envío, es decir, envía un 276 (y+1).

3.3 Mecanismo de ventana deslizante o Windowing

Es la forma en que TCP implementa la fiabilidad, confirmando el extremo receptor los segmentos enviados por el emisor.

En la siguiente imagen observamos el proceso más simple donde por cada segmento enviado el emisor espera la confirmación (ACK) por parte del receptor. En este caso, el tamaño de la ventana deslizante es 1.

El problema es que el emisor deber esperar un ACK tras cada envío, lo cual resulta extremadamente lento. Normalmente las redes soporte son los suficientemente fiables como para permitir enviar varios segmentos antes de recibir un acuse de recibo o ACK. En este caso el tamaño de ventana es mayor que 1. En caso de que haya congestión en la red o bien el receptor no pueda soportar el ritmo de llegadas de segmentos se podría reducir el tamaño de la ventana, es decir, el tamaño de ventana se negocia de forma dinámica.

Como hemos visto en el anterior epígrafe, TCP confirma con ACKs indicando el número del segmento que espera, lo cual indica al emisor que los anteriores segmentos han llegado correctamente al receptor.

En caso de no recibir el ACK y tras un tiempo determinado o timeout, el emisor vuelve a enviar los segmentos no confirmados pero reduciendo la ventana según el protocolo establecido ya que es seguro que hay congestión en la red o en el receptor.

En la siguiente figura podemos observar una conexión que emplea una ventana deslizante de tamaño 5

En el receptor, TCP procede a ensamblar los segmentos para su posterior entrega a la capa de aplicación. En caso de recibir segmentos desordenados se usa el número de secuencia para proceder a su reordenación, así como a la eliminación de duplicados. Los segmentos perdidos se reenvían tras la indicación de un ACK inferior o bien, si no se recibe ACK, tras la expiración del temporizador.

3.4 Formato de un segmento TCP

El protocolo para el control de la transmisión o TCP (Transmission Control Protocol) es un protocolo orientado a la conexión de la capa de transporte que proporciona una transmisión fiable. TCP es responsable de dividir los datos en segmentos, ensanblarlos en destino, así como de reenviar los que no se hayan recibido.

TCP es usado como capa de transporte por protocolos de la capa de aplicación como ftp, http, smtp, pop,…

La siguiente figura muestra la estructura del segmento TCP.

Donde los campos de la cabecera indican:

Puerto origen. Indica el puerto por el que se envía el segmento

Puerto destino. Indica el puerto por el que se recibe el segmento

Número de secuencia. Identifica al segmento en una conversación dada

Número de acuse de recibo. El receptor indica al emisor cuál es el siguiente número de secuencia que espera recibir.

Longitud de la cabecera. Indica la longitud de la cabecera en palabras (grupos) de 32 bits.

Código. Conjunto de 6 bits que modifican el comportamiento del segmento. Dichos bits son:

Urg. Datos de mayor prioridad

Ack. Es un segmento de acuse de recibo

Psh. Segmento de entrega inmediata

Rst. Reset o reinicio de la comunicación

Syn. Segmento de sincronización, usado en el saludo a tres vías

Fin. Indica fin de la transmisión

Ventana. Indica el tamaño de la misma en octetos

Checksum. Comprobación de errores del segmento

Puntero urgente. En caso de que el bit Urg = “1”, este puntero indicaría los datos de mayor prioridad en el segmento

Opciones. Reservado para diferentes opciones

Datos. Datos del protocolo de capa superior

3.5 Formato de un segmento UDP

El protocolo de datagrama de usuario o UDP (User Datagram Protocol) es un protocolo no orientado a la conexión de la capa de transporte y que tampoco garantiza la entrega de los datos. El procesamiento de errores y las retransmisiones las hacen protocolos de capa superior.

La siguiente figura muestra la estructura del segmento UDP.

En este caso, observamos un formato mucho más simple que el de TCP.

Puerto de origen. Número de puerto del llamador

Puerto de destino. Número del puerto llamado

Longitud. Número de octetos, incluyendo la cabecera y los datos

Suma de comprobación. Suma de comprobación que incluye la cabecera y los datos si los hay.

Datos. Datos del protocolo de capa superior

UDP, tal y como se deduce del formato de la cabecera, no usa acuses de recibe ni mecanismo de ventana deslizante, aportando la fiabilidad protocolos de capa superior. Entre otros, UDP es usado por protocolos de capa superior como Tftp, Snmp o Dhcp.

3.6 Números de puerto en TCP y UDP

Tal y como vimos en los esquemas de los segmentos tanto de TCP como de UDP, éstos usan números de puerto origen y destino para pasar información a las capas superiores.

Recordemos que en una misma conexión TCP podemos multiplexar los datos de varias aplicaciones. Los números de puerto permiten realizar la entrega de los datos a la aplicación correcta.

Existen números de puertos bien conocidos o Well-Known Ports asociados a determinados protocolos de la capa de aplicación. Estos puertos llegan hasta el número 1023. A partir de ahí se usan números de puerto registrados para aplicaciones específicas.

La siguiente tabla describe algunos de los puertos bien conocidos y los protocolos de aplicación asociados.

Número de puerto Protocolo de aplicación 20 (control) y 21(datos) FTP (TCP)

23 Telnet (TCP) 25 SMTP (TCP) 53 DNS (TCP y UDP)

161, 162 SNMP (UDP)

Nota: Socket

Es la combinación de una dirección IP y un número de puerto

Nota: Segmentación UDP

Dado que la cabecera UDP no tiene número de secuencia, éste no puede segmentar y por tanto tampoco puede ensamblar en destino

69 TFTP (UDP) 80 HTTP (TCP)

En Internet es fácil encontrar una lista más exhaustiva: http://es.wikipedia.org/wiki/Anexo:N%C3%BAmeros_de_puerto

Los números de puerto anteriores son números de puerto en destino. Los números de puerto de origen son asignados de forma dinámica por el host origen, con números superiores a 1023. El tráfico comprende una comunicación con un determinado puerto origen y un puerto destino.

Así un host A que quiera comunicar con un host B mediante telnet, tendría una cabecera de segmento del tipo siguiente:

Puerto origen: 1040 Puerto destino : 23 ….

Resumen

En este tema hemos visto la capa de transporte del modelo TCP/IP. En dicha capa podemos encontrar dos protocolos: TCP y UDP. Mientras el primero es orientado a conexión, fiable y permite el control del flujo, el segundo es no orientado a conexión, no fiable y no controla el flujo, con lo que estas características deben estar soportadas en los protocolos de capa superior.

También hemos aprendido para qué se usan los números de puerto y algunos de los números de las aplicaciones de red más conocidas.

Tema4.Fundamentos de enrutamiento y subnetting

Objetivos





4.1. Protocolos enrutados y de enrutamiento

Un protocolo es un conjunto de reglas basado en normas que determina cómo se comunican las computadoras entre sí a través de las redes. Las computadoras interactúan entre sí intercambiando mensajes, los cuales deben estar perfectamente definidos en base a un determinado protocolo. Por tanto un protocolo describe:

El formato que debe tener un mensaje.

La forma de intercambio de los mensajes entre dos o más computadoras.

Existe una gran similitud entre los términos enrutado y enrutamiento que pueden dar lugar a errores. Veamos lo que son:

Protocolo enrutado. Cualquier protocolo de red que proporciona suficiente información en su dirección de capa de red para permitir que se envíe un paquete desde un host a otro en base al esquema de direccionamiento. Dicha información de direccionamiento se localiza como un campo dentro de un paquete que se envía a través de las redes en base a unas tablas de enrutamiento. Son protocolos enrutados:

Protocolo Internet (IP)

Intercambio de paquete entre redes (IPX)

AppleTalk

Protocolo de enrutamiento. Soporta un protocolo enrutado proporcionando los mecanismos necesarios para compartir la información de enrutamiento. Los mensajes del protocolo de enrutamiento se mueven entre los routers. Un protocolo de enrutamiento permite que los routers se comuniquen con otros routers para actualizar y mantener sus tablas. Son protocolos de enrutamiento:

Protocolo de información de enrutamiento (RIP, Routing Information Protocol)

Protocolo de enrutamiento de Gateway interior (IGRP, Interior Gateway Routing Protocol)

Protocolo de enrutamiento de Gateway interior mejorado (EIGRP, Enhanced Interior Gateway Routing Protocol)

Primero la ruta libre más corta (OSPF, Open Shortest Path Fisrt)

Un protocolo enrutado se caracteriza, pues, por disponer de una dirección de red y de host. Así por ejemplo una dirección IP dispone de una parte de red y una parte de host. La máscara de subred identifica la parte de red, permitiendo un tratamiento agregado en lugar de usar direcciones individuales de hosts. Si esto no fuera así se generarían tablas de enrutamiento enormes, de imposible tratamiento por parte de los Routers de Internet.

4.2 Bases del enrutamiento

El enrutamiento es una función de la capa 3 del modelo OSI. Funciona como un esquema organizativo jerárquico que permite agrupar direcciones individuales para ser tratadas como una solo unidad hasta que se necesiten esas direcciones individuales para una distribución final de los datos. El enrutamiento consiste en encontrar la ruta más eficaz desde un dispositivo a otro. El proceso de eficacia en la selección de ruta tiene que ver con la métrica de enrutamiento utilizada (camino más corto, más rápido, menor coste,…)

El enrutamiento es llevado a cabo por los Routers que tienen dos funciones básicas:

Mantener las tablas de enrutamiento y asegurarse de que otros Routers conozcan los cambios en la topología de la red. Esta función se basa en el intercambio de información entre los Routers utilizando los protocolos de enrutamiento.

Cuando los paquetes llegan a una interfaz, el router debe utilizar la tabla de enrutamiento para determinar dónde enviar los paquetes. Entonces los conmuta a la interfaz adecuada, estableciendo la trama correspondiente a dicha interfaz y finalmente transmite la trama.

Por tanto, un router realiza un proceso de desencapsulación / encapsulación, tomando un paquete entrante, averigua la interfaz de salida en función de la tabla de encaminamiento, lo desencapsula, y crea una nueva trama – según la interfaz de salida- volviendo a encapsular y finalmente lo transmite.

4.3 Enrutamiento y conmutación

La diferencia entre enrutamiento y conmutación es que la conmutación ocurre en el nivel 2 OSI y el enrutamiento en el nivel 3 OSI. La conmutación de capa 2 tiene lugar dentro de la LAN, en

el dominio de difusión. Los Routers, que marcan el límite de los dominios de difusión (ya que bloquean las difusiones) llevan a cabo el enrutamiento de nivel 3, moviendo el tráfico entre dominios de difusión. El switch de nivel 2 no puede reconocer las direcciones IP, sólo ve las direcciones MAC locales. Cuando un host tiene datos para una dirección IP no local, envía la trama a su Gateway (puerta de salida) predeterminado, es decir al router de su LAN – o al menos a uno de ellos, si hay varios-, utilizando la dirección MAC del router.

