oscar: marzo 2015

domingo, 15 de marzo de 2015

Practica 6.4.1

Una vez conectados segun su topologia lo primero que debemos de realizar es las confoguraciones basicas:

R1>en
R1#conf t

R1(config)#enable password cisco
R1(config)#line con 0
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#exit
R1(config)#line vty 0 4
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#exit
R1(config)#banner motd "Access to Router R2"
R1(config)#no ip domain-lookup

Estas mismas configuraciones se realizan en R2 y en R3.

Despues se necesita configurar una ruta predeterminada en R2:

R2(config)#ip route 0.0.0.0 0.0.0.0 s0/1/0

Seguido hacemos rip version 2, para que la configuracion de los routers se pasen las redes predeterminadas:

R1
R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#network 10.1.1.0
R1(config-router)#network 192.168.10.0
R1(config-router)#passive-interface f0/1
R1(config-router)#no auto-summary
R1(config-router)#exit
R1(config)#

R2
R2(config)#router rip
R2(config-router)#version 2
R2(config-router)#network 10.1.1.0
R2(config-router)#network 192.168.20.0
R2(config-router)#default-information originate
R2(config-router)#passive-interface s0/1/0
R2(config-router)#passive-interface f0/1
R2(config-router)#no auto-summary
R2(config-router)#exit
R2(config)#

R3
R3(config)#router rip
R3(config-router)#version 2
R3(config-router)#network 10.1.1.0
R3(config-router)#network 192.168.30.0
R3(config-router)#passive-interface f0/1
R3(config-router)#no auto-summary
R3(config-router)#exit
R3(config)#

Despues le agregas un dispositivo dos dispositivos DSL de la nube a dos hosti, y conectarlos mediante WAN.

Finalmente crear una serie de determinadas ACL:

1. Permita que los host de la red 192.168.30.0 /24 tengan acceso web a cualquier destino

2. Permita que los hosts de la red 192.168.30.0/24 tengan acceso mediante ping a cualquier destino

3. Deniegue cualquier otro acceso que se origine en la red

R3
R3(config)#access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq www
R3(config)#access-list 101 permit icmp 192.168.30.0 0.0.0.255 any
R3(config)#access-list 101 deny ip any any
R3(config)#int fa0/1
R3(config-if)#ip access-group 101 in
R3(config-if)#exit
R3(config)#

Dado que el ISP representa la conectividad a internet, se configura una ACL nombrada FIREWALL:

1.Permita acceso web de TW-DSL al servidor de Intranet

2. Permita el acceso web de TW-Cable al servidor de Intranet

3. Permita unicamente respuestas de pings entrantes desde el ISP y cualquier otro origen

4. Solo permitir sesiones TCP establecidas desde el ISP y cualquier otro origen

5. Bloquee explicitamente cualquier otro acceso entrante desde el ISP y cualquier otro origen.

R2
R2(config)#ip access-list extended FIREWALL
R2(config-ext-nacl)#permit tcp host 192.168.1.10 host 192.168.20.254 eq www
R2(config-ext-nacl)#permit tcp host 192.168.2.10 host 192.168.20.254 eq www
R2(config-ext-nacl)#permit icmp any any echo-reply
R2(config-ext-nacl)#permit tcp any any established
R2(config-ext-nacl)#deny ip any any
R2(config-ext-nacl)#int s0/1/0
R2(config-if)#ip access-group FIREWALL in
R2(config-if)#exit
R2(config)#

El ultimo paso es verificar que estas ACLs cumplen el cometido que hemos dicho anteriormente

jueves, 5 de marzo de 2015

Capitulo 3 CCNA4

Capitulo 3 CCNA 4

Funcionamiento de frame relay

La conexión entre un dispositivo DTE y un dispositivo DCE comprende un componente de capa física y un componente de capa de enlace:

- El componente físico define las especificaciones mecánicas, eléctricas, funcionales y de procedimiento necesarias para la conexión entre dispositivos.

