En esta ocasión veremos la configuración de varios Protocolos y Servicios los cuales pueden ser configurados en el simulador de red Cisco Packet Tracer.
Configuración de Frame Relay
¿Que es Frame Relay?
Frame Relay o (Frame-mode
Bearer Service) es una técnica de comunicación mediante retransmisión de tramas
para redes de circuito virtual, introducida por la ITU-Ta partir de la
recomendación I.122 de 1988. Consiste en una forma simplificada de tecnología
de conmutación de paquetes que transmite
una variedad de tamaños de tramas o marcos (“frames”) para datos, perfecto para
la transmisión de grandes cantidades de datos.
La técnica Frame Relay se
utiliza para un servicio de transmisión de voz y datos a alta velocidad que
permite la interconexión de redes de área local separadas geográficamente a un
coste menor.
Para configurar el Frame Relay se debe hacer lo que se muestra en las siguientes imágenes:
Imagen N° 1
Imagen N° 2
Imagen N° 3
Primero se debe establecer las DLCI de cada serial conectado a la Nube.
En segundo lugar de debe establecer la conexión eligiendo las DLCI creadas anteriormente creadas tomando en cuenta que se debe elegir el camino de ida y de vuelta.
En tercer lugar se debe asignar una dirección ip en las interfaces serial de cada router las cuales deben pertenecer a la misma red
En cuarto lugar se debe configurar la encapsulación del frame relay en cada serial y asignarle la DLCI perteneciente a cada una para que asi pueda reconocer las mismas que ya fueron eleginas anteriormente en la nube frame relay.
Open Shortest Path First (OSPF), camino más corto primero, es un protocolo de red para encaminamiento jerárquico de pasarela interior o Interior Gateway Protocol (IGP), que usa el algoritmo SmoothWall Dijkstra enlace-estado (Link State Advertisement, LSA) para calcular la ruta idónea entre dos nodos cualesquiera de un sistema autónomo.
Su medida de métrica se denomina cost, y tiene en cuenta diversos parámetros tales como el ancho de banda y la congestión de los enlaces. OSPF construye además una base de datos enlace-estado (Link-State Database, LSDB) idéntica en todos los routers de la zona.
Configurar el OSPF es sumamente sencillo y unas ves configurado correctamente al hacer uso del comando show ip route debe aparecer como muestra la siguiente imagen:
Las O representas a la adyacencia del las OSPF
Para configurar las OSPF de debe de colocar las Network que están directamente conectadas al router.
El Siguiente video cono configurar el Frame Relay junto al OSPF
Configuración del NAT
¿Que es el NAT?
La traducción
de direcciones de red o NAT (del inglés Network Address
Translation) es un mecanismo utilizado por routers IP
para intercambiar paquetes entre dos redes que asignan mutuamente direccionesincompatibles.
Consiste en convertir, en tiempo real, las direcciones utilizadas en los
paquetes transportados. También es necesario editar los paquetes para permitir
la operación de protocolos que incluyen información
de direcciones dentro de la conversación del protocolo.
Router(config)#access-list 1 permit 192.168.0.1 0.0.0.255 (red del inside)
Router(config)#ip nat inside source list 101 interface serial 0/0/0 overload
Router(config)#interface fastetehernet 0/0
Router(config-if)#ip nat inside
Router(config)#exit
Router(config)#interface serial 0/0/0
Router(config-if)#ip nat outside
Configuración de VPN
¿Que es el VPN?
Una red
privada virtual (RPV), en inglés: Virtual
Private Network (VPN), es una tecnología de red de computadoras que permite una
extensión segura de la red de área local (LAN) sobre una red pública o no controlada como Internet.