En la figura anterior, supongamos que el HOST X quiere acceder al SERVIDOR Y, para obtener cierta información (una página web por ejemplo). Lo primero que hace es determinar si el SERVIDOR Y está en su dominio de difusión, es decir, en la misma LAN. Para ello utiliza la máscara de subred. En este caso, al estar en una subred distinta, el HOST X envía la petición al ROUTER 1 de su LAN. Para ello, dado que el HOST X conoce la dirección IP del router, ya que así está configurado, realiza una petición ARP, y al recibir la MAC de la interfaz LAN del router, transmite la trama que es enviada por el SWITCH hasta el ROUTER1. Una vez llega la trama al ROUTER1, éste averigua la interfaz de salida en función de su tabla de encaminamiento. Tras realizar el correspondiente proceso de desencapsulación /encapsulación, éste lo envía por la interfaz que conecta con el ROUTER2, que a su vez realiza un proceso similar pero ya en otro dominio de difusión, entregando el paquete al SERVIDOR Y.

La siguiente tabla compara las funciones entre un router y un switch.

Función Router Switch Velocidad Más lento Más rápido Capa OSI Capa 3 Capa 2

Direccionamiento utilizado

IP MAC

Difusiones Bloqueos Envíos Seguridad Mayor Menor

4.4 Tablas de enrutamiento

Para determinar la ruta que deben seguir los paquetes, los protocolos de enrutamiento construyen y mantienen tablas de enrutamiento, que contienen información de rutas. La información de rutas varía, dependiendo del protocolo utilizado. Los protocolos de enrutamiento rellenan las tablas de enrutamiento con información variada:

Tipo de protocolo. El tipo de protocolo de enrutamiento que creó la entrada en la tabla.

Asociaciones destino/siguiente salto. Indica a un router que un destino en particular o está conectado directamente al router o puede alcanzarse a través de otro router denominado siguiente salto en el camino hacia el destino final. Cuando un router recibe un paquete entrante, comprueba la dirección de destino e intenta emparejarla con una entrada de la tabla de enrutamiento.

Métricas de enrutamiento. Diferentes protocolos de enrutamiento utilizan distintas métricas de enrutamiento. Las métricas de enrutamiento se utilizan para determinar si una ruta es más conveniente que otra. Por ejemplo, RIP utiliza una cuenta de saltos como métrica de enrutamiento.

Interfaz saliente. La interfaz por la que deben enviarse los datos para alcanzar el destino final.

Los Routers se comunican con otros para mantener sus tablas de enrutamiento a través de la transmisión de mensajes de actualización de enrutamiento. Dependiendo del protocolo de enrutamiento en particular, los mensajes de actualización de enrutamiento pueden enviarse periódicamente o sólo cuando se produzca un cambio en la topología de la red. El protocolo de enrutamiento también determina si en la actualización de enrutamiento se envían simplemente las rutas que han cambiado o la tabla de enrutamiento completa.

4.5 Subnetting

Es una técnica que permite conservar mejor las direcciones IP ya que adecúa el tamaño de la red a las necesidades reales organizativas. Por ejemplo, podríamos dividir una red clase C en 3 subredes aún más pequeñas.

Con el subnetting, la red no está limitada a las máscaras de red estándar de las Clases A, B y C, de forma que disponemos de una mayor flexibilidad en el diseño de la red.

Para crear subredes se toman prestados bits de la parte de los bits dedicados a hosts. Como mínimo se deben tomar prestados dos bits para conseguir subredes válidas. Veamos un ejemplo aclarativo.

Sea una red clase B: 191.17.0.0

Sabemos que es clase B porque los primeros bits del primer octeto son 10...

En una clase B, los primeros 16 bits identifican la red y los 16 últimos identifican los hosts. Es decir en un red clase B puedo direccionar hasta 216 hosts, esto es, 65536. Realmente serían 65534 direcciones válidas ya que la primera identifica la red –todos los bits de host a 0- (191.17.0.0) y la última es la dirección de difusión –todos los bits de host a 1- (191.17.255.255).

Supongamos que esta red es excesivamente grande para las necesidades de mi organización, donde realmente necesito múltiples subredes de 200 hosts.

La pregunta es, ¿cuántos bits de host necesito para direccionar 200 hosts?

La respuesta se encuentra en la solución a la siguiente desigualdad:

Donde H indica el número de bits destinados a host y se le resta 2 por despreciar las direcciones no válidas de red y de difusión.

Así en nuestro ejemplo tenemos que:

Donde H = 8

Por tanto la solución sería que tomo prestados 16 – 8 = 8 bits de hosts para subnetting.

Nota: Máscara de subred

Recordemos que una máscara de red permite conocer qué parte de la dirección IP define la red, y qué parte define el ordenador aplicando una operación lógica AND (bit a bit) entre la máscara y la dirección IP.

Red original:

RED 191 (8 bits) RED 17 (8 bits) HOST (8 bits) HOST (8 bits)

Con una máscara de 255.255.0.0

Tras hacer subnetting

RED 191 (8 bits) RED 17 (8 bits) RED (8 bits prestados) HOST (8 bits)

Con una máscara de 255.255.255.0

Nos podríamos preguntar ¿Cuántas direcciones válidas tengo disponibles tras hacer subnetting con 8 bits?

Número de bits de hosts 16 Número de bits para subnetting 8

Número de redes válidas 28-2 = 254 Número de bits para hosts 8

Nº de direcciones de hosts válidas 28-2 = 254 Nº total de direcciones 254*254 = 64516

Es decir, al hacer subnetting hemos perdido 65534 – 64516 = 1018 direcciones, pero a cambio tenemos una mayor flexibilidad en el diseño de nuestra red.

Resumen

Nota: Cantidad óptima

La cantidad de bits óptima para “tomar prestados” de la parte de host es justo la mitad de los bits disponibles, lo cual se puede ver fácilmente tomando diversos números de bits y viendo cuántas direcciones de red se pierden

En este tema hemos aprendido las diferencias entre los protocolos enrutados y de enrutamiento, y cómo éstos permiten construir tablas de encaminamiento para desarrollar su funcionalidad. También, y como forma de proporcionar flexibilidad al administrador de red, hemos visto como se pueden dividir redes más grandes en otras más pequeñas usando subnetting.

Tema5.Routers

5.1 Introducción

Los routers están diseñados para interconectar múltiples redes. Esta interconexión permite que las máquinas de diferentes redes se comuniquen entre sí. Las redes interconectadas pueden estar dispersas geográficamente, y éstas suelen estar interconectadas mediante una WAN.

Un router es un dispositivo de red inteligente que funciona predominantemente en las tres primeras capas del modelo OSI. Los routers, al igual que los hosts, son en realidad capaces de actuar en las siete capas del modelo OSI. Dependiendo de la configuración particular, pueden utilizar o no las siete capas de funcionalidad. Sin embargo, las necesidades de las tres primeras

Objetivos





capas son universales, es decir, un router por definición debe operar en las tres primeras capas del modelo OSI.

La comunicación a través de las dos primeras capas permite que los routers se comuniquen con las LAN, usando la capa 3 para identificar rutas en base a direcciones de red.

Entender los routers y el enrutamiento necesita examinar estos dispositivos desde una perspectiva física y otra lógica. Desde una perspectiva física los routers tienen múltiples partes, y desde una perspectiva lógica implementan determinada funcionalidad, como encontrar otros routers en la red, conocer las redes de destino potenciales, descubrir rutas, enviar paquetes a un destino especificado,… Juntos, estos componentes físicos y funciones lógicas le permiten construir y utilizar redes, incluidas las WAN. La siguiente tabla enumera los principales componentes de un router:

5.2 Componentes físicos de un router

Un router es un dispositivo extremadamente complejo, debido a que posee un motor de enrutamiento que implementa la lógica de enrutamiento, si bien, dada su apariencia externa, oculta dicha complejidad. El router es básicamente un ordenador pero altamente especializado, ya que contiene los mismos componentes:

Una unidad central de procesamiento (CPU)

Memoria de acceso aleatorio (RAM)

Un sistema básico de entrada/salida (BIOS)

Un placa madre

Puertos físicos de entrada/salida (E/S)

Una fuente de energía, chasis y una carcasa metálica

La gran mayoría de los componentes de un router permanecen siempre ocultos a los ojos de los administradores de redes por la carcasa metálica del chasis.

Como todos los ordenadores, se necesita un sistema operativo para acceder y controlar todo este hardware. En el caso de los routers de la marca Cisco Systems el sistema operativo es IOS.

Los puertos de E/S son el único componente físico del router que los administradores de redes ven. Los puertos confirman la capacidad única del router para interconectar múltiples tecnologías LAN y WAN. Cada una de estas tecnologías debe tener su puerto de E/S en el router.

Componente interno Características Memoria de acceso aleatorio

(RAM/DRAM) Almacena las tablas de enrutamiento,

diferentes cachés, memoria de ejecución para el archivo de configuración del router

(Estado ON). El contenido de la RAM se pierde cuando se

apaga el router Memoria no volátil de acceso aleatorio

(NVRAM) Almacena el archivo de configuración de

inicio/copia de seguridad del router Memoria flash Memoria ROM programable y borrable

(EPROM). Contiene la imagen y el microcódigo del Sistema Operativo. El

contenido permanece cuando se apaga el router.

Memoria de sólo lectura (ROM) Almacena instrucciones de diagnóstico en el encendido (POST –Power On Self Test) Almacena un programa bootstrap y el

software básico del Sistema Operativo. Las actualizaciones de la ROM requieren la

sustitución de chips. Interfaz Conexión de red a través de la cual los

paquetes entran y salen de un router

Las siguientes imágenes muestras las diferentes vistas de un router (en particular del modelo 2600 de Cisco):

Vista frontal:

Vista posterior (quizás, la más interesante):

Ranuras de expansión:

Vista interior:

5.3 Funciones de un router

Igual de importante que proporcionar interconexión física para múltiples redes son las funciones lógicas que desarrolla un router. Algunas de las funciones que proporciona un router son:

Interconectividad física. Un router tiene al menos dos puertos de E/S o interfaces, que se utilizan para conectar físicamente servicios de transmisión de red a un router. Cada puerto se conecta a una placa de circuitos que a su vez está conectada a la placa madre. Por tanto la placa madre, proporciona interconectividad entre múltiples redes.

El administrador de red debe configurar cada interfaz mediante la consola del router. La configuración incluye la definición del número de puertos de la interfaz, la tecnología de transmisión específica, el ancho de banda disponible en la red conectada a la interfaz, los tipos de protocolos que se van a usar y su configuración particular.

Interconectividad lógica. Una vez configurada una interfaz el router puede monitorizar los paquetes que circulan por la misma. Así puede construir las tablas de encaminamiento o enrutamiento, permitiendo determinar qué hosts o routers pueden ser alcanzados por una determinada interfaz. También se puede configura en el router una ruta predeterminada que asociada un destino desconocido con una determinada interfaz. Esta asociación permite enviar paquetes a destinos que todavía

no se conocen. También se puede usar la ruta predeterminada para minimizar el tamaño de las tablas de enrutamiento, o para reducir la cantidad de tráfico generado entre routers mientras éstos intercambian información de enrutamiento.

