Hint

La tabla muestra los bits ocupados en la máscaras y sus valores.

Manejando CIDR

Para convertir de decimal a CIDR

1. Se convierte la máscara a binario.
2. Se cuentan los unos.

255.255.240.0 -> 11111111.11111111.11110000.00000000 -> /20

Para convertir de CIDR a decimal:

1. Se empiezan a llenar octetos sin pasarse, basandose en las potencias.
2. Se completan con ceros los espacios vacíos.

Notación de prefijo/CIDR

Las máscaras de subred están formadas por 32 bits. La notación CIDR solo establece el número de bits encendidos, por ejemplo la notación /24 equivale a 255.255.244.0 como máscara.

Obteniendo la máscra con AND

El proceso de subneteo a menudo utiliza el AND entre dos direcciones IP. Para descubrir la dirección de subred a la que pertenece una IP basta con efectuar un AND entre la dirección IP y la máscara de subred:


dirección 150.150.2.1 = 10010110.10010110.00000010.00000001
máscara 255.255.255.0 = 11111111.11111111.11111111.0000000
and = 10010110.1001011.00000010.00000000 = 150.150.2.0


150.150.2.0 es la subred a la que pertenece la dirección 150.150.2.1

Operaciones matemáticas necesarias para el subnetting

Convertir direcciones Ip y máscaras de formato binario a decimal y de decimal a binario.

Las direcciones IP son números de 32bits que se pueden representar por números decimales separados por puntos. ALgunas consideraciones útiles son las siguientes:

• Cada número decimal representa 8 bits.
• Cuando se convierte de decimal a binario cada número decimal representa un número binario de 8 bits.
• De binario a decimal, cada conjunto de 8 bits consecutivos representa un número decimal.

Al convertir la dirección 150.150.2.1 a formato binario:

Se consideran las potencias de 2 de cada pocisión en el byte, encendiendo con un 1 los múltiplos necesario para q la suma de 150:

128 - 64 - 32 - 16 - 8 - 4 - 2 - 1

150->128+0+0+16+0+4+2+0 ->10010110
2->0+0+0+0+0+0+2+0 -> 00000010
1-> 0+0+0+0+0+0+0+1 -> 00000001

Al convertir la dirección de formato binario a decimal:

Se separa la cadena de bist en cuatro grupos de ochos bits. Cada grupo se convierte a un número decimal usando elprocedimiento anterior de potencias.

10010110 -> 150
00000010 -> 2
00000001 -> 1

IP routing

Las tablas de ruteo permiten establecer el subneteo por medio del formato red - máscara de subred. un punto fundamental en aprender el rango de direcciones de una subred es el de entender, analizar y resolver problemas de ruteo. Cada router debe establecer a qué subred pertenece el paquete.

Introducción al subnetting

El subnetting subdivide una dirección IP de cualquier clase en varias subredes. Para ésto la parte de la direción IP de los hosts presta bits a la parte de la red. En un esquema de subnetting un tercer elemento de la dirección surge justo en la mitad entre red y hosts, el llamado campo de subneteto. La parte de la red nunca se achica por lo que las mismas reglas de direccionamiento se siguen aplicando pero en la parte de los hosts se achica para dar cancha a la parte del subnetting.

IPV6

Surgió como una demanda creciente de direcciones IP, aunque en los últimos años la migración de IPV4 a IPV6 ha sido lenta gracias a la implementación de NAT, varias agencias compañias y agencias gubernamentales han empezado a utilizar IPV6.

Las direcciones en IPV6 tienen una longitud de 128 bits agrupados por dos puntos cada 4 caracteres hexadecimales.

Direccionamiento privado y público

Direccionamiento público: el ICANN es el encargado de asignar direcciones IP a incluso pequeños rangos de direcciones a compañías, una vez que se ha asignado una dirección solo esa compañia tiene el derecho sobre esa IP. Los routers se encargan de aprender el forwarding para aprender a alcanzar esa dirección. Como éstas direcciones Ip pueden ser alcanzadas por cualquier paquete de la red son llamadas direcciones públicas.

Algunas veces en pequeñas redes que no se concetan directamente a internet pueden tomar direcciones IP que ya han sido designadas y sin tener consecuencias. El RFC 1918 define un conjunto de redes privadas que pueden ser usadas en redes que no se conectan a internet, éstas direcciones nunca serán asignadas a ninguna organización.
Ninguna organización tiene facultades para llevar a cabo advertisements en un protcolo de ruteo sobre éstas redes privadas. Los rangos privados de direccionamiento son útiles cuando la compañia u organización que las usa se conecta a internet utilizando la herramienta de NAT.

Recordando direccionamiento de capa 3

En la primera imagen se muestra un resumen de las clases A, B y C. Se muestran las características como valores en el priemr octeto, rango de redes, Número de redes en cada clase, números de hosts por red, y cuantos bytes destinan a la parte de la dirección de red y cual a la dirección de hosts.