Permite que la computadora en la red envíe y reciba datos sobre redes
compartidas o públicas como si fuera una red privada con toda la funcionalidad,
seguridad y políticas de gestión de una red privada.1 Esto
se realiza estableciendo una conexión virtual punto a punto mediante el uso de
conexiones dedicadas, cifrado o la combinación de ambos métodos.
crypto isakmp policy 10
authentication pre-share
hash sha
encryption aes 256
group 2
lifetime 86400
exit
crypto isakmp key toor address 10.0.0.2 (router 2)
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 (Direccion red 1 y red 2)
crypto map CMAP 10 ipsec-isakmp
set peer 10.0.0.2 (Router 2)
match address 101
set transform-set TSET
exit
interface fa0/1 (Interface a Router 2)
crypto map CMAP
Configuración de SNMP
¿Que es el SNMP?
El Protocolo
Simple de Administración de Red o SNMP (del inglés Simple
Network Management Protocol) es un protocolo de la capa de aplicación que facilita el
intercambio de información de administración entre dispositivos de red. Los
dispositivos que normalmente soportan SNMP incluyen routers, switches,
servidores, estaciones de trabajo, impresoras, bastidores de módem y muchos
más. Permite a los administradores supervisar el funcionamiento de la red,
buscar y resolver sus problemas, y planear su crecimiento.
snmp-server community 1234 ro
snmp-server community 1234 rw
Configuración de VOIP
¿Que es el VOIP?
Voz
sobre protocolo de internet o Voz por protocolo de internet, también
llamado voz sobre IP, voz IP, vozIP o VoIP (siglas
en inglés de voice over IP:‘voz por IP’),
es un conjunto de recursos que hacen posible que la señal de voz viaje a través
de Internet empleando
el protocolo IP (Protocolo de Internet).
Esto significa que se envía la señal de voz en
forma digital, en paquetes de datos, en lugar de enviarla en
forma analógica a través de circuitos utilizables solo por telefonía
convencional, como las redes PSTN (siglas de Public Switched Telephone
Network, red telefónica pública conmutada).
El Primer Vídeo muestra como configurar el VOIP solo en un nodo o en una red LAN
El segundo Vídeo muestra como configurar VOIP para que tenga conexión entre nodos
Configuración de Proxy
¿Que es Proxy?
El proxy es
un agente o sustituto autorizado para actuar en nombre de otra persona (máquina
o entidad) o un documento que lo autoriza a hacerlo y puede utilizarse en los
siguientes contextos:
El simulador Cisco Packet Tracer no tiene un dispositivo proxy el cual nos brinde una una manera fácil de hacer uso de proxy dentro del simulador, sin embargo existe una manera sumamente sencilla de configurarlo denegando el acceso a algún servicios o servidor mediante listas de acceso.
Configuración de HSRP
¿Que es el HSRP?
El Hot
Standby Router Protocol es un protocolo propiedad de CISCO que permite el
despliegue de routers redundantes tolerantes a fallos en una red. Este
protocolo evita la existencia de puntos de fallo únicos en la red mediante
técnicas de redundancia y comprobación del estado de los routers.
Es un protocolo muy similar a VRRP, que no es propietario. Es por ello que CISCO reclama que VRRP viola una serie
de patentes que le pertenecen.
Router A
Router(config-if)#standby 1 ip 192.168.20.1
Router(config-if)#standby 1 priority 200
Router(config-if)#standby 1 preempt
Router B
Router(config-if)#standby 1 ip 192.168.20.1
Configuración de IP Inspect
¿Que es el IP Inspect?
Es el que permite inspeccionar cual es trafico http, icmpp, tcp, telnet y udp de una red haciendo uno del Syslog
Router(config)#ip inspect name TRAFICO http audit-trail on timeout 3600
Router(config)#ip inspect name TRAFICO icmp audit-trail on timeout 10
Router(config)#ip inspect name TRAFICO tcp audit-trail on timeout 3600
Router(config)#ip inspect name TRAFICO telnet audit-trail on timeout 3600
Router(config)#ip inspect name TRAFICO udp audit-trail on timeout 30
Configuración de STP
En comunicaciones, STP (del inglés Spanning Tree Protocol)
es un protocolo de red de nivel 2 del modelo OSI (capa
de enlace de datos). Su función es la de gestionar la presencia de bucles en
topologías de red debido a la existencia de enlaces redundantes (necesarios en
muchos casos para garantizar la disponibilidad de las conexiones). El protocolo
permite a los dispositivos de interconexión activar o desactivar
automáticamente los enlaces de conexión, de forma que se garantice la
eliminación de bucles. STP es transparente a las estaciones de usuario.