Cálculo y mantenimiento de rutas. Los routers se comunican entre sí utilizando un protocolo de enrutamiento. Los protocolos de enrutamiento permiten que los routers hagan los siguiente:

Identificar rutas potenciales a redes de destino específicas

Realizar un cálculo matemático, basado en el algoritmo del protocolo de enrutamiento, para determinar la ruta óptima a cada destino

Controlar continuamente la red para detectar cualquier cambio en la topología que pueda representar rutas conocidas no válidas.

Seguridad. Los router implementan protocolos de seguridad que permiten a las redes detectar intrusiones, evitando escuchas ilegales, así como la alteración del tráfico.

5.4 Conexiones externas de un router

Los tres tipos básicos de conexiones de un router son las interfaces LAN, las interfaces WAN y los puertos de administración. Las interfaces LAN permiten la conexión del router a un medio de la LAN; normalmente es una forma de Ethernet. Sin embargo, podría ser alguna otra tecnología LAN como Tokeng Ring.

Las conexiones WAN proporcionan conexiones, a través de un proveedor de servicios u operador de telecomunicaciones, con un lugar alejado o con Internet.

La función de los puertos de administración es diferente a las anteriores. Ofrecen una conexión basada en texto para la configuración y resolución de problemas del router. Las interfaces de administración más comunes son la consola y los puertos auxiliares. Éstos son los puertos serie asíncronos EIA-232. Están conectados a un puerto de comunicaciones en un ordenador, el cual ejecuta un programa de emulación de terminal (hyperterminal por ejemplo) que proporciona una conexión basada en texto con el router.

El puerto de consola (CONSOLE) y el puerto auxiliar (AUX) son puertos de administración. El puerto de consola se suele usar para la configuración inicial del router, ya que no todos los routers tienen puerto auxiliar. Cuando se inicia por primera vez un router es necesario configurarlo, para ello se debe conectar un dispositivo RS-232 ASCII o bien un emulador de

terminal al router mediante un cable preparado para ello (cable ROLLOVER), que por un extremo tiene una conexión 232 y por otro RJ-45.

Una vez introducida esta configuración inicial en el router a través del puerto de consola o del auxiliar, puede conectar con el router desde una ubicación remota para resolver problemas o para tareas de monitorización. También es posible configurar un router desde una ubicación remota marcando a un módem conectado al puerto de consola o auxiliar del router.

Para tareas de resolución de problemas también es preferible el puerto de consola frente al puerto auxiliar. Ello es debido a que el puerto de consola muestra de forma predeterminada mensajes de arranque, depuración y error. Puede utilizar el puerto de la consola cuando los servicios de red no se hayan iniciado o hayan fallado.

5.5 Funciones de un router en las WAN

Con mucha frecuencia, las redes son bastante grandes términos de routers, servicios de transmisión y sistemas extremos conectados. En una red de gran envergadura como Internet o, incluso, grandes redes privadas, sería casi imposible que cualquier ordenador conociera a todos los demás. Para resolver este problema se crea una determinada jerarquía, la cual a su vez implica funciones de enrutamiento especializadas:

Gateways interiores. Routers especializados en el conocimiento y distribución de información de enrutamiento dentro de su dominio. En el enrutamiento dentro de una red se suele usar un único protocolo enrutado y de enrutamiento, con una arquitectura de direcciones claramente definida.

Nota: Cable Rollover

Un cable rollover o totalmente cruzado tiene las conexiones entre pines totalmente invertida. Así el pin1 de un extremo conecta con el pin 8 del otro, el 2 con el 7, el 3 con el 6 y así sucesivamente.

Gateways exteriores. Routers especializados en recopilar información de enrutamiento de las redes que están más allá de su dominio.

Gateways fronterizos. Interconectan una red con otras redes. Si las redes adyacentes son de distintas empresas deben garantizar la seguridad del perímetro.

Resumen

En este tema hemos aprendido las características básicas de un router, tanto físicas como lógicas. Hemos visto los diferentes puertos de entrada y salida del router que permiten las conexiones LAN, WAN y de administración.

Tema6. Introducción al software IOS de Cisco

Nota: Gateway y routers

El término gateway es tan antiguo como el enrutamiento en sí. Con el tiempo ha perdido algo de su valor descriptivo. Por consiguiente ambos términos son equivalentes.

Objetivos





6.1 Secuencia de arranque de un router

El router se inicia cargando el bootstrap, el sistema operativo y un archivo de configuración. Si el router no encuentra un archivo de configuración, entonces entra en el modo setup. El router guarda en la NVRAM la copia de seguridad de la nueva configuración generada a partir del setup.

Cuando se enciende el router se realiza una comprobación del hardware al igual que otro ordenador conocida como POST (Power On Self Test), verificando el funcionamiento básico de la CPU, de la memoria y puertos de E/S (Entrada / Salida).

Después de del POST, tiene lugar:

1. Se ejecuta el cargador bootstrap genérico de la ROM. Un bootstrap es una sencilla operación de preconfiguración para cargar instrucciones. Estas instrucciones cargan otras instrucciones en memoria o provocan la entrada en otros modos de configuración.

2. Se carga el sistema operativo del router. En el caso de los routers Cisco es el IOS. Normalmente carga desde la memoria flash, aunque en ocasiones se puede cargar desde una ubicación de red.

3. A continuación se carga el archivo de configuración guardado en la NVRAM, ejecutándose línea a línea. Los comandos de configuración inician los procesos de enrutamiento, proporcionan direcciones para las interfaces, configuran características de los medios,..

4. Si no existe un archivo de configuración válido en la NVRAM, o si ésta se ha borrado, el sistema operativo ejecuta una rutina de configuración inicial o diálogo setup.

6.2 Establecimiento de una sesión en Hyperterminal

Los routers Cisco incluyen un puerto de consola serie asíncrono RJ-45 – EIA/TIA 232. El lado con el conector RJ-45 se conecta al router y el lado con el conector serie (DB9 – 9 pines- o DB25 – 25 pines -) al puerto serie del PC.

Los componentes de la conexión serían los siguientes:

En Windows XP, podemos encontrar el Hyperterminal en la siguiente ruta:

INICIO TODOS LOS PROGRAMAS ACCESORIOS COMUNICACIONES HYPERTERMINAL

En otros sistemas operativos puede no en encontrarse la aplicación. En cualquier caso una mínima búsqueda por Internet nos va a proporcionar de forma rápida (tiene poco peso) un software de Hyperterminal.

Una vez ejecutado el Hyperterminal aparecerá una pantalla como la siguiente:

Donde indicamos el nombre de la nueva conexión, por ejemplo, cisco.

A continuación pulsamos Aceptar y en la nueva pantalla seleccionamos en conectar usando: COM3

En el siguiente diálogo de configuración se introducen los datos necesarios para establecer la conexión con el router:

9600 bits por segundo

8 bits de datos

Sin paridad

1 bit de parada

Sin control de flujo

Y si todo es correcto tendremos la conexión con el router.

6.3 Diálogo de configuración del sistema

El modo setup no está pensado para realizar una configuración avanzada del router, sino para realizar una configuración básica del mismo. En el diálogo de configuración de inicio las respuestas predeterminadas aparecen entre corchetes [].

Si quisiéramos un arranque en limpio deberíamos borrar el archivo de configuración guardado en la NVRAM con el comando: erase startup-config. No es necesario finalizar el proceso del diálogo de configuración, en cualquier momento se puede pulsar la combinación de teclas CONTROL + C para finalizar dicho proceso.

A continuación el diálogo de configuración pregunta por los parámetros globales de configuración:

Nombre del router (hostname)

Enable secret o contraseña autorizada secreta. Esta contraseña se guarda encriptada, por lo que una consulta al archivo de configuración no va a permitir saber la contraseña (aparecen caracteres extraños)

Enable password o contraseña autorizada. Se utiliza cuando no existe contraseña autorizada secreta. A diferencia de la anterior se guarda en texto plano en el archivo de configuración.

Éstas son las contraseñas básicas, aunque se también se pueden establecer contraseñas para el uso del puerto de consola y para las conexiones remotas a través de la red (Telnet).

Todas las contraseñas hacen distinción entre mayúsculas y minúsculas y pueden ser alfanuméricas.

Podemos seguir con el setup, configurando las interfaces del router, como la interfaz Ethernet (FastEthernet 0/0). Aquí configuramos el protocolo IP: Dirección IP y máscara de subred.

Así podemos seguir configurando cada una de las interfaces del router. Cuando finalizamos genera un fichero que resume toda la configuración creada con el setup o diálogo de configuración.

6.4 Modos de acceso al router

Un router puede ser configurado en local o de forma remota a través de la red. Las formas de acceso son:

Acceso local. Mediante un terminal o un PC con un emulador (Hyperterminal) a través del puerto de la consola

Acceso remoto. Mediante el comando telnet utilizando un PC. Para ello debemos escribir en línea de comandos: telnet dirección IP del router. La dirección IP puede ser de cualquiera de sus interfaces. También es posible el acceso remoto a través de un Modem conectado al puerto de la consola.

Una vez hemos accedido al router, debemos distinguir entre dos modos de operación:

Modo usuario. Las tareas típicas incluyen las encargadas de comprobar el estado del router. En este modo, no están permitidos cambios en la configuración del router. Se identifica con un símbolo “>”. Los comandos disponibles en este nivel de usuario son un subconjunto de los del modo privilegiado.

Modo privilegiado. Permite la realización de tareas de configuración del router. Se accede con el comando enable y se identifica con el símbolo “#”. En caso de haber establecido una contraseña, solicitará la contraseña establecida en enable secret, ya hubiera sido configurada en el setup o bien manualmente. Se puede pasar de nuevo al modo usuario con el comando disable

Se puede obtener una lista de los comandos disponibles escribiendo una interrogación (¿) en cualquiera de los dos modos. La función de ayuda es sensible al contexto, es decir, varían los comandos que podemos usar en función de si estamos en un modo u otro, e incluso si estamos realizando una configuración global o una configuración de una interfaz determinada.

Exec hace referencia al entorno de ejecución EN LÍNEA DE COMANDOS, sea cual sea el modo de operación.

La ayuda (¿) también nos permite identificar los parámetros necesarios para un determinado comando. Por ejemplo, si queremos configurar la hora del router podemos hacer uso de la ayuda de la siguiente manera.

En la configuración es muy importante la flecha hacia arriba o CONTROL + P, ya que nos ahorra mucho trabajo de escritura porque recupera el último comando introducido. En caso de error el acento circunflejo ^ nos indica donde hemos cometido el error.

Resumen

En este tema hemos visto el software necesario para que un router realice sus funciones. En particular, el software IOS constituye el Sistema Operativo de los routers Cisco. También hemos aprendido la secuencia de inicio de un router. Hemos visto como podemos establecer una sesión de consola con la ayuda de Hyperterminal, así como a realizar una configuración básica mediante el setup o diálogo de configuración. Finalmente hemos aprendido que existen dos modos de ejecución: usuario y privilegiado o autorizado.

