Redes Avanzadas Operatividad de una red Electrónica de datos

 REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓ UNIVERSITARIA INSTITUTO UNIVERSITARIO DE TECNOLOGÍA DE YARACUY
PROGRAMA NACIONAL DE FORMACIÓN EN INFORMÁTICA

                                                 




Operatividad de una Red
 Electrónica de Datos



Informática 074501
Integranetes:
Medina Brayhann C.I: 20.891.529
Restrepo Heyleen C.I: 18.091.300
Sequera Roberth C.I: 20.892.037
Vásquez Yolimar. C.I: 20.889.133
Profesor: Francisco Barrios


INDEPENDENCIA, JUNIO 2014
Contenido
Operatividad de una red electrónica de datos
·         Configuración de equipos de computo
·         Lista de acceso

























Operatividad de una red electrónica de datos
La operatividad de una red electrónica de datos es considerada un conjunto de personas que interactúan a través de los medios de Internet y están enlazadas por un interés común. Al hacerlo,  se pueden convertir en una sociedad de ideas.  Se refiere a la Forma de comunicación que apunta a unir a individuos y organizaciones traspasando las fronteras físicas y de tiempo. Las redes electrónicas son comunidades virtuales conectadas y moderadas a través de Internet. Este tipo surgió como respuesta a la necesidad de poder estructurar las conexiones de equipos de un edificio por medio de software.
En los últimos años la sociedad tecnológica en la que hoy en día vivimos, a determinado que una red de datos no es mas que un sistema que vincula dos o más puntos (terminales) mediante un medio físico, el cual sirve para enviar o recibir un determinado flujo de información. 
Es importante destacar que el El medio de Internet ofrece muchos beneficios entre ellos:
• Vías económicas y rápidas para comunicarse en forma escrita entre sí (las versiones de audiovisuales de dicha comunicación no tienen aún un uso difundido en esta etapa);
• Intercambio rápido y facilitado (o moderado) de diálogo escrito sobre  
• Acceso a sitios de Internet operados por moderadores de red o por personas suscritas que brindan Información (organizada) relevante para sus miembros.
Una red electrónica de datos tiene una serie de funciones descritas a continuación:
  • Infraestructura y aptitudes de la Formación de Redes Electrónicas: Esta función Ayuda a que los miembros de la red cuenten con los equipos necesarios (hardware y software) y las aptitudes para trabajar con la red electrónica. Esto se puede asumir a través del desarrollo de una página Web, haciendo énfasis a talleres de aptitudes, asesoría sobre software entre otros.
  • Comunicación Básica: En esta función se Puede realizar diversos  intercambios en momentos necesarios de manera rápida y fácil entre actores, es decir las personas conectadas al equipo de trabajo y que estén geográficamente dispersos, pero en momentos determinado necesiten cooperar. Esto se realiza principalmente a través de listas de correo electrónico o a través de documentos o datos grandes para acceso a los socios, pero también incluye acceso a detalles de contacto.
  • Creación de Relaciones: básicamente esta función; permite a las personas crear con facilidad una red de contactos con quienes necesiten o deseen interactuar, a las cuales recurrir para realizar mejor su trabajo atreves de una Red Electrónica datos.
Configuración de equipos de cómputo
En toda red de computadoras existen equipos de comunicación que son diseñados para establecer esa conexión entre ordenadores, pero para poder llevar la transmisión de datos de una red, a través de las estaciones de trabajo y ordenadores es necesaria la configuración del modem, procesadores de canal de transmisión, procesadores de comunicaciones  y los PBX de datos. Es de suma Importancia saber su configuración para poder garantizar la interconexión en la red. Dicha interconexión de diversos equipos trae consigo múltiples beneficios.  Como compartir información, de igual manera el uso común del software y hardware y un centro administrativo. Compartir  información; La posibilidad de compartir información y datos de manera rápida y accesible por todos los usuarios con permisos en la red es una de las principales de ventajas a la hora de montar una red. Con el uso en común de hardware y software, los usuarios de cada estación de trabajo no necesitan tener sus propias impresoras o periféricos conectados directamente, sino que se puede hacer uso de ellas en común, ahorrando lógicamente gastos en material. Además, el uso del Software compartido permite que una aplicación sea usada desde distintos puestos de trabajo, lo que desemboca en una mayor productividad. Con la configuración de los en equipos en red las tareas de administración y soporte se simplifican y se hacen más accesibles ya que desde una misma ubicación el administrador de red puede realizar las distintas tareas administrativas en cualquier equipo de la red.
Configuración de:
Modem
Servidor
Swicht
Routers
Impresora en un grupo de trabajo