En esta ocasión se demostrara como configurar algunos servicios servicios básicos los cuales con unos de los requisitos exigidos para la elaboración de la Red de Interconexión de un Proyecto Socio Tecnológico en Redes.
Configuración del Servidor FTP
¿Que es el servicio FTP?
FTP (siglas en inglés de File Transfer Protocol,
'Protocolo de Transferencia de Archivos') en informática, es un protocolo de
red para la transferencia de archivos entre
sistemas conectados a una red TCP (Transmission Control Protocol),
basado en la arquitectura cliente-servidor.
Desde un equipo cliente se puede conectar a un servidor para descargar archivos
desde él o para enviarle archivos, independientemente del sistema operativo
utilizado en cada equipo.
El servicio FTP es
ofrecido por la capa de aplicación del modelo de capas de red TCP/IP al
usuario, utilizando normalmente el puerto de red 20
y el 21. Un problema básico de FTP es que está pensado para ofrecer la máxima
velocidad en la conexión, pero no la máxima seguridad, ya que todo el
intercambio de información, desde el login y password del usuario en el
servidor hasta la transferencia de cualquier archivo, se realiza en texto plano sin
ningún tipo de cifrado, con lo que un posible atacante puede capturar este
tráfico, acceder al servidor y/o apropiarse de los archivos transferidos.
Para configurar el servidor FTP se debe realizar lo que se muestra en las siguientes imágenes:
En primer lugar se ingresa al servidor que sera utilizado como servidor FTP y se enciende el servicio o se coloca en On como lo muestra la imagen.
En segundo lugar se elige el nombre de usuario y la contraseña como lo muestra la imagen el cual sera el que tendrá acceso al servidor FTP desde otro dispositivos el cual puede ser una PC.
Luego se realizar los pasos anteriores se realiza lo siguiente:
Se palomean o todas las opciones disponibles en el servidor FTP como lo muestra la imagen (Write, Read, Delete, Rename y List) estas son los privilegios o funciones que podrá realizar el usuario creado.
Por ultimo se agrega el usuario haciendo click en el botón ADD.
Con esto ya estaría configurado el servidor FTP, es muy sencillo y solo quedaría hacer una prueba para comprobar su funcionamiento.
A continuación dejo un vídeo propio donde muestro la configuración un poco mas detallada:
Configuración de Servidores NTP y SYSLOG
Lo que vamos a ver en esta
ocacion es como configurar un servidor NTP y un SysLog.
Básicamente la
función de dicho servidor es la de proveer la fecha y hora al router.
Otra opción es configurar el reloj y la fecha de forma manual pero
corremos el riesgo de si se reinicia el router perdemos la fecha y hora exacta.
Para prevenir eso utilizamos NTP
Un mensaje de registro
suele tener información sobre la seguridad del sistema, aunque puede
contener cualquier información. Junto con cada mensaje se incluye la fecha y
hora del envío.
La función que cumple
dicho servidor es la de registrar todos los accesos al router, es decir, cada
vez que accedemos ya sea remotamente o por consola queda registrado en el
servidor.
NTP
R1(config)#ntp server [IP DEL SERVIDOR]
R1(config)#ntp update-calendar(1)
Syslog
R1(config)#logging host [IP DEL SERVIDOR]
R1(config)#service timestamps log datetime msec(2)
Crear un usuario local
R1(config)#username [USUARIO] secret [CONTRASEÑA](3)
(1): Esta comando sirve para que se
actualice el calendario.
(2): Este
comando se utiliza para, que los mensajes que almacena el servidor Syslog,
tengan la fecha, hora (con minutos y segundos).
(3): Este
comando sirve para crear un usuario que se almacena en la base de datos del
router.