Tema7. Configuración de un Router

7.1 Modos de configuración del router

Los comandos de configuración global se utilizan en un router para aplicar las sentencias de configuración que afectan al sistema en su totalidad. Para entrar en el modo de configuración global se utiliza el comando configure. Después de ejecutarlo, un indicador solicitará el origen de los comandos de configuración, que pueden ser:

Terminal

La NVRAM

La red

Siendo la Terminal el origen predeterminado. Se puede salir del modo de configuración pulsando la combinación CONTROL + Z

Desde el modo de configuración global se puede acceder a otros modos de configuración. Algunos de los cuales se presenta en la siguiente tabla:

Objetivos





Configuración Indicador del modo Interfaz Router(config-if)#

Subinterfaz Router(config-subif)# Controlador Router(config-controller)#

Lista asignación Router(config-map-list)# Clase asignación Router(config-map-class)#

Línea Router(config-line)# Router Router(config-router)#

Router IPX Router(config-ipx-router)# Asignación de ruta Router(config-route-map)#

Escribiendo exit en cada uno de los modos se vuelve al modo de configuración global. En cualquiera de ellos se vuelve al modo privilegiado presionando la combinación CONTROL+Z. El siguiente ejemplo muestra una navegación por diferentes modos de configuración.

La configuración del router guardada en la NVRAM se conoce como startup-config, mientras que la configuración en memoria RAM, es decir, la que se está ejecutando en cada momento, se conoce como running-config. Es posible copiar configuraciones a y desde un servidor tftp.

La siguiente tabla establece algunos de comandos relacionados con el tratamiento de la configuración de un router Cisco:

Comando Descripción Configure terminal Permite la configuración manual desde el

terminal de la consola Copy tftp running-config Carga en la RAM información de

configuración desde un servidor TFTP de red

Show running-config Muestra la configuración actual almacenada en la RAM

Copy running-config startup-config Almacena la configuración actual desde la RAM a la NVRAM

Copy running-config tftp Almacena la configuración actual desde la RAM a un servidor TFTP de red

Show startup-config Muestra la configuración guardada, que es el contenido de la NVRAM

Erase startup-config Elimina el contenido de la NVRAM

7.2 Configuración de nombres y contraseñas

Configurar el nombre de un router es una de las tareas básicas a realizar. Una correcta denominación de un router ayuda a la posterior administración de la red. El nombrado de un router se realiza en el modo de configuración global. El nombre del router se visualiza en el indicador del sistema. En caso de no asignar un nombre, el router toma la palabra Router como nombre por defecto. El comando que permite asignar un nombre a un router es hostname. Veamos la correspondiente secuencia, donde asignamos el nombre Sevilla al router que estamos configurando.

En la anterior secuencia de comandos, el router no nos ha preguntado por la contraseña al pasar del modo usuario al modo privilegiado ya que no está configurada.

Un router puede ser asegurado mediante el uso de contraseñas para restringir el acceso. Las contraseñas pueden establecerse para las líneas de terminal virtual y la línea de consola. También se puede proteger el modo privilegiado por contraseña.

Tanto enable secret como enable password, permiten establecer una contraseña para el modo privilegiado, con preferencia para la primera ya que se guarda encriptada frente a la segunda en el archivo de configuración como ya vimos anteriormente. Ambos comandos se ejecutan en el modo de configuración global.

El modo de configuración line console 0 puede utilizarse para establecer una contraseña de conexión en el terminal de consola, lo que resulta útil en una red en la que muchas personas tienen acceso físico al router. Esto impide el acceso al router a cualquiera que no esté autorizado.

En la secuencia anterior le hemos puesto una contraseña (cisco) al acceso por consola. Al volver a conectar por Hyperterminal nos solicitará dicha contraseña.

El acceso al router vía Telnet requiere comprobación de contraseña. Las diferentes plataformas de hardware tienen definidos números distintos de líneas vty. Se utiliza el intervalo de 0 a 4 para especificar cinco líneas vty. Estas cinco sesiones telnet entrantes pueden ser simultáneas. Se puede usar la misma contraseña para las cinco líneas, o puede establecerse una línea única. Esto se utiliza con frecuencia en redes grandes con varios administradores de redes.

7.3 Configuración de una interfaz serie

Una interfaz serie puede configurarse desde la consola o a través de una línea de terminal virtual. Las interfaces serie requieren una señal de reloj para controlar la temporización de las comunicaciones. Podemos identificar la línea serie con la conexión WAN del router. En la mayoría de las ocasiones un dispositivo DCE (Equipo de comunicación de datos – Data Communications Equipment-) como una CSU/DSU (Unidad de servicio de canal/Unidad de servicio de datos) suministra el reloj. Por defecto, los routers Cisco son dispositivos DTE (Equipo Terminal de Datos –Data Terminal Equipment), aunque pueden configurarse como DCE.

Se pueden interconectar dos interfaces serie directamente, pero uno de los routers se debe configurar como DCE, proporcionando la señal de reloj. Para ello se usa el comando clock rate, que permite habilitar el reloj, así como establecer la velocidad del mismo en bits por segundo. Las posibles velocidades son: 1200, 2400, 9600, 19200, 38400, 56000, 64000, 72000, 125000, 148000, 500000, 800000, 1000000, 2000000 y 4000000.

Vamos a establecer una conexión serie entre dos routers, uno como DCE y el otro como DTE. Para conectar ambos routers se emplea un cable V35 hembra (DCE) y otro macho (DTE) conectados entre sí, formando un NULL MODEM. De esta forma simulamos una WAN.

Para configurar una interfaz serie se deben ejecutar los siguientes pasos:

1. Entrar en el modo de configuración global

2. Entrar en la interfaz correspondiente

3. Especificar el ancho de banda

4. Establecer la velocidad del reloj DCE (omitir en caso de DCE)

5. Activar la interfaz con el comando no shutdown.

Las interfaces, por defecto, se encuentran desactivadas, por lo que al final de la configuración es necesario activarlas con el comando referido.

Realizada la configuración debemos guardar la misma, porque de lo contrario, un posible apagado del router nos obligaría a rehacer la configuración con el consiguiente trabajo y pérdida de conectividad en la red. Para ello empleamos desde el modo privilegiado el comando copy running-config startup-config

Realizamos la configuración del otro Router como DTE:

Según las configuraciones anteriores hemos establecido las direcciones IP: 192.168.1.15 para el DCE (Sevilla) y 192.168.1.16 para el DTE (Huelva) usando el comando ip address dentro de la configuración de la interfaz serie de cada uno de los routers.

Una forma de comprobar si la conexión ha sido correcta es realizar un ping a la otra interfaz. Dicho comando debe ser ejecutado desde el modo privilegiado.

7.4 Configuración de una interfaz Ethernet

Para configurar una interfaz Ethernet necesitamos una dirección IP y una máscara de subred. Para ello se deben seguir los siguientes pasos:


2. Entrar en el modo de configuración de la interfaz

3. Especificar la dirección IP y máscara de subred con el comando ip address

4. Activar la interfaz

Por defecto, recordemos, las interfaces estás desactivadas. Para activar una interfaz se debe ejecutar el comando no shutdown. Puede que sea necesario desactivar administrativamente una interfaz para efectuar mantenimiento de hardware, cambiar la configuración de la propia interfaz, resolver problemas, o llevar a cabo cualesquiera otras tareas de mantenimiento. Para desactivar una interfaz se debe usar el comando shutdown.

Vamos a configurar la interfaz Ethernet del router de Sevilla con los siguientes datos:

IP: 10.188.164.129

Máscara de subred: 255.255.255.192

Resumen

En este tema hemos realizado una configuración básica de un router. Hemos partido desde la configuración del nombre y contraseñas hasta la configuración de diferentes interfaces del mismo como las seriales y Ethernet. Hemos visto como cada una de las configuraciones necesita de un contexto determinado, donde sólo es posible ejecutar los comandos de dicho contexto.

Tema8. Enrutamiento y protocolos de enrutamiento

8.1 Conceptos básicos de enrutamiento

La determinación de una ruta a través de una red (Internet o cualquier otra red más o menos compleja) ocurre en la capa 3. Esta función permite a un router evaluar las rutas disponibles a un destino concreto. El enrutamiento necesita conocer la topología de red, bien sea de forma dinámica a través de la información intercambiada por los protocolos de enrutamiento, bien de forma estática, introduciendo los datos de la topología directamente el administrador de redes en los routers. El inconveniente de esta segunda forma, es que, ante un cambio de topología, el administrador debe reprogramar todos los routers. Ésta actividad puede ser válida para redes pequeñas, pero en redes de cierta complejidad es muy costoso poder operar de forma estática exclusivamente.

En redes grandes se suele combinar el enrutamiento dinámico y el estático, usando éste último para tareas muy concretas.

La capa de red (nivel 3 del modelo OSI) utiliza las tablas de enrutamiento IP para enviar paquetes desde la red origen hasta la red destino. Una vez que el router determina la ruta a utilizar, procede al reenvío del paquete que aceptó en una interfaz hacia aquella interfaz o puerto que refleje la mejor ruta al destino de dicho paquete.

Objetivos





Todos los routers de la ruta, utilizan la dirección IP de destino del paquete para tomar decisiones en cuanto al camino que debe seguir.

Normalmente un router transmite un paquete de datos desde un enlace a otro, utilizando dos funciones básicas:

Función de determinación de ruta

Función de conmutación

La función de conmutación permite al router aceptar un paquete de una interfaz y reenviarlo a otra, mientras que función de determinación de ruta le permite seleccionar la interfaz más adecuada para el reenvío de dicho paquete. El router final utiliza la parte de host de la dirección para entregar el paquete al host correcto.

Recordemos, como ya vimos en un tema anterior, que debemos diferenciar entre protocolos enrutados y protocolos de enrutamiento:

Protocolo enrutado. Es cualquier protocolo de red que ofrezca suficiente información en su dirección de capa de red como para permitir que un paquete sea enviado desde un host a otro en base al esquema de direccionamiento. Es el caso del protocolo IP.

Protocolo de enrutamiento. Es cualquier protocolo que soporte un protocolo enrutado y suministre las funcionalidades necesarias para compartir la información de enrutamiento. Los mensajes de un protocolo de enrutamiento son intercambiados por los routers. Un protocolo de enrutamiento permite a los routers comunicarse con otros routers para actualizar y mantener las tablas de enrutamiento. Son protocolos de enrutamiento:

RIP (Protocolo de Información de Enrutamiento).

IGRP (Protocolo de enrutamiento de Gateway interior)

EIGRP (Protocolo de enrutamiento de Gateway interior mejorado)

OSPF (Primero la ruta libre más corta)

Recordemos igualmente que el proceso de reenvío por el router conlleva una desencapsulación / encapsulación, ya que cada uno de los enlaces del router tiene un entramado distinto.

