REPÚBLICA
BOLIVARIANA DE VENEZUELA
MINISTERIO
DEL PODER POPULAR PARA LA EDUCACIÓ UNIVERSITARIA INSTITUTO UNIVERSITARIO DE
TECNOLOGÍA DE YARACUY
PROGRAMA
NACIONAL DE FORMACIÓN EN INFORMÁTICA
Informática 074501
Integranetes:
Medina Brayhann C.I: 20.891.529
Restrepo Heyleen C.I: 18.091.300
Sequera Roberth C.I: 20.892.037
Vásquez Yolimar. C.I: 20.889.133
Profesor: Francisco Barrios
INDEPENDENCIA, JUNIO 2014
Contenido
Operatividad de una
red electrónica de datos
·
Configuración de equipos de computo
·
Lista de acceso
Operatividad de una red
electrónica de datos
La
operatividad de una red electrónica de datos es considerada un conjunto de personas que interactúan a través de los
medios de Internet y están
enlazadas por un interés común. Al hacerlo,
se pueden convertir en una sociedad de ideas. Se refiere a la Forma de comunicación que
apunta a unir a individuos y organizaciones traspasando las fronteras físicas y
de tiempo. Las redes electrónicas son comunidades virtuales conectadas y
moderadas a través de Internet. Este
tipo surgió como respuesta a la necesidad de poder estructurar las conexiones
de equipos de un edificio por medio de software.
En los últimos años la sociedad tecnológica en la que hoy en día
vivimos, a determinado que una red de datos no es mas que un sistema que
vincula dos o más puntos (terminales) mediante un medio físico, el cual sirve
para enviar o recibir un determinado flujo de información.
Es importante destacar que el El medio de
Internet ofrece muchos beneficios entre ellos:
• Vías económicas y rápidas para comunicarse en forma escrita
entre sí (las versiones de audiovisuales de dicha comunicación no tienen aún un
uso difundido en esta etapa);
• Intercambio rápido y facilitado (o moderado) de diálogo escrito
sobre
• Acceso a sitios de Internet operados por moderadores de red o
por personas suscritas que brindan Información (organizada) relevante para sus
miembros.
Una red electrónica de datos
tiene una serie de funciones descritas a continuación:
- Infraestructura
y aptitudes de la Formación de Redes Electrónicas: Esta función Ayuda
a que los miembros de la red cuenten con los equipos necesarios (hardware
y software) y las aptitudes para trabajar con la red electrónica. Esto se
puede asumir a través del desarrollo de una página Web, haciendo énfasis a
talleres de aptitudes, asesoría sobre software entre otros.
- Comunicación Básica: En esta función se Puede realizar diversos intercambios en momentos necesarios de
manera rápida y fácil entre actores, es decir las personas conectadas al
equipo de trabajo y que estén geográficamente dispersos, pero en momentos
determinado necesiten cooperar. Esto se realiza principalmente a través de
listas de correo electrónico o a través de documentos o datos grandes para
acceso a los socios, pero también incluye acceso a detalles de contacto.
- Creación de Relaciones: básicamente esta función; permite a las personas crear con
facilidad una red de contactos con quienes necesiten o deseen interactuar,
a las cuales recurrir para realizar mejor su trabajo
atreves de una Red Electrónica datos.
Configuración de equipos de
cómputo
En toda
red de computadoras existen equipos de comunicación que son diseñados para
establecer esa conexión entre ordenadores, pero para poder llevar la
transmisión de datos de una red, a través de las estaciones de trabajo y
ordenadores es necesaria la configuración del modem, procesadores de canal de
transmisión, procesadores de comunicaciones
y los PBX de datos. Es de suma Importancia saber su configuración para
poder garantizar la interconexión en la red. Dicha interconexión de diversos
equipos trae consigo múltiples beneficios.
Como compartir información, de igual manera el uso común del software y
hardware y un centro administrativo. Compartir información; La posibilidad de compartir información y datos de manera rápida y
accesible por todos los usuarios con permisos en la red es una de las
principales de ventajas a la hora de montar una red. Con el uso en común de hardware y
software, los usuarios de cada estación de trabajo no necesitan tener sus
propias impresoras o periféricos conectados directamente, sino que se puede
hacer uso de ellas en común, ahorrando lógicamente gastos en material. Además, el uso del Software
compartido permite que una aplicación sea usada desde distintos puestos de
trabajo, lo que desemboca en una mayor productividad. Con la configuración de los en
equipos en red las tareas de administración y soporte se simplifican y se hacen
más accesibles ya que desde una misma ubicación el administrador de red puede
realizar las distintas tareas administrativas en cualquier equipo de la red.
Configuración de:
Modem
Servidor
Swicht
Routers
Impresora en un grupo
de trabajo
Servidores
Proceso de instalación
Podemos
instalar Debian de diversas maneras, de las cuales las más comunes son los CDs
con las imágenes y la instalación por Internet. También lo podemos comprar en
alguna tienda por un precio muy reducido. Toda la información la encontraremos en http://www.debian.org, (en el pie de
página podemos cambiar el idioma a castellano o catalán).
Como
no nos hace falta más que los programas básicos, es más que rentable hacer la
instalación por Internet, ya que si nos tuviésemos que bajar un CD entero (650
Mb) no lo aprovecharíamos. Además, no nos hará falta usar una grabadora de CDs,
sinó sólo unos cuantos disquets vacíos.
El
proceso es sencillo:
Bajamos
las imágenes de los disquets del mismo FTP de Debian. Las imágenes de tamaño
disquet para la versión estable y un procesador x86 las encontraremos en:
ftp://ftp.debian.org/debian/dists/stable/main/disks-i386/current/images-1.44
En
este directorio hay muchos ficheros .bin de 1'4 Mb cada uno. Para empezar
necesitamos bajar los siguientes;
driver-1.bin
, driver-2.bin
, driver-3.bin
, driver-4.bin
, rescue.bin
yroot.bin
.
NOTA:
Si podemos usar otro ordenador a la vez, no hace falta usar un disco distinto
para cada fichero BIN: podemos hacerlo sólo con dos si los vamos turnando de
manera que mientras uno se está leyendo el otro se esté grabando, y viceversa.
Grabamos
las imágenes en disquetes de 1'4 Mb. Esto lo podemos hacer desde Linux con el
comando
dd if=nombre-de-la-imagen.bin of=/dev/fd0
o desde Windows con programas como
rawrite2 u otros que transfieran el archivo byte por byte hacia el disquete.
Insertamos
el disquete correspondiente a
rescue.bin
y encendemos el ordenador. Cuando
aparezca boot:
pulsamos Intro. Al cabo de un tiempo
nos pedirá el disquetecorrespondiente a root.bin
y continuará la instalación.
Vamos
siguiendo la instalación de forma normal, fijándonos especialmente en los siguientes puntos:
Particiones:
son necesarias dos: una swap (tipo 82) no muy grande (más o menos el mismo
número de Mb que la RAM del ordenador, aunque un valor entre 50 y 100 Mb. ya va
bien), y el resto del disco destinado a la otra partición, de tipo Linux Native
(número 83), con punto de montaje en la raíz (“
/
“). Si es posible, mejor crear primero
la Native y luego la swap para poder llamarlas después/dev/hda1
y /dev/hda2
respectivamente. También hay que
marcar la Native como bootable.
Cuando
pregunte dónde está el kernel, le diremos que en la disquetera:
/dev/fd0
y vamos metiendo los disquets que nos
pida.
Módulos
del kernel: como mínimo hay que añadir ahora los drivers para la tarjeta de
red. Si no lo hacemos, no podremos instalar nada desde Internet. En nuestro
caso añadiremos el módulo
rtl8139
de la categoría net
.
Si queremos añadir alguno más (para usb, sistemas de archivos, impresoras,
dispositivos especiales, etc) lo podemos hacer ahora, aunque una vez instalado
también es muy fácil añadir y quitarlos con modconf
.
Nombre
de host: lo podemos cambiar en cualquier momento, pero mejor decidir uno ahora
y no cambiarlo. Por ejemplo,
bruguers
.
IP
del ordenador: normalmente se pone la IP de la red, acabada en un número
pequeño. Por ejemplo, en nuestro caso podemos poner 192.168.0.2 (192.168.0.1 es
para el router).
Lilo:
no hace falta porque sólo tenemos un sistema operativo, pero tampoco pasa nada
por instalarlo. Irá bien si queremos poder arrancar con diferentes kernels.
Disco
de arranque: no hace falta, pero siempre va bien tener uno.
Después
de reiniciar, continuaremos con la personalización del sistema. Seleccionaremos
las opciones recomendadas, asegurándonos de activar la opción de contraseñas
shadow.