Servidores

Proceso de instalación

Podemos instalar Debian de diversas maneras, de las cuales las más comunes son los CDs con las imágenes y la instalación por Internet. También lo podemos comprar en alguna tienda por un precio muy reducido. Toda la información la encontraremos en http://www.debian.org, (en el pie de página podemos cambiar el idioma a castellano o catalán).
Como no nos hace falta más que los programas básicos, es más que rentable hacer la instalación por Internet, ya que si nos tuviésemos que bajar un CD entero (650 Mb) no lo aprovecharíamos. Además, no nos hará falta usar una grabadora de CDs, sinó sólo unos cuantos disquets vacíos.
El proceso es sencillo:
Bajamos las imágenes de los disquets del mismo FTP de Debian. Las imágenes de tamaño disquet para la versión estable y un procesador x86 las encontraremos en:
ftp://ftp.debian.org/debian/dists/stable/main/disks-i386/current/images-1.44
En este directorio hay muchos ficheros .bin de 1'4 Mb cada uno. Para empezar necesitamos bajar los siguientes; driver-1.bin, driver-2.bin, driver-3.bin, driver-4.bin, rescue.bin yroot.bin.
NOTA: Si podemos usar otro ordenador a la vez, no hace falta usar un disco distinto para cada fichero BIN: podemos hacerlo sólo con dos si los vamos turnando de manera que mientras uno se está leyendo el otro se esté grabando, y viceversa.
Grabamos las imágenes en disquetes de 1'4 Mb. Esto lo podemos hacer desde Linux con el comando dd if=nombre-de-la-imagen.bin of=/dev/fd0 o desde Windows con programas como rawrite2 u otros que transfieran el archivo byte por byte hacia el disquete.
Insertamos el disquete correspondiente a rescue.bin y encendemos el ordenador. Cuando aparezca boot: pulsamos Intro. Al cabo de un tiempo nos pedirá el disquetecorrespondiente a root.bin y continuará la instalación.
Vamos siguiendo la instalación de forma normal, fijándonos especialmente en los siguientes puntos:
Particiones: son necesarias dos: una swap (tipo 82) no muy grande (más o menos el mismo número de Mb que la RAM del ordenador, aunque un valor entre 50 y 100 Mb. ya va bien), y el resto del disco destinado a la otra partición, de tipo Linux Native (número 83), con punto de montaje en la raíz (“ / “). Si es posible, mejor crear primero la Native y luego la swap para poder llamarlas después/dev/hda1 y /dev/hda2 respectivamente. También hay que marcar la Native como bootable.
Cuando pregunte dónde está el kernel, le diremos que en la disquetera: /dev/fd0 y vamos metiendo los disquets que nos pida.
Módulos del kernel: como mínimo hay que añadir ahora los drivers para la tarjeta de red. Si no lo hacemos, no podremos instalar nada desde Internet. En nuestro caso añadiremos el módulo rtl8139 de la categoría net. Si queremos añadir alguno más (para usb, sistemas de archivos, impresoras, dispositivos especiales, etc) lo podemos hacer ahora, aunque una vez instalado también es muy fácil añadir y quitarlos con modconf.
Nombre de host: lo podemos cambiar en cualquier momento, pero mejor decidir uno ahora y no cambiarlo. Por ejemplo, bruguers.
IP del ordenador: normalmente se pone la IP de la red, acabada en un número pequeño. Por ejemplo, en nuestro caso podemos poner 192.168.0.2 (192.168.0.1 es para el router).
Lilo: no hace falta porque sólo tenemos un sistema operativo, pero tampoco pasa nada por instalarlo. Irá bien si queremos poder arrancar con diferentes kernels.
Disco de arranque: no hace falta, pero siempre va bien tener uno.
Después de reiniciar, continuaremos con la personalización del sistema. Seleccionaremos las opciones recomendadas, asegurándonos de activar la opción de contraseñas shadow.
A la hora de crear usuarios, tendremos que escribir la contraseña de root., el usuario más importante del sistema. Es extremadamente importante escoger una buena contraseña. Además, por seguridad no trabajaremos siempre con el usuario root (es peligroso) sinó que nos crearemos otra cuenta de usuario normal (con nuestro nombre o nick).
Cuando nos pregunte desde dónde instalar los paquetes, le decimos que por ftp y escogemos uno de la lista (por ejemplo, ftp.debian.org). Entonces, Debian utilizará apt para bajar las últimas versiones de cada programa. Tendremos que decidir qué grupos de programas decidimos instalar. Seguiremos estas indicaciones:
No nos harán falta las X (para el modo gráfico), pues todo lo necesario se puede hacer desde consola.
Juegos y programas de ocio tampoco; con la configuración del Linux tendremos entretenimiento para un buen rato.
Servidores web, DNS, mail, etc. los instalaremos individualmente en los diferentes apartados, o sea que tampoco deben ser marcados.
Herramientas C y C++: son básicas para compilar los programas. Se tienen que instalar.
Entorno en español: opcional. Si lo marcamos, algunas páginas de ayuda saldrán en español, pero quizás no estén tan actualizadas.
Marcando pocos paquetes nos aseguramos de que no quede instalado nada que no nos haga falta. Si no lo hacemos así, al acabar la instalación serían tantos los servicios disponibles que alguna persona se podría aprovechar y entrar al servidor sin permiso.
Cuando todo esté listo, aparecerá la lista de paquetes a bajar y lo que ocupan. Le decimos que continúe y dejamos el ordenador encendido mientras baja cada paquete junto con sus dependencias. Cuando acabe, tendremos que configurar algunos mientras que otros se descomprimirán e instalarán automáticamente. Si pregunta cómo configurar el correo, le diremos que no lo queremos configurar; así evitaremos muchos bugs innecesarios.
Al final acabaremos en la pantalla de login, que aparecerá cada vez que encendamos el ordenador para pedirnos el nombre de usuario y la contraseña.
Configuraciones básicas
Ahora que tenemos el sistema operativo instalado hay que hacer unas configuraciones sencillas, que deben hacerse antes de empezar a poner programas y demonios. Lo primero que hace falta es identificarse como root (con la contraseña que pusimos en la instalación).
Lo que haremos será:
Configuración de apt: apt es el sistema de control de paquetes exclusivo de Debian. Cada vez que haga falta instalar un programa, sólo habrá que escribir su nombre y apt se conectará al FTP de Debian, bajará la última versión y sus dependencias, haciendo la instalación sin ningún problema.
Por defecto ya tenemos una buena configuración de los servidores en el fichero /etc/apt/sources.list, pero podemos ejecutar apt-setup (como root) y decidir según nuestras preferencias si queremos tener software totalmente libre (estilo Debian) o aceptamos cualquier programa, aunque tenga partes de código cerrado. También hemos de escoger un servidor. Preferiblemente usaremos el de Estados Unidos ftp.debian.org (el central) porque los situados en España suelen ser más lentos.
Actualización de paquetes: una vez definidos los servidores de apt, haremos apt-get update para actualizar la información sobre los nuevos paquetes con el servidor. No se instalará nada aún; sólo se sincronizan.
Para actualizar los paquetes instalados con las nuevas versiones disponibles hay que hacer un apt-get upgrade -u (el -u es para mostrar los nombres). Después de mostrar la lista de paquetes a bajar, respondemos (Y/n) y sólo habrá que esperar a que acabe. Puede que mientras los instale aparezca alguna pregunta, pero normalmente da suficiente información para saber qué hay que responder.
Si queremos algún paquete adicional sólo hay que hacer apt-get install nombre. Podemos instalar programas en cualquier momento, a medida que los necesitemos. En el anexo hay una lista de programas recomendados. También es recomendable instalar ahora gpm para poder utilizar el ratón en la consola (se configura con gpmconfig).
Locales:
Podemos decirle a Debian que preferimos los programas y la ayuda en español haciendo un dpkg-reconfigure local y seleccionando es_ES y es_ES@euro.
 Así podremos usar acentos y otros símbolos especiales como el del euro, además de ver la mayoría de mensajes y programas en español y no en inglés.
Hora del sistema: no es sólo para poder consultarla y no tener que mirar el reloj: en Linux hay muchas acciones que dependen del tiempo. Por ejemplo, at y crontab ejecutan tareas programadas puntuales o periódicamente. Podemos ver la hora y la fecha con date. Recordamos que nuestra zona horaria es la CET, y que tiene un desfase de +1 h. respecto de la UTC (que podemos ver con date -u y que debe ser de una hora menos que nuestra hora).
Para cambiar el día y la hora podemos poner comandos como: date -s “25/12/2003” o date -s “13:15:42”
Tareas programadas: hay acciones que se ejecutan cada día, cada semana o cada mes; el problema es que quizás el ordenador no esté encendido a las horas que hay puestas por defecto (6:25, 6:47 y 6:52). Sólo hay que cambiar en /etc/crontab el segundo número de cada línea -que representa la hora de una acción programada- por una más apropiada que a las 6 de la mañana; por ejemplo, las 10 de la mañana.
Hagamos más cómoda la shell: al principio de /etc/profile podemos poner las líneas que se ejecutarán cada vez que iniciemos sesión. Algunos comandos útiles que podemos poner son alias ls=”ls --color” para ver el listado de ficheros en colores sólo escribiendo ls, o setleds +num para activar NumLock. Podemos definir muchos más alias, como alias “cd..”=”cd ..”, alias i=”apt-get install”, alias u=”apt-get update && apt-get upgrade -u”, y muchos más. Para órdenes más largas, mejor hacer un script y colocarlo en el PATH (por ejemplo en /usr/bin).
Protección de algunos archivos importantes: hay archivos que un usuario normal no tiene que necesitar ver. Por eso quitaremos los permisos de lectura, escritura o ejecución de cada uno de ellos, usando el comando chmod.
chmod o-x /etc/passwd /etc/exports /etc/*netd.conf
( /etc/passwd tiene información sobre los usuarios del sistema y sus privilegios, /etc/exports dice a qué directorios se puede acceder remotamente, y /etc/inetd.confo xinetd.conf dice qué servicios se cargan cada vez que se enciende el PC).
Instalación de un kernel nuevo, si hay: no es necesario si no tenemos problemas con el actual, pero es recomendable porque soluciona problemas de seguridad que afectan a todo el sistema. Además, algunas cosas cambian, como por ejemplo la forma de implementar las reglas del cortafuegos que montaremos (con el 2.4). Podemos ver la versión del kernel actual conuname -a. Los nuevos kernels se encuentran precompilados, o sea, que sólo hace falta bajarlos con apt-get. Para saber el nombre y tipo de kernel que necesitamos, podemos buscar en la base de datos local de paquetes con apt-cache search kernel-image y fijarnos en todos los disponibles. La versión ha de ser superior al actual y la plataforma ha de ser la de nuestro sistema (p. ej. 386 para un 80386, 586 para Pentium I, 686 para Pentium 2, 3, 4 y Celerons, k6/k7 para AMD, etc.). No hay que bajar una versión SMP ya que estas siglas son de “Symmetric Multiprocessor”, cosa que no tenemos.
Pero antes hay que hacer una pequeña modificación en /etc/lilo.conf (si no la hacemos ahora nos lo recordará al bajar el kernel). Se trata de buscar la línea donde poneimage=/vmlinuz y añadir justo debajo (o en el mismo párrafo) la opción initrd=/initrd.img . Entonces ya podemos hacer un apt-get install kernel-image-versión-arquitectura (ej. apt-get install kernel-image-2.4.18-686) y pedirle que nos cree el enlace simbólico initrd.img cuando lo pregunte.
A partir de ahora el Lilo (gestor de arranque) nos pedirá si queremos entrar en Linux o en LinuxOld, la versión antigua del kernel. Si no nos funciona una podemos entrar usando la otra. Es recomendable reiniciar ahora y probar el nuevo kernel; si no funcionase habría que hacer predeterminado al otro modificando /etc/lilo.conf

Configuración de un Router
Equipo necesario
Un Router Cisco
Dos PC (representado las redes)
El cable de consola proporcionado con el router







Esquema de pirámide

Configuración IP de los PC
PC 1:
Dirección IP/Mascara: 192.168.1.254/24
Puerta de enlace: Será la dirección IP de la interfaz del router a la cual está conectada el PC
PC 2:
Dirección IP/Mascara: 10.0.0.254/8
Puerta de enlace: Será la dirección IP de la interfaz del router a la cual está conectada el PC
Etapa 2: Cableado de la red, uso del cable de consola
Las dos redes ya están conectadas al router. Sin embargo, no hay comunicación entre ellas. Comenzaremos por conectar el cable de consola (cable azul) entre el router y el PC que se va a utilizar para la configuración.