- El componente de capa de enlace define el protocolo que establece la conexión entre el dispositivos DTE, como un router, y el dispositivo DCE, como un switch

Cuando las empresas de comunicaciones usan Frame Relay para interconectar las LAN, un router de cada LAN es el DTE. Una conexión serial, como una línea arrendada T1/E1, conecta el router al switch Frame Relay de la empresa de comunicaciones en el punto de presencia (POP) más cercano para la empresa.

Circuitos virtuales

La conexión a través de una red Frame Relay entre dos DTE se denomina circuito virtual (VC, Virtual Circuit). Los circuitos son virtuales dado que no hay una conexión eléctrica directa de extremo a extremo. La conexión es lógica y los datos se mueven de extremo a extremo, sin circuito eléctrico directo.

Hay dos formas de establecer VC:

- Los SVC, circuitos virtuales conmutados,

- Los PVC, circuitos virtuales permanente

Los VC proporcionan una ruta de comunicación bidireccional de un dispositivo a otro. Los VC se identifican a través de DLCI. Los valores de DLCI comúnmente son asignados por el proveedor de servicios Frame Relay (por ejemplo, la compañía telefónica). Los DLCI Frame Relay tienen importancia local, es decir que los valores en sí no son únicos en la WAN Frame Relay. El DLCI identifica un VC al equipo en un punto final. El DLCI no tiene importancia más allá del enlace único. Dos dispositivos conectados por un VC pueden utilizar un valor DLCI distinto para referirse a la misma conexión.

VC multiples

Frame Relay se multiplexa estadísticamente, lo que significa que transmite sólo una trama por vez, pero que pueden coexistir muchas conexiones lógicas en una única línea física. El dispositivo de acceso Frame Relay (FRAD, Frame Relay Access Device) o el router conectado a la red Frame Relay puede tener varios VC que lo conectan a diversos puntos finales. Los VC múltiples de una única línea física se distinguen, dado que cada VC tiene su propio DLCI.

Esta capacidad suele reducir la complejidad del equipo y la red requerida para conectar varios dispositivos, lo que constituye un reemplazo rentable de una malla de líneas de acceso. Con esta configuración, cada punto final necesita sólo una línea de acceso única e interfaz. Se generan ahorros adicionales ya que la capacidad de la línea de acceso se establece según las necesidades de ancho de banda promedio de los VC, y no según las necesidades máximas de ancho de banda.

Encapsulation Frame relay

Frame Relay toma paquetes de datos de un protocolo de capa de red, como IP o IPX, los encapsula como la parte de datos de una trama Frame Relay y, luego, pasa la trama a la capa física para entregarla en el cable. Para comprender el funcionamiento, resulta útil entender cómo se relaciona con los niveles más bajos del modelo OSI.

DLCI: el DLCI de 10 bits es la esencia del encabezado Frame Relay. Este valor representa la conexión virtual entre el dispositivo DTE y el switch. Cada conexión virtual multiplexada en el canal físico está representada por un único DLCI. Los valores de DLCI tienen importancia local solamente, lo que significa que son únicos sólo para el canal físico en el que residen. Por lo tanto, los dispositivos situados en los extremos opuestos de una conexión pueden usar valores DLCI distintos para referirse a la misma conexión virtual.

Asignacion de direcciones Frame Relay

Antes de que un router Cisco pueda transmitir datos a través de Frame Relay, necesita conocer los mapas de DLCI locales en la dirección de Capa 3 del destino remoto.

ARP Inverso

El protocolo de resolución de direcciones inverso (ARP) obtiene direcciones de Capa 3 de otras estaciones de direcciones de Capa 2, como el DLCI en las redes Frame Relay. Se usa principalmente en redes Frame Relay y ATM, donde las direcciones de Capa 2 de VC a veces se obtienen de la señalización de Capa 2 y las direcciones de Capa 3 correspondientes deben estar disponibles antes de poder usar estos VC.

Asignación dinámica

La asignación de direcciones dinámica depende de ARP inverso para resolver una dirección de protocolo de red de próximo salto a un valor de DLCI local. El router Frame Relay envía solicitudes de ARP inverso en su PVC para descubrir la dirección del protocolo del dispositivo remoto conectado a la red Frame Relay. El router usa las respuestas para completar una tabla de asignación de direcciones a DLCI en el router Frame Relay o servidor de acceso. El router crea y mantiene esta tabla de asignación, que incluye todas las solicitudes ARP inverso resueltas, incluidas las entradas de asignación dinámica y estática.