Existen dos direcciones reservadas. 0.0.0.0 usada como dirección de broadcast y la dirección 127.0.0.0 usada en proceso de loop back. Las computadoras usan la máscara de red para determinar que parte de la dirección ip corresponde a la red y cual a la de hosts.

La máscara es un número binario de 32 bits escrito a menudo en formato decimal separado por puntos. La máscara representa con ceros la parte dedicada a los hosts. La parte de la red se representa con unos (si no es usado subnneting) o representa laparte de la red y subred si se ha usado subneteo.

La siguiente tabla resume las máscaras de red cuando no se usa subnetting:

802.11i / WPA 2

Al igual que las soluciones de cisco y WPA, el 802.11i incluye llaves dinámicas, técnicas de encriptación más sofisticadas e identificación de usuarios. Pero el estandar 802.11i no es compatible con ninguna de las soluciones mencionadas anteriormente.

Una mejora importante de 802.11i es la implementación de Advanced Encryption Standar (AES) que da una mejor encriptación con llaves mas largas y algoritmos mas complejos.

Wi-Fi Protected Acess WAP

Esta fue la solución del comité wi-fi que habilitaba los mismos mecanismos que la solución de cisco pero con otros protocolos, lo que hace que WPA y las soluciones propietarias de Cisco sean incompatibles.

La solucion de cisco

La solución de cisco se enfocaba en mejorar las siguientes características:

• Intercambio dinámico de llaves: éste proceso cambiaba de manera dinámica y sin intervención del usuarios las llaves de AP y hosts, como resultado si llave era descubierta solo estaría expuesta por un periodo de tiempo corto. Además la generación dinámica de llaves permitia cambiar de llave cada vez que se enviaba un paquete(en el caso de que resolviera la llave solamente serviria para ése paquete en específico).
  
• Autentificación de usuarios usando 802.1x: Permitia que además de checar la llave correcta, se ñadiera otra apa de seguridad al pedir nombre de usuario y password para acceder a la WAN.
  
• Una nueva llave de encriptación por cada paquete
  

Wired Equivalent Privacy

Fue el estandar de seguridad inicial de 802.11, habilitaba autentificación y encriptación de manera muy pobre, algunos de sus problemas principales eran:

• Static Preshared Keys (PSK): El valor de las llaves debía ser configurado de forma manual en cada host y cada AP. No existía forma de intercambiar las llaves sin la intervención humana.
• Llaves facilmente crackeables: los valores de la llave eran pequeños (64bits siendo la llave 40 bits) lo cual hacía fácil predecir el valor de la llave. Además como el valor de la llave nunca cambiaba hacía más fácil esta tarea.

Existen otras herramientas que salieron en los tiempos de wep y buscaban de alguna manera subsanar los problemas de WEP. Éstas herramientas no son parte del estándar:

• SSID cloaking: hace que el AP deje de enviar beacon frames y así los clientes no puedan obtener el SSID. Al contrario, los AP de servicio público tienden a lanzar muchos beacon frames paar que puedan ser descubiertos por los clientes.
• MAC address filtering: Ésta característica implementa una lista de mac addreses permitidas en el AP.
  

Seguridad

A partir de la creación del WEP(wired equivalent privacy), se fueron desarrollando mejoras por diversos organismos o empresas (cisco) que ayudaron a cubrir las fallas en el WEP.

Herramientas de Intrusion

En éste conjunto de herramientas se incluyen las Intrusion Detection Systems (IDS) y las Intrusion Prevention System (IPS). La siguiente tabla muestra las soluciones comunes a las vulnerabilidades de las WAN.

Encriptación

La encriptación utiliza una llave y una formula para codificar los frames, el cliente al recibirlos aplicar otra formula para decodificarlos. Sin la llave el atacante puede interceptarlos frames pero no decodificarlos.

Autentificación Mutua

La autentificación mutua usa un password llamado llave que sirve para identificar al AP y al cliente. AL usar un algoritmo matemático el AP puede asegurar que se trata de un cliente válido al saber el valor correcto de la llave. De manera similar el cliente puede verificar que se trata de el AP indicado. Éste proceso nunca envía la llave a través de la red, lo cual asegura que el atacante no pueda obtenerla aunque analice frame por frame.