Inicialmente, utilizaremos HyperTerminal (de Microsoft) para efectuar las operaciones necesarias.
Etapa 3: Configuración del router con los comandos IOS
IOS
IOS es el acrónimo de “Internetworks Operating System", en español “Sistema operativo para la interconexión de redes”.
Este sistema puede ser administrado en línea de comandos, propios a los equipos de Cisco Systems.
Los diferentes modos de usuarios
Modo usuario: Permite consultar toda la información relacionada al router sin poder modificarla. El shell es el siguiente:
Router >
Usuario privilegiado: Permite visualizar el estado del router e importar o exportar imágenes de IOS. El shell es el siguiente:
Router #
Modo de configuración global: Permite utilizar los comandos de configuración generales del router. El shell es el siguiente:
Router (config) #
Modo de configuración de interfaces: Permite utilizar comandos de configuración de interfaces (Direcciones IP, mascaras, etc.). El shell es el siguiente:
Router (config-if) #
Modo de configuración de línea: Permite configurar una línea (ejemplo: acceso al router por Telnet). El shell es el siguiente:
Router (config-line) #
Modo espacial: RXBoot Modo de mantenimiento que puede servir, especialmente, para reinicializar las contraseñas del router. El shell es el siguiente:
rommon >
Poner una contraseña al acceso Privilegiado
Esta parte explica como poner una contraseña al usuario privilegiado.

Lo primero que hay que hacer es conectarse en modo privilegiado, luego en modo de configuración global para efectuar esta manipulación:
Router > enable
Router # configure terminal
Router (config) #
Una vez en modo de configuración global, tan solo hay que ingresar un comando para poner una contraseña:
Router (config) # enable password contraseña
La próxima vez que un usuario intente conectarse en modo usuario privilegiado, le será solicitada una contraseña.
Hasta aquí, se recomienda guardar regularmente la configuración utilizando el siguiente comando (en modo privilegiado):
copy running-config startup-config
Configuración de las interfaces Ethernet del router
Ahora, debemos hacer que se comuniquen las dos redes conectadas al router. Supongamos que el nombre de la interfaz conectada a PC1 es fa0/0 y el de la conectada a PC2 es fa0/1 y que estamos en modo de configuración global.

A continuación los comandos a ingresar:
Interfaz fa0/0:
Router (config) # interface fa0/0
Router (config-if) # ip address 192.168.1.1 255.255.255.0
Router (config-if) # no shutdown
Router (config-if) # exit
Interfaz fa0/1:
Router (config) # interface fa0/1
Router (config-if) # ip address 10.0.0.1 255.0.0.0
Router (config-if) no shutdown
Router (config-if) exit
Esto es todo en relación a la configuración de las interfaces. Las dos redes deberían ahora comunicarse entre ellas. Podemos comprobarlo con un comando ping de un PC de una red hacia un PC de otra red.

No olvides guardar tu configuración actual utilizando el comando apropiado.

Configuración del acceso Telnet al router
Ya que la configuración con el cable de consola y HyperTerminal no es práctica, se puede permitir que los administradores se conecten al router vía una sesión Telnet desde cualquier PC de una de las dos redes.

Pasamos primero en modo de configuración global, luego en modo de configuración de línea VTY: 
Router > enable
Password?:
Router # configure terminal
Router (config) # line vty 0 4
Configurará la posibilidad de 5 sesiones telnet simultáneas en este router.

Llegamos ahora al prompt de configuración de línea. Para activar Telnet, no hay más que poner una contraseña a la línea:
Router (config-line) # password contraseña
Router (config-line) # exit
Guardamos la configuración.
Hemos terminado con la configuración básica del router. Ahora vamos a hacer un resumen de los diferentes comandos utilizados y que pueden ser utilizados en el caso precedente.
Importante: antes de conectarnos vía una sesión Telnet debemos haber definido una contraseña para elmodo privilegiado. Si no es así, el router rechazará la conexión.

Resumen de los comandos IOS básicos
NOTA: Si varios comandos aparecen uno después de otro para una misma función, esto significa que todos tienen la misma función y que cualquiera de ellos puede ser utilizado indistintamente.
Paso entre los diferentes modos de usuarios
Usuario normal: Ningún comando a ejecutar, es en este modo que comienza una sesión.
Usuario privilegiado (a ejecutar desde el modo normal):
Router > enable
Router > en
Modo de configuración global (a ejecutar desde el modo Privilegiado):
Router # configure Terminal
Router # conf t
Modo de configuración de interfaz (a ejecutar desde el modo de configuración global):
Router (config) # interface nombre_interfaz
Router (config) # int nombre_interfaz
Modo de configuración de línea (a ejecutar desde el modo de configuración global):
Router (config) # line nombre_de_la_linea
Comandos de información
Los comandos de información permiten mostrar la información relativa al router. Todos comienzan con el prefijo show o sh. La mayoría deben ser ejecutados desde el modo privilegiado.
Mostrar el archivo de configuración actual del router:
show running-config
show run
sh run
Mostrar información sobre la configuración de hardware del sistema y sobre el IOS:
show version
sh version
Mostrar los procesos activos:
show processes

Mostrar los protocolos configurados de la capa 3 del modelo OSI:
show protocols
Mostrar las estadísticas de memoria del router:
show memory
Mostrar información y estadísticas sobre una interfaz:
show interfaces nombre_interfaz
sh interfaces nombre_interfaz
sh int nombre_interfaz
*Mostrar la tabla de enrutamiento IP:
<code>sh ip ruta
Comandos de interfaz
Estos comandos están ligados a la configuración de la interfaz del router. La mayoría deben ser ejecutados desde el modo de configuración de interfaz.
Asignación de una dirección IP a una interfaz:
ip address @IP mascara
Activación de la interfaz:
no shutdown
Comandos para hacer una copia de seguridad de la configuración actual
Estos comandos permiten hacer una copia de seguridad de la configuración actual para restaurarla automáticamente en caso de reinicio del router. Estos se ejecutan en modo Privilegiado.
Copia de seguridad con solicitud de confirmación:
copy running-config startup-config
copy run start
Copia de seguridad sin solicitud de confirmación:
write
Comando de anulación
Este comando permite regresar a la última configuración guardada, anulando todas las modificaciones que han sido hechas después a la configuración. Se ejecuta en modo Privilegiado.
copy startup-config running-config
copy start run
Anulación de un comando en particular
Para anular un comando en particular, utilizaremos el prefijo no delante del comando que se ejecuto anteriormente.
Ejemplo: anular la configuración de una interfaz: 
no ip address
Cambiar el nombre del router
El nombre del router puede ser modificado a fin de poder diferenciarlo en la red o redes. El comando será ejecutado en modo de configuración global.
host NuevoNombre
Un nombre diferente aparecerá en el prompt en sesiones HyperTerminal o Telnet.
Antes:
Router >
Después:
NuevoNombre >
Poner una contraseña al usuario privilegiado
Estos comandos deben ser ejecutados en modo de configuración global:
Asignación normal:
enable password contraseña
Asignación encriptada:
enable secret contraseña




Configurar un Enrutador Inalámbrico en Windows
Cuando se configura un enrutador inalámbrico, crea una red inalámbrica. Este proceso consta de cuatro pasos principales:
v  Obtener el hardware adecuado.
v  Configurar el enrutador.
v  Conectar el enrutador a Internet (si desea acceso a Internet).
v  Conectar los equipos a la red.
Cada uno de estos pasos se describe en detalle en las siguientes secciones.