Los routers son capaces de soportar múltiples protocolos de enrutamiento independientes y de mantener las tablas de enrutamiento de diversos protocolos enrutados. Esta capacidad les permite entregar paquetes de diferentes protocolos enrutados a través de los mismos enlaces de datos.

8.2 Enrutamiento estático

En el enrutamiento estático las rutas son operadas por un administrador de redes, el cual debe introducirlas manualmente en la configuración de un router. En caso de cambio de la topología de red, también está obligado a reflejar dicho cambio en la configuración de los routers.

El enrutamiento estático se utiliza por varios motivos:

1. Para ocultar cierta parte de la red, que no se quiere que se publique por un protocolo de enrutamiento.

2. Para configurar redes de una sólo vía, evitando así un excesivo e innecesario tráfico del protocolo de enrutamiento.

Cuando una red es accesible por una sólo vía, puede ser suficiente una ruta estática a la red. Este tipo de red recibe el nombre de red de conexión única.

8.3 Funcionamiento de una ruta estática

Podemos resumir el funcionamiento de una ruta estática en la siguiente secuencia:

1. El administrador de red configura la ruta

2. El router la instala en la tabla de enrutamiento

3. Los paquetes se enrutan usando la tabla de enrutamiento

En IOS, la configuración de rutas estáticas se realiza con el comando ip route

Sea el siguiente esquema:

Un administrador de red debe configurar el router de Huelva para acceder a la LAN que está directamente conectada al router de Sevilla. Para ello debe usar el comando ip route en el modo de configuración global:

En dicho comando indicamos la red de destino con la máscara correspondiente (recordemos que la notación /24 equivale 255.255.255.0, es decir a 24 unos seguidos). En la parte final hemos puesto la interfaz de salida del router de Huelva, en este caso la interfaz serie s0.

La configuración de la ruta estática admite otra forma:

Donde, en lugar de indicar la interfaz saliente, indicamos la dirección IP del próximo salto: 172.16.2.2, que es la IP configurada en la interfaz serie S1 del router de Sevilla.

Ambos comandos instalan una ruta estática en la tabla de encaminamiento. La diferencia entre ellos se encuentra en la distancia administrativa que el router asigna a la ruta tan pronto se instala en la tabla de enrutamiento.

La distancia administrativa mide la fiabilidad de la ruta. Así una ruta más fiable tendrá una distancia administrativa más baja, quedando instalada antes en la tabla de encaminamiento. De forma predeterminada los valores de la distancia administrativa son 1 si configuramos la ruta con siguiente salto y 0 si la configuramos con la interfaz directamente conectada.

Se puede desear tener una distancia administrativa distinta a la predeterminada. Para ello se usa un valor entre 0 y 255 al final del comando ip route:

La siguiente tabla resume las distancias administrativas de los diferentes protocolos de enrutamiento:

Origen de la ruta Distancia administrativa predeterminada Interfaz directamente conectada 0

Ruta estática siguiente salto 1 Ruta resumen EIGRP 5

Protocolo BGP 20 EIGRP interno 90

IGRP 100 OSPF 110 RIP 120

Si el router no puede alcanzar la interfaz saliente utilizada por la ruta, ésta no será instalada en la tabla de enrutamiento, lo cual significa que si la interfaz está caída, la ruta no será instalada en la tabla de enrutamiento.

En ocasiones se utiliza la ruta estática como salvaguarda en caso de que una ruta obtenida dinámicamente falle. Para ello se debe configurar la ruta estática con una distancia administrativa mayor que la del protocolo de enrutamiento dinámico que se esté usando.

8.4 Configuración de rutas estáticas

Para llevar a cabo la configuración de rutas estáticas se deben llevar a cabo una serie de pasos:

1. Determinar todas las redes de destino que vaya a necesitar, sus máscaras de subred y sus puertas de salida, que pueden ser tanto una interfaz local como una dirección de siguiente salto.

2. Entrar al modo de configuración global.

3. Escribir el comando ip route con una dirección de red de destino y un máscara de subred seguido de la puerta de salida especificada en el paso 1. La inclusión de una distancia administrativa es opcinal.

4. Repetir el paso 3 para todas las redes de destino definidas en el paso 1.

5. Salir del modo de configuración global.

6. Guardar la configuración activa a la NVRAM.

Veamos un ejemplo. En el siguiente esquema debemos configurar el router de Sevilla para que se puedan alcanzar las subredes 172.16.1.0 / 24 en Huelva y 172.16.5.0/24 en Jaén.

Los paquetes IP que vayan a la red 172.16.1.0/24 deben salir por la interfaz S1 o bien se debe usar la dirección 172.16.2.1 como dirección de siguiente salto. Los paquetes IP que vayan a la red 172.16.5.0/24 deben dirigirse por la interfaz S0 o bien se debe usar la dirección 172.16.4.2 como dirección de siguiente salto.

Si usamos la interfaz local como puerta de salida tendríamos que configurar el router de Sevilla con los siguientes comandos:

Al no asignar una distancia administrativa de forma específica, las rutas se agregan con distancia 0 que equivalen a tener redes directamente conectadas. En caso de usar como puerta de salida la dirección IP de siguiente salto, tendríamos:

8.5 La ruta predeterminada

Las rutas predeterminadas enrutan los paquetes con destinos que no coinciden con ninguna de las rutas de la tabla de enrutamiento. Normalmente, los routers están configurados con una ruta predeterminada para el tráfico de Internet porque no resulta práctico mantener rutas a todas las redes de Internet. El formato de la ruta predeterminada es:

Ip route 0.0.0.0 0.0.0.0 [siguiente salto o interfaz saliente]

Al aplicar la máscara de subred 0.0.0.0 sobre cualquier IP, se obtiene 0.0.0.0 (recordemos que la máscara realiza una AND lógico bit a bit), obteniéndose justamente la red de destino 0.0.0.0

Para configurar una ruta predeterminada se deben seguir los siguientes pasos:


2. Escribir el comando ip route 0.0.0.0 0.0.0.0 puerta de salida. La puerta de salida puede ser tanto una interfaz del router como la dirección IP de siguiente salto.

3. Salir del modo de configuración global

4. Guardar la configuración activa en la NVRAM mediante el comando copy running-config startup-config

En el ejemplo del epígrafe anterior, configuramos las rutas estáticas en el router de Sevilla. Sin embargo, para que una comunicación funcione, ésta debe ser bidireccional, es decir los paquetes deben llegar a las redes de destino en Huelva y Jaén, pero también deben llegar paquetes desde Huelva a Sevilla y Jaén, y desde Jaén a Sevilla y Huelva.

Veamos el caso de Jaén. Desde este router pretendemos alcanzar las redes 172.16.3.0/24 en Sevilla y 172.16.1.0/24 en Huelva. Si realizamos la configuración de cada una de las rutas usando como puerta de salida el siguiente salto, tendríamos la siguiente configuración:

Dado que todas las redes destino son alcanzadas por la misma puerta de salida, podríamos emplear en su lugar una ruta predeterminada:

Reduciendo así la configuración del router. Para ver la tabla de enrutamiento del router se debe usar el comando show ip route en el entorno del modo privilegiado Router#>

De forma equivalente se puede configurar una ruta predeterminada con el comando:

Ip default-network dirección_next_hop

8.6 Enrutamiento dinámico

El enrutamiento dinámico es necesario para permitir a las redes actualizarse y adaptarse rápidamente a los cambios, cuestión que no alcanza el enrutamiento estático.

Sea el siguiente esquema:

El router A, está configurado estáticamente para enviar el tráfico al router C a través del router D. Tanto los routers A como D miran sus respectivas tablas de enrutamiento para entregar el paquete al router C.

Supongamos que el enlace A-D falla. En este caso el router A es incapaz de enviar el paquete al router D, no llegando en ningún caso al router C que el router de final de ruta. El router A debe ser reconfigurado manualmente para que envíe los paquetes destinados a C a través del router B.

El enrutamiento dinámico es más flexible, ya que al caer el enlace los routers se intercambiarían mensajes entre ellos según un determinado protocolo de enrutamiento que haría que el router A dispusiera de una nueva ruta en su tabla de enrutamiento que permitiera acceder al router C, en este caso a través del router B.

Los protocolos de enrutamiento dinámico también permiten enviar paquetes por dos o más rutas de la tabla de encaminamiento. Esto se conoce como compartición de carga.

El éxito del enrutamiento dinámico depende de dos factores:

1. El mantenimiento de la tabla de enrutamiento.

2. La distribución periódica de la configuración al resto de los routers en forma de mensajes de actualización de enrutamiento.

Por tanto un protocolo de enrutamiento debe describir las reglas de comunicación de un router con los demás (vecinos). En particular:

Cómo enviar actualizaciones.

Qué configuración contienen dichas actualizaciones.

Cuándo enviar esa configuración.

Cómo localizar a los receptores de las actualizaciones.

8.7 Características básicas de los protocolos de enrutamiento

En este epígrafe vamos a aprender las características básicas de algunos de los protocolos de enrutamiento más conocidos.

Rip. Especificado originalmente en la RFC 1058. Podemos citar como características clave:

Es un protocolo de enrutamiento por vector-distancia.

Utiliza la cuenta de saltos (hops) para la selección de la ruta. Si esta cuenta es mayor que 15, el paquete es descartado.

Por defecto, las actualizaciones de las rutas se transmite cada 30 segundos.

Ripv2. Frente a su antecesor permite enrutamiento sin clase. Incluye las siguientes mejoras:

Capacidad de transportar información adicional de enrutamiento de paquetes.

Mecanismo de autenticación para asegurar las actualizaciones de la tabla.

Capacidad de soportar máscaras de subred.

Igrp. Es un protocolo vector-distancia desarrollado por Cisco. Envía las actualizaciones de enrutamiento cada 90 segundos, publicando redes para un sistema autónomo (AS, Autonomous System) (red bajo una misma administración y un número AS único en el mundo) en particular. Permite:

Manipular de forma automática topologías complejas o imprecisas.

Manipular segmentos con diferentes anchos de banda y características de retardo de forma flexible.

Funcionar en redes grandes gracias a su escalabilidad.

Por defecto IGRP usa dos métricas, ancho de banda y retardo, aunque puede configurarse para utilizar una combinación de métricas (ancho de banda, retardo, carga y fiabilidad).

Ospf. Es un protocolo de enrutamiento basado en el estado del enlace. Los protocolos de estado de enlace mantienen una topología detallada, lo que le permite usar operaciones matemáticas para prevenir bucles. Con OSPF, la máscara de subred también se transmite, permitiendo otras características como VLSM (Máscara de subred de longitud variable, Variable Length Subnet Masking, en inglés) y resumen de rutas.

Eigrp. Es un protocolo híbrido entre vector-distancia y estado de enlace. Calcula la mejor ruta a cada red o subred y ofrece rutas alternativas que pueden utilizarse si la actual falla. También transmite la máscara de subred por cada entrada de la tabla de enrutamiento, permitiendo características como VLSM o resumen de ruta.