Seguridad WAN

Las redes inalámbricas tienen que atender vulnerabilidades de seguridad que las redes cableadas no demandan, entre las amenzas comunes tenemos: war drivers (personas que buscan acceso gratuito a internet, usando antenas gain buscan redes con poca o nula seguridad), hacking (usan el medio inalámbrico para comprometer hosts del lado alámbrico de la red), Empleados (empleados que instalan AP sin configurar opciones de seguridad y dejando acceso a la red de la compañía), Rogue AP (el hacker roba la identidad del AP clonandolo para así obtener a los clientes y su información).

para reducir ataques como los anteriores se utilizan 3 tipos de herramientas principalmente:

• Autentificación mutua
• Encriptación
• Herramientas de Intrusion

5. Verficar que la WLAN funcione en el cliente.

Una prueba trivial seria tratar de conectar a un servicio de la red cableada como usar el browser o mandar un ping. Algunas consideraciones en el desempeño de las WAN son:

• EL AP se encuentra en el centro de la locación.
• Se encuentra el AP o el cliente cerca de una superficie de metal
• Se encuentra el AP o el cliente cerca de una fuente de interferencia.
• El área de cobertura alcanza al cliente.

4. Instalar y configurar un cliente wireless (una laptop).

Un cliente WAN es cualquier dispositivo que se pueda comunicar con el AP, para lo cual es necesario que el cliente maneje el mismo standar wlan que el AP. En el lado del cliente la configuración no es necesaria, la tarjeta nic wan automáticamente escanea los rangos de frecuencia que soporta y detecta todas la señales en el medio.

Configurar las propiedades del AP, incluyendo el Service Set Identifier

Ya sean APS de uso doméstico o de uso empresarial existen distintas características que pueden ser configuradas:

• Establecer el estandar IEEE que se va a utilizar (a,b,g o n).
• El canal inalámbrico.
• Service Set Identifier (cadena de 32 caracteres que identifica a la red)
• Poder de transmisión.

En el caso de ESS, cada AP debe ser configurado para que su SSID sea el mismo.

Instalar el AP y verificar su conectividad a la red cableada, configurar la dirección IP, máscaras y default gateway.

De igual forma que un switch, el AP funciona en capa dos por lo que no requiere una dirección IP para llevar a cabo sus principales tareas. Pero al igual que los switches, es importante la signación de direccionamiento IP para poder obtrener mayores beneficios.

Al AP necesita una dirección IP, máscara de subred, default gateway, y posiblemente una dirección Ip del servidor DNS. El AP utiliza un cable straight para concetarse al switch.

1 Verificar que la red cableada funcione bien

Una vez que se han testeado las características generales de la lan wired, se conecta la interfaz del AP ethernet a un switch en un puerto de acceso y queda asignado a una VLAN en específico. En el caso de AP que formen un ESS, todos los puertos de los APS deben conectarse a la misma VLAN en los switches.

Pasos para implementar wan basic set service (un solo AP)

1. Verificar que la red cableada funcione bien. (servicios DHCP, conectividad a internet y VLANS).
2. Instalar el AP y verificar su conectividad a la red cableada, configurar la dirección IP, máscaras y default gateway.
3. Configurar las propiedades del AP, incluyendo el Service Set Identifier.
4. Instalar y configurar un cliente wireless (una laptop).
5. Verficar que la WLAN funcione en el cliente.
6. Configurar la seguridad en el AP y en el cliente.
7. Verificar que la WLAN funcione con las características de seguridad habilitadas.

CSMA \CA

Para solucionar los problemas de acceso al medio se implemento el algoritmo CSMA CA que estadisticamente previene el numero de colisiones que pueden ocurrir. Cuando llega a ocurrir una colision se controla por medio de acknowledgements, cada frame necesita uno, asi que cuando un dispositivo emisor no lo recibe asume que el frame estuvo involucrado en una colision o que se perdio y lo reenvia.

El algoritmo CSMA CA se puede resumir en los siguientes pasos:

1. Asegurarse que el medio no este ocupado(que no haya ondas de radio que esten utilizando el rango de frecuencia).
2. Seleccionar un periodo de espera antes de mandar el frame para evitar el envio de un frame al mismo timepo que otro.
3. Cuando el tiempo de espera ha terminado vuelve a sensar el medio y si no esta ocupado envia el frame.
4. Despues que el frame fue enviado esperar el akcnowledgement.
5. Si no se rebice el acknowledgement reenviar el frame usando la logica de CSMA CA.

Acceso al medio Capa 2

Ethernet lan nacio con una configuracion que compartia el medio de transmision, lo cual provocaba que solo un dispositivo pudiera utilizar el medio en un instante de medio. Para controlar el acceso a este medio HDX se implemento el algoritmo CSMA CD. Conforme se hicieron las mejoras en el estandar y con la implementacion de switches, se logro que el medio llegara a ser FDX, evitando la utilizacion de CSMA CD.

En las comunicaciones inalambricas las colisiones siempre pueden ocurrir, si dos o mas dispositivos envian datos al mismo tiempo usando el mismo rango de frecuencia una colision ocurrira. Otro factor que hace las cosas peor es que un dispositivo no puede transmitir y recibir al mismo tiempo. Los dispositivos involucrados en una colision no tienen una manera directa de saber que una colision ocurrio.