A
la hora de crear usuarios, tendremos que escribir la contraseña de root., el
usuario más importante del sistema. Es extremadamente importante escoger una
buena contraseña. Además, por
seguridad no trabajaremos siempre con el usuario root (es peligroso) sinó que
nos crearemos otra cuenta de usuario normal (con nuestro nombre o nick).
Cuando
nos pregunte desde dónde instalar los paquetes, le decimos que por ftp y
escogemos uno de la lista (por ejemplo, ftp.debian.org). Entonces, Debian
utilizará
apt
para bajar las últimas versiones de
cada programa. Tendremos que decidir qué grupos de programas decidimos
instalar. Seguiremos estas indicaciones:
No
nos harán falta las X (para el modo gráfico), pues todo lo necesario se puede
hacer desde consola.
Juegos
y programas de ocio tampoco; con la configuración del Linux tendremos
entretenimiento para un buen rato.
Servidores
web, DNS, mail, etc. los instalaremos individualmente en los diferentes
apartados, o sea que tampoco deben ser marcados.
Herramientas
C y C++: son básicas para compilar los programas. Se tienen que instalar.
Entorno
en español: opcional. Si lo marcamos, algunas páginas de ayuda saldrán en
español, pero quizás no estén tan actualizadas.
Marcando
pocos paquetes nos aseguramos de que no quede instalado
nada que no nos haga falta. Si no lo hacemos así, al acabar la instalación
serían tantos los servicios disponibles que alguna persona se podría aprovechar
y entrar al servidor sin permiso.
Cuando
todo esté listo, aparecerá la lista de paquetes a bajar y lo que ocupan. Le
decimos que continúe y dejamos el ordenador encendido mientras baja cada
paquete junto con sus dependencias. Cuando acabe, tendremos que configurar
algunos mientras que otros se descomprimirán e instalarán automáticamente. Si
pregunta cómo configurar el correo, le diremos que no lo queremos configurar;
así evitaremos muchos bugs innecesarios.
Al
final acabaremos en la pantalla de login, que aparecerá cada vez que encendamos
el ordenador para pedirnos el nombre de usuario y la contraseña.
Configuraciones básicas
Ahora
que tenemos el sistema operativo instalado hay que hacer unas configuraciones
sencillas, que deben hacerse antes de empezar a poner programas y demonios. Lo
primero que hace falta es identificarse como root (con la contraseña que
pusimos en la instalación).
Lo
que haremos será:
Configuración
de apt: apt es el sistema de control de paquetes exclusivo de Debian.
Cada vez que haga falta instalar un programa, sólo habrá que escribir su nombre
y apt se conectará al FTP de Debian, bajará la última versión y sus
dependencias, haciendo la instalación sin ningún problema.
Por
defecto ya tenemos una buena configuración de los servidores en el fichero
/etc/apt/sources.list
,
pero podemos ejecutar apt-setup
(como root) y decidir según nuestras
preferencias si queremos tener software totalmente libre (estilo Debian) o
aceptamos cualquier programa, aunque tenga partes de código cerrado. También
hemos de escoger un servidor. Preferiblemente usaremos el de Estados Unidos
ftp.debian.org (el central) porque los situados en España suelen ser más lentos.
Actualización
de paquetes: una vez definidos los servidores de apt, haremos
apt-get
update
para
actualizar la información sobre los nuevos paquetes con el servidor. No se
instalará nada aún; sólo se sincronizan.
Para
actualizar los paquetes instalados con las nuevas versiones disponibles hay que
hacer un
apt-get upgrade -u
(el -u es para mostrar los nombres).
Después de mostrar la lista de paquetes a bajar, respondemos (Y/n) y sólo habrá
que esperar a que acabe. Puede que mientras los instale aparezca alguna
pregunta, pero normalmente da suficiente información para saber qué hay que
responder.
Si
queremos algún paquete adicional sólo hay que hacer
apt-get
install nombre.
Podemos
instalar programas en cualquier momento, a medida que los necesitemos. En el
anexo hay una lista de programas recomendados. También es recomendable instalar
ahora gpm
para poder utilizar el ratón en
la consola (se configura con gpmconfig
).
Locales:
Podemos
decirle a Debian que preferimos los programas y la ayuda en español haciendo un
dpkg-reconfigure
local
y
seleccionando es_ES
y es_ES@euro
.
Así podremos usar acentos y otros
símbolos especiales como el del euro, además de ver la mayoría de mensajes y
programas en español y no en inglés.
Hora del
sistema: no es sólo para poder consultarla y no tener que mirar el
reloj: en Linux hay muchas acciones que dependen del tiempo. Por ejemplo,
at
y crontab
ejecutan tareas programadas puntuales
o periódicamente. Podemos ver la hora y la fecha con date
.
Recordamos que nuestra zona horaria es la CET, y que tiene un desfase de +1 h. respecto de la UTC (que podemos ver
con date
-u
y que debe ser
de una hora menos que nuestra hora).
Para
cambiar el día y la hora podemos poner comandos como:
date
-s “25/12/2003”
o date
-s “13:15:42”
Tareas
programadas: hay acciones que se ejecutan cada día, cada semana o cada
mes; el problema es que quizás el ordenador no esté encendido a las horas que
hay puestas por defecto (6:25, 6:47 y 6:52). Sólo hay que cambiar en
/etc/crontab
el segundo número de cada línea -que
representa la hora de una acción programada- por una más apropiada que a las 6
de la mañana; por ejemplo, las 10 de la mañana.
Hagamos
más cómoda la shell: al principio de
/etc/profile
podemos poner las líneas que se ejecutarán cada vez
que iniciemos sesión. Algunos comandos útiles que podemos poner son alias
ls=”ls --color”
para
ver el listado de ficheros en colores sólo escribiendo ls
,
o setleds
+num
para activar
NumLock. Podemos definir muchos más alias, como alias
“cd..”=”cd ..”
, alias i=”apt-get install”
, alias
u=”apt-get update && apt-get upgrade -u”
, y muchos más.
Para órdenes más largas, mejor hacer un script y colocarlo en el PATH (por
ejemplo en /usr/bin
).
Protección
de algunos archivos importantes: hay archivos que un
usuario normal no tiene que necesitar ver. Por eso quitaremos los permisos de
lectura, escritura o ejecución de cada uno de ellos, usando el comando
chmod
.chmod o-x
/etc/passwd /etc/exports /etc/*netd.conf
(
/etc/passwd
tiene información sobre los usuarios
del sistema y sus privilegios, /etc/exports
dice a qué directorios se puede
acceder remotamente, y /etc/inetd.conf
o xinetd.conf
dice qué servicios se cargan cada vez
que se enciende el PC).
Instalación
de un kernel nuevo, si hay: no es necesario si no tenemos problemas con
el actual, pero es recomendable porque soluciona problemas de seguridad que
afectan a todo el sistema. Además, algunas cosas cambian, como por ejemplo la
forma de implementar las reglas del cortafuegos que montaremos (con el 2.4).
Podemos ver la versión del kernel actual con
uname
-a
. Los nuevos kernels se encuentran precompilados, o sea, que
sólo hace falta bajarlos con apt-get. Para saber el nombre y tipo de kernel que
necesitamos, podemos buscar en la base de datos local de paquetes con apt-cache
search kernel-image
y
fijarnos en todos los disponibles. La versión ha de ser superior al actual y la
plataforma ha de ser la de nuestro sistema (p. ej. 386 para un 80386, 586 para
Pentium I, 686 para Pentium 2, 3, 4 y Celerons, k6/k7 para AMD, etc.). No hay
que bajar una versión SMP ya que estas siglas son de “Symmetric
Multiprocessor”, cosa que no tenemos.
Pero
antes hay que hacer una pequeña modificación en
/etc/lilo.conf
(si no la hacemos ahora nos lo
recordará al bajar el kernel). Se trata de buscar la línea donde poneimage=/vmlinuz
y añadir justo debajo (o en el mismo
párrafo) la opción initrd=/initrd.img
. Entonces ya podemos hacer un apt-get
install kernel-image-versión-arquitectura
(ej. apt-get install kernel-image-2.4.18-686
)
y pedirle que nos cree el enlace simbólico initrd.img cuando lo pregunte.
A
partir de ahora el Lilo (gestor de arranque) nos pedirá si queremos entrar en
Linux o en LinuxOld, la versión antigua del kernel. Si no nos funciona una
podemos entrar usando la otra. Es recomendable reiniciar ahora y probar el
nuevo kernel; si no funcionase habría que hacer predeterminado al otro
modificando
/etc/lilo.conf
Configuración de un Router
Equipo
necesario
Un
Router Cisco
Dos
PC (representado las redes)
El
cable de consola proporcionado con el router
Esquema
de pirámide
Configuración
IP de los PC
PC
1:
Dirección
IP/Mascara: 192.168.1.254/24
Puerta
de enlace: Será la dirección IP de la interfaz del router a la cual
está conectada el PC
PC
2:
Dirección
IP/Mascara: 10.0.0.254/8
Puerta
de enlace: Será la dirección IP de la interfaz del router a la cual está
conectada el PC
Las
dos redes ya están conectadas al router. Sin embargo, no hay comunicación entre
ellas. Comenzaremos por conectar el cable de consola (cable azul) entre el
router y el PC que se va a utilizar para la configuración.
