Listas de control de acceso

Introducción

ACL, éste es una sigla que traduce lista de control de acceso -Access Control Lists en inglés- y es un método popular en redes para controlar qué nodos de la red tienen qué permisos sobre el sistema que implementa las ACLs. En Cisco, las ACLs son un mecanismo genérico para clasificar conjuntos de direcciones o flujos de datos, en éso yo siempre hago mucho énfasis, porque las ACLs en CCNA se ven como un mecanismo de seguridad, pero se dan visos de lo que realmente son: un mecanismo para clasificar direcciones y flujos de datos.

Un sistema de red, como Squid por ejemplo, es un sistema que hace algo con el tráfico que entra y sale de él. Las ACLs interceptan el tráfico y, para cada paquete, se comparan sus valores particulares con valores predefinidos por el administrador en la Lista y, con base en ese condicionamiento, se le aplica a los paquetes alguna acción según lo que quiera el administrador que suceda.

La dinámica compleja de las ACLs es el hecho de imaginar un sólo paquete y llevarlo a una secuencia de paquetes mezclada. El hecho es que cuando en una ACL especificamos los valores que queremos comparar, realmente estamos aplicando eso a cada paquete dentro de un flujo particular de paquetes, así para diseñarla nos imaginemos sólo un paquete.

¿Para qué sirven las ACLs en Cisco?

En el currículo de CCNA, las ACLs se usan para aplicar una política de seguridad quepermite o niega el acceso de cierta parte de la red a otra. La granularidad de las ACLs permite que estas partes sean o bien PC específicos o partes de una subred arbitrariamente, es decir, permite que se conceda o niegue el acceso desde un único PC hasta otro, de un segmento de red a otro o cualquier combinación que se quiera.

En Cisco en general, las ACLs sirven para clasificar conjuntos de direcciones, por ejemplo una subred o una parte de una subred. Pero más allá de eso la palabra importante es arbitrariamente, porque las reglas de ACLs permiten cosas tan particulares como seleccionar los PCs que tengan direcciones IP con el último octeto en número impar (sin importar a qué subredes pertenecen). Ésta característica hace que Cisco utilice ACLs en cualquier parte en la que se deba especificar un conjunto de direcciones o un flujo de datos, por ejemplo, en NAT se especifican las direcciones privadas o internas creando una ACL que permite las direcciones a traducir. Si se quiere filtrar o alterar la forma en que un protocolo de enrutamiento arma sus actualizaciones se usan listas de acceso (route-map) , si se quiere alterar la forma en que trabaja la tabla de enrutamiento se usan listas de acceso (policy-based routing), si se quiere especificar qué direcciones pasan por una VPN se usan ACLs, etc. (IPSec). Como se ve, las ACLs son mucho más que un mecanismo de seguridad y por eso es un tema muy importante si se quiere hacer carrera en las certificaciones de Cisco o tener un buen desempeño en enrutamiento y conmutación Cisco.

Diagrama de la RED

Organización de routers

                              

PRACTICA:

Para conectar los Routers entre si se utiliza estos cables seriales DSE.

                                                                     Cables DSE

Cable dte.

Y mediante el putty y la terminal configuraremos el ROUTER 1 .

Le asignaremos la IP 200.210.220.1 y Mascara 255.255.255.0 a la interfaz Gigabit Ethernet 0/0 donde conectamos la computadora.

interface GigabitEthernet 0/0
ip address 200.210.221.1 255.255.255.0
no shutdown

Le asignaremos la IP 200.210.222.134 y Mascara 255.255.255.252 a la interfaz Serial 0/0/1 y en esta ocasión no se configura el clock rate ya que nuestro router tiene el cable serial conectado por el extremo de DTE al router 2.

interface serial 0/0/1

ip address 200.210.220.134 255.255.255.252

no shutdown

Se configura el OSPF

router ospf 1

network 200.210.222.0   0.0.0.127 area 0

network 200.210.222.132   0.0.0.3 area 0

Se ejecuta el comando show ip route para saber si se configuro OSPF correctamente

Por ultimo damos ping desde CMD a las otras PCs para verificar que se configuro la red correctamente.

Configuramos Telnet en nuestro router.

Comprobaremos el ingreso al router mediante la consola con telnet y nuestra dirección del router

Configuramos las ACL en el router para que otras PCs no puedan hacer Telnet en nuestro router.

Ademas de la salida de nuestro router tambien configuraremos las salidas de nuestra red a los demas routers

Con el comando show acces list veremos como quedo la lista

Conclusión:

El uso de listas es una manera de restringir ciertos accesos a la red como sus salidas, en estos momentos no sabemos de donde nos pueden atacar o de donde nos pueden accesar para ello tenemos el uso de listas para brindar una mayor seguridad, al restringir todo al terminar la lista no da una mayor seguridad por si se nos pasa o si no sabemos como terminar la lista.

OSPF de área única.

Introducción.

OSPF son las siglas de Open Shortest Path First (El camino más corto primero), un protocolo de encaminamiento jerárquico de pasarela interior. OSPF construye una base de datos enlace-estado  LSDB idéntica en todos los routers de la zona.

Una red ospf se puede descomponer en regiones mas pequeñas. Hay un area especial llamada area backbone que forma la parte central de la red a la que se encuentran conectadas el resto de areas de la misma. Las rutas entre las diferentes areas circulan siempre por el backbone.

Maqueta.