Area de cobertura, velocidad y capacidad

El área de cobertura de una WAN es el área en la que dos dispositivos inalámbricos se pueden comunicar eficientemente. El poder de la señal de las nics inalámbricas y Access points estan sujetos a los estándares dispuestos por la FCC.

La cobertura del access point se ve disminuida por materiales como el metal y el concreto. Cuando el diseño de una locación no ayuda en la propagación de la señal, existen esquemas diferentes de antes para lograr una cobertura decente. La fuerza de la señal tiene que ver con la velocidad de transmisión, entre más cerca se encuentre el dispositivo, mayor velocidad de transmisión experimenta.

La manera para incrementar el área de cobertura consiste en el uso de antenas especiales y en el incremento de poder de la señal, pero el poder de salida de la antena debe estar en los rangos permitidos (indice eirp).

En una WAN que utilice solamente 802.11g las transmisiones de datos pueden llegar a una velocidad de 54 Mbps, tres dispositivos pueden estar juntos y enviar información al mismo tiempo mediante tres distintos canales a diferentes APs. Teóricamente esa wan puede soportar una carga de 3*54=162Mbps para esos dispositivos ubicados en esa parte de la WAN.

Interferencia Inalámbrica

Las redes inalámbricas sufren de distintas fuentes de interferencia. Las ondas de radio tienen que viajar a través del medio (muros, pisos, techos, muebles) el paso de la señal por los distintos objetos provoca que la señal sea absorbida. Lo cual se puede observar en una disminución en la fuerza de la señal y área de cobertura.

Además de los obstaculos en el medio, las redes inalámbricas tienen que lidiar con la interferencia emitida por otros dispositivos que usan el mismo rango de frecuencia. Requiriendo que se retransmitan datos y que la eficiencia de la conexión baje.

Una medida usada en la medición de ruido es el SNR (signal to noise ratio) el cual compara la señal de red contra las señales no deseadas en el mismo espacio. Entre más alto sea el índice SNR más alta es la eficiencia de transmisión de dispositivos.

Codificado wireless

Los dispositivos wan tienen la capacidad para modular la señales de radio (frecuencia, amplitud y fase) para codificr un 0 o 1.

• Frecuency Hopping Spread Spectrum: Usa todas las frecuencias en la banda. Al usar distintas frecuencias para transmisiones concesutivas ayudar a evitar interferencia de otros dispositivos. 802.11 usaba FHSS.
• Direct Sequence Spread Spectrum: Diseñada para el uso de l banda 2.4ghz, tiene un ancho de banda de 82 Mhz con un erango de 2.402Ghz a 2.483Ghz. Los canales 1,6 y 11 pueden ser usados sin interferencia(ESS).
• Orthogonal frecuency division multiplexing ¡: las computadoras pueden usar multiples canales que no se traslapan.

En la figura se muestra dos computadoras sentadas una junto a la otra conectadas a distintos AP, utilizando distintos canales evitando el overlapping de canales y maximizando el ancho de banda.

Transmisiones Inalámbricas Capa 1

Las tarjetas NIC inalámbricas, APs y otros dispositivos wan usan las radiofrecuencias para el envío de frames. Las señales de radio tienen una señal repetitiva durante el tiempo con una frecuencia (el número de veces que la ola se repite por segundo se mide en hz), amplitud (la altura d ela ola que representa la fuerza de la señal) y fase (punto en particular donde se repite la ola).

Modos de 802.11

Existen dos modos de WAN

• Modo Ad hoc: En el modo ad hoc un dipositivo se conecta con otro (u otros pocos) durante un periodo corto de tiempo. Los dispositivos envían frames entre ellos directamente.

• Modo infraestructura: cada dispositivo se comunica con un Acess point, el access point se conecta vía cableado ethernet con el resto de la infraestrutura. El modo infraestructura permite comunicar los dispositivos wan con servidores y a internet.

El modo infraestructura soporta dos tipos de servicios:

• Basic Service Set: Usa solamente un access point para crear la WAN.
• Extended Service Set: Usa mas de un access point a menudo con celulas radilaes que se intersectan para mayor capacidad de señal.

Las WAN ESS permite el concepto de roaming lo que significa que los usuarios pueden moverse dentro del área de cobertura y permanecer conectados a la misma WAN. Lo que significa que el usuario notiene que cambiar de dirección IP cuando la cobertura es ofrecida por un AP distinto.

WAN standar

Existen cuatro estándares mayores ratificados por la ieee que son:

• 802.11
• 802.11a
• 802.11b
• 802.11g
• 802.11n (finales de 2008)
  

WAN

La ieee define el standar inalámbrico lan en 802.11, define un formato de fram con un header y un trailer. Incluyendo en el headwer una dirección MAC de origen y destino (6 bytes each), también se define el procedimiento por el cual cada dispositivo sabe cuando y cuando no mandar frames.