1.    Obtener el hardware adecuado

Es necesario el siguiente hardware para configurar una red inalámbrica:
·         Un enrutador inalámbrico. Para obtener información acerca de cómo seleccionar un enrutador inalámbrico, consulte Seleccionar un enrutador inalámbrico u otro dispositivo de red inalámbrico.
·         Un equipo con un adaptador de red inalámbrico.
·         Un equipo con un adaptador de red cableada (usado únicamente durante la configuración; éste puede ser el mismo equipo que posee el adaptador de red inalámbrico).
·         Un cable de red (Ethernet) (usado únicamente durante la configuración; si desea conectarse a Internet y posee un módem de banda ancha independiente, necesitará un segundo cable Ethernet).

2.    Configurar el Enrutador

  Si su enrutador muestra el logotipo de Windows 7 o la frase "Compatible con Windows 7", puede configurarlo automáticamente con la última versión de Windows Connect Now (WCN) en Windows 7 o Windows Vista Service Pack 2. Siga estos pasos para configurar el enrutador automáticamente:
1.    Desempaquete el enrutador y conéctelo a una fuente de energía. Debido a que está utilizando WCN, no necesita conectar físicamente el enrutador al equipo.
2.    Para abrir Conectarse a una red, haga clic en el icono de la red (Imagen del icono de red inalámbrica o Imagen del icono de red cableada) en el área de notificación.
Se muestra una lista de las redes disponibles actualmente.
3.    Haga clic en la red predeterminada de su enrutador, que se identifica por el nombre del fabricante.
4.    Siga las instrucciones que aparecen en pantalla.

Nota: WCN configura la red con la seguridad activada de manera predeterminada. Puede cambiar los valores de configuración de seguridad más adelante si lo desea.

            Incluso si WCN no está disponible, la mayoría de los enrutadores incluyen un CD de instalación para brindar ayuda durante el proceso de configuración. Revise la información que se proporciona con el enrutador.
            Si WCN no está disponible, también puede seguir estos pasos para configurar el enrutador manualmente:
1.    Desempaquete el enrutador y conéctelo a una fuente de energía.
2.    Conecte un extremo del cable de red al adaptador de red cableada del equipo y conéctelo al otro extremo del enrutador inalámbrico (en cualquier puerto que no tenga la etiqueta "Internet", "WAN" o "WLAN").
3.    Abra el explorador web y escriba la dirección de la página web de configuración del enrutador. Para la mayoría de los enrutadores, la dirección de la página web de configuración es http://192.168.0.1 o http://192.168.1.1. La siguiente lista ofrece información sobre cómo obtener acceso a la página web de algunos de los enrutadores más comunes.

Enrutador
Dirección
Nombre de usuario
Contraseña
3Com
http://192.168.1.1
admin
admin
D-Link
http://192.168.0.1
admin
Linksys
http://192.168.1.1
admin
admin
Banda ancha de Microsoft
http://192.168.2.1
admin
admin
Netgear
http://192.168.0.1
admin
contraseña

            Después de obtener acceso a la página de configuración, se le solicitará que inicie sesión con un nombre de usuario y contraseña. Para conocer el nombre de usuario y contraseña, consulte la tabla anterior o revise la información proporcionada con el enrutador.
4.    Ejecute la utilidad de configuración del enrutador, si tiene una. Si no cuenta con ninguna utilidad de configuración, configure los siguientes ajustes manualmente al consultar la información incluida con su enrutador.
v  Seleccione un nombre para la red inalámbrica al especificar el identificador del conjunto de servicios (SSID).
v  Seleccione el tipo de cifrado (WPA, WPA2 o WEP) que desea usar para la seguridad y actívelo.
            Nota: Se recomienda usar WPA2, si es posible. No es recomendable usar WEP. WPA o WPA2 son más seguros. Si prueba WPA o WPA2 y no funcionan, se recomienda que actualice el adaptador de red a una versión compatible con WPA o WPA2.
v  Seleccione una clave de seguridad que usará para obtener acceso a la red inalámbrica.
v  Cambie la contraseña administrativa predeterminada del enrutador por una nueva contraseña a fin de que otras personas no puedan obtener acceso a su red.

3.    Conectar el enrutador a Internet

            La conexión de su enrutador a Internet otorga conexión a Internet a todas las personas de su red.
            Según el tipo de conexión a Internet que tenga, este paso puede presentar variaciones:
v  Si dispone de un servicio de Internet de banda ancha (cable, ADSL o fibra óptica), conecte el cable suministrado por su proveedor de banda ancha al enrutador (la conexión usualmente se marcará como "Internet").
v  Si dispone de un módem de banda ancha independiente, conecte un extremo del cable Ethernet al puerto de Internet del enrutador y el otro extremo al módem. A continuación, conecte el cable suministrado por su proveedor de banda ancha al módem.

4. Conectar los equipos a la red

            Puede mantener su equipo inicial conectado permanentemente al enrutador mediante una conexión por cables o puede optar por una conexión inalámbrica. Para conectar otros equipos a la red, siga estos pasos:
1.    Inicie sesión en el equipo que desea conectar a la red.
2.    Para abrir Conectarse a una red, haga clic en el icono de la red (Imagen del icono de red inalámbrica o Imagen del icono de red cableada) en el área de notificación.
3.    Elija la red inalámbrica en la lista que aparece y, a continuación, haga clic en Conectar.

                        Advertencia: Siempre que sea posible, debe conectarse a una red inalámbrica con seguridad habilitada. Si se conecta a una red que no es segura, tenga en cuenta que cualquier usuario con las herramientas adecuadas podrá ver todo lo que usted hace, incluidos los sitios web que visita, los documentos con los que trabaja y los nombres de usuario y las contraseñas que usa. Cambiar la ubicación de red a Pública puede ayudarle a reducir los riesgos.

4.    Realice una de las acciones siguientes:
v  Si el enrutador admite Windows Connect Now (WCN) o Wi‑Fi Protected Setup (WPS), y el enrutador cuenta con un botón de comando, presiónelo y espere unos segundos mientras el enrutador agrega automáticamente el equipo a la red. No es necesario que escriba una clave de seguridad.
v  Escriba la clave de seguridad o frase de contraseña si se le solicita que lo haga y, a continuación, haga clic en Aceptar.
v  Si desea usar una unidad flash USB para copiar los valores de configuración de red en su equipo en lugar de escribir una clave de seguridad o frase de contraseña, busque "Agregar un dispositivo o un equipo a una red" en Ayuda y soporte técnico.
Verá un mensaje de confirmación cuando esté conectado a la red.

Configuración de una Impresora en Red con Windows

1.      Dar clic en menú "Inicio" y luego clic en "Panel de control", y después clic en "Impresoras y faxes" y selecciona "Agregar impresora". Pulsar el botón "Siguiente" en la ventana que se abre.
2.      Seleccionar "Impresora local conectada a este equipo" y desmarcar la casilla junto a "Detectar e instalar automáticamente mi impresora". Pulsar el botón "Siguiente"
3.      Seleccionar el botón "Crear un nuevo puerto". Elija "estándar TCP / IP" en el "Tipo de puerto" en el menú desplegable. Hacer clic en "Siguiente".
4.      Hacer clic en "Siguiente" cuando abra "Asistente para agregar puerto de impresora". Escribe la dirección IP de la impresora en red en el campo "Nombre de impresora o dirección IP". No cambies nada en el "Nombre de puerto"; se llenará automáticamente. Pulsa el botón "Siguiente". Permite que Windows busque la impresora basándose en esta dirección IP. Haz clic en "Finalizar" cuando el proceso esté completo.
5.      Seleccionar la marca y el modelo de la impresora en el cuadro "Instalar el software de la impresora". Pulsa el botón "Windows Update" para permitir que Windows encuentre los drivers para la impresora en línea si no está en la lista de los controladores actualmente disponibles en el sistema. Hacer clic en "Siguiente".
6.      Elegir la opción "Conservar el controlador existente" en la página siguiente. Presionar "Siguiente". Escribir un nombre para la impresora y seleccionar el botón adecuado si quieres que sea la impresora predeterminada. Haz clic en "Siguiente" de nuevo.
7.      Hacer clic en la opción "No compartir esta impresora". Presionar "Siguiente". Selecciona "Sí" en la siguiente pantalla para imprimir una página de prueba. Haz clic en "Siguiente" y asegúrate de que se imprima correctamente la página de prueba.
8.      Pulsar el botón "Finalizar" para cerrar el asistente de instalación y completar la configuración de la impresora en red.