A
continuación les dejo el vídeo en el que se configuran los dos servicios más
detalladamente:
Configuración del Servicio SSH
Lo que
vamos a ver es la forma que existe en Packet Tracer deconfigurar SSH. Lo que nos permite hacer SSH es lo mismo que
Telnet,conectarnos
a un equipo de forma remota. La gran diferencia entre Telnet y SSH es que en
SSH el trafico viaja encriptado ademas necesitamos tener
un usuario para conectarnos.
Además de la conexión a otros dispositivos, SSH nos permite
copiar datos de forma segura (tanto archivos sueltos como simular sesionesFTPcifradas), gestionarclaves RSApara
no escribir claves al conectar a los dispositivos y pasar los datos de
cualquier otra aplicación por un canal segurotunelizadomediante SSH.
SSH(config)# ip domain-name [Nombre] (1)
SSH(config)# crypto key generate rsa(2)
SSH(config)# line vty 0 4
SSH(config-line)# transport input ssh(3)
SSH(config-line)# login local
SSH(config)# username [usuario] privilege 15 password [password] (4)
SSH(config)# enable secret [password] (5)
(1): Establecemos bajo
que nombre de dominio está el router.
(2): Este comando sirve
para darle el tamaño de encriptación.
(3): En esta parte
le decimos que deje pasar el protocolo SSH.
(4): El password que se
ingresa sirve para entrar por SSH. La parte de la sintaxis privilege 15 son los
permisos de usuario.
(5): El password
(encriptado) ingresado aca sirve para entrar al modo EXEC.
En la PC se ingresa:
SSH –l (el símbolo menos
y la letra “L” en minúscula) [usuario] [dirección ip]
Configuración del Servidor AAA
¿Que es un AAA?
AAA corresponde a
autenticacion, autorizacion y contabilizacion(en inglés accounting). Dichas
referencias de la sigla son las funciones que cumple el protocolo AAA.
Lo bueno de contar con un
servidor AAA es que podemos centralizar el manejo de cuentas de usuario para
acceder a los dispositivos de red. En esta ocasión vamos a ver 2
protocolos dentro del ya mencionado AAA, son TACACS y RADIUS.
La gran diferencia entre
estos 2 protocoles es que TACACS cifra todo el trafico desde que se solicita
la comprobación del usuario hasta que termina. En cambio RADIUS solo
cifra la contraseña.
Router(config)#hostname [NOMRE DE ROUTER](1)
R1(config)#enable secret [CONTRASEÑA](2)
R1(config)#username [USUARIO] secret [CONTRASEÑA](3)
R1(config)#aaa new-model(4)
R1(config)#radius-server host [IP DEL SERVIDOR](5)
R1(config)#radius-server key [CLAVE](6)
R1(config)#aaa authentication login [default o NOMBRE DE LISTA] [Metodo1][Metodo2]..[Metodo4](7)
R0(config-line)#login authentication default(8)
R2(config)#tacacs-server host [IP DEL SERVIDOR](5)
R2(config)#tacacs-server key [CLAVE](6)
(1): Ingresamos el nombre
del router.
(2): Configuramos una
contraseña cifrada para el acceso al modo EXEC.
(3): Creamos un usuario y
contraseña cifrada.
(4): Creamos un nuevo
modelo de autenticación AAA.
(5): Ingresamos la ip del
servidor.
(6): Ingresamos la clave
para que el router se pueda conectar al servidor.
(7): Se ingresa los métodos
por los cuales se va a autenticar el usuario, ya sea group radius, group tacacs
o local. Se pueden ingresar un maximo de 4. Si ingresamos mas de uno por ej: group
radius local; significa que primero autenticara con Radius y ,en caso de
fallar, se autenticara con la base de datos del router. Para eso creamos el
username.
(8): Ingresamos en un
modo consola, vty o aux y le indicamos que se autentique con el método aaa
previamente definido.