En los routers Cisco, el ARP inverso está habilitado de forma predeterminada para todos los protocolos habilitados en la interfaz física. Los paquetes de ARP inverso no se envían para los protocolos que no están habilitados en la interfaz.

A continuacion se describe los comandos de arp invernso y asignación estatica frame relay:

R1#Show frame-relay map

R1(config)#interface serial 0/0/0

R1(config-if)#ip address 10.1.1.1 255.255.255.0

R1(config-if)#encapsulation frame-relay

R1(config-if)#no frame-relay inverse-arp

R1(config-if)#frame-relay map ip 10.1.1.2 102 broadcast cisco

R1(config-if)#no shutdown

Interfaz de administracion local(LMI)

Es un mecanismo activo que proporciona información de estado sobre las conexiones Frame Relay entre el router (DTE) y el switch Frame Relay (DCE). Cada 10 segundos aproximadamente, el dispositivo final sondea la red en busca de una respuesta de secuencia no inteligente o información de estado de canal. Si la red no responde con la información solicitada, el dispositivo del usuario puede considerar que la conexión está inactiva. Cuando la red responde con una respuesta FULL STATUS, incluye información de estado sobre los DLCI que están asignados a esa línea. El dispositivo final puede usar esta información para determinar si las conexiones lógicas pueden transmitir datos.

R1#show frame-relay lmi

Configuracion básica frame-relay

Paso 1. Configuración de la dirección IP en la interfaz

Paso 2. Configuración de encapsulación

Paso 3. Establecimiento del ancho de banda

Paso 4. Configuración del tipo de LMI (opcional)

Tambien se puede configurar un mapa estatico de frame-relay, y ver el contenido del frame-relay. El comando es el siguiente:

R2#show frame relay map

Horizonte dividido

De forma predeterminada, una red Frame Relay proporciona conectividad NBMA entre sitios remotos. Las nubes NBMA generalmente usan una topología hub-and-spoke. Desafortunadamente, el funcionamiento de un enrutamiento básico, basado en el principio de horizonte dividido, puede generar problemas relacionados con la posibilidad de conexión en una red NBMA Frame Relay.

Subinterfaces frame relay

Frame Relay puede partir una interfaz física en varias interfaces virtuales denominadas subinterfaces. Una subinterfaz es simplemente una interfaz lógica directamente asociada con una interfaz física. Por lo tanto, se puede configurar una subinterfaz Frame Relay para cada uno de los PVC que ingresan a una interfaz serial física.

Para habilitar el reenvío de actualizaciones de enrutamiento de broadcast en una red Frame Relay, puede configurar el router con subinterfaces asignadas lógicamente. Una red con mallas parciales puede dividirse en varias redes punto a punto de mallas completas más pequeñas.

Las subinterfaces Frame Relay pueden configurarse en modo punto a punto y en modo multipunto:

- Punto a punto: una única subinterfaz punto a punto establece una conexión de PVC a otra interfaz física o subinterfaz en un router remoto. En este caso, cada pareja de routers punto a punto está en su propia subred y cada subinterfaz punto a punto tiene un solo DLCI. En un entorno punto a punto, cada subinterfaz actúa como interfaz punto a punto. En general, hay una subred separada para cada VC punto a punto.

- Multipunto: una única subinterfaz multipunto establece varias conexiones de PVC a varias interfaces físicas o subinterfaces de routers remotos. Todas las interfaces involucradas se encuentran en la misma subred.

Velocidad del frame relay

Velocidad de acceso o velocidad de puerto: desde la perspectiva del cliente, el proveedor de servicios proporciona una conexión serial o un enlace de acceso a la red Frame Relay a través de una línea arrendada. La velocidad de la línea es la velocidad de acceso o velocidad de puerto. La velocidad de acceso es la velocidad con la que sus circuitos de acceso se unen a la red Frame Relay.

Velocidad de información suscrita (CIR): los clientes negocian la velocidad de información suscrita (CIR, Committed Information Rate) con proveedores de servicios para cada PVC. La CIR es la cantidad de datos que una red recibe del circuito de acceso.