La principal diferencia de las ethernet wan es que utilizan tecnología de ondas de radio, mientras que eth lan usa señales electricas que viajan en un cable. Con las redes inalámbricas si más de un dispositivo envía frames en el mismo espacio y frecuencia las señales no son legibles, por lo que se usa un esquema halfduplex (HDX). Para controlar la frecuencia de transmisión las WAN usan el algoritmo CSMA/CA para minimizar las colisiones tanto como sea posible.

Seguridad de puertos y filtering

Cuando aparezca que una interfaz esta conectada y lleva a cabo el envío de paquetes pero éstos siguen sin llegar, lo mas probable es de que se trate de alguna clase de filtro o proteccción que deshabilita la interfaz.

Analizando el forwarding de frames

1. Determina la VLAN a la cual debe ser enviado el paquete
2. Busca la dirección MAC destino en la tabla del switch pero solo aquellas que correspondan a la VLAN identificada. Si la dirección es encontrada (unicast) en via el frame por la interface asociada. SI no es encontrada (unicast) lleva a cabo el flood a todas las interfaces (menos a la incoming) de la misma VLAN. SI es broadcast o multicast lleva a cabo el flood a todas las interfaces (menos a la incoming) de la misma VLAN.

Analizando la tabla de mac addreses del switch

El comando show mac address-table muestra la tablas de direcciones del switch. La tabla esta formada por direcciones estáticas y dinámicas. Si solamente se quieren ver las direcciones aprendidas dinámicamente se usa el comando show mac address-table dynamic.

Problemas con interfaces on/on

Existen muchas razones por las cuales un frame puede llegar a presentar errores en el envío. Interferencia electromagnetica, ruido en el medio, cables dañados. Todos éstos errores resultando en cambios en la señal electrica que son señalados como parte dell FCS, conocidos como errores CRC.

El comando show interfaces fa0/13muestra errores de colisiones y crc, recuerda que half duplex funciona con CSMA/CD por lo que el crecimiento de errores crc solos puede ser normal . Los problemas de duplex mismatch y jabber (cuando una nic envia frames sin hacer pausas) pueden identificarse cuando los contadores de colisiones y colisiones late se incrementan notablemente.

Cuando el contador de colisiones late se incrementa solo es debido a la conexión de un cable que exede la longitud establecida o a que en un extremo se use half duplex y en el otro full duplex.

Problemas speed y duplex

Las interfaces del switch pueden manejar distintas velocidades. Las propiedades duplex y speed pueden ser autonegociadas o configuradas manualmente con los siguientes comandos:


comando de interface duplex{half|full}
comando de interface speed{10|100|1000}

El uso de éstos comandos deshabilita la autonegociación.

Usando el comando show interfaces status muestra el duplex (a-full significa que fue autonegociado) y la velocidad también con el prefijo a si fue autonegociado, el comando show interfaces fa0/13 muestra al igual speed y duplex pero no dice si fue autonegociado o configurado manualmente.

Cuando dos dispositivos cuentan con autonegociación, los dos dispositivos acuerdan transmitir a la velocidad máxima soportada. Los dispositivos usan full duplex si ambos la soportan o half duplex en caso contrario. En el caso cuando un dispositivo tiene habilitado autonegociación y el otro no, el que usa autonegociación escoge la propiedad duplex basada en la velocidad:

• Si la velocidad no se conoce usa half duplex 10mbps
• Si la velocidad es 10mbps o 100mbps usa half duplex
• Si la velocidad es 1000mbps usa full duplex

En el caso de que la autonegociación falle, los switches son capaces de sensar el medio y poder establecer una velocidad de transmisión. Las diferencias en las configuraciones duplex son difíciles de encontrar debido a que la interface estará en un estado de connect (up/up). Éste tipo de enlaces trabajan pobremente y ocasionan fallas intermitentes dado que el lado half duplex utiliza CSMA/CD pensando que las colisiones pueden ocurrir.

Estatus de interfaces en capa 1 y 2

El primer paso para la detección de errores es verificar que una interfaz sea capaz de recibir y enviar datos, es decir, encontrarse en estado activo. Una vez en estado activo se debe verificar que no ocurran fallas intermitentes.

Existen dos código arrojados con los comandos show interfaces y show interfaces description, éstos códigos son line status y protocol status. Cada código se refiere a capa 1 (line status) o capa 2 (protocol status) y tienen un valor ya sea up o down.

El comando show interfaces status muestra de manera distinta los estados de cap2 y capa 1; siendo el estatus connected el designado para capa 2 up y capa 1 up. Los demas estados se muestra en la siguiente tabla.

Comandos usados para verificar cdp

Estos comandos no muestra información de los vecinos, sino del estado en el que opera cdp.