Una red de computadoras, también
llamada red de ordenadores, red de comunicaciones de
datos o red informática, es un conjunto de equipos
informáticos y software conectados
entre sí por medio de dispositivos
físicos que envían y reciben impulsos eléctricos, ondas electromagnéticas o cualquier
otro medio para el transporte de datos, con la finalidad de
compartir información, recursos y ofrecer Servicios.
Como en todo proceso de comunicación,
se requiere de un emisor, un mensaje, un medio y un receptor. La finalidad principal para la
creación de una red de computadoras es compartir los recursos y la información
en la distancia, asegurar la confiabilidad y la disponibilidad de la
información, aumentar la velocidad de transmisión de los datos y
reducir el costo. Un ejemplo es Internet,
la cual es una gran red de millones de computadoras ubicadas en distintos
puntos del planeta interconectadas básicamente para compartir información y
recursos.
La estructura y el modo de funcionamiento de las redes
informáticas actuales están definidos en varios estándares, siendo el más importante y
extendido de todos ellos el modelo TCP/IP basado
en el modelo de referencia OSI.
Este último, estructura cada red en siete capas con funciones concretas pero
relacionadas entre sí; en TCP/IP se reducen a cuatro capas. Existen multitud de
protocolos repartidos por cada capa, los cuales también están regidos por sus
respectivos estándares.
Router
En redes de conmutación por
paquetes, como Internet, el router es un dispositivo o, en algunos casos, un
software en la computadora que determina el siguiente punto de la red a la que
se reenviará el paquete para que llegue a su destino. El router o enrutador
está conectado, por lo menos, a dos redes y decide qué camino recorrerá cada
paquete de información en función del entendimiento que tenga en cada momento
del estado en que se encuentran las redes a las que está conectado. El router
está ubicado en cualquier pasarela (allí donde una red conecta con otra),
incluyendo cada punto de presencia en Internet. A menudo, el router forma parte
del conmutador (o switch) de una red.
Un router es un puente de red combinado con un enrutador. Para los usuarios de
computadoras domésticas y de empresa que cuentan con conexiones a Internet de
alta velocidad por cable, satélite o DSL, el router puede funcionar como unos
cortafuegos para el hardware. Esto es así incluso si el hogar o la empresa sólo
disponen de una computadora.
(Router Cisco)
Funcionamiento del Router
El funcionamiento básico de un enrutador o encaminador, como se
deduce de su nombre, consiste en enviar los paquetes de red por el camino o
ruta más adecuada en cada momento. Para ello almacena los paquetes recibidos y
procesa la información de origen y destino que poseen. Con arreglo a esta
información reenvía los paquetes a otro encaminador o bien al anfitrión final, en
una actividad que se denomina 'encaminamiento'. Cada encaminador se encarga de
decidir el siguiente salto en función de su tabla de reenvío o tabla de encaminamiento, la cual se genera
mediante protocolos que deciden cuál es el camino más adecuado o corto, como
protocolos basado en el algoritmo de Dijkstra.
Por
ser los elementos que forman la capa de red, tienen que encargarse de cumplir
las dos tareas principales asignadas a la misma:
· Reenvío
de paquetes: cuando un paquete llega al enlace de entrada de un
encaminador, éste tiene que pasar el paquete al enlace de salida apropiado. Una
característica importante de los encaminadores es que no difunden tráfico difusivo.
· Encaminamiento
de paquetes: mediante el uso de algoritmos de encaminamiento tiene que ser
capaz de determinar la ruta que deben seguir los paquetes a medida que fluyen
de un emisor a un receptor.
Por
tanto, debemos distinguir entre reenvío y encaminamiento. Reenvío consiste en
coger un paquete en la entrada y enviarlo por la salida que indica la tabla,
mientras que por encaminamiento se entiende el proceso de hacer esa tabla.
Tipos de Enrutamiento
Tanto
los enrutadores como los anfitriones guardan una tabla de enrutamiento. El
daemon de enrutamiento de cada sistema actualiza la tabla con todas las rutas
conocidas. El núcleo del sistema lee la tabla de enrutamiento antes de reenviar
paquetes a la red local. La tabla de enrutamiento enumera las direcciones IP de
las redes que conoce el sistema, incluida la red local predeterminada del
sistema. La tabla también enumera la dirección IP de un sistema de portal para
cada red conocida. El portal es un sistema que puede recibir paquetes de salida
y reenviarlos un salto más allá de la red local.