Bgp. Es un protocolo de enrutamiento exterior diseñado para operar entre sistemas autónomos.

8.8 Configuración de un router con un protocolo de enrutamiento

Para habilitar un protocolo de enrutamiento IP en un router, es necesario establecer parámetros globales y de interfaz. Las tareas globales incluyen la selección de un protocolo de enrutamiento (RIP, IGRP, EIGRP u OSPF). La tarea principal en la configuración del enrutamiento es indicar números de red IP. El enrutamiento dinámico utiliza difusiones y multidifusiones para comunicar con otros routers. La métrica de enrutamiento ayuda a los routers a encontrar la mejor ruta para alcanzar un determinado destino.

Para iniciar el proceso de configuración de enrutamiento de utiliza el comando:

Router (config)#router protocolo [opciones]

Donde protocolo puede ser RIP, IGRP o EIGRP.

Opciones hace referencia al número de sistema autónomo, que es empleado por IGRP o EIGRP.

El comando network se utiliza para que publique las redes conectadas directamente a él.

Router(config-router)#network número_de_red

Dónde número_de_red es el número de red IP de una red conectada directamente. Para RIP e IGRP los números de red deben estar basados en direcciones de clase (A, B o C) y no en direcciones de subred o de hosts individuales.

Vamos a configurar un protocolo de enrutamiento concreto: RIP, como protocolo vector-distancia. En dichos protocolos las actualizaciones en las tablas de enrutamiento debidas a cambios topológicos se producen router a router. Podemos establecer la analogía a un rumor que se extiende boca-oído.

Los protocolos de enrutamiento vector-distancia determinan la dirección (vector) y distancia (número de saltos en RIP) de la ruta que se debe seguir hasta el destino. La propagación de actualización se realiza entre routers adyacentes.

En RIP, el número de saltos máximo se limita a 15, para impedir que un paquete caiga en un bucle. Cuando la métrica de una ruta alcanza 16 la ruta destino se considera como inalcanzable, evitando el envío del paquete a través de dicha ruta. Si no existe alternativa, el paquete no se envía, enviando un mensaje ICMP al origen.

Veamos un ejemplo de configuración de RIP. Sea la siguiente red:

Configuramos los routers de Huelva y Sevilla con las direcciones indicadas en el esquema, con los nombres indicados, estableciendo el router de Huelva como DCE (aporta la sincronización)

y el router de Sevilla como DTE. Si realizamos un ping desde el PC con dirección 172.16.0.2 conectado a la subred del router de Huelva al PC con dirección 172.18.0.2 obtenemos:

Observamos que el PC de la subred de Sevilla no se puede alcanzar, esto es, no hay comunicación. Ello es lógico porque aún no le hemos dicho a los routers de Sevilla que deben construir las tablas de enrutamiento. Si observamos la tabla de encaminamiento del router de Huelva, ejecutando el comando show ip route observamos que

sólo aparecen las redes directamente conectadas. A continuación vamos a configurar el protocolo RIP para que los routers de Sevilla y Huelva intercambien información de enrutamiento y puedan reconstruir las tablas de enrutamiento para alcanzar las subredes que no están conectadas directamente.

En el router de Huelva…

Se habilita el protocolo rip con el comando router rip en el modo de configuración global, y a continuación se indica las redes directamente conectadas que debe publicar con el comando network. Se observa que las redes se indican sin máscara de subred ya que RIP trata a las redes según su clase (A,B o C).

De forma equivalente en el router de Sevilla…

Si ahora ejecutamos el comando show ip route en el router de Huelva:

Observamos una nueva ruta en la tabla de enrutamiento que nos indica que podemos acceder a la red 172.18.0.0/16 a través de la interfaz serie. Dicha ruta ha sido aprendida a través de RIP (véase la letra R). Además podemos ver la distancia administrativa de la ruta (120) que es la predeterminada de RIP.

De forma equivalente podemos observar en el router de Sevilla su tabla de enrutamiento:

Si ahora ejecutamos nuevamente el ping desde el PC de Sevilla al de Huelva, tendremos éxito.

Resumen

En este tema hemos visto que un router necesita una ruta para transmitir un paquete a un destino determinado. Dichas rutas se pueden configurar de forma estática por los administradores de red, o bien, pueden ser aprendidas por los routers gracias a los protocolos de enrutamiento como RIP, IGRP, EIGRP u OSPF. Hemos aprendido a configurar los routers tanto con rutas estáticas como con protocolos de enrutamiento.

Tema9. Solución de problemas con ICMP

9.1 Control de errores en IP

El protocolo de capa de red IP tiene como misión facilitar la comunicación entre hosts. El diseño de IP permite el direccionamiento de hosts y redes. Esto distingue IP de los protocolos no enrutables que pueden direccionar hosts individuales, pero que no están diseñados para distinguir redes. La tendencia de la industria de redes es hacer de IP el único protocolo de capa de red en cualquier entorno. Es lo que se conoce como All IP. Incluso en las redes LAN, donde no es necesaria la funcionalidad de enrutamiento se utiliza el protocolo IP, direccionando los elementos de la misma (PCs, servidores, impresoras,…)

La limitación de IP es que es un sistema de máximo esfuerzo de entrega, conocido por su terminología anglosajona Best Effort. Esto quiere decir que IP no tiene ningún mecanismo para garantizar que los datos se entreguen en destino. La entrega de los mismos puede fallar por numerosas razones:

Fallo del hardware

Configuración software inadecuada

Información de enrutamiento incorrecta

Si falla un dispositivo intermedio como un router, o si se desconecta de la red un dispositivo de destino, los datos no se van a entregar. Para incorporar fiabilidad en la comunicación es necesario recurrir a los servicios de protocolos de capa superior como TCP.

Objetivos





Para identificar estos fallos, IP utiliza ICMP (Protocolo de mensajes de control en Internet, Internet Control Message Protocol). ICMP notifica al emisor que se ha producido un error en la entrega de los datos previamente enviados.

9.2 ICMP

ICMP es el componente del conjunto de protocolos TCP/IP que encarga del fallo de IP para asignar la entrega de datos. ICMP no supera la limitación de falta de fiabilidad existente en IP, ya que simplemente envía mensajes de error al emisor de los datos, indicando que se han producido problemas en la entrega de los datos. ICMP reside en la capa Internet del modelo TCP/IP

Los mensajes ICMP se entregan utilizando el protocolo IP. Son encapsulados en datagramas IP de la misma forma que cualquier otro tipo de datos. Esto es, en el área de datos del datagrama IP tendríamos la cabecera ICMP y los datos ICMP.

Área de datos IP := Cabecera ICMP + Datos ICMP

Los mensajes ICMP tienen su propia información de cabecera. Sin embargo, esa información, junto con los datos ICMP, es encapsulada en el paquete IP. Esto significa que los datos ICMP están sujetos a los mismos posibles fallos que cualquier otro tipo de dato de la red. Ello implicaría generar nuevos mensajes de error, para notificar que ha ocurrido un error con los mensajes de error, creando una congestión aún mayor en la red. Para evitar esta situación los arquitectos de los protocolos decidieron que los fallos de entrega de los mensajes de error no generaran a su vez otros mensajes de error.

Por tanto, existe la posibilidad de que se produzca un fallo de entrega de un paquete, pero que nunca se informe de dicho error, ya que no se pudo notificar mediante ICMP en primera y única instancia.

La situación anterior será corregida en las capas superiores.

9.3 Comunicación de errores

ICMP es un protocolo de comunicación de errores para IP. Cuando se producen errores en la entrega de un datagrama, ICMP informa de esos errores al emisor del datagrama.

Vamos a ver ésto último en nuestro ejemplo:

Supongamos que existe una comunicación de datos entre el PC1 y el PC3. El tráfico generado entre ambos puede ser de muchos tipos:

Tráfico web

Conexión Telnet

Intercambio de fichero mediante ftp

Etc.

En nuestro ejemplo vamos a generar tráfico mediante la solicitud de ECO de ICMP, esto es, el comando ping cuyo formato (estructura del comando, opciones) ya fue visto en profundidad.

Por tanto ejecutamos ping desde el PC1 con IP 172.16.0.1 al PC3 con IP 172.18.0.2

Observamos que todos los paquetes que se han enviado, fueron recibidos correctamente con ningún paquete perdido (Lost = 0)

Supongamos ahora que ocurre un error en la interfaz LAN (FastEthernet del router de Sevilla). Dicho error puede estar provocado por múltiples causas, como simplemente una desconexión de cable de red entre el router y el switch. El error va a ser simulado realizando una desconexión administrativa de dicha interfaz con el comando shutdown

Si repetimos el ping anterior obtenemos:

En la respuesta observamos que los paquetes de solicitud de ECO (ping) no han podido ser entregados (100% loss). Además obtenemos un mensaje de host de destino inalcanzable (Destination host unreachable) notificado desde la interfaz WAN del router de Sevilla al host origen (PC1).

En el anterior ejemplo ICMP no corrige el problema, simplemente notifica al origen (PC1) de la imposibilidad de entregar el tráfico al destino (PC3). El router de Sevilla, no informa al router de Huelva, sino directamente al PC que originó el tráfico de datos (PC1).

Los mensajes ICMP no informan a los routers intermedios de los fallos ocurridos, sólo al origen, ya que en la cabecera del paquete IP sólo figuran las direcciones IP origen y destino, y no las direcciones intermedias. Además el punto previo al fallo no tiene constancia de la ruta que ha seguido el datagrama hasta llegar allí.

El router de Huelva se “enterará” de que la interfaz LAN del router de Sevilla ha caído no por un mensaje del protocolo ICMP sino por un mensaje de actualización del protocolo de enrutamiento IP. Efectivamente si ahora consultamos la tabla de enrutamiento del router de Huelva, observaremos que la ruta aprendida por RIP ha desaparecido:

Aquí hemos observado una de las ventajas del enrutamiento dinámico frente al estático. El fallo en un enlace se propaga de forma automática al resto de routers. Si la configuración hubiera sido estática, el administrador de redes tendría que haber reconfigurado las rutas de la tabla de enrutamiento de forma manual.

Los mensajes de destino inalcanzable incluyen a los siguientes:

Red inalcanzable. Este mensaje implica normalmente fallos de enrutamiento o direccionamiento.

Host inalcanzable. Este mensaje implica normalmente fallos de entrega, como una máscara de subred errónea o la inexistencia de una ruta desconocida al destino.

Protocolo inalcanzable. Este mensaje implica normalmente que el destino no soporta el protocolo de capa superior especificado en el paquete.

Puerto inalcanzable. Este mensaje implica normalmente que no está disponible el puerto TCP.

En el ejemplo anterior hemos usado el comando ping desde un PC. También podemos ejecutarlo desde un router. Recordemos que un router no es más que un host especializado. Así podemos realizar un ping desde el router de Huelva a la interfaz WAN del router de Sevilla.