Verificando la topología de la red mediante Cisco Discovery Protocol

El protocolo CDP de cisco ayuda a recopilar información acerca de los switches y routers sin la necesidad de saber los passwords de los dispositivos. Los dispositivos que soportan CDP envían estos mensajes a todas sus interfaces, los mensajes CDP contienen información sobre el dispositivo que envío el mensaje. Los dispositivos que reciben los mensajes aprenden de éstos mensajes para recopilar información de sus vecinos.

Desde la perspectiva de la detección de errores cdp es usado para verificar si el cableado coincide con los diagramas de red. CDP rebela varias características de sus vecinos:

1. Identificador de dispositivo: comunmente el hostname.
2. Lista de direcciones: direccionamiento de capa 3 y 2.
3. Local interface: interface por la cual fue conocido el dispositivo vecino.
4. Identificador de puerto: Puerto usado pro el dispositivo vecino para enviar el mensaje cdp.
5. Lista de Capacidades: tipo del dispositivo, por ejemplo si se trata de un switch o router.
6. Plataforma: Información sobre el sistema operativo usado por el vecino.

El comando show cdp neighbours detail y show cdp entry R1 muestran el mismo tipo de información ,solo que la última se limita a describir el dispositivo señalado.

Se recomienda deshabilitar cdp de las interfaces que no estén conectadas directamente a otro switch, router o dispositivo cisco para evitar problemas de seguridad.

Para habilitar cada interface se usa no cdp enable y cdp enable. Para habilitar en todas las interfaces del switch se usa cdp run y para deshabilitar no cdp run.

Aislando el problema de capa 3, luego en capa 2 y 1

La mayoría de los problemas empiezan con lo que el usuario final en la terminal ve o experimenta, desde ése punto el análisis se centra en la capa tres. En la siguiente figura se tiene un host identificado como pc1 que desea conectarse con el servidor web. Después de determinar que el host puede resolver el nombre del servidor (probablemenet con dns), se procede a analizar la ruta que sigue el frame dentro de la red y tratar de averiguar en donde se ecneuntra el problema.

El proceso de ruteo del frame es el siguiente:

1. PC1 envía el paquete a su default gateway ya que la dirección Ip destino se encuentra en otra subred.
2. R1 envía el paquete a R2 basándose en su tabla de ruteo.
3. R2 envía el paquete a PC2 basadoe n su tabla de ruteo.
4. El servidor PC2 envía un paquete de vuelta a PC1, dirigiendolo a su default gateway R2.
5. R2 envía el paquete a R1 basandose en su tabla de ruteo.
6. R1 entrega el paquete a PC1 basandose en su tabla de ruteo.
   

Proceso de troubleshooting

1. Analizar y predecir la operación normal. Mediante los comandos show y debug.
2. Aislamiento del problema. determinar la ruta del frame o paquete desde un inico hasta el punto donde no puede seguir el camino, basandonos en la dcumentación, configuración, y los comandos show y debug.
3. Analisis de causas. Identificar las causas del problema encontrado.

Resumen de comandos 1d

Resumen de comandos 1c

Resumen de comandos 1b

Resumen de comandos Ia

Asegurando las interfaces que no se usan

Como pripiedades de fault los witches cisco vienen con la propiedad no shutdown en todas sus interfaces, además todas las interfaces pertenecen a la VLAN1 y pueden negociar como trunks. Ésta características de plug and play pueden mermar la seguridad. Existen recomendaciones para las interfaces no usadas:

• Administrativam,ente deshabilitar las interfaces que no se ocupen mediante el comando shutdown.
• Para evitar el trunkin y el Vlan trunkin protocol (VTP) usar el comando switchport mode access.
• Asignar la interface a otra VLAN con el comando switchport access vlan

Configuración VLAN en el switch

Las interfaces del switch pueden estar configuradas como interfaces de acceso o interfaces trunk. Las interfaces de acceso son las que envían y reciben frames dentro de una VLAN. Las interfaces trunk envían y reciben frames en múltiples VLANS.

El switch debe ser configurado para crear la VLAN y después aociar interfaces de acceso a esa VLAN. Por default el switch viene configurado con la VLAN1 habilitada y todas las interfaces son asociadas a ésta VLAN. Para configurara una VLAN nueva se deben seguir los siguientes pasos:

Para configurar una nueva VLAN

1. desde el modo de configuración usar el comando: vlan id_vlan para crear la VLAN y mover al ussuario en el modo de configuración de VLAN.
2. Se puede usar adicionalmente el comando: name nombre vlan para nombrar a la VLAN.

Para configurar una VLAN por cada interface

1. Usar el comando interface para cambiar a la interface deseada.
2. Usar el comando switchport access vlan numero_id para especificar el númerod e valn asociado a ésa interface.
3. Para deshabilitar el proceso de trunkin para que el switch no designe dinámicamente a la interface como trunk, el comando switchport mode access es el indicado.

El comando show vlan brief ayuda a ver las vlans junto con las inerfaces asociadas a ellas.