COMO CONFIGURAR UN SWITCH

PASO 1:
Se verifica que no haya nada enchufado en el switch

  • PASO 2:
Durante la Configuración Express, el switch actúa como servidor DHCP. Si su PC tiene una dirección IP estática, deberá cambiar las configuraciones de su PC para que utilice temporalmente el DHCP antes de continuar con el siguiente paso.
Nota: tome nota de la dirección IP estática, la necesitará en el Paso 10.
  • PASO 3:
Para suministrar corriente al switch, conecte el cable de alimentación de CA a la fuente de alimentación del switch y a una toma de CA con conexión a tierra.
Aproximadamente 30 segundos después de activar el switch, se inicia la autoprueba de encendido (POST) que puede tomar varios minutos.
Durante la prueba POST, el diodo emisor de luz o LED parpadea en verde y los diodos de RPS, STATUS, DUPLEX y SPEED emiten una luz verde sólido.
Cuando la prueba POST termina, el LED de SYSTEM emite una luz verde sólido permanentemente y los otros diodos LED se apagan. La excepción es el LED STACKMASTER, que emite una luz verde sólido si el switch es apilable y actúa como el switch maestro de la pila.
Antes de continuar con el siguiente paso, espere hasta que la prueba POST se haya completado. Esto puede tomar hasta
5 minutos después de encender el switch

  • PASO 4:
Pulse y mantenga presionado el botón Mode hasta que todos los LED situados arriba del botón emitan una luz verde sólido permanentemente. Probablemente deba mantener presionado el botón durante
3 segundos o más. Suelte el botón Mode después de que todos los LED situados arriba del botón emitan una luz verde sólido permanentemente. (En algunos modelos de switch, el LED de RPS permanece apagado.) El switch está ahora en el modo de Configuración Express.
Antes de continuar con el siguiente paso, asegúrese de que todos los diodos LED situados arriba del botón emitan una luz verde sólido permanentemente.

  • PASO 5:
Conecte un cable Ethernet de categoría 5 ó 6 a una de las siguientes ubicaciones:
 Cualquier puerto Ethernet 10/100/1000 de enlace descendente (como el Puerto 1) en el panel frontal del switch.
 El puerto de administración Ethernet del panel frontal del switch.
Conecte el otro extremo del cable al puerto Ethernet de la PC. Antes de continuar con el siguiente paso, espere a que los diodos LED del puerto en el switch y en su PC o computadora portátil emitan una luz verde (sólida o parpadeante). El color verde de los LED de los puertos indica que la conexión se estableció correctamente.
  • PASO 6:
Introduzca la dirección IP 10.0.0.1 en un navegador Web y presione la tecla Enter (Entrar). Cuando se le solicite, introduzca la contraseña predeterminada: cisco.
Nota: El switch ignora el texto en el campo del nombre de usuario.

  • PASO 7:
Introduzca las configuraciones obligatorias en la ventana Configuración Express.
Nota Todas las entradas deben estar en caracteres anglosajones y números arábigos.
  • Campos obligatorios
Introduzca la siguiente información en los campos de Configuración de red:
 En el campo de Interfaz de administración (ID de la VLAN), el valor predeterminado es 1.
Nota Cisco recomienda el uso del valor predeterminado de la VLAN porque la VLAN 1 es la única VLAN en el switch durante la función de instalación Configuración Express.
Introduzca un nuevo valor de ID de la VLAN sólo si desea cambiar la interfaz de administración a través de la cual administra el switch. El rango de la ID de la VLAN va de 1 a 1001.
 En el campo de Dirección IP, introduzca la dirección IP del switch.
 En el campo de Máscara de subred, haga clic en la flecha desplegable y seleccione una máscara de subred.
 En el campo de Puerta de enlace predeterminada, introduzca la dirección IP para la puerta de enlace (router).
 Introduzca su contraseña en el campo de Contraseña del switch. La contraseña puede tener de 1 a 25 caracteres alfanuméricos, puede empezar con un número, distingue entre mayúsculas y minúsculas y no permite los espacios iniciales y finales, aunque sí los espacios insertados o embebidos. En el campo de Confirmar contraseña del switch, ingrese su contraseña de nuevo.
Nota Debe cambiar la contraseña predeterminada (cisco).

  • PASO 8:
Después de hacer clic en Submit, ocurre lo siguiente:
 El switch se configura y sale del modo de Configuración Express.
 El navegador muestra un mensaje de advertencia y trata de conectarse con la anterior dirección IP del switch. Normalmente, la conectividad entre la PC y el switch se pierde porque la dirección IP configurada del switch está en una subred diferente a la de su PC.

  • PASO 9:
Desconecte el switch de la PC e instálelo en su red. Consulte la sección “Montaje en bastidor” en la página 17.

  • PASO10
Si cambió la dirección estática de su PC en el Paso 2, cámbiela de nuevo a la dirección IP estática configurada previamente.

  • PASO11
Ahora, puede administrar el switch mediante Cisco Network Assistant, el Administrador de Dispositivos o ambos. Consulte la sección “Administración del switch” en la página 11 para obtener información sobre la configuración y administración del switch.
Le recomendamos especialmente que descargue Cisco Network Assistant de Cisco.com y lo utilice para administrar el switch. Puede descargarlo del CD-ROM que se entrega con el switch o desde Cisco.com en:
http://www.cisco.com/en/US/products/ps5931/index.html
Es posible mostrar el Administrador de Dispositivos realizando siguientes los pasos:
1. Inicie el navegador Web en su PC o computadora portátil.
2. introduzca la dirección IP del switch, el nombre de usuario y la contraseña (asignados en el Paso 7) en el navegador Web y presione la tecla Enter. Se mostrará la página del Administrador de Dispositivos.

Listas de acceso

Las listas de acceso son básicamente el mecanismo para seleccionar tráfico. Una vez que un conjunto de paquetes ha sido seleccionado el Routers puede realizar diversas tareas sobre ellos. Uno de los usos mas extendidos de las listas de acceso es el de controlar el flujo de trafico entrante y saliente de un routers, el proceso de configuración de listas de acceso consta de dos pasos generales, la creación de la lista de acceso y su aplicación en la interfaz correspondiente. Existen mecanismos en el momento de tener una adecuada configuración reload, reset y loopback. En algunos casos las listas de acceso se usan en la seguridad informática para fomentar la separación de privilegios. Ya que es una forma de determinar los permisos de acceso apropiados a un determinado objeto. Dependiendo de ciertos aspectos del proceso que hace el pedido. Las ACL  esta caracterizadas por permitir controlar el flujo del tráfico en equipos de redes, tales como enrutadores y conmutadores. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar o mantener una conexión) en RDSI. Existe un una razón por la cual estas, suelen gestionarse en una clase o sistema separado y no en cada una de las partes que pretenden asociarse a permisos es por seguir las reglas SOLID, en este caso la S (Principio de responsabilidad única), lo cual te permite incluso escalar mejor. Se asemejaría a un sistema de control de accesos físico típico de un edificio, donde esa parte está centralizada en un lugar. Este lugar solo necesita saber dos cosas: Quien eres (por ejemplo un ID de una tarjeta, tu id de usuario) y que quieres hacer. El te responde si tienes permiso de hacerlo o no. Con este enfoque este mismo sistema no solo puede ser utilizado para acceder a lugares si no para cualquier cosa que necesite separarse de personas que pueden y no pueden hacer cosas, por ejemplo: acceder a una página o sección, publicar un comentario, hacer una amistad, enviar un correo.
En redes informáticas, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en un terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tanto servidores individuales como enrutadores pueden tener ACL de redes. Las listas de control de acceso pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a un cortafuegos.
Existen dos tipos de listas de control de acceso:
·         Listas fija, no cambia
·         Listas variable, cambia
En la actualidad Un Sistema de Control de Accesos, administra el ingreso a áreas restringidas, y evita así que personas no autorizadas o indeseables tengan la libertad de acceder a la empresa. Así mismo con un Sistema de Control de Accesos se puede tener conocimiento de la asistencia del personal, horarios de ingreso y salida, y también poder tener un control histórico de entradas de personas a todas las áreas (para poder tener en cuenta quienes podrían ser los posibles responsables de algún siniestro).
La manera más eficiente de controlar los movimientos dentro de la empresa es sectorizar la misma en zonas, que pueden ser departamentos, puertas independientes, distintos pisos, etc. Lo más práctico es que cada empleado de la empresa tenga determinadas las zonas a las cuáles tiene acceso. Los sistemas trabajan en red para que todas las filiales de una empresa estén conectadas a un sistema central, y se maneja el acceso a nivel centralizado.