Inicialmente, utilizaremos HyperTerminal (de Microsoft) para efectuar las operaciones necesarias.
Inicialmente, utilizaremos HyperTerminal (de Microsoft) para efectuar las operaciones necesarias.
IOS es
el acrónimo de “Internetworks Operating System", en español “Sistema
operativo para la interconexión de redes”.
Este
sistema puede ser administrado en línea de comandos, propios a los equipos de
Cisco Systems.
Modo
usuario: Permite consultar toda la información relacionada al router sin poder
modificarla. El shell es el siguiente:
Router
>
Usuario
privilegiado: Permite visualizar el estado del router e importar o exportar
imágenes de IOS. El shell es el siguiente:
Router
#
Modo
de configuración global: Permite utilizar los comandos de configuración generales
del router. El shell es el siguiente:
Router
(config) #
Modo
de configuración de interfaces: Permite utilizar comandos de configuración de
interfaces (Direcciones IP, mascaras, etc.). El shell es el siguiente:
Router
(config-if) #
Modo
de configuración de línea: Permite configurar una línea (ejemplo: acceso al
router por Telnet). El shell es el siguiente:
Router
(config-line) #
Modo
espacial: RXBoot Modo de mantenimiento que puede servir, especialmente,
para reinicializar las contraseñas del router. El shell es el siguiente:
rommon
>
Esta
parte explica como poner una contraseña al usuario privilegiado.
Lo primero que hay que hacer es conectarse en modo privilegiado, luego en modo de configuración global para efectuar esta manipulación:
Lo primero que hay que hacer es conectarse en modo privilegiado, luego en modo de configuración global para efectuar esta manipulación:
Router
> enable
Router # configure terminal
Router (config) #
Una
vez en modo de configuración global, tan solo hay que ingresar un comando para
poner una contraseña:
Router
(config) # enable password contraseña
La
próxima vez que un usuario intente conectarse en modo usuario privilegiado, le
será solicitada una contraseña.
Hasta
aquí, se recomienda guardar regularmente la configuración utilizando el
siguiente comando (en modo privilegiado):
copy running-config startup-config
Ahora,
debemos hacer que se comuniquen las dos redes conectadas al router. Supongamos
que el nombre de la interfaz conectada a PC1 es fa0/0 y el de la
conectada a PC2 es fa0/1 y que estamos en modo de configuración
global.
A continuación los comandos a ingresar:
A continuación los comandos a ingresar:
Interfaz
fa0/0:
Router
(config) # interface fa0/0
Router (config-if) # ip address 192.168.1.1
255.255.255.0
Router (config-if) # no shutdown
Router (config-if) # exit
Interfaz fa0/1:
Router (config) # interface fa0/1
Router (config-if) # ip address 10.0.0.1 255.0.0.0
Router (config-if) no shutdown
Router (config-if) exit
Esto
es todo en relación a la configuración de las interfaces. Las dos redes
deberían ahora comunicarse entre ellas. Podemos comprobarlo con un
comando ping de un PC de una red hacia un PC de otra red.
No olvides guardar tu configuración actual utilizando el comando apropiado.
No olvides guardar tu configuración actual utilizando el comando apropiado.
Configuración
del acceso Telnet al router
Ya
que la configuración con el cable de consola y HyperTerminal no es práctica, se
puede permitir que los administradores se conecten al router vía una sesión
Telnet desde cualquier PC de una de las dos redes.
Pasamos primero en modo de configuración global, luego en modo de configuración de línea VTY:
Pasamos primero en modo de configuración global, luego en modo de configuración de línea VTY:
Router
> enable
Password?:
Router # configure terminal
Router (config) # line vty 0 4
Configurará
la posibilidad de 5 sesiones telnet simultáneas en este router.
Llegamos ahora al prompt de configuración de línea. Para activar Telnet, no hay más que poner una contraseña a la línea:
Llegamos ahora al prompt de configuración de línea. Para activar Telnet, no hay más que poner una contraseña a la línea:
Router
(config-line) # password contraseña
Router
(config-line) # exit
Guardamos
la configuración.
Hemos
terminado con la configuración básica del router. Ahora vamos a hacer un
resumen de los diferentes comandos utilizados y que pueden ser utilizados en el
caso precedente.
Importante: antes
de conectarnos vía una sesión Telnet debemos haber definido una contraseña para
elmodo privilegiado. Si no es así, el router rechazará la conexión.
Resumen
de los comandos IOS básicos
NOTA: Si
varios comandos aparecen uno después de otro para una misma función, esto
significa que todos tienen la misma función y que cualquiera de ellos puede ser
utilizado indistintamente.
Usuario
normal: Ningún comando a ejecutar, es en este modo que comienza una sesión.
Usuario
privilegiado (a ejecutar desde el modo normal):
Router
> enable
Router
> en
Modo
de configuración global (a ejecutar desde el modo Privilegiado):
Router # configure Terminal
Router # conf t
Modo
de configuración de interfaz (a ejecutar desde el modo de configuración
global):
Router (config) # interface nombre_interfaz
Router (config) # int nombre_interfaz
Modo
de configuración de línea (a ejecutar desde el modo de configuración
global):
Router
(config) # line nombre_de_la_linea
Los
comandos de información permiten mostrar la información relativa al router.
Todos comienzan con el prefijo show o sh. La mayoría deben ser
ejecutados desde el modo privilegiado.
Mostrar
el archivo de configuración actual del router:
show running-config
show run
sh run
Mostrar
información sobre la configuración de hardware del sistema y sobre el IOS:
show
version
sh
version
Mostrar
los procesos activos:
show
processes
Mostrar
los protocolos configurados de la capa 3 del modelo OSI:
show
protocols
Mostrar
las estadísticas de memoria del router:
show
memory
Mostrar
información y estadísticas sobre una interfaz:
show
interfaces nombre_interfaz
sh
interfaces nombre_interfaz
sh
int nombre_interfaz
*Mostrar
la tabla de enrutamiento IP:
<code>sh
ip ruta
Estos
comandos están ligados a la configuración de la interfaz del router. La mayoría
deben ser ejecutados desde el modo de configuración de interfaz.
Asignación
de una dirección IP a una interfaz:
ip
address @IP mascara
Activación
de la interfaz:
no
shutdown
Estos
comandos permiten hacer una copia de seguridad de la configuración actual para
restaurarla automáticamente en caso de reinicio del router. Estos se ejecutan
en modo Privilegiado.
Copia
de seguridad con solicitud de confirmación:
copy running-config startup-config
copy run start
Copia
de seguridad sin solicitud de confirmación:
write
Este
comando permite regresar a la última configuración guardada, anulando todas las
modificaciones que han sido hechas después a la configuración. Se ejecuta en
modo Privilegiado.
copy
startup-config running-config
copy
start run
Para
anular un comando en particular, utilizaremos el prefijo no delante
del comando que se ejecuto anteriormente.
Ejemplo:
anular la configuración de una interfaz:
no
ip address
El
nombre del router puede ser modificado a fin de poder diferenciarlo en la red o
redes. El comando será ejecutado en modo de configuración global.
host NuevoNombre
host NuevoNombre
Un
nombre diferente aparecerá en el prompt en sesiones HyperTerminal o Telnet.
Antes:
Router
>
Después:
NuevoNombre
>
Estos
comandos deben ser ejecutados en modo de configuración global:
Asignación
normal:
enable
password contraseña
Asignación
encriptada:
enable
secret contraseña
Configurar un Enrutador Inalámbrico en Windows
Cuando se configura
un enrutador inalámbrico, crea una red inalámbrica. Este proceso consta de
cuatro pasos principales:
v
Obtener el hardware
adecuado.
v
Configurar el enrutador.
v
Conectar el enrutador a
Internet (si desea acceso a Internet).
v
Conectar los equipos a la
red.
Cada uno de estos pasos se describe en
detalle en las siguientes secciones.
1. Obtener
el hardware adecuado
Es necesario el siguiente hardware para
configurar una red inalámbrica:
·
Un enrutador inalámbrico.
Para obtener información acerca de cómo seleccionar un enrutador inalámbrico,
consulte Seleccionar un enrutador inalámbrico u otro dispositivo de red
inalámbrico.
·
Un equipo con un adaptador
de red inalámbrico.
·
Un equipo con un adaptador
de red cableada (usado únicamente durante la configuración; éste puede ser el
mismo equipo que posee el adaptador de red inalámbrico).