Enrutamiento estático
Hosts
y redes de tamaño reducido que obtienen las rutas de un enrutador
predeterminado, y enrutadores predeterminados que sólo necesitan conocer uno o
dos enrutadores.
Determinación de enrutamiento
La
información de enrutamiento que el encaminador aprende desde sus fuentes de
enrutamiento se coloca en su propia tabla de enrutamiento. El encaminador se
vale de esta tabla para determinar los puertos de salida que debe utilizar para
retransmitir un paquete hasta su destino. La tabla de enrutamiento es la fuente
principal de información del enrutador acerca de las redes. Si la red de
destino está conectada directamente, el enrutador ya sabrá el puerto que debe
usar para reenviar los paquetes. Si las redes de destino no están conectadas
directamente, el encaminador debe aprender y calcular la ruta más óptima a usar
para reenviar paquetes a dichas redes. La tabla de enrutamiento se constituye
mediante uno de estos dos métodos o ambos:
·Manualmente, por el administrador de la red.
·A través de procesos dinámicos que se ejecutan
en la red.
Rutas estáticas
Las
rutas estáticas se definen administrativamente y establecen rutas específicas
que han de seguir los paquetes para pasar de un puerto de origen hasta un
puerto de destino. Se establece un control preciso de enrutamiento según los
parámetros del administrador.
Las
rutas estáticas por defecto especifican una puerta de enlace de último recurso,
a la que el enrutador debe enviar un paquete destinado a una red que no aparece
en su tabla de enrutamiento, es decir, se desconoce.
Las
rutas estáticas se utilizan habitualmente en enrutamientos desde una red hasta
una red de conexión única, ya que no existe más que una ruta de entrada y
salida en una red de conexión única, evitando de este modo la sobrecarga de
tráfico que genera un protocolo de enrutamiento. La ruta estática se configura
para conseguir conectividad con un enlace de datos que no esté directamente
conectado al enrutador. Para conectividad de extremo a extremo, es necesario
configurar la ruta en ambas direcciones. Las rutas estáticas permiten la
construcción manual de la tabla de enrutamiento.
Enrutamiento dinámico
El
enrutamiento dinámico le permite a los encaminadores ajustar, en tiempo real,
los caminos utilizados para transmitir paquetes IP. Cada protocolo posee sus
propios métodos para definir rutas (camino más corto, utilizar rutas publicadas
por pares, etc.).
Introducción
a RIP.
RIP
(Protocolo de Información de Enrutamiento) es uno de los protocolos de
enrutamiento más antiguos utilizados por dispositivos basados en IP. Su implementación
original fue para el protocolo Xerox a principios de los 80. Ganó popularidad
cuando se distribuyo con UNIX como protocolo de enrutamiento para esa
implementación TCP/IP. RIP es un protocolo de vector de distancia que utiliza
la cuenta de saltos de enrutamiento como métrica. La cuenta máxima de saltos de
RIP es 15. Cualquier ruta que exceda de los 15 saltos se etiqueta como
inalcanzable al establecerse la cuenta de saltos en 16. En RIP la información
de enrutamiento se propaga de un enrutador a los otros vecinos por medio de una
difusión de IP usando protocolo UDP y el puerto 520.
Proceso
de configuración de RIP
El
protocolo RIP versión 1 es un protocolo de enrutamiento con clase que no admite
la publicación de la información de la máscara de red. El protocolo RIP versión
2 es un protocolo sin clase que admite CIDR, VLSM, resumen de rutas y seguridad
mediante texto simple y autenticación MD5.