·                     Listas de acceso estándar: Las listas de acceso IP estándar comprueban las direcciones de origen de los paquetes que solicitan enrutamiento. El resultado es el permiso o la denegación de la salida del paquete por parte del protocolo, basándose en la dirección IP de la red-subred-host de origen.
·                     Listas de accesos extendidos: Las listas de acceso comprueban tanto la dirección de origen como la de destino de cada paquete. También pueden verificar protocolos especificados, números de puerto y otros parámetros.

Una vez creada, una ACL debe asociarse a una interfaz de la siguiente manera:
·                     Lista de acceso entrante: Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida, si el paquete pasa las pruebas de filtrado, será procesado para su enrutamiento (evita la sobrecarga asociada a las búsquedas en las tablas de enrutamiento si el paquete ha de ser descartado por las pruebas de filtrado).
·                     Lista de acceso saliente: Los paquetes entrantes son enrutados a la interfaz de salida y después son procesados por medio de la lista de acceso de salida antes de su transmisión.

Las listas de acceso expresan el conjunto de reglas que proporcionan un control añadido para los paquetes que entran en interfaces de entrada, paquetes que se trasmiten por el router, y paquetes que salen de las interfaces de salida del router.

Las listas de acceso no actúan sobre paquetes originados en el propio router, como las actualizaciones de enrutamiento a las sesiones Telnet salientes.

Configuración de listas de acceso IP
Las máscaras se usan con direcciones IP en ACL IP para especificar qué debe permitirse y qué debe denegarse. Las máscaras para configurar direcciones IP en interfaces empiezan por 255 y tienen los valores más altos a la izquierda (por ejemplo: dirección IP 209.165.202.129 con una máscara de 255.255.255.224). Las máscaras para las ACL IP son lo opuesto, por ejemplo, máscara 0.0.0.255. Esto a veces se denomina una máscara inversa o una máscara comodín. Cuando el valor de la máscara se subdivide en binario (0 y 1), el resultado determina qué bits de dirección se considerarán en el procesamiento del tráfico. La presencia de un 0 indica que deben tenerse en cuenta los bits de la dirección (coincidencia exacta); un 1 en la máscara indica que no es relevante. En esta tabla se amplía el concepto.

Ejemplo de máscara
dirección de red (tráfico que se va a
procesar)
10.1.1.0
Máscara
0.0.0.255
dirección de red (binaria)
00001010.00000001.00000001.00000000
máscara (binaria)
00000000.00000000.00000000.11111111

Basándose en la máscara binaria, puede ver que los primeros tres grupos (octetos) deben coincidir exactamente con la dirección de red binaria dada (00001010.00000001.00000001). Los últimos conjuntos de números no son relevantes (.11111111). Por lo tanto, todo el tráfico que empiece por 10.1.1.coincidiría, puesto que el último octeto no es relevante. Por consiguiente, con esta máscara, se procesarán las direcciones desde la 10.1.1.1 hasta la 10.1.1.255 (10.1.1.x).
Reste la máscara normal de 255.255.255.255 para determinar la máscara inversa de la ACL. En este ejemplo, la máscara inversa está determinada para la dirección de red 172.16.1.0 con una máscara normal de 255.255.255.0.
255.255.255.255 - 255.255.255.0 (máscara normal) = 0.0.0.255 (máscara inversa)
Tenga en cuenta estos equivalentes de ACL.
  • El valor source/source-wildcard de 0.0.0.0/255.255.255.255 significa cualquiera.
·         El valor source/wildcard de 10.1.1.2/0.0.0.0 es el mismo que host 10.1.1.2.

Procesamiento de ACL
El tráfico que entra en el router se compara con las entradas de ACL según el orden de las entradas en el router. Se agregan nuevas sentencias al final de la lista. El router sigue mirando hasta que encuentra una coincidencia. Si el router llega al final de la lista y no ha encontrado ninguna coincidencia, el tráfico se rechaza. Por este motivo, debe tener las entradas consultadas con frecuencia al principio de la lista. Hay un rechazo implícito para el tráfico que no está permitido. Una ACL de única entrada con una sola entrada "deny" tiene el efecto de rechazar todo el tráfico.

Si no tiene como mínimo una sentencia "permit" en una ACL, se bloqueará todo el tráfico. Estas dos ACL (101 y 102) tienen el mismo efecto.
Aplicación de ACL
Es posible definir las ACL sin aplicarlas. No obstante, las ACL no surten efecto hasta que se aplican a la interfaz del router. Por tanto, se recomienda aplicar la ACL en la interfaz más próxima al origen del tráfico. Como se muestra en este ejemplo, cuando intente bloquear el tráfico del origen al destino, puede aplicar una ACL entrante a E0 en el router A en vez de una lista saliente a E1 en el router C.

Definición de In, Out, Source y Destination

El router utiliza los términos "in", "out", "source" y "destination" como referencias. Se podría comparar el tráfico del router con el tráfico de una autopista. Si fuera un agente de policía de Lérida y quisiera parar un camión que va de Tarragona a Barcelona, el origen del camión sería
Tarragona y su destino Barcelona. El control de carretera se colocaría en la frontera entre Lérida y Barcelona ("out") o en la frontera entre
Tarragona y Lérida ("in").
Aplicados a un router, dichos términos tienen los siguientes significados.

Out : El tráfico que ya ha pasado por el router y está saliendo de la interfaz. El origen es por donde ha pasado (en el otro extremo del
router) y el destino es adonde va.

In: el tráfico que llega a la interfaz y luego pasa por el router. El origen es por donde ha pasado y el destino es adonde va (en el otro extremo del router).

La ACL "in" tiene un origen en un segmento de la interfaz al que se aplica y un destino fuera de cualquier otra interfaz. La ACL "out" tiene un origen en un segmento de cualquier interfaz distinta a la interfaz a la que se aplica y un destino fuera de la interfaz a la que se aplica.

Edición de ACL
La modificación de una ACL requiere especial atención. Por ejemplo, si intenta eliminar una línea concreta de una ACL numerada como se muestra aquí, se eliminará toda la ACL.

¿Cómo se elimina una ACL de una interfaz?
Acceda al modo de configuración y escriba no delante del comando access-group, como se muestra en este ejemplo, para quitar una ACL de una interfaz.

interface <interface>
no ip access-group #in|out

¿Qué se puede hacer cuando se rechaza demasiado tráfico?
Si se rechaza demasiado tráfico, examine la lógica de la lista o intente definir y aplicar una lista más amplia. El comando show ip access-lists proporciona un recuento de paquetes en el que se indica qué entrada de ACL se utiliza.
La palabra clave log, al final de las entradas de ACL, indica el número de listas y si el paquete se ha permitido o rechazado, además de datos específicos del puerto.