·
Un cable de red (Ethernet)
(usado únicamente durante la configuración; si desea conectarse a Internet y
posee un módem de banda ancha independiente, necesitará un segundo cable
Ethernet).
2. Configurar
el Enrutador
Si su enrutador muestra el logotipo de
Windows 7 o la frase "Compatible con Windows 7", puede
configurarlo automáticamente con la última versión de Windows Connect Now (WCN)
en Windows 7 o Windows Vista Service Pack 2. Siga estos pasos para
configurar el enrutador automáticamente:
1. Desempaquete
el enrutador y conéctelo a una fuente de energía. Debido a que está utilizando
WCN, no necesita conectar físicamente el enrutador al equipo.
2. Para
abrir Conectarse a una red, haga clic en el icono de la red ( o ) en el
área de notificación.
Se
muestra una lista de las redes disponibles actualmente.
3. Haga
clic en la red predeterminada de su enrutador, que se identifica por el nombre
del fabricante.
4. Siga
las instrucciones que aparecen en pantalla.
Nota: WCN
configura la
red con la seguridad activada de manera predeterminada. Puede cambiar los
valores de configuración de seguridad más adelante si lo desea.
Incluso
si WCN no está disponible, la mayoría de los enrutadores incluyen un CD de
instalación para brindar ayuda durante el proceso de configuración. Revise la
información que se proporciona con el enrutador.
Si
WCN no está disponible, también puede seguir estos pasos para configurar el
enrutador manualmente:
1. Desempaquete
el enrutador y conéctelo a una fuente de energía.
2. Conecte
un extremo del cable de red al adaptador de red cableada del equipo y conéctelo
al otro extremo del enrutador inalámbrico (en cualquier puerto que no tenga la
etiqueta "Internet", "WAN" o "WLAN").
3. Abra
el explorador web y escriba la dirección de la página web de configuración del
enrutador. Para la mayoría de los enrutadores, la dirección de la página web de
configuración es http://192.168.0.1 o http://192.168.1.1. La siguiente lista
ofrece información sobre cómo obtener acceso a la página web de algunos de los
enrutadores más comunes.
Enrutador
|
Dirección
|
Nombre de usuario
|
Contraseña
|
3Com
|
http://192.168.1.1
|
admin
|
admin
|
D-Link
|
http://192.168.0.1
|
admin
|
|
Linksys
|
http://192.168.1.1
|
admin
|
admin
|
Banda ancha de Microsoft
|
http://192.168.2.1
|
admin
|
admin
|
Netgear
|
http://192.168.0.1
|
admin
|
contraseña
|
Después
de obtener acceso a la página de configuración, se le solicitará que inicie
sesión con un nombre de usuario y contraseña. Para conocer el nombre de usuario
y contraseña, consulte la tabla anterior o revise la información proporcionada
con el enrutador.
4. Ejecute
la utilidad de configuración del enrutador, si tiene una. Si no cuenta con
ninguna utilidad de configuración, configure los siguientes ajustes manualmente
al consultar la información incluida con su enrutador.
v Seleccione
un nombre para la red inalámbrica al especificar el identificador del conjunto
de servicios (SSID).
v Seleccione
el tipo de cifrado (WPA, WPA2 o WEP) que desea usar para la seguridad y
actívelo.
Nota: Se
recomienda usar WPA2, si es posible. No es recomendable usar WEP. WPA o WPA2
son más seguros. Si prueba WPA o WPA2 y no funcionan, se recomienda que
actualice el adaptador de red a una versión compatible con WPA o WPA2.
v Seleccione
una clave de seguridad que usará para obtener acceso a la red inalámbrica.
v Cambie
la contraseña administrativa predeterminada del enrutador por una nueva
contraseña a fin de que otras personas no puedan obtener acceso a su red.
3. Conectar
el enrutador a Internet
La
conexión de su enrutador a Internet otorga conexión a Internet a todas las
personas de su red.
Según
el tipo de conexión a Internet que tenga, este paso puede presentar
variaciones:
v
Si dispone de un servicio de
Internet de banda ancha (cable, ADSL o fibra óptica), conecte el cable
suministrado por su proveedor de banda ancha al enrutador (la conexión
usualmente se marcará como "Internet").
v
Si dispone de un módem de
banda ancha independiente, conecte un extremo del cable Ethernet al puerto de
Internet del enrutador y el otro extremo al módem. A continuación, conecte el
cable suministrado por su proveedor de banda ancha al módem.
4. Conectar los equipos a la red
Puede mantener su equipo inicial
conectado permanentemente al enrutador mediante una conexión por cables o puede
optar por una conexión inalámbrica. Para conectar otros equipos a la red, siga
estos pasos:
1.
Inicie
sesión en el equipo que desea conectar a la red.
2.
Para abrir Conectarse a una red, haga
clic en el icono de la red ( o ) en el
área de notificación.
3.
Elija
la red inalámbrica en la lista que aparece y, a continuación, haga clic en Conectar.
Advertencia:
Siempre que sea posible, debe conectarse a una red
inalámbrica con seguridad habilitada. Si se conecta a una red que no es segura,
tenga en cuenta que cualquier usuario con las herramientas adecuadas podrá ver
todo lo que usted hace, incluidos los sitios web que visita, los documentos con
los que trabaja y los nombres de usuario y las contraseñas que usa. Cambiar la
ubicación de red a Pública puede ayudarle a reducir los riesgos.
4. Realice
una de las acciones siguientes:
v Si
el enrutador admite Windows Connect Now (WCN) o Wi‑Fi Protected Setup (WPS), y
el enrutador cuenta con un botón de comando, presiónelo y espere unos segundos
mientras el enrutador agrega automáticamente el equipo a la red. No es
necesario que escriba una clave de seguridad.
v Escriba
la clave de seguridad o frase de contraseña si se le solicita que lo haga y, a
continuación, haga clic en Aceptar.
v Si
desea usar una unidad flash USB para copiar los valores de configuración de red
en su equipo en lugar de escribir una clave de seguridad o frase de contraseña,
busque "Agregar un dispositivo o un equipo a una red" en Ayuda y
soporte técnico.
Verá
un mensaje de confirmación cuando esté conectado a la red.
Configuración de
una Impresora en Red con Windows
1. Dar clic en menú "Inicio" y luego clic en
"Panel de control", y después clic en
"Impresoras y faxes" y selecciona "Agregar impresora". Pulsar el botón
"Siguiente" en la ventana que se abre.
2. Seleccionar "Impresora local conectada a este
equipo" y desmarcar la casilla junto a "Detectar e instalar
automáticamente mi impresora". Pulsar el botón "Siguiente"
3. Seleccionar el botón "Crear un nuevo puerto". Elija
"estándar TCP / IP" en el "Tipo de puerto" en el menú desplegable. Hacer clic en "Siguiente".
4. Hacer clic en
"Siguiente" cuando abra "Asistente para agregar puerto de impresora".
Escribe la dirección IP de la impresora en red en el campo "Nombre de
impresora o dirección IP". No cambies nada en el "Nombre de puerto";
se llenará automáticamente. Pulsa el botón "Siguiente". Permite que
Windows busque la impresora basándose en esta dirección IP. Haz clic en "Finalizar" cuando el
proceso esté completo.
5. Seleccionar la marca y el modelo de la impresora en el cuadro
"Instalar el software de la impresora". Pulsa el botón "Windows
Update" para permitir que Windows encuentre los drivers para la impresora
en línea si no está en la lista de los controladores actualmente disponibles en
el sistema. Hacer clic en "Siguiente".
6. Elegir la opción "Conservar
el controlador existente" en la página siguiente. Presionar
"Siguiente". Escribir un nombre para la impresora y seleccionar el
botón adecuado si quieres que sea la impresora predeterminada. Haz clic en "Siguiente" de nuevo.
7. Hacer clic en
la opción "No compartir esta
impresora". Presionar "Siguiente". Selecciona "Sí" en
la siguiente pantalla para imprimir una página de prueba. Haz clic en "Siguiente" y asegúrate
de que se imprima correctamente la página de prueba.
8. Pulsar el botón "Finalizar" para cerrar el
asistente de instalación y completar la configuración de la impresora en red.
COMO CONFIGURAR UN SWITCH
PASO 1:
Se verifica que
no haya nada enchufado en el switch
- PASO 2:
Durante
la Configuración Express, el switch actúa como servidor DHCP. Si su PC tiene
una dirección IP estática, deberá cambiar las configuraciones de su PC para que
utilice temporalmente el DHCP antes de continuar con el siguiente paso.
Nota:
tome nota de la dirección IP estática, la necesitará en el Paso 10.
- PASO 3:
Para
suministrar corriente al switch, conecte el cable de alimentación de CA a la
fuente de alimentación del switch y a una toma de CA con conexión a tierra.