Arquitectura Física
En un enrutador se pueden identificar cuatro
componentes:
Puertos de entrada: realiza las funciones
de la capa física consistentes en la terminación de un enlace físico de entrada
a un encaminador; realiza las funciones de la capa de enlace de datos
necesarias para interoperar con las funciones de la capa de enlace de datos en
el lado remoto del enlace de entrada; realiza también una función de búsqueda y
reenvío de modo que un paquete reenviado dentro del entramado de conmutación
del encaminador emerge en el puerto de salida apropiado.
Entramado de conmutación:
conecta los puertos de entrada del enrutador a sus puertos de salida.
Puertos de salida:
almacena los paquetes que le han sido reenviados a través del entramado de
conmutación y los transmite al enlace de salida. Realiza entonces la función
inversa de la capa física y de la capa de enlace que el puerto de entrada.
Procesador de encaminamiento:
ejecuta los protocolos de encaminamiento, mantiene la información de
encaminamiento y las tablas de reenvio y realiza funciones de gestión de red
dentro del enrutador.
Enrutadores del Modelo OSI
Enrutadores
y conmutadores en el modelo OSI
En el modelo OSI se distinguen diferentes niveles o capas en
los que las máquinas pueden trabajar y comunicarse para entenderse entre ellas.
En el caso de los enrutadores encontramos dos tipos de interfaces:
Interfaces
encaminadas: son interfaces de nivel 3, accesibles por
IP. Cada una se corresponde con una dirección subred distinta. En IOS
se denominan "IP interface". Se distinguen a su vez dos subtipos.
Interfaces
físicas: aquellas accesibles directamente por IP.
Interfaces
virtuales: aquellas que se corresponden con una VLAN o
un CV. Si dicha interfaz se corresponde con una única Vlan se
denomina Switch Virtual Interfaz (SVI), mientras que si se
corresponde con un enlace trunk o con un CV, actúan como subinterfaces.
Interfaces
conmutadas: se trata de interfaces de nivel 2
accesibles solo por el módulo de conmutamiento. En IOS reciben el nombre de
puertos de conmutador. Las hay de dos tipos:
Puertos de acceso: soportan
únicamente tráfico de una VLAN.
Puertos trunk:
soportan tráfico de varias VLANs distintas.
Estas posibilidades de configuración están únicamente disponibles
en los equipos modulares, ya que en los de configuración fija, los puertos de
un enrutador actúan siempre como interfaces encaminadas, mientras que los
puertos de un conmutaador como interfaces conmutadas. Además, la única posible
ambigüedad en los equipos configurables se da en los módulos de
conmutamiento, donde los puertos pueden actuar de las dos maneras, dependiendo
de los intereses del usuario.
(Configuracion de Router por consola en Packet Tracer)
SWICTH
Un switch o conmutador es un dispositivo
de interconexión utilizado para conectar equipos en red formando lo que se
conoce como una red de área local (LAN) y cuyas especificaciones técnicas
siguen el estándar conocido como Ethernet (o técnicamente IEEE 802.3).
(Switch de 50 puertos que
permite constituir una red local de hasta 50 equipos conectados)
Funcionamiento del Swicht
La función básica de un switch es la de unir
o conectar dispositivos en red. Es importante tener claro que un switch NO proporciona
por si solo conectividad con otras redes, y obviamente, TAMPOCO proporciona
conectividad con Internet. Para ello es necesario un router.
Como se observa en la imagen, la existencia de la red local permite:
Compartir archivos. Un equipo de la red habilita la compartición de archivos
y el resto de equipos pueden acceder a dichos archivos a través de la red.
Compartir
impresoras. Todos los equipos de la red pueden
utilizar la misma impresora.
Compartir la conexión a Internet. Todos los equipos pueden
acceder a Internet a través de router de acceso, que está conectado en la red.
Características básicas de los switches
Puertos
Los puertos son los elementos del switch
que permiten la conexión de otros dispositivos al mismo. Como por ejemplo un
PC, portátil, un router, otro switch, una impresora y en general cualquier
dispositivo que incluya una interfaz de red Ethernet. El número de puertos es
una de las características básicas de los switches. Aquí existe un abanico
bastante amplio, desde los pequeños switches de 4 puertos hasta switches
troncales que admiten varios cientos de puertos.