¿Cómo se puede depurar en el nivel de los paquetes con un router de Cisco?
En este procedimiento se explica el proceso de depuración. Antes de empezar, compruebe que no se haya aplicado ninguna ACL en ese momento, que exista una ACL y que no esté inhabilitada la conmutación rápida.
.
1. Ejecute el comando access-list para capturar los datos deseados.
En este ejemplo, se ha configurado la captura de datos de la dirección de destino 10.2.6.6 o de la dirección de origen 10.2.6.6.

access-list 101 permit ip any host 10.2.6.6
access-list 101 permit ip host 10.2.6.6 any

2. Inhabilite la conmutación rápida en las interfaces involucradas. Sólo podrá ver el primer paquete si está habilitada la conmutación rápida.
config interface
no ip route-cache
3. Ejecute el comando terminal monitor en modo habilitado para mostrar el resultado del comando debug y mensajes de error del sistema del terminal y la sesión actuales.
4. Ejecute el comando debug ip packet 101 o el comando debug ip packet 101 detail para empezar el proceso de depuración.

5. Ejecute el comando no debug all en modo habilitar y el comando interface configuration para detener el proceso de depuración.

6. Vuelva a iniciar la memoria caché.

Tipos de ACL IP
ACL estándar
Las ACL estándar son el tipo más antiguo de ACL. Su aparición se remonta a la versión 8.3 del software Cisco IOS. Las ACL estándar controlan el tráfico por medio de la comparación de la dirección de origen de los paquetes IP con las direcciones configuradas en la ACL.

Este es el formato de la sintaxis de los comandos de una ACL estándar.
access-list access-list-number {permit|deny}
{host|source source-wildcard|any}

En todas las versiones del software, access-list-number puede ser cualquier número del 1 al 99. En la versión 12.0.1 del software Cisco IOS, las
ACL estándar empiezan a usar más números (del 1300 al 1999). Estos números adicionales se denominan ACL IP ampliadas. En la versión 11.2 del software Cisco IOS se añadió la posibilidad de utilizar un valor name de lista en las ACL estándar.
Una configuración source/source-wildcard de 0.0.0.0/255.255.255.255 puede especificarse como any. El comodín puede omitirse si está formado sólo por ceros. Por consiguiente, el host 10.1.1.2 0.0.0.0 es igual al host 10.1.1.2.
Después de definir la ACL, se debe aplicar a la interfaz (entrante y saliente). En versiones anteriores del software, "out" era el valor predeterminado cuando la palabra clave "out" o "in" no se había especificado. En las versiones posteriores del software, se debe especificar la dirección.

interface <interface>
ip access-group number {in|out}
Este es un ejemplo del uso de una ACL estándar para bloquear todo el tráfico excepto el procedente del origen 10.1.1.x.
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 1 in
access-list 1 permit 10.1.1.0 0.0.0.255

ACL ampliadas
Las ACL ampliadas se introdujeron en la versión 8.3 del software Cisco IOS. Controlan el tráfico por medio de la comparación de las direcciones de origen y destino de los paquetes IP con las direcciones configuradas en la ACL.
Este es el formato de la sintaxis de los comandos de las ACL ampliadas. Se han añadido saltos de línea por cuestiones de espacio.
IP
access-list
access-list-number [dynamic
dynamic-name [timeout
minutes]]
{deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence]
[tos tos] [log | log-input] [time-range time-range-name]
ICMP
access-list
access-list-number [dynamic
dynamic-name [timeout
minutes]]
{deny | permit} icmp
source source-wildcard destination destination-wildcard
[icmp-type | [[icmp-type icmp-code] | [icmp-message]]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]
TCP
access-list
access-list-number [dynamic
dynamic-name [timeout
minutes]]
{deny | permit} tcp
source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [established]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]
UDP
access-list
access-list-number [dynamic
dynamic-name [timeout minutes]]
{deny | permit} udp
source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]
En todas las versiones del software, access-list-number puede ser del 101 al 199. En la versión 12.0.1 del software Cisco IOS, las ACL ampliadas
empiezan a usar más números (del 2000 al 2699). Estos números adicionales se denominan ACL IP ampliadas. En la versión 11.2 del software
Cisco IOS se añadió la posibilidad de utilizar un valor name de lista en las ACL ampliadas.
El valor de 0.0.0.0/255.255.255.255 se puede especificar como any. Después de definir la ACL, se debe aplicar a la interfaz (entrante y saliente).
En versiones anteriores del software, "out" era el valor predeterminado cuando la palabra clave "out" o "in" no se había especificado. En las
versiones posteriores del software, se debe especificar la dirección.

interface <interface>
ip access-group {number|name} {in|out}
Esta ACL ampliada sirve para permitir el tráfico en la red 10.1.1.x (interna) y para recibir respuestas de ping de fuera a la vez que impide los
pings no solicitados de usuarios externos (aunque permite el resto del tráfico).
interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group 101 in
access-list 101 deny icmp any 10.1.1.0 0.0.0.255 echo
access-list 101 permit ip any 10.1.1.0 0.0.0.255

Lock-and-Key (ACL dinámicas)
La función Lock-and-Key (también conocida como ACL dinámicas) apareció en la versión 11.1 del software Cisco IOS. Esta función depende de
Telnet, de la autenticación (local o remota) y de las ACL ampliadas.
La configuración de Lock-and-Key comienza con la aplicación de una ACL ampliada para bloquear el tráfico que pasa por el router. La ACL ampliada bloquea a los usuarios que desean pasar por el router hasta que establecen una conexión desde Telnet al router y son autenticados.
Luego, se pierde la conexión Telnet y se agrega una ACL dinámica de una única entrada a la ACL ampliada existente. De esta forma, se permite el tráfico durante un tiempo concreto; se admiten tiempos de espera absolutos e inactivos.
Este es el formato de la sintaxis de los comandos para la configuración de Lock-and-Key con autenticación local.

username username password password
interface <interface>
ip access-group {number|name} {in|out}
Después de la autenticación, se agrega dinámicamente la ACL de una única entrada a la ACL existente.
access-list access-list-number dynamic name{permit|deny} [protocol]
{source source-wildcard|any} {destination destination-wildcard|any}
[precedence precedence][tos tos][established] [log|log-input]
[operator destination-port|destination port]
line vty line_range
login local
A continuación se muestra un ejemplo básico de Lock-and-Key.
username test password 0 test
!--- Diez (minutos) es el tiempo de espera inactivo.
username test autocommand access-enable host timeout 10
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 101 in
access-list 101 permit tcp any host 10.1.1.1 eq telnet
!--- 15 (minutos) es el tiempo de espera absoluto.
access-list 101 dynamic testlist timeout 15 permit ip 10.1.1.0 0.0.0.255
172.16.1.0 0.0.0.255
line vty 0 4
login local
Cuando el usuario de 10.1.1.2 se conecta con Telnet a 10.1.1.1, se aplica la ACL dinámica. Luego se pierde la conexión y el usuario puede ir a la
red 172.16.1.x.

ACL con nombre IP
Las ACL con nombre IP aparecieron en la versión 11.2 del software Cisco IOS. Así se permite que las ACL estándar y ampliadas reciban nombres en vez de números.
Este es el formato de la sintaxis de los comandos de las ACL con nombre IP.

ip access-list {extended|standard} name
A continuación se muestra un ejemplo de TCP:
permit|deny tcp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [established]
[precedence precedence] [tos tos] [log] [time-range time-range-name]
En este ejemplo se ilustra el uso de una ACL con nombre para bloquear todo el tráfico excepto la conexión Telnet del host 10.1.1.2 al host 172.16.1.1.
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group in_to_out in
ip access-list extended in_to_out
permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet

ACL reflexivas
Las ACL reflexivas se introdujeron en la versión 11.3 del software Cisco IOS. Permiten filtrar los paquetes IP según los datos de sesión de capa superior. Suelen utilizarse para permitir el tráfico saliente y para limitar el tráfico entrante como respuesta a sesiones que se originan dentro del router.