Aproximadamente
30 segundos después de activar el switch, se inicia la autoprueba de encendido
(POST) que puede tomar varios minutos.
Durante
la prueba POST, el diodo emisor de luz o LED parpadea en verde y los diodos de
RPS, STATUS, DUPLEX y SPEED emiten una luz verde sólido.
Cuando
la prueba POST termina, el LED de SYSTEM emite una luz verde sólido
permanentemente y los otros diodos LED se apagan. La excepción es el LED
STACKMASTER, que emite una luz verde sólido si el switch es apilable y actúa
como el switch maestro de la pila.
Antes
de continuar con el siguiente paso, espere hasta que la prueba POST se haya
completado. Esto puede tomar hasta
5
minutos después de encender el switch
- PASO 4:
Pulse
y mantenga presionado el botón Mode hasta que todos los LED situados arriba del
botón emitan una luz verde sólido permanentemente. Probablemente deba mantener
presionado el botón durante
3
segundos o más. Suelte el botón Mode después de que todos los LED situados
arriba del botón emitan una luz verde sólido permanentemente. (En algunos
modelos de switch, el LED de RPS permanece apagado.) El switch está ahora en el
modo de Configuración Express.
Antes
de continuar con el siguiente paso, asegúrese de que todos los diodos LED
situados arriba del botón emitan una luz verde sólido permanentemente.
- PASO 5:
Conecte
un cable Ethernet de categoría 5 ó 6 a una de las siguientes ubicaciones:
Cualquier puerto Ethernet
10/100/1000 de enlace descendente (como el Puerto 1) en el panel frontal del
switch.
El puerto de administración Ethernet
del panel frontal del switch.
Conecte
el otro extremo del cable al puerto Ethernet de la PC. Antes de continuar con
el siguiente paso, espere a que los diodos LED del puerto en el switch y en su
PC o computadora portátil emitan una luz verde (sólida o parpadeante). El color
verde de los LED de los puertos indica que la conexión se estableció
correctamente.
- PASO 6:
Introduzca
la dirección IP 10.0.0.1 en un navegador Web y presione la tecla Enter
(Entrar). Cuando se le solicite, introduzca la contraseña predeterminada: cisco.
Nota:
El switch ignora el texto en el campo del nombre de usuario.
- PASO 7:
Introduzca
las configuraciones obligatorias en la ventana Configuración Express.
Nota Todas las entradas deben estar en caracteres anglosajones y
números arábigos.
- Campos
obligatorios
Introduzca
la siguiente información en los campos de Configuración de red:
En el campo de Interfaz de
administración (ID de la VLAN), el valor predeterminado es 1.
Nota Cisco recomienda el uso del valor predeterminado de la VLAN porque
la VLAN 1 es la única VLAN en el switch durante la función de instalación Configuración
Express.
Introduzca
un nuevo valor de ID de la VLAN sólo si desea cambiar la interfaz de
administración a través de la cual administra el switch. El rango de la ID de
la VLAN va de 1 a 1001.
En el campo de Dirección IP,
introduzca la dirección IP del switch.
En el campo de Máscara de subred,
haga clic en la flecha desplegable y seleccione una máscara de subred.
En el campo de Puerta de enlace
predeterminada, introduzca la dirección IP para la puerta de enlace (router).
Introduzca su contraseña en el campo
de Contraseña del switch. La contraseña puede tener de 1 a 25 caracteres
alfanuméricos, puede empezar con un número, distingue entre mayúsculas y
minúsculas y no permite los espacios iniciales y finales, aunque sí los
espacios insertados o embebidos. En el campo de Confirmar contraseña del
switch, ingrese su contraseña de nuevo.
Nota Debe cambiar la contraseña predeterminada (cisco).
- PASO 8:
Después de
hacer clic en Submit, ocurre lo siguiente:
El switch se configura y sale del modo de Configuración
Express.
El navegador muestra un mensaje de
advertencia y trata de conectarse con la anterior dirección IP del switch.
Normalmente, la conectividad entre la PC y el switch se pierde porque la
dirección IP configurada del switch está en una subred diferente a la de su PC.
- PASO 9:
Desconecte el
switch de la PC e instálelo en su red. Consulte la sección “Montaje en
bastidor” en la página 17.
- PASO10
Si
cambió la dirección estática de su PC en el Paso 2, cámbiela de nuevo a la
dirección IP estática configurada previamente.
- PASO11
Ahora, puede administrar el switch mediante Cisco Network
Assistant, el Administrador de Dispositivos o ambos. Consulte la sección
“Administración del switch” en la página 11 para obtener información sobre la
configuración y administración del switch.
Le
recomendamos especialmente que descargue Cisco Network Assistant de Cisco.com y
lo utilice para administrar el switch. Puede descargarlo del CD-ROM que se
entrega con el switch o desde Cisco.com en:
http://www.cisco.com/en/US/products/ps5931/index.html
Es
posible mostrar el Administrador de Dispositivos realizando siguientes los
pasos:
1.
Inicie el navegador Web en su PC o computadora portátil.
2. introduzca la dirección IP del switch, el nombre de
usuario y la contraseña (asignados en el Paso 7) en el navegador Web y presione
la tecla Enter. Se mostrará la página del Administrador de Dispositivos.
Listas de
acceso
Las listas de acceso son básicamente el mecanismo para
seleccionar tráfico. Una vez que un conjunto de paquetes ha sido seleccionado
el Routers puede realizar diversas tareas sobre ellos. Uno de los usos mas
extendidos de las listas de acceso es el de controlar el flujo de trafico
entrante y saliente de un routers, el proceso de configuración de listas de
acceso consta de dos pasos generales, la creación de la lista de acceso y su
aplicación en la interfaz correspondiente. Existen mecanismos en el momento de
tener una adecuada configuración reload, reset y loopback. En algunos casos las
listas de acceso se usan en la seguridad informática para fomentar la
separación de privilegios. Ya que es una forma de determinar los permisos de
acceso apropiados a un determinado objeto. Dependiendo de
ciertos aspectos del proceso que
hace el pedido. Las ACL esta caracterizadas por permitir controlar el
flujo del tráfico en equipos de redes,
tales como enrutadores y conmutadores. Su principal objetivo
es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a
alguna condición. Sin embargo, también tienen usos adicionales, como por
ejemplo, distinguir "tráfico interesante" (tráfico suficientemente
importante como para activar o mantener una conexión) en RDSI. Existe un una
razón por la cual estas, suelen gestionarse en una
clase o sistema separado y no en cada una de las partes que pretenden asociarse
a permisos es por seguir las reglas SOLID, en este caso la S (Principio de
responsabilidad única), lo cual te permite incluso escalar mejor. Se asemejaría
a un sistema de control de accesos físico típico de un edificio, donde esa
parte está centralizada en un lugar. Este lugar solo necesita saber dos cosas:
Quien eres (por ejemplo un ID de una tarjeta, tu id de usuario) y que quieres
hacer. El te responde si tienes permiso de hacerlo o no. Con este enfoque este
mismo sistema no solo puede ser utilizado para acceder a lugares si no para
cualquier cosa que necesite separarse de personas que pueden y no pueden hacer
cosas, por ejemplo: acceder a una página o sección, publicar un comentario,
hacer una amistad, enviar un correo.
En redes informáticas, ACL se refiere a una lista
de reglas que detallan puertos de servicio o nombres de dominios (de
redes) que están disponibles en un terminal u otro dispositivo de capa de red,
cada uno de ellos con una lista de terminales y/o redes que tienen permiso para
usar el servicio. Tanto servidores individuales como enrutadores pueden
tener ACL de redes. Las listas de control de acceso pueden configurarse
generalmente para controlar tráfico entrante y saliente y en este contexto son
similares a un cortafuegos.
Existen dos tipos de listas de control de acceso:
·
Listas fija, no cambia
·
Listas variable, cambia
En la actualidad Un Sistema de Control de Accesos,
administra el ingreso a áreas restringidas, y evita así que personas no
autorizadas o indeseables tengan la libertad de acceder a la empresa. Así mismo
con un Sistema de Control de Accesos se puede tener conocimiento de la
asistencia del personal, horarios de ingreso y salida, y también poder tener un
control histórico de entradas de personas a todas las áreas (para poder tener
en cuenta quienes podrían ser los posibles responsables de algún siniestro).
La manera más eficiente de controlar los movimientos
dentro de la empresa es sectorizar la misma en zonas, que pueden ser
departamentos, puertas independientes, distintos pisos, etc. Lo más práctico es
que cada empleado de la empresa tenga determinadas las zonas a las cuáles tiene
acceso. Los sistemas trabajan en red para que todas las filiales de una empresa
estén conectadas a un sistema central, y se maneja el acceso a nivel
centralizado.