Seguridad de puertos

Cunado se conoce la información del dispositivos que se conceta a cada puerto se puede configurar el switch para que solo reciba frames de dispositivos conocidos, así que cualquier intento de conexión de otro dispositivo a los puertos es descartado.

1. Se habilita el puerto como de acceso con el comando switchport mode access
2. Se habilita la seguridad en el puerto con el comando: switchport port-security
3. Especifica el número maximo de direcciones MAc asociadas con el puerto con el comando: switchport port-security maximum (el default es una dirección MAC)
4. Define la acción a realizar cuando un dispositivo desconocido intente enviar frames con el comando switchport port-security violation {protect|restrict|shutdown} el dafault es shutdown).
5. Especifica las direcciones MAc permitidas para acceder a ese puerto con el comando switchport port-security mac-addres
6. Se puede usar el sticky learnign para que de manera dinámica se aprendan las direcciones MAC con el comando switchport port-security mac-address sticky

Interfaces del switch

Las interfaces son los distintos puertos físicos usado para el proceso de forwarding de frames. Existen características que se pueden habilitar para cada interface. Los comandos duplex, spedd y description se muestran a continuación.

El comando show interfaces status es util para conocer el estado de cada interface del switch.

La caracteristica auto quiere decir que esta establecida en autonegociable y que no tiene ningín cable conectado. Cuando esta conectada y lleva a cabo el proceso de autonegociación cambia a a-100. El comando interface range establece la descripción para un conjunto de interfaces.

Para configurar la IP del switch de manera dinámica

Al usar el switch como dhcp client, es necesario modificar algunos pasos:

En el paso 2 se utiliza ip address dhcp y el paso 4 se omite.

Cuando se usan asignaciopnes estáticas, la dirección se guarda en el archivo de configuración y se puede observar en show running-config. En cambio al usar dhcp se tiene que usar el comando show dhcp lease para ver la dirección ip "prestada".

Switch y Direcciones IP

Al fin de utilizar el acceso mediante telnet o ssh, es necesario configurar una dirección para el switch. Otras herramientas como SNMP y cisco device manager para la administración y monitoreo del switch necesitan que el switch tenga una dirección IP. El switch no necesita dirección Ip para llevar a cabo el forwarding de frames.

La configuración del switch necesita una dirección ip, máscara de red y un default gateway(igualq ue cualquier host). Ésta información se puede configurar estáticamente o mediante el uso de un DHCP. Los switches que corren IOS configuran su dirección IP en una interfaz virtual llamada VLAN1.

Pasos para configurar dirección ip en un switch:

1. entra en el modo de configuracion con interface vlan 1
2. asigna una direccion ip y la mascara con ip address direccionip mask
3. Habilita la interface (administrativamente ) con el comando no shutdown
4. añade el default gateway con ip default-gateway direccionip
   

loggin synchronous y exec-timeout (comando de linea)

La consola automáticamente recibe los mensajes no solicitados de syslog, éstos mensajes son destinados al administrador de red y pueden irrumpir en cualquier instante, ya sea en medio de una entrada del teclado o de la salida de algún comando. Para evitar estos problemas el comando loggin synchronous es usado en la línea de consola.

También se puede modificar el timepo de inactividad para el logout. Los switches y routers cisco llevan un timer que calcula el tiempo de inactividad en consola o vty. El switch y router desconecta sesiones con un periodo de inactividad de mas de 5 minutos. el comando exec-timeout es usado en la linea cuando se quiere modificar el timer; un timer de 0 h 0 s nunca desconecta por inactividad.

History Buffering

El buffer de memoria nos permite ver los comandos tecleados al usar las teclas de flecha arriba y abajo. Algunos comandos que se usan para configurar ésta caracterñsitica se muestran a continuación:

Los banners

Son mensajes informativos, la diferencia de tipos se debe a la ubicación del letrero, antes del prompt, después, etc,

El coamdnod e configuración global banner es usado para configurar cualquier tipo de banner, siendo el MOTD el parámetro de default.

La sintaxis es sencilla, después del comando de banner se pone el tipo de banner deseado y a continuación un espacio en blanco y sigue el el caracter delimitador seguido del mensaje para acabar con el caracter delimitador. Para salir del prompt del switch se usa el comando quit.

Enable secret

Enable secret hace que el IOS aplique un algoritmo llamado MD5 y guarde el valor de la cadena en el archivo de configuración. El algoritmo usado tiene mator eficiencia que el usado en password service-encryption.

Encriptando passwords

Muchos de los comandos de passwords guardan en texto plano la cadenas de texto en los archivos de configuración, para evitar ésto el comando service password-encryption en el modo de configuración global codifica los passwords.

Cuando el service password-encryption es habilitado todos los passwords en consola, vty y username son codificados.

Cuando el service password-encryption esta habilitado cualquier cambio a éstos passwords también serán encriptados.