Las ACL reflexivas sólo pueden ser definidas junto con las ACL con nombre IP ampliadas. No se pueden definir con ACL con nombre IP numeradas o estándar, ni con ACL de otros protocolos. Las ACL reflexivas pueden utilizarse conjuntamente con otras ACL ampliadas estándar y estáticas.
Esta es la sintaxis de los diversos comandos de las ACL reflexivas.

interface
ip access-group {number|name} {in|out}
ip access-list extended name
permit protocol any any reflect name [timeoutseconds]
ip access-list extended name
evaluate name
En este ejemplo se ilustra cómo se permite el tráfico ICMP saliente y entrante, a la vez que sólo se permite el tráfico TCP iniciado desde dentro
(el resto del tráfico se rechaza).
ip reflexive-list timeout 120
interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group inboundfilters in
ip access-group outboundfilters out
ip access-list extended inboundfilters
permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
evaluate tcptraffic
!--- Así se vincula la parte de la ACL reflexiva de la ACL de filtros de salida (outboundfilters),
!--- llamada "tcptraffic", a la ACL de filtros de entrada (inboundfilters).
ip access-list extended outboundfilters
permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic

ACL basadas en tiempo que utilizan intervalos de tiempo
Las ACL basadas en tiempo se introdujeron en la versión 12.0.1.T del software Cisco IOS. Aunque su función es similar a la de las ACL ampliadas, permiten el control de acceso según el tiempo. A fin de implementar ACL basadas en tiempo, se crea un intervalo de tiempo que define momentos específicos del día y la semana. El intervalo de tiempo se identifica con un nombre y se hace referencia a él a través de una función. Por lo tanto, las restricciones de tiempo vienen impuestas por la propia función. El intervalo temporal depende del reloj del sistema del
router. El reloj del router se puede utilizar, pero la característica funciona mejor con la sincronización del Protocolo de tiempo de red (NTP).

Estos son comandos de las ACL basadas en tiempo.
!--- Define un intervalo de tiempo con nombre.
time-range time-range-name
!--- Define los momentos periódicos.
periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm
!--- O bien, define los tiempos absolutos.
absolute [start time date] [end time date]
!--- El intervalo de tiempo utilizado en la ACL real.
ip access-list name|number <extended_definition>time-rangename_of_time-range
En este ejemplo, se permite una conexión Telnet de la red interna a la externa los lunes, miércoles y viernes en horario laborable:
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 101 in
access-list 101 permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
eq telnet time-range EVERYOTHERDAY
time-range EVERYOTHERDAY
periodic Monday Wednesday Friday 8:00 to 17:00

Entradas de ACL IP comentadas
Las entradas de ACL IP comentadas se presentaron en la versión 12.0.2.T del software Cisco IOS. Los comentarios facilitan la comprensión de las ACL y sirven para las ACL IP estándar o ampliadas.
Esta es la sintaxis de los comandos de las ACL IP con nombre comentada.

ip access-list {standard|extended} name
remark remark
Y ésta la de los comandos de las ACL IP numeradas comentadas.
access-list access-list-number remark remark
Aquí se ofrece un ejemplo de comentario de una ACL numerada.
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 101 in
access-list 101 remark permit_telnet
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet

Control de acceso basado en el contexto
El control de acceso basado en el contexto (CBAC) fue presentado en la versión 12.0.5.T del software Cisco IOS y requiere del conjunto de funciones de firewall de Cisco IOS. CBAC inspecciona el tráfico que discurre por el firewall para descubrir y administrar datos de estado de las sesiones TCP y UDP. Estos datos de estado sirven para crear aperturas temporales en las listas de acceso del firewall. Para ello, configure las listas de ip inspect en la dirección del flujo de inicio del tráfico para permitir el tráfico de retorno y conexiones de datos adicionales para sesiones aceptables (sesiones que se originaron dentro de la red interna protegida).

Esta es la sintaxis de CBAC.
ip inspect name inspection-name protocol [timeoutseconds]
En este ejemplo se ilustra el uso de CBAC para inspeccionar el tráfico saliente. La ACL ampliada 111 suele bloquear el tráfico de retorno (que no
es ICMP) sin que CBAC abra agujeros para dicho tráfico.
ip inspect name myfw ftp timeout 3600
ip inspect name myfw http timeout 3600
ip inspect name myfw tcp timeout 3600
ip inspect name myfw udp timeout 3600
ip inspect name myfw tftp timeout 3600
interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group 111 in
ip inspect myfw out
access-list 111 deny icmp any 10.1.1.0 0.0.0.255 echo
access-list 111 permit icmp any 10.1.1.0 0.0.0.255

Proxy de autenticación
El proxy de autenticación se introdujo en la versión 12.0.5.T del software Cisco IOS. Es imprescindible tener configurada la función de firewall de Cisco IOS. El proxy de autenticación sirve para autenticar usuarios de entrada, de salida o ambos. Los usuarios que suele bloquear una ACL pueden abrir un navegador Web para que atraviese el firewall y autenticarse en un servidor TACACS+ o RADIUS. El servidor envía entradas de
ACL adicionales al router para permitir el paso a los usuarios después de la autenticación.
El proxy de autenticación es similar a la función Lock-and-Key (ACL dinámicas). Las diferencias entre ambos son las siguientes:
La conexión Telnet al router activa la función Lock-and-Key. HTTP activa el proxy de autenticación a través del router.
El proxy de autenticación tiene que usar un servidor externo.
El proxy de autenticación puede gestionar la adición de varias listas dinámicas. Lock-and-Key sólo puede agregar una.
El proxy de autenticación tiene un tiempo de espera absoluto, pero ninguno inactivo. Lock-and-Key tiene los dos tiempos de espera.
Consulte Cisco Secure Integrated Software Configuration Cookbook (Compendio de configuraciones de software de Cisco seguras e integradas) para ver ejemplos de proxy de autenticación.

ACL turbo
Las ACL turbo aparecieron en la versión 12.1.5.T del software Cisco IOS y sólo se encuentran en las plataformas 7200, 7500 y en otras de capacidad alta. La característica ACL turbo está diseñada para procesar las ACL más eficazmente con el fin de mejorar el rendimiento del router.
Use el comando access-list compiled para las ACL turbo. Este es un ejemplo de una ACL compilada.

access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq ftp
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq syslog
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq tftp
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq ntp
Después de definir la ACL estándar o ampliada, use el comando global configuration para compilar.
!--- Indica al router que compile
access-list compiled
Interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
!--- Se aplica a la interfaz
ip access-group 101 in
El comando show access-list compiled muestra estadísticas sobre la ACL.

ACL basadas en tiempo distribuidas
Las ACL basadas en tiempo distribuidas aparecieron en la versión 12.2.2.T del software Cisco IOS para implementar las ACL basadas en tiempo en routers de la serie 7500 preparados para VPN. Antes de la aparición de la función de ACL basada en tiempo distribuida, las ACL basadas en tiempo no se admitían en las tarjetas de línea para los routers Cisco serie 7500. Si se configuraban, funcionaban como ACL normales. Si una interfaz en una tarjeta de línea se configuraba con ACL basadas en tiempo, los paquetes conmutados en la interfaz no se distribuían conmutados a través de la tarjeta de línea, pero se reenviaban al procesador de rutas para su procesamiento.
La sintaxis para las ACL distribuidas basadas en tiempo es la misma que la de las ACL basadas en tiempo, con la adición de comandos sobre el estado de los mensajes de comunicación entre procesadores (IPC) entre el procesador de rutas y la tarjeta de línea.
debug time-range ipc
show time-range ipc
clear time-range ipc

ACL de recepción

Las ACL de recepción sirven para aumentar la seguridad en los routers Cisco 12000 mediante la protección del procesador de rutas gigabit (GRP) del router frente al tráfico innecesario y potencialmente peligroso. Las ACL de recepción se añadieron como una renuncia especial al acelerador de mantenimiento de la versión 12.0.21S2 del software Cisco IOS y se integraron en la versión 12.0(22)S. Consulte GSR: Receive Access Control Lists (GSR: Listas de control de acceso de recepción) para obtener más información.

ACL de protección de infraestructuras

Las ACL de infraestructuras sirven para reducir al mínimo el riesgo y la eficacia de los ataques directos a la infraestructura, permitiendo explícitamente que acceda a ella sólo el tráfico autorizado y el resto de tráfico de tránsito. Consulte Protecting Your Core: Infrastructure Protection Access Control Lists (Protección del núcleo: Listas de control de acceso de protección de infraestructuras) para obtener más información.

ACL de tránsito


Las listas de control de acceso de tránsito sirven para aumentar la seguridad de la red puesto que permiten explícitamente sólo el tráfico requerido en ella. Consulte Transit Access Control Lists: Filtering at Your Edge (Listas de control de acceso de tránsito: Filtro por su lado) para obtener más información.