·
Listas de acceso estándar: Las listas de acceso IP
estándar comprueban las direcciones de origen de los paquetes que solicitan
enrutamiento. El resultado es el permiso o la denegación de la salida del
paquete por parte del protocolo, basándose en la dirección IP de la
red-subred-host de origen.
·
Listas de accesos extendidos: Las listas de
acceso comprueban tanto la dirección de origen como la de destino de cada
paquete. También pueden verificar protocolos especificados, números de puerto y
otros parámetros.
Una vez
creada, una ACL debe asociarse a una interfaz de la siguiente manera:
·
Lista de acceso entrante: Los paquetes entrantes son procesados antes de
ser enrutados a una interfaz de salida, si el paquete pasa las pruebas de
filtrado, será procesado para su enrutamiento (evita la sobrecarga asociada a
las búsquedas en las tablas de enrutamiento si el paquete ha de ser descartado
por las pruebas de filtrado).
·
Lista de acceso saliente: Los paquetes entrantes son
enrutados a la interfaz de salida y después son procesados por medio de la
lista de acceso de salida antes de su transmisión.
Las listas de acceso expresan el conjunto de reglas que proporcionan un
control añadido para los paquetes que entran en interfaces de entrada, paquetes
que se trasmiten por el router, y paquetes que salen de las interfaces de
salida del router.
Las listas de acceso no actúan sobre paquetes originados en el propio
router, como las actualizaciones de enrutamiento a las sesiones Telnet
salientes.
Configuración de listas de acceso IP
Las máscaras se usan con direcciones IP en ACL IP
para especificar qué debe permitirse y qué debe denegarse. Las máscaras para
configurar direcciones IP en interfaces empiezan por 255 y tienen los valores
más altos a la izquierda (por ejemplo: dirección IP 209.165.202.129 con una máscara
de 255.255.255.224). Las máscaras para las ACL IP son lo opuesto, por ejemplo,
máscara 0.0.0.255. Esto a veces se denomina una máscara inversa o una máscara
comodín. Cuando el valor de la máscara se subdivide en binario (0 y 1), el
resultado determina qué bits de dirección se considerarán en el procesamiento
del tráfico. La presencia de un 0 indica que deben tenerse en cuenta los bits
de la dirección (coincidencia exacta); un 1 en la máscara indica que no es
relevante. En esta tabla se amplía el concepto.
Ejemplo de máscara
|
|
dirección de red (tráfico que se va a
procesar)
|
10.1.1.0
|
Máscara
|
0.0.0.255
|
dirección
de red (binaria)
|
00001010.00000001.00000001.00000000
|
máscara
(binaria)
|
00000000.00000000.00000000.11111111
|
Basándose
en la máscara binaria, puede ver que los primeros tres grupos (octetos) deben
coincidir exactamente con la dirección de red binaria dada
(00001010.00000001.00000001). Los últimos conjuntos de números no son
relevantes (.11111111). Por lo tanto, todo el tráfico que empiece por 10.1.1.coincidiría,
puesto que el último octeto no es relevante. Por consiguiente, con esta
máscara, se procesarán las direcciones desde la 10.1.1.1 hasta la 10.1.1.255
(10.1.1.x).
Reste
la máscara normal de 255.255.255.255 para determinar la máscara inversa de la
ACL. En este ejemplo, la máscara inversa está determinada para la dirección de
red 172.16.1.0 con una máscara normal de 255.255.255.0.
255.255.255.255
- 255.255.255.0 (máscara normal) = 0.0.0.255 (máscara inversa)
Tenga
en cuenta estos equivalentes de ACL.
- El valor
source/source-wildcard de 0.0.0.0/255.255.255.255 significa cualquiera.
·
El valor source/wildcard de 10.1.1.2/0.0.0.0 es el
mismo que host 10.1.1.2.
Procesamiento de ACL
El tráfico que entra en el router se compara con
las entradas de ACL según el orden de las entradas en el router. Se agregan
nuevas sentencias al final de la lista. El router sigue mirando hasta que
encuentra una coincidencia. Si el router llega al final de la lista y no ha
encontrado ninguna coincidencia, el tráfico se rechaza. Por este motivo, debe
tener las entradas consultadas con frecuencia al principio de la lista. Hay un
rechazo implícito para el tráfico que no está permitido. Una ACL de única
entrada con una sola entrada "deny" tiene el efecto de rechazar todo
el tráfico.
Si no tiene como mínimo una sentencia
"permit" en una ACL, se bloqueará todo el tráfico. Estas dos ACL (101
y 102) tienen el mismo efecto.
Aplicación de ACL
Es posible definir las ACL sin aplicarlas. No
obstante, las ACL no surten efecto hasta que se aplican a la interfaz del
router. Por tanto, se recomienda aplicar la ACL en la interfaz más próxima al
origen del tráfico. Como se muestra en este ejemplo, cuando intente bloquear el
tráfico del origen al destino, puede aplicar una ACL entrante a E0 en el router
A en vez de una lista saliente a E1 en el router C.
Definición de In, Out, Source y Destination
El router utiliza los términos "in",
"out", "source" y "destination" como referencias.
Se podría comparar el tráfico del router con el tráfico de una autopista. Si
fuera un agente de policía de Lérida y quisiera parar un camión que va de
Tarragona a Barcelona, el origen del camión sería
Tarragona y su destino Barcelona. El control de
carretera se colocaría en la frontera entre Lérida y Barcelona ("out")
o en la frontera entre
Tarragona y Lérida ("in").
Aplicados a un router, dichos términos tienen los
siguientes significados.
Out : El tráfico que ya ha pasado por el router y está saliendo de la
interfaz. El origen es por donde ha pasado (en el otro extremo del
router) y el destino es adonde va.
In: el tráfico que llega a la interfaz y luego pasa por el router. El
origen es por donde ha pasado y el destino es adonde va (en el otro extremo del
router).
La ACL "in" tiene un origen en un
segmento de la interfaz al que se aplica y un destino fuera de cualquier otra
interfaz. La ACL "out" tiene un origen en un segmento de cualquier
interfaz distinta a la interfaz a la que se aplica y un destino fuera de la
interfaz a la que se aplica.
Edición de ACL
La modificación de una ACL requiere especial
atención. Por ejemplo, si intenta eliminar una línea concreta de una ACL
numerada como se muestra aquí, se eliminará toda la ACL.
¿Cómo se elimina una ACL de una interfaz?
Acceda al modo de configuración y escriba no delante
del comando access-group, como se muestra en este ejemplo, para quitar
una ACL de una interfaz.
interface <interface>
no ip access-group #in|out
¿Qué se puede hacer cuando se rechaza demasiado
tráfico?
Si se rechaza demasiado tráfico, examine la lógica
de la lista o intente definir y aplicar una lista más amplia. El comando show
ip access-lists proporciona un recuento de paquetes en el que se indica qué
entrada de ACL se utiliza.
La palabra clave log, al final de las
entradas de ACL, indica el número de listas y si el paquete se ha permitido o
rechazado, además de datos específicos del puerto.
¿Cómo se puede depurar en el nivel de los paquetes
con un router de Cisco?
En este procedimiento se explica el proceso de
depuración. Antes de empezar, compruebe que no se haya aplicado ninguna ACL en
ese momento, que exista una ACL y que no esté inhabilitada la conmutación
rápida.
.
1. Ejecute el comando access-list para
capturar los datos deseados.
En este ejemplo, se ha configurado la captura de
datos de la dirección de destino 10.2.6.6 o de la dirección de origen 10.2.6.6.
access-list 101 permit ip
any host 10.2.6.6
access-list 101 permit ip
host 10.2.6.6 any
2. Inhabilite la conmutación rápida en las
interfaces involucradas. Sólo podrá ver el primer paquete si está habilitada la
conmutación rápida.
config interface
no ip route-cache
3. Ejecute el comando terminal monitor en
modo habilitado para mostrar el resultado del comando debug y mensajes
de error del sistema del terminal y la sesión actuales.
4. Ejecute el comando debug ip packet 101 o
el comando debug ip packet 101 detail para empezar el proceso de
depuración.
5. Ejecute el comando no debug all en modo
habilitar y el comando interface configuration para detener el proceso
de depuración.
6.
Vuelva a iniciar la memoria caché.
Tipos de ACL IP
ACL estándar
Las ACL estándar son el tipo más
antiguo de ACL. Su aparición se remonta a la versión 8.3 del software Cisco
IOS. Las ACL estándar controlan el tráfico por medio de la comparación de la
dirección de origen de los paquetes IP con las direcciones configuradas en la
ACL.