Configuracion de las subinterfaces Frame Relay

R1(config-if)#interface serial 0/0/0.103 point-to-point.

R1(config-subif)#frame-relay interface-dlci 103

Verificacion del funcionamiento de Frame Relay

R1#Show interface serial 0/0/1

R1#Show frame-relay lmi

R1#show frame-relay pvc 102

R1#show frame-relay map

R1#debug frame-relay lmi

Capitulo 2 CCNA4

Capitulo 2 CCNA4

TDM(Multiplexacion por división temporal)

La multiplexacion es la combinación de dos o mas canales de información en un solo medio de transmisión usando un dispositivo llamado multiplexor.

La TDM divide el ancho de banda da de un solo enlace en canales separados o en (periodos de tiempo), para la transmisión de cada canal.

El TDM es un concepto de la capa física. La TDM es independiente del protocolo de Capa 2 que utilizaron los canales de entrada.

Este es el principio que se utiliza en la TDM síncrona al enviar los datos mediante un enlace. La TDM aumenta la capacidad del enlace de transmisión mediante la división del tiempo en intervalos más cortos, de manera que el enlace transmita los bits desde diferentes fuentes de entrada. Esto aumenta, con efectividad, la cantidad de bits transmitidos por segundo. Con la TDM, tanto el transmisor como el receptor saben exactamente cuál es la señal que se envía.

En el extremo receptor, un MUX reensambla el stream de TDM en tres flujos de datos, tomando como única referencia el tiempo que tarda cada bit en llegar.

Encapsulacion HDLC

En las conexiones WAN los datos se encapsulan dentro de tramas, antes de cruzar el enlace WAN. Para asegurar que se utiliza el protocolo correcto, usted debe configurar el tipo de encapsulación de la Capa 2 adecuado. La elección del protocolo depende de la tecnología WAN y del equipo de comunicación. A continuación se describen los siguientes:

- HDLC: El tipo de encapsulación predeterminada en las conexiones punto a punto, los enlaces dedicados y las conexiones conmutadas por circuito cuando el enlace utiliza dos dispositivos Cisco. El HDLC es ahora la base para el PPP síncrono, empleado por muchos servidores para conectarse a una WAN, más comúnmente a Internet.

- PPP: suministra conexiones de router a router y de host a red, a través de circuitos síncronos y asíncronos. . El PPP también tiene mecanismos de seguridad incorporados como el PAP y el CHAP. La mayor parte de este capítulo trata del PPP.

- X.25: estándar de la UIT-T que define cómo se mantienen las conexiones entre DTE y DCE para el acceso remoto a terminales y las comunicaciones informáticas en las redes de datos públicas.

- Frame relay: . Frame Relay es un protocolo que pertenece a una generación inmediatamente posterior a X.25. Frame Relay descarta algunos de los procesos que consumen el tiempo (como la corrección de errores y el control del flujo) utilizados en X.25.

- ATM: el estándar internacional para relay de celdas mediante el cual los dispositivos envían múltiples tipos de servicio (como, por ejemplo, voz, vídeo o datos) en celdas de longitud fija (53 bytes). Las celdas de longitud fija permiten que el procesamiento se lleve a cabo en el hardware, lo que disminuye los retrasos en el tránsito. ATM aprovecha los medios de transmisión de alta velocidad.

Encapsulacion HDC: El HDLC utiliza transmisión serial síncrona para brindar comunicación libre de errores entre dos puntos. El HDLC define una estructura del entramado de Capa 2 que permite el control del flujo y el control de errores mediante el uso de acuses de recibo. Cada trama presenta el mismo formato, ya sea una trama de datos o una trama de control.

El comando para configurar es:

Router(config-if)#encapsulation hdlc

Introduccion PPP

Es el método de encapsulación serial predeterminada al conectar dos routers Cisco. Con un campo tipo protocolo agregado, la versión de HDLC de Cisco está patentada. Por lo tanto, el HDLC de Cisco sólo puede funcionar con otros dispositivos de Cisco. Sin embargo, cuando necesite conectarlo a un router que no sea Cisco, debe utilizar la encapsulación PPP.