Objetivo:

Utilizar el ospf para general el anterior diagrama donde se muestra la conexion entre equipos y los segmentos de la red que se han dividido en subredes por medio de VLSM, al completar el diagrama comenzaremos a configurar el protocolo de enrutamiento ospf con las direcciones de red especificas.


Material:

• 3 router 
• 3 computadoras con putty
• 3 cables cruzados (el numero de cables va relacionado con el no. de computadoras)
• 2 cables seriales sincrono V.35 (DCE y DTE)
• 3 cables de consola CISCO

Comenzamos por configurar las interfaces de los router. En este ejemplo solo tomare la parte del router 3, la configuracion del router 1 y 2, son similares lo unico que cambia son las IP y uno o dos pasos mas en el caso del router 2.

Configuración de la interfaz Serial

Comando Show ip route

 Asignar IP a la interfaz GigabitEthernet

Comando ip ospf interface

A partir de aquí el OSPF ya quedo configurado y falta revisar con el Ping a las computadoras que todo haya quedado bien configurado y la comunicación sea satisfactoria entre ambos equipos. Se debe aclarar que antes de hacer el Ping la computadora ya debe estar configurada con la IP que se determino en el análisis de la maqueta, esto se puede realizar por medio de la configuración de red.

Ping a la IP 200.210.222.133

Ping a la IP 200.210.222.130

Conclusión:
Si se quiere conectar routers entre si y son muy pocos lo mejor y mas facil seria utilizar el protocolo ospf ya que solo se tienen que configurar la conexion en ambos extremos o en su defecto el router que contenga dos conexiones hacia los extremos ya que este router tendra el mayor trafico de datos de los 3, al momento de intercambiar la informacion hacia otro router siempre pasara por sus conexiones.

Enrutamiento estático.

Introducción.

El enrutamiento estático es la alternativa a protocolos de enrutamiento, donde se especifican las redes de destino hacia donde se va enviar la información y la métrica o distancia administrativa.

La distancia administrativa por defecto varia en función si se especifica la interfaz por donde envia los datos o si se especifica la dirección Ip del destino. En este caso la ad por defecto es 0 y en el segundo caso es 1, esto se de a que es mas fiable comprobar el estado y la disponibilidad de una interfaz propia para verificar el estado y la disponibilidad de mismo.

Para configurar la ruta estática se toman encuentra los siguientes datos:

- Ip de red de destino.
- Mascara de red de destino.
- Ip del router donde se enviaran los paquetes.
- Distancia administrativa.

Una vez dentro de la configuración del router teclearemos:

ip route "DIRECCIÓN RED" "MÁSCARA DE SUBRED" { "DIRECCION-IP"  | " INTERFAZ-SALIDA }

DIRECCION-RED: es la direccion de red remota.
MÀSCARA-SUBRED: máscara de subred de la red remota.
DIRECCION-IP: direccion ip de la interfaz del router vecino.
INTERFAZ-SALIDA: interfaz que utilizara el router para enviar paquetes.

Maqueta:

Pasos para realizar la practica.

Por lo que escribiremos enable, damos enter y nos aparecerá de la siguiente manera:

router#

 Una vez en este comando procedemos a configurar la interfaz GigabitEthernet 0/0 y la serial0/0/0:

Configuración de interfaces.

Se debe tener en claro que cuando se conecta el cable serial a os dos router, el DTE debe ser configurado sin e comando de clock rate, el que debera configurarse sera el extremo DCE.

Una vez listas las interfaces, aplicamos el enrutamiento estatico, que fue el comando que se menciono al inicio.

Comando de enrutamiento estático

 Ya listas podemos verificar que todos los comandos e interfaces hayan sido puestos correctamente con el comando show ip route;

Verificando a configuración en el router

Para finalizar configuramos la ip de nuestra computadora desde el centro de redes, y ponemos la ip correspondiente de la maqueta al incio del ejemplo. Para terminar y comprobar que este bien configurado hacemos ping a la computadora.

 Ping a la computadora

Conclusión;

Con el enrutamiento estático nos podemos dar cuenta como se comunican los routers y podemos decir que tanto el cablearlo como el configurarlo van de la mano y si no nos ponemos alerta podemos hacer cosas innecesarias así como conectar hosts del mismo router o rutas indefinidas.

El mejor resultado es el que brindamos al pensar antes de actual y al no realizar tantos comandos y que todo estuviera en orden.

Practica2

Practica 2. Dispositivos de interconexión de redes.

Objetivo: conocer los componentes de los dispositivos de interconexión de redes, caracteristicas principales y arquitecturas.

Material:
° Desarmador de cruz y plano.
° Celular con camara.
° D-Link De-804
° IGS-L Cisco
° Switch Catalyst 1900 Cisco

Repetidor D-Link DE-804


Trabaja en la capa fisica.
Regenera la señal.
Cuenta con cuarto puertos 10 base2
No cuenta con memorias ni microprocesador.



 Switch Catalyst 1900 Cisco



Tienen 24 puertos en 10BaseT
2 puertos en 100BaseTX
Microprocesador Intel 80486 a 50Mhz

2mb en ram y 1mb en flash


 Router IGS-L Cisco

Multiprotocolo router/bridge
Trabaja en la capa3
Microprocesador Motorola 68020 a 16Mhz

Memoria ram espolon 1Mb hasta 4.5Mb

Memoria rom 1Mb hasta 4Mb

Interfaz de red ethernet.



Conclusion: Es importante conocer los primeros dispositivos de red, ya que podemos
observar como estan conformados y los componentes que aunque no son tan potentes
en su tiempo si lo fueron y brindaron comodidad para los usuario.