Este es el formato de la sintaxis de
los comandos de una ACL estándar.
access-list access-list-number
{permit|deny}
{host|source
source-wildcard|any}
En todas las versiones del software,
access-list-number puede ser cualquier número del 1 al 99. En la versión 12.0.1
del software Cisco IOS, las
ACL estándar empiezan a usar más
números (del 1300 al 1999). Estos números adicionales se denominan ACL IP
ampliadas. En la versión 11.2 del software Cisco IOS se añadió la posibilidad
de utilizar un valor name de lista en las ACL estándar.
Una configuración
source/source-wildcard de 0.0.0.0/255.255.255.255 puede especificarse como any.
El comodín puede omitirse si está formado sólo por ceros. Por consiguiente, el
host 10.1.1.2 0.0.0.0 es igual al host 10.1.1.2.
Después de definir la ACL, se debe
aplicar a la interfaz (entrante y saliente). En versiones anteriores del
software, "out" era el valor predeterminado cuando la palabra clave
"out" o "in" no se había especificado. En las versiones
posteriores del software, se debe especificar la dirección.
interface
<interface>
ip access-group
number {in|out}
Este es un ejemplo del uso de una ACL
estándar para bloquear todo el tráfico excepto el procedente del origen
10.1.1.x.
interface
Ethernet0/0
ip address
10.1.1.1 255.255.255.0
ip access-group
1 in
access-list 1 permit 10.1.1.0 0.0.0.255
ACL ampliadas
Las ACL ampliadas se introdujeron en la
versión 8.3 del software Cisco IOS. Controlan el tráfico por medio de la
comparación de las direcciones de origen y destino de los paquetes IP con las
direcciones configuradas en la ACL.
Este es el formato de la sintaxis de
los comandos de las ACL ampliadas. Se han añadido saltos de línea por
cuestiones de espacio.
IP
access-list
access-list-number
[dynamic
dynamic-name [timeout
minutes]]
{deny | permit}
protocol source source-wildcard destination destination-wildcard [precedence
precedence]
[tos tos]
[log | log-input] [time-range time-range-name]
ICMP
access-list
access-list-number
[dynamic
dynamic-name [timeout
minutes]]
{deny | permit}
icmp
source
source-wildcard destination destination-wildcard
[icmp-type |
[[icmp-type icmp-code] | [icmp-message]]
[precedence precedence]
[tos tos] [log | log-input]
[time-range time-range-name]
TCP
access-list
access-list-number
[dynamic
dynamic-name [timeout
minutes]]
{deny | permit}
tcp
source
source-wildcard [operator [port]]
destination
destination-wildcard [operator [port]] [established]
[precedence precedence]
[tos tos] [log | log-input]
[time-range time-range-name]
UDP
access-list
access-list-number
[dynamic
dynamic-name [timeout minutes]]
{deny | permit}
udp
source
source-wildcard [operator [port]]
destination
destination-wildcard [operator [port]]
[precedence precedence]
[tos tos] [log | log-input]
[time-range time-range-name]
En todas las versiones del software,
access-list-number puede ser del 101 al 199. En la versión 12.0.1 del software
Cisco IOS, las ACL ampliadas
empiezan a usar más números (del 2000
al 2699). Estos números adicionales se denominan ACL IP ampliadas. En la
versión 11.2 del software
Cisco IOS se añadió la posibilidad de
utilizar un valor name de lista en las ACL ampliadas.
El valor de 0.0.0.0/255.255.255.255 se
puede especificar como any. Después de definir la ACL, se debe aplicar a
la interfaz (entrante y saliente).
En versiones anteriores del software,
"out" era el valor predeterminado cuando la palabra clave
"out" o "in" no se había especificado. En las
versiones posteriores del software, se
debe especificar la dirección.
interface
<interface>
ip access-group
{number|name} {in|out}
Esta ACL ampliada sirve para permitir
el tráfico en la red 10.1.1.x (interna) y para recibir respuestas de ping de
fuera a la vez que impide los
pings no solicitados de usuarios
externos (aunque permite el resto del tráfico).
interface
Ethernet0/1
ip address
172.16.1.2 255.255.255.0
ip access-group
101 in
access-list 101
deny icmp any 10.1.1.0 0.0.0.255 echo
access-list 101
permit ip any 10.1.1.0 0.0.0.255
Lock-and-Key
(ACL dinámicas)
La función Lock-and-Key (también
conocida como ACL dinámicas) apareció en la versión 11.1 del software Cisco
IOS. Esta función depende de
Telnet, de la autenticación (local o
remota) y de las ACL ampliadas.
La configuración de Lock-and-Key comienza
con la aplicación de una ACL ampliada para bloquear el tráfico que pasa por el
router. La ACL ampliada bloquea a los usuarios que desean pasar por el router
hasta que establecen una conexión desde Telnet al router y son autenticados.
Luego, se pierde la conexión Telnet y
se agrega una ACL dinámica de una única entrada a la ACL ampliada existente. De
esta forma, se permite el tráfico durante un tiempo concreto; se admiten
tiempos de espera absolutos e inactivos.
Este es el formato de la sintaxis de
los comandos para la configuración de Lock-and-Key con autenticación local.
username
username password password
interface
<interface>
ip access-group
{number|name} {in|out}
Después de la autenticación, se agrega
dinámicamente la ACL de una única entrada a la ACL existente.
access-list access-list-number
dynamic name{permit|deny} [protocol]
{source
source-wildcard|any} {destination destination-wildcard|any}
[precedence precedence][tos
tos][established] [log|log-input]
[operator
destination-port|destination port]
line vty line_range
login local
A continuación se muestra un ejemplo
básico de Lock-and-Key.
username test password 0 test
!--- Diez (minutos) es el tiempo de
espera inactivo.
username test
autocommand access-enable host timeout 10
interface
Ethernet0/0
ip address
10.1.1.1 255.255.255.0
ip access-group
101 in
access-list 101
permit tcp any host 10.1.1.1 eq telnet
!--- 15 (minutos) es el tiempo de espera
absoluto.
access-list 101
dynamic testlist timeout 15 permit ip 10.1.1.0 0.0.0.255
172.16.1.0 0.0.0.255
line vty 0 4
login local
Cuando el usuario de 10.1.1.2 se
conecta con Telnet a 10.1.1.1, se aplica la ACL dinámica. Luego se pierde la
conexión y el usuario puede ir a la
red 172.16.1.x.
ACL con nombre IP
Las ACL con nombre IP aparecieron en la
versión 11.2 del software Cisco IOS. Así se permite que las ACL estándar y
ampliadas reciban nombres en vez de números.
Este es el formato de la sintaxis de
los comandos de las ACL con nombre IP.
ip access-list
{extended|standard} name
A continuación se muestra un ejemplo de
TCP:
permit|deny tcp
source source-wildcard [operator [port]]
destination
destination-wildcard [operator [port]] [established]
[precedence precedence]
[tos tos] [log] [time-range time-range-name]
En este ejemplo se ilustra el uso de
una ACL con nombre para bloquear todo el tráfico excepto la conexión Telnet del
host 10.1.1.2 al host 172.16.1.1.
interface
Ethernet0/0
ip address
10.1.1.1 255.255.255.0
ip access-group
in_to_out in
ip access-list
extended in_to_out
permit tcp host
10.1.1.2 host 172.16.1.1 eq telnet
ACL reflexivas
Las ACL reflexivas se introdujeron en
la versión 11.3 del software Cisco IOS. Permiten filtrar los paquetes IP según
los datos de sesión de capa superior. Suelen utilizarse para permitir el
tráfico saliente y para limitar el tráfico entrante como respuesta a sesiones
que se originan dentro del router.
Las ACL reflexivas sólo pueden ser
definidas junto con las ACL con nombre IP ampliadas. No se pueden definir con
ACL con nombre IP numeradas o estándar, ni con ACL de otros protocolos. Las ACL
reflexivas pueden utilizarse conjuntamente con otras ACL ampliadas estándar y
estáticas.
Esta es la sintaxis de los diversos
comandos de las ACL reflexivas.
interface
ip access-group
{number|name} {in|out}
ip access-list
extended name
permit protocol
any any reflect name [timeoutseconds]
ip access-list
extended name
evaluate name
En este ejemplo se ilustra cómo se
permite el tráfico ICMP saliente y entrante, a la vez que sólo se permite el
tráfico TCP iniciado desde dentro
(el resto del tráfico se rechaza).
ip
reflexive-list timeout 120
interface
Ethernet0/1
ip address
172.16.1.2 255.255.255.0
ip access-group
inboundfilters in
ip access-group
outboundfilters out
ip access-list
extended inboundfilters
permit icmp 172.16.1.0 0.0.0.255 10.1.1.0
0.0.0.255
evaluate tcptraffic
!--- Así se vincula la parte de la ACL
reflexiva de la ACL de filtros de salida (outboundfilters),
!--- llamada "tcptraffic", a
la ACL de filtros de entrada (inboundfilters).
ip access-list
extended outboundfilters
permit icmp
10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
permit tcp 10.1.1.0 0.0.0.255
172.16.1.0 0.0.0.255 reflect tcptraffic
ACL basadas en tiempo que utilizan
intervalos de tiempo
Las ACL basadas en tiempo se
introdujeron en la versión 12.0.1.T del software Cisco IOS. Aunque su función
es similar a la de las ACL ampliadas, permiten el control de acceso según el
tiempo. A fin de implementar ACL basadas en tiempo, se crea un intervalo de
tiempo que define momentos específicos del día y la semana. El intervalo de tiempo
se identifica con un nombre y se hace referencia a él a través de una función.