Observamos que la respuesta es diferente a la obtenida desde un PC. Podemos observar que el ping ha sido exitoso por la leyenda Success rate is 100 percent (5/5) y el signo admiración. También podemos observar que el ping ejecutado desde el modo privilegiado o modo usuario envía por defecto 5 paquetes frente a los 4 paquetes de solicitud de eco que se suele enviar desde un PC.

Por el contrario si enviamos un ping a la interfaz LAN del router de Sevilla (sabemos que está deshabilitada administrativamente por shutdown), obtenemos una respuesta de ping fracasado.

9.4 Mensajes de control del conjunto TCP/IP

A diferencia de los mensajes de error, los mensajes de control no son el resultado de paquetes perdidos o de condiciones de error que se produzcan durante la transmisión de un paquete. En su lugar, los mensajes de control informan a los hosts de condiciones como congestión en la red o la existencia de un Gateway mejor a una ruta remota. Igual que los mensajes de error, los mensajes de control ICMP son encapsulados dentro de un datagrama IP. Veamos algunos d estos mensajes.

Peticiones ICMP de redirección/cambio. Sólo puede ser iniciado por un Gateway. Todos los hosts que se comunican con múltiples redes IP deben configurarse con un Gateway o puerta de salida predeterminada. Dicho Gateway es la dirección de un puerto de router conectado a la misma red que el host.

Normalmente un host se conecta a un solo Gateway, pero por determinadas circunstancias (por seguridad o redundancia por ejemplo) se conecta a un segmento que tiene dos o más routers conectados directamente. En ese caso el Gateway predeterminado del host podría tener que utilizar una petición de redirección/ cambio para informar al host sobre la mejor ruta a una red en particular, por ejemplo si la salida WAN del router predeterminado ha caído, éste le comunica al host que use el otro router como Gateway.

Sincronización de reloj y estimación del tiempo de tránsito. El conjunto de protocolos TCP/IP permite que los sistemas se conecten entre sí a grandes distancias y a través de múltiples redes. Cada red individual proporciona la sincronización de reloj a su modo. Esto puede dar lugar a problemas cuando los hosts de diferentes redes intenten la comunicación utilizando software que requiere una sincronización del tiempo. El tipo

de mensaje ICMP de marca de tiempo está diseñado para ayudar a minimizar este problema. Utilizando este mensaje, el host origen puede hacer una estimación de su tiempo de tránsito por la red.

A pesar de disponer de este tipo de mensaje ICMP, existen protocolos de capa superior como NTP (Protocolo de tiempo de red, Network Time Protocol) que realiza una sincronización mucho más fiable.

Peticiones de máscara de dirección. Cuando un administrador de redes utiliza el proceso de división en subredes (subnetting), se crea una máscara d subred nueva. Esta nueva máscara de subred es crucial para identificar los bits de red, subred y host de una dirección IP. Si un host no conoce la máscara de subred, podría enviar una petición de máscara de dirección al router local. Si se conoce la dirección del router se utilizaría una petición unicast, si no se conoce se usaría broadcast. Cuando el router recibe la petición, responde con una respuesta de máscara de dirección, que identifica la máscara de subred correcta.

Mensaje de descubrimiento de router. El host puede aprender los routers disponibles a través del proceso de descubrimiento de router cuando el host no se ha configurado manualmente con un Gateway predeterminado. Este proceso empieza con el host enviando a todos los routers un mensaje de petición de router multicast, utilizando la dirección 224.0.0.2. El router responderá con su dirección IP de la interfaz correspondiente.

Mensajes de congestión y control de flujo. Si varias computadoras intentan acceder al mismo destino (un servidor web por ejemplo), éste podría saturarse con el tráfico (ésta la base de los ataques de Denegación de Servicio –DoS-). La congestión también puede ocurrir cuando el tráfico de una LAN de alta velocidad alcanza una conexión WAN más lenta. La congestión en la red o en el host receptor provoca la pérdida de paquetes, dando lugar a la pérdida de datos. Para reducir la cantidad de datos perdidos, se envían mensajes ICMP al origen de que hay una congestión. Se notifica al emisor que hay congestión y que reduzca la velocidad de envío de datos.

Resumen

En este tema hemos aprendido que el protocolo IP es un protocolo del tipo Best Effort, que utiliza mensajes ICMP para notificar al origen de que los datos no llegaron al destino. También hemos visto el uso de ping para comprobar la conectividad con el destino e identificar los mensajes ICMP como el caso de destino no alcanzable.

Además de los mensajes ICMP de error hemos visto algunos mensajes ICMP de control.

Tema 10

Tema10. Las Listas de Control de Acceso (ACL)

10.1 Introducción

Los administradores de redes deben ser capaces de denegar el acceso no deseado a la red, a la vez que permiten el acceso sí deseado. Aunque se pueden utilizar otras herramientas como protección por contraseña, es recomendable que el tráfico no llegue desde donde no debe de llegar, evitando así que los hackers tengan la posibilidad de atacar la contraseña establecida.

Los routers proporcionan capacidades básicas de filtrado del tráfico, como el bloqueo del tráfico de Internet, mediante las ACL (Listas de control de acceso). Una ACL es una colección secuencial de sentencias de permiso o denegación que se aplica a las direcciones o los protocolos de la capa superior.

Es importante configurar correctamente las ACL y saber dónde colocarlas en la red. Las ACL sirven para múltiples cosas:

Filtrar internamente los paquetes

Proteger la red interna del acceso Internet ilegal

Objetivos





Restringir el acceso a los puertos del terminal virtual

Las ACL son listas de instrucciones que se pueden aplicar a la interfaz del router. Estas listas le indican al router qué tipo de paquetes aceptar (permit) y cuáles denegar (deny). La aceptación y denegación se pueden basar en la dirección de origen, dirección de destino y número de puerto TCP/UDP, protocolo superior o las aplicaciones.

Las ACL se pueden crear para todos los protocolos de red enrutados, como IP o IPX. Las ACL filtran el tráfico de la red controlando si los paquetes enrutados se enviaron o bloquearon en las interfaces del router. Éste examina cada paquete para determinar si debe enviarlo o descartarlo, en función de las instrucciones de la ACL.

Se debe configurar una ACL por interfaz y protocolo. Es decir si queremos filtrar paquetes IP e IPX en una determinada interfaz, se deben utilizar dos ACL distintas en dicha interfaz.

10.2 Creación y funcionamiento de una ACL

En la creación de una ACL importa el orden. Cuando el tráfico entra o sale de la interfaz de un router, donde hay aplicada una ACL, IOS compara el paquete con las reglas definidas en la ACL. Las sentencias se evalúan de forma consecutiva, desde la primera en adelante, hasta encontrar una coincidencia. A partir de ahí ya no se evalúa el resto.

En caso de modificar una ACL, no es posible modificar las líneas creadas. Se debe borrar la ACL y crear una nueva.

Una ACL es un grupo de sentencias que definen cómo los paquetes hacen lo siguiente:

Entrar en las interfaces de router entrantes.

Retransmitirse a través del router.

Salir de las interfaces de router salientes.

Los pasos que realiza un router son los siguientes:

Para un paquete entrante comprobar la ACL de la interfaz de entrada (Si el paquete se ha originado en el router no se tiene en cuenta este punto).

Enrutar el paquete según la tabla de enrutamiento.

Si la interfaz de salida tiene configurada un ACL, aplicarla al paquete saliente.

Como hemos dicho anteriormente, las sentencias de las ACL funcionan en orden secuencial y lógico. Si una condición es verdadera, el paquete es permitido o denegado según dicha condición y no se comprueban más sentencias. Si no hay coincidencia con ninguna sentencia se aplica una sentencia implícita que consiste en la denegación de todo tipo de tráfico.

En definitiva una ACL permite:

Filtrar ciertos hosts para permitir o denegar su acceso a parte de la red.

Otorgar o denegar permiso a los usuarios para acceder únicamente a ciertos tipos de aplicaciones como Telnet, http o ftp.

10.3 Configuración de las ACL

Los pasos a seguir para crear una ACL son los siguientes:

Crear las ACL en el modo de configuración global.

Especificar un número de ACL entre 1 y 99, definir una ACL estándar IP e instruir al router para que acepte las sentencias ACL estándar.

Especificar un número de ACL entre 100 y 199 para definir una ACL extendida para IP e instruir al router para que acepte las sentencias ACL extendidas.

Seleccionar y ordenar las sentencias de la ACL.

Seleccionar los protocolos a comprobar.

Aplicar una ACL a una interfaz.

Las ACL se asignan a una o más interfaces y pueden filtrar el tráfico entrante o el saliente, en función de la configuración y de cómo se apliquen. Generalmente, las ACL salientes son más eficaces que las entrantes, de ahí que se recomiende más su uso. Un router con una ACL entrante debe comprobar todos los paquetes para ver si cumplen la condición ACL antes de conmutarlos a una interfaz saliente.

Cuando se configuran ACL en un router, se debe identificar cada ACL de forma única con un número a la ACL del protocolo. Dicho número debe estar en un rango válido para el protocolo. La siguiente tabla indica los rangos de numeración ACL de los protocolos:

Protocolo Intervalo numeración ACL IP 1-99

IP extendido 100-199 AppleTalk 600-699

IPX 800-899 IPX extendido 900-999

Protocolo de publicación de servicio IPX 1000-1099

El comando para crear una ACL es access-list y para aplicarla a una determinada interfaz es access-group con los modificadores in o out para indicar si se aplica a los paquetes de entrada o de salida.

En el siguiente ejemplo se crean dos ACL (1 y 2) que se aplican a la interfaz Ethernet 0, una como entrada y la otra como salida.

access-list 1 permit 5.6.0.0 0.0.255.255

access-list 1 deny 7.9.0.0 0.0.255.255

!

access-list 2 permit 1.2.3.4

access-list 2 deny 1.2.0.0 0.0.255.255

!

interface ethernet 0

ip address 1.1.1.1 255.0.0.0

!

ip access-group 1 in

ip access-group 2 out

10.4 Máscara wildcard

Una máscara wildcard es una máscara de 32 bits dividida en 4 octetos de 8 bits. Un bit 0 en la máscara significa “comprobar el valor del bit correspondiente”, mientras que un bit 1 significa “no comprobar el valor correspondiente”.

De manera análoga a una máscara de subred, un máscara wildcard está emparejada a una dirección IP.

Las ACL utilizan las máscaras wildcard para identificar una sola dirección o múltiples direcciones para aplicar permisos o denegaciones.

Veamos un ejemplo de esto. Supongamos que queremos permitir todos los paquetes de cualquier host situado en las subredes 172.30.16.0 a 172.30.31.0.

Los dos primeros octetos de las subredes son iguales y además son significativos, es decir, son los paquetes provenientes de esas subredes los que queremos permitir. En ese caso empleamos ceros en la máscara de wildcard, es decir queremos comprobar estos valores. Por tanto nuestra máscara empezará con 0.0.