La encapsulación PPP se diseñó cuidadosamente para que sea compatible con los hardware de soporte que más se usan. El PPP encapsula tramas de datos para la transmisión a través de los enlaces físicos de la Capa 2.

Este tiene varias funciones que no admite el HDLC:

- Si se detectan muchos errores, el PPP desactiva el enlace.

- El PPP admite la autenticación PAP y CHAP

El PPP contiene tres componentes principales:

- El protocolo HDLC para la encapsulación de datagramas

- Un protocolo de control de enlace (LCP, Link Control Protocol)

- Una familia de protocolos de control de red (NCP, Network Control Protocols )

Arquitectura de capas PPP

Una arquitectura de capas es un modelo, diseño o plan lógico que ayuda a la comunicación entre las capas interconectadas. La imagen traza la arquitectura de capas del PPP en contraste con el modelo de interconexión de sistema abierto (OSI, Open System Interconnection). EL PPP y OSI comparten la misma capa física, pero el PPP distribuye las funciones del LCP y el NCP de manera diferente.

En la capa física, puede configurar el PPP en una variedad de interfaces, las que incluyen:

- Serial asíncrona

- Serial síncrona

- HSSI

- ISDN

Establecimiento de una sesión PPP

1- Establecimiento del enlace y negociación de la configuración

2- Fase 2. Determinación de la calidad del enlace (opcional)

3- Fase 3. Negociación de la configuración del protocolo de capa de red

Opcion de configuración del PPP

El PPP puede incluir las siguientes opciones LCP:

- Autenticacion: los routers pares intercambian mensajes de autenticación. Dos opciones son el PAP y el CHAP

- Compresión: aumenta el rendimiento efectivo en conexiones PPP al reducir la cantidad de datos en la trama que debe viajar a través del enlace.

- Detección de errores: identifica condiciones defectuosas. Las opciones de Calidad y Número mágico ayudan a garantizar un enlace de datos confiable y sin bucles.

- Multienlace: Esta alternativa proporciona el balanceo de carga en las interfaces del router utilizadas por PPP. El PPP multienlace (también conocido como MP, MPPP, MLP o Multienlace) proporciona un método para diseminar el tráfico a través de múltiples enlaces físicos WAN a la vez que proporciona la fragmentación y el reensamblaje de paquetes.

Comandos de configuracion

R3#configure terminal

R3(config)#interface serial 0/0/0

R3(config-if)#encapsulation ppp

show interfaces: Muestra estadísticas para todas las interfaces configuradas en el router o servidor de acceso

show interfaces serial: Muestra información acerca de una interfaz serial

debup ppp: Depura PPP

undebug all: Desactiva todas las visualizaciones de depuración

R3#debug ppp negotiation

Este resultado muestra el intercambio de paquetes entre un router y otro durante la negociación PPP inicial

Protocolo de autenticación PAP

permite la negociación de un protocolo de autenticación para autenticar su peer antes de permitir que los protocolos de capa de red transmitan a través del enlace.

La fase de autenticación de una sesión PPP es opcional. Si se usa, se puede autenticar el peer, luego de que el LCP establezca el enlace y elija el protocolo de autenticación. Si se utiliza, la autenticación se lleva a cabo antes de que comience la fase de configuración del protocolo de la capa de red.

Protocolo de autenticación de intercambio de señales (CHAP)

Una vez que se establece la autenticación con PAP, esencialmente deja de funcionar. Esto deja la red vulnerable para los ataques. A diferencia de PAP, que sólo autentica una vez, CHAP realiza comprobaciones periódicas para asegurarse de que el nodo remoto todavía posee un valor de contraseña válido.

Después de completar la fase de establecimiento del enlace PPP, el router local envía un mensaje de comprobación al nodo remoto.

El nodo remoto responde con un valor que se calcula con una función hash de una vía,

El router local verifica la respuesta y la compara con su propio cálculo del valor hash esperado. Si los valores concuerdan, el nodo de inicio acusa recibo de la autenticación. En caso contrario, el nodo de inicio termina la conexión inmediatamente.