Por lo tanto, las restricciones de tiempo vienen impuestas por la propia
función. El intervalo temporal depende del reloj del sistema del
router. El reloj del router se puede utilizar,
pero la característica funciona mejor con la sincronización del Protocolo de
tiempo de red (NTP).
Estos son comandos de las ACL basadas
en tiempo.
!--- Define un intervalo de tiempo con
nombre.
time-range time-range-name
!--- Define los
momentos periódicos.
periodic days-of-the-week
hh:mm to [days-of-the-week] hh:mm
!--- O bien, define los tiempos
absolutos.
absolute [start
time date] [end time date]
!--- El intervalo de tiempo utilizado en
la ACL real.
ip access-list name|number
<extended_definition>time-rangename_of_time-range
En este ejemplo, se permite una
conexión Telnet de la red interna a la externa los lunes, miércoles y viernes
en horario laborable:
interface
Ethernet0/0
ip address
10.1.1.1 255.255.255.0
ip access-group
101 in
access-list 101
permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
eq telnet
time-range EVERYOTHERDAY
time-range
EVERYOTHERDAY
periodic Monday
Wednesday Friday 8:00 to 17:00
Entradas de ACL IP comentadas
Las entradas de ACL IP comentadas se
presentaron en la versión 12.0.2.T del software Cisco IOS. Los comentarios
facilitan la comprensión de las ACL y sirven para las ACL IP estándar o
ampliadas.
Esta es la sintaxis de los comandos de
las ACL IP con nombre comentada.
ip access-list
{standard|extended} name
remark remark
Y ésta la de los comandos de las ACL IP
numeradas comentadas.
access-list access-list-number
remark remark
Aquí se ofrece un ejemplo de comentario
de una ACL numerada.
interface
Ethernet0/0
ip address
10.1.1.1 255.255.255.0
ip access-group
101 in
access-list 101
remark permit_telnet
access-list 101
permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet
Control de acceso basado en el contexto
El control de acceso basado en el
contexto (CBAC) fue presentado en la versión 12.0.5.T del software Cisco IOS y
requiere del conjunto de funciones de firewall de Cisco IOS. CBAC inspecciona
el tráfico que discurre por el firewall para descubrir y administrar datos de
estado de las sesiones TCP y UDP. Estos datos de estado sirven para crear
aperturas temporales en las listas de acceso del firewall. Para ello, configure
las listas de ip inspect en la dirección del flujo de inicio del tráfico
para permitir el tráfico de retorno y conexiones de datos adicionales para
sesiones aceptables (sesiones que se originaron dentro de la red interna
protegida).
Esta es la sintaxis de CBAC.
ip inspect name
inspection-name protocol [timeoutseconds]
En este ejemplo se ilustra el uso de
CBAC para inspeccionar el tráfico saliente. La ACL ampliada 111 suele bloquear
el tráfico de retorno (que no
es ICMP) sin que CBAC abra agujeros
para dicho tráfico.
ip inspect name
myfw ftp timeout 3600
ip inspect name
myfw http timeout 3600
ip inspect name
myfw tcp timeout 3600
ip inspect name
myfw udp timeout 3600
ip inspect name
myfw tftp timeout 3600
interface
Ethernet0/1
ip address
172.16.1.2 255.255.255.0
ip access-group
111 in
ip inspect myfw
out
access-list 111
deny icmp any 10.1.1.0 0.0.0.255 echo
access-list 111
permit icmp any 10.1.1.0 0.0.0.255
Proxy de autenticación
El proxy de autenticación se introdujo
en la versión 12.0.5.T del software Cisco IOS. Es imprescindible tener
configurada la función de firewall de Cisco IOS. El proxy de autenticación
sirve para autenticar usuarios de entrada, de salida o ambos. Los usuarios que
suele bloquear una ACL pueden abrir un navegador Web para que atraviese el
firewall y autenticarse en un servidor TACACS+ o RADIUS. El servidor envía
entradas de
ACL adicionales al router para permitir
el paso a los usuarios después de la autenticación.
El proxy de autenticación es similar a
la función Lock-and-Key (ACL dinámicas). Las diferencias entre ambos son las
siguientes:
La conexión Telnet al router activa la
función Lock-and-Key. HTTP activa el proxy de autenticación a través del
router.
El proxy de autenticación tiene que
usar un servidor externo.
El proxy de autenticación puede
gestionar la adición de varias listas dinámicas. Lock-and-Key sólo puede
agregar una.
El proxy de autenticación tiene un
tiempo de espera absoluto, pero ninguno inactivo. Lock-and-Key tiene los dos
tiempos de espera.
Consulte Cisco Secure Integrated
Software Configuration Cookbook (Compendio de configuraciones de software de
Cisco seguras e integradas) para ver ejemplos de proxy de autenticación.
ACL turbo
Las ACL turbo aparecieron en la versión
12.1.5.T del software Cisco IOS y sólo se encuentran en las plataformas 7200,
7500 y en otras de capacidad alta. La característica ACL turbo está diseñada
para procesar las ACL más eficazmente con el fin de mejorar el rendimiento del
router.
Use el comando access-list compiled para
las ACL turbo. Este es un ejemplo de una ACL compilada.
access-list 101
permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet
access-list 101
permit tcp host 10.1.1.2 host 172.16.1.1 eq ftp
access-list 101
permit udp host 10.1.1.2 host 172.16.1.1 eq syslog
access-list 101
permit udp host 10.1.1.2 host 172.16.1.1 eq tftp
access-list 101
permit udp host 10.1.1.2 host 172.16.1.1 eq ntp
Después de definir la ACL estándar o
ampliada, use el comando global configuration para compilar.
!--- Indica al
router que compile
access-list
compiled
Interface
Ethernet0/1
ip address
172.16.1.2 255.255.255.0
!--- Se aplica a la interfaz
ip access-group 101 in
El comando show access-list compiled
muestra estadísticas sobre la ACL.
ACL basadas en tiempo distribuidas
Las ACL basadas en tiempo distribuidas
aparecieron en la versión 12.2.2.T del software Cisco IOS para implementar las
ACL basadas en tiempo en routers de la serie 7500 preparados para VPN. Antes de
la aparición de la función de ACL basada en tiempo distribuida, las ACL basadas
en tiempo no se admitían en las tarjetas de línea para los routers Cisco serie
7500. Si se configuraban, funcionaban como ACL normales. Si una interfaz en una
tarjeta de línea se configuraba con ACL basadas en tiempo, los paquetes
conmutados en la interfaz no se distribuían conmutados a través de la tarjeta
de línea, pero se reenviaban al procesador de rutas para su procesamiento.
La sintaxis para las ACL distribuidas
basadas en tiempo es la misma que la de las ACL basadas en tiempo, con la
adición de comandos sobre el estado de los mensajes de comunicación entre
procesadores (IPC) entre el procesador de rutas y la tarjeta de línea.
debug
time-range ipc
show time-range
ipc
clear time-range ipc
ACL de recepción
Las ACL de recepción sirven para
aumentar la seguridad en los routers Cisco 12000 mediante la protección del
procesador de rutas gigabit (GRP) del router frente al tráfico innecesario y
potencialmente peligroso. Las ACL de recepción se añadieron como una renuncia
especial al acelerador de mantenimiento de la versión 12.0.21S2 del software
Cisco IOS y se integraron en la versión 12.0(22)S. Consulte GSR: Receive Access
Control Lists (GSR: Listas de control de acceso de recepción) para obtener más
información.
ACL de protección de infraestructuras
Las ACL de infraestructuras sirven para
reducir al mínimo el riesgo y la eficacia de los ataques directos a la
infraestructura, permitiendo explícitamente que acceda a ella sólo el tráfico
autorizado y el resto de tráfico de tránsito. Consulte Protecting Your Core:
Infrastructure Protection Access Control Lists (Protección del núcleo: Listas
de control de acceso de protección de infraestructuras) para obtener más
información.
ACL de tránsito
Las listas de control de acceso de
tránsito sirven para aumentar la seguridad de la red puesto que permiten
explícitamente sólo el tráfico requerido en ella. Consulte Transit Access
Control Lists: Filtering at Your Edge (Listas de control de acceso de tránsito:
Filtro por su lado) para obtener más información.