El último octeto de las subredes no es significativo ya que indica direcciones de red. En este caso no vamos a discernir con ningún bit de este último octeto, por lo cual usamos unos. Así la máscara de wildcard nos quedaría: 0.0. .255

Veamos ahora el tercer octeto. Partimos de la primera subred: 172.30.16.0.Si pasamos el tercer octeto a binario tenemos:

00010000

Si observamos el código binario del tercer octeto de la última subred que es 31, tenemos:

00011111

Vemos que los primeros 4 bits permanecen, mientras que los últimos cuatro irán variando según alguna de las subredes de interés (16 a 31).Por tanto la máscara wildcard ha de resaltar este hecho estableciendo a 0 los bits que me interesa tener en cuenta, y a 1 los bits que quiero enmascarar. Por tanto la máscara wildcard quedaría en su tercer octeto como:

00001111

Por todo lo anterior, la máscara wildcard quedaría definitivamente como:

0.0.15.255

Asociada a la primera subred: 172.30.16.0

En el caso especial de que queramos permitir cualquier dirección de destino se debe indicar la dirección IP 0.0.0.0 con la máscara wildcard 255.255.255.255, obteniendo un comando del tipo:


IOS permite usar la palabra reservada any, en lugar de lo anterior, resultando menos engorroso de escribir:

access-list 1 permit any

Otro caso peculiar es si queremos especificar el permiso o denegación a un host concreto. En dicho caso, deberíamos indicar la IP del host con la wildcard 0.0.0.0. Por ejemplo, supongamos que queremos permitir el acceso al host con IP 172.30.16.29. Tendríamos


En este caso IOS también tiene una palabra reservada: host. El equivalente al anterior sería:

access-list 1 permit host 172.30.16.20

10.5 ACL estándar

Las ACL estándar comprueban la dirección de origen de los paquetes IP enrutados y la compara con las sentencias de la ACL.

Las ACL estándar permiten o deniegan el acceso a todo el tráfico IP, en función de las direcciones de red, subred y host. Por ejemplo, los paquetes que entran por la interfaz Fa0/0 son comprobados por sus protocolos y direcciones de origen y después comparados con la ACL. Cuando se encuentra una coincidencia se permite (permit) o deniega (deny) el paquete. En caso de que se llegue al final de la ACL sin ninguna coincidencia, no debemos olvidar la sentencia implícita de denegación.

La sintaxis de una ACL estándar sería:

access-list número_lista_acceso {deny o permit} origen {wildcard_origen} [log]

Con el no delante, anularía la sentencia.

El log final, que es opcional, origina un mensaje que se envía a la consola.

Como dijimos anteriormente el número_lista_acceso debe estar entre 1 y 99 para una ACL estándar.

Vamos a recuperar nuestro ejemplo y configurar una ACL estándar en la interfaz FastEthernet del router de Huelva que impida el acceso de entrada por dicha interfaz. Vamos a realizar el proceso de forma aproximativa para entender cómo funciona una ACL. El esquema sería:

Paso 0: Comprobar conectividad. No tiene sentido definir un filtrado de paquetes cuando hay problemas en la red. Realizamos un ping desde PC1 a la interfaz FA0/0 del router de Huelva.

Funciona.

Paso 1. Definimos la ACL en el modo de configuración global. Recordemos que queremos que el PC1 no acceda a la interfaz Fa0/0 del router de Huelva.

Paso2. Aplicamos la ACL a la interfaz correspondiente con el comando ip Access-group numero_ACL in / out.

Paso3. Comprobar resultado. Volvemos a ejecutar el ping:

Funciona. Ha quedado filtrado el tráfico proveniente desde el PC1.

Pero recordemos que el tráfico del resto de PCs de esa subred sí debe pasar. Veamos qué pasa con PC2.

También se le ha cortado el paso. ¿Qué ha pasado? ¡Hemos olvidado que existe una sentencia implícita al final de toda ACL del tipo deny any, que corta todo el tráfico no permitido expresamente!

Debemos pues reconfigurar nuestra ACL:

Paso 1bis. Definimos una nueva ACL.

Hemos añadido una segunda sentencia a la ACL 1, indicando que permita todo el tráfico desde la LAN de Huelva. Recordemos que el filtrado de la ACL lo realiza en orden, primero deniega el tráfico del PC1, y a continuación permite todo el tráfico de la LAN. Para ello hemos usado una máscara wildcard 0.0.0.255 que habilita todo el tráfico proveniente desde la IP 172.16.0.0 hasta la IP 172.16.0.255, es decir el tráfico que tiene como origen la subred 172.16.0.0/24

Finalmente se ejecutará la sentencia implícita.

Dado que la ACL ya está aplicada a la interfaz, no es necesario volver a aplicarla a pesar de haber sido modificada. Veamos ahora los resultados:

Ping desde PC1. (debería estar cortado):

Efectivamente lo está.

Ping desde PC2. (debería estar permitido).

Efectivamente lo está.

10.6 ACL extendidas

Las ACL extendidas se usan más que las ACL estándar porque proporcionan más flexibilidad y control. Las ACL extendidas comprueban las direcciones IP de origen y destino y también pueden comprobar los protocolos y números de puerto TCP y UDP.

Una ACL extendida puede permitir el tráfico de correo electrónico desde una interfaz a otra específica, y a su vez denegar el tráfico web entre las mismas interfaces.

Veamos la sintaxis de las ACL extendidas:

Access-list número_lista_acceso deny / permit protocolo origen wildcar_origen destino wildcard_destino

El protocolo puede ser ip, tcp, udp, icmp e igmp.

Tanto en el origen como el destino se puede hacer referencia al puerto mediante un operador:

eq. Indica igual

lt. Indica menor que

gt. Indica mayor que

El puerto puede ser indicado tanto por la aplicación de nivel superior (www, ftp, ftp-data,…) como por el número de puerto (80, 21, 20,…).

Dada la complejidad de las ACL extendidas es recomendable crear la ACL en un archivo de texto y luego copiarla en la configuración del router.

La aplicación de las ACL extendidas a las interfaces es equivalente a las ACL estándar.

Ip Access-group número_lista_acceso in / out

Sólo se permite una ACL por interfaz, dirección y protocolo.

Antes de ver un ejemplo de ACL extendida, vamos a pensar un poco sobre la colocación de las ACL.

Las ACL controlan el tráfico filtrando paquetes y eliminando tráfico no deseado en una red. Una consideración importante sobre las ACLs es su colocación en la red. Una colocación adecuada permite, además de filtrar tráfico, que la red funcione de forma más efectiva.

La norma general es colocar la ACL extendida tan cerca del origen del tráfico denegado como sea posible (de esta forma evitamos que circulen paquetes que en caso de no hacerse en origen deberán descartarse más adelante). Las ACL estándar no especifican direcciones de destino, por lo que deben colocarse tan cerca del destino como sea posible.

Sea el siguiente esquema de conexionado:

Se nos pide, como administradores de la red, que los equipos de la LAN de Huelva puedan acceder exclusivamente al servidor web (con IP 172.18.0.10) de la LAN de Sevilla. Cualquier otro tráfico con origen en dicha LAN no debe alcanzar ningún equipo que no sea el servidor web, y éste sólo debe alcanzarse vía http.

Desde la LAN de Huelva (172.16.0.0/24) sí deben alcanzarse otras subredes:

172.17.0.0/24 172.19.0.0/24 (no está en el esquema).

Veamos la configuración de la ACL paso a paso.

PASO 0. ¿ACL estándar o extendida?

Dado que debemos tratar con un tráfico específico como el web usamos las ACLs extendidas.

PASO 1. ¿Dónde ubicamos la ACL?

Dado que se trata de una ACL extendida, la situamos lo más cerca posible del origen que debe ser filtrado. En este caso la interfaz LAN (Fa0/0) del router de Huelva. Así evitamos que circulen paquetes por la red de forma innecesaria, ya que serían descartados más adelante.

PASO2. Configurar la ACL

En el modo de configuración global, introducimos las sentencias de la ACL, en el orden correcto. Veámosla una a una:

Usamos 102 como número de la lista de acceso (recordemos que las ACLs extendidas están comprendidas entre 100 y 199). En este comando indicamos que el tráfico tcp desde la LAN de Huelva destinado al servidor web en la LAN de Sevilla sea permitido.

Con este segundo comando denegamos el resto del tráfico que va desde la LAN de Huelva a la LAN de Sevilla.

Este comando es necesario para poder acceder a las subredes indicadas (172.17.0.0/24 y 172.19.0.0/24). Si no se hubiera configurado, la sentencia implícita deny any hubiera imposibilitado estos accesos.

La configuración de la máscara wildcard 0.3.255.255 sobre la IP 172.16.0.0 permitiría acceder a las subredes:

172.16.0.0 /24

172.17.0.0 /24

172.18.0.0 /24

172.19.0.0 /24

Dado que la primera es la subred origen, no se tiene en cuenta. La tercera es la subred previamente denegada en el segundo comando. Por tanto al estar antes tiene prioridad sobre el actual. Por tanto cumplimos con los requisitos que nos han impuesto.

Paso 3. Aplicar la ACL a la interfaz

Paso 4. Comprobaciones

En primer lugar vamos a comprobar que desde un PC de la LAN de Huelva (PC1, por ejemplo) se puede acceder al servidor Web de la LAN de Sevilla vía Web.

Observamos que es correcto.

A continuación vamos a probar que cualquier tráfico desde la LAN de Huelva, distinto al anterior, no puede acceder a la LAN de Sevilla. Vamos a probarlo ejecutando un ping al servidor web:

Podemos corroborarlo ejecutando un ping a otro PC de la LAN de Sevilla, por ejemplo el PC3 (172.18.0.2)

Efectivamente, funciona como queríamos.

Finalmente nos queda comprobar que desde la LAN de Huelva (172.16.0.0/24) se puede acceder a las subredes 172.17.0.0/24 y 172.19.0.0/24

Hacemos una comprobación con la interfaz WAN del router de Sevilla, que pertenece a la subred 172.17.0.0/24

Ping que también ha resultado exitoso.

Finalmente, como todo ha ido bien, guardamos la configuración con el comando ya conocido:

10.7 Uso de ACL con los firewalls

Un firewall es una computadora o un dispositivo de red existente entre el usuario y el mundo exterior para proteger la red interna de los intrusos. Usualmente, los intrusos provienen de Internet y de las miles de redes que interconecta.

En una arquitectura de firewall, el router conectado a Internet se conoce como router exterior. El router que conecta con los usuarios se conoce como router interior. El servicio firewall se implementa entre ambos routers. Dicha implementación puede variar significativamente en función del nivel de seguridad deseado.

Las ACL deben utilizarse en los routers firewall o routers frontera (exterior e interior), que suelen ubicarse entre la red interna y la red externa como Internet. El router firewall proporciona un punto de aislamiento para que el resto de la estructura de red interna no se vea afectada.

Resumen

En este tema hemos aprendido a configurar las ACL, tanto estándar como extendidas, en los routers para filtrar el tráfico según las necesidades de la organización. También hemos visto que las ACL se suelen configurar en los routers firewall.

objetivoscampus.fspaugtformacion.org/cursos/curso303/descarga/... · 2013-03-22 · tema1.el modelo...

Documents