Cuando se usa no service password-encryption los passwords se quedan encriptados hasta que se cambie el password, momento en elcual se verán en texto plano.

Configurando SSH

Y si, para usar SSH hay varios pasos a seguir:

• Se cambia la configuracion de vty para usar nombres, en éste caso ocales.
• Se le dice al switch que acepte telnet y ssh.
• se añaden parejas de ususario y password.
• se configura un nombre dns con un ip
• se configura el switch para encriptar.
• se le da una copia de llave publica del switch al cliente ssh.

Configurando passwords y nombre de hosts

En la siguiente figura se pasa de modo privilegiado a modo de configuración global que asigna un password al modo provilegiado y da un nombre.

A continuación se configuran la consola y la línea telnet con el comando password, usando exit para llegar al modo configuracion global.

Trabajando de manera segura con CLI

EL CLI permite que el usuario cambie a modo provilegiado usando la consola sin la necesidad de password. Varios métodos para la recuperación de passwords se encuentra en la página de cisco.

Para trabajar en modo privilegiaod usando linea vty, se necesitan los siguientes elementos:

• Una dirección IP
• Seguridad de login habilitadas
• Un password enable

Cuando se inicia el CLI desde consola, el switch permite el uso de modo usuario sin pedir contraseña, el switch por default rechaza las conexiones vty hasta que sean configuradas. Una vez en modo usuario, CLI permite a lso usuarios de consola iniciar en modo privilegiado sin usar passwords, pero los usuarios de vty son rechazados sin ni siquiera dar oportunidad a suministrar un password.

Configuración Inicial , modo setup

EL modo de setup generalmente se usa cuando no existe archivo startup-config en NVRAM, también puede ser accedido desde el modo privilegiado con el comando setup.

Haciendo los cambios en NVRAM

Si se desea copiar el archivo de configuración que se ha modificado a la memoria NVRAM. Además se puede usar TFTP para copiar archivos entre RAM y NVRAM.

• copy running-config startup-config

Cuando el destino es NVRAM o TFTP se reemplaza el archivo, como si fuera sobreeescrito con el nuevo archivo, pero en el caso de la RAM lleva a cabo una especia de mezcla y la única forma de reestablecer el archivo en mediante un reload, el cual carga el archivo de startup en la RAM.



Para llevar a cabo el borrado en la NVRAM cualqueira de los siguientes comandos es usado, recordando que la próxima vez que inicie el switch no habrá ningún archivo de configuración para cargar:

wirte erase
erase startup-config
erase nvram

Archivos de configuración del switch

Los switches Cisco manejan varios tipos de memoria:

• RAM, a veces llamada DRAM, el archivo de configuración activa (la que corre actualmente) es guardada aca.
• ROM, guarda el bootstrap que es el programa que es cargado cuando se prende el switch, el bootstrap es el encargado de manejar la carga del IOS a la RAM.
• FLASH, ésta memoria puede estar en forma de chip o como tarjeta dentro del switch. Aquí se localizan las imágenes del IOS, es la ubicación en donde se busca el IOS en el proceso de booting. Se puede usar ésta memoria para guardar cualquier otro tipo de archivos como copias de respaldo o archivos de confogiración.
• NVRAM, Non volatile ram, almacena el archivo de configuración inicial, es usado cuando el switch se prende o cuando se lleva a cabo el reload del switch.

Cuando se usa el modo de configuración se modifica solo el archivo running config, los cambios se perderían al apagar el switch. Si se busca que los cambios sean permanentes se debe copiar al startup config file.

Submodos de configuración y contextos

Existen comandos de context-setting cuyo propósito es decir que parte se vaa configurar, un ejmplo sería el comando interface:

• interface FastEthernet 0/1

La figura muestra el traslado de modo global de configuración, a la configuración de línea, a la configuración de interface. Para salir de cualquier modo de configuración y volvel a modo privilegiado se usa la combinación CTRL+Z o el comando END.

Modo configuracion

Otro modo CLI es el modo de configuración, éste modo a diferencia de los modos de ususario y privilegiado cambia la configuración del switch. El modo de configuración acepta comandos de configuración.

Los comandos usados en modod configuración modifican el archivo de configuración activo, éstos cambios se llevan a cabo tan pronto como se oprima la tecla enter.

SHOW y DEBUG

El comando show tiene muchas opciones, es como una fotografía, muestra el status en un lapso de tiempo de alguna característica del switch.

El comando debug utiliza un tipo de mensajes llamados log message, que no solamente muestra mensajes a el emisor del comando sino a todos los interesados. El comando debug continua verficando características del switch y emitiendo mensajes. Es como un clip corto de video acerca del estado del switch. Las opciones de debug no sobreviven el reload del switch o hasta que se indique mediante un comando como:

• no debug
• no debuall
• undebug all

Ayua en el CLI