El estándar Ethernet admite básicamente dos
tipos de medios de transmisión cableados:el cable de par trenzado y el
cable de fibra óptica. El conector utilizado para cada tipo lógicamente es
diferente así que otro dato a tener en cuenta es de qué tipo son los puertos.
Normalmente los switches básicos sólo disponen de puertos de cable de par
trenzado (cuyo conector se conoce como RJ-45) y los más avanzados
incluyen puertos de fibra óptica (el conector más frecuente aunque no el
único es el de tipo SC).
Switch con puertos RJ-45 y SC
Velocidad
Dado que Ethernet permite varias velocidades
y medios de transmisión, otra de las características destacables sobre los
puertos de los switches es precisamente la velocidad a la que pueden trabajar
sobre un determinado medio de transmisión. Podemos encontrar puertos definidos
como 10/100, es decir, que pueden funcionar bajo los estándares 10BASE-T (con
una velocidad de 10 Mbps) y 100BASE-TX (velocidad: 100 Mbps). Otra
posibilidad es encontrar puertos 10/100/1000, es decir, añaden el estándar1000BASE-T (velocidad
1000 Mbps). También se pueden encontrar puertos que utilicen fibra óptica
utilizando conectores hembra de algún formato para fibra óptica. Existen
puertos 100BASE-FX y 1000BASE-X.
Por
último, los switches de altas prestaciones pueden ofrecer puertos que cumplan
con el estándar 10GbE, tanto en fibra como en cable UTP.
Puertos modulares: GBIC y SFP
La mayor parte de los switches de gamas
media y alta ofrecen los llamados puertos modulares. Estos puertos realmente no
tienen ningún conector específico si no que a ellos se conecta un módulo que
contiene el puerto. De esta forma podemos adaptar el puerto al tipo de medio y
velocidad que necesitemos. Es habitual que los fabricantes ofrezcan módulos de
diferentes tipos con conectores RJ-45 o de fibra óptica. Los puertos modulares
proporcionan flexibilidad en la configuración de los switches.
Existen dos tipos de módulos para conectar
a los puertos modulares: el primer tipo de módulo que apareció es el módulo GBIC (Gigabit
Interface Converter) diseñado para ofrecer flexibilidad en la elección del
medio de transmisión para Gigabit Ethernet. Posteriormente apareció el módulo SFP (Small
Form-factor Puggable) que es algo más pequeño que GBIC (de hecho también se
denomina mini-GBIC) y que ha sido utilizado por los fabricante para
ofrecer módulos tanto Gigabit como 10GbE en fibra o en cable UTP.
Puertos Modulares SFP y GBIC
Tipos de Switch
Switch administrable
Refiere al tipo de switch que permite que
sea administrado.
Switch no administrable
Estos no permiten ningún tipo de
administración o de configuración. Acorde a su capacidad.
Swith apilables
Estos agrupan diversas unidades en un bus
de expansión, el cual aporta un gran ancho de banda con lo cual se mejora la comunicación
full-duplex.
Switch no apilable
Estos swith no soportan ningún bus de
expansión.. Otros tipos de swith.
Switch troncal
Son aquellos empleados en el núcleo de las
redes amplias. Los servidores, los routers y otros swithes se llegan a conectar
a este tipo de switch.
Switch perimetral
Estos son los que se conectan a la red
troncal, por lo cual se usan en el nivel jerárquico inferior. A estos se
conectan los equipos finales de los usuarios.
Switch gestionable
También conocido como managed en inglés. Se
trata de un tipo de switch que presenta características añadidas que necesitan
de una gestión y configuración.
Switch no gestionable
Refiere aquellos switch que solo ofrecen
funcionalidades básicas, las cuales no requieren de una gestión o
configuración. Estos también se le suele conocer en el idioma inglés como
managed.
Switch desktop
Es el más básico a comparación de los
demás switch, el cual lleva a cabo la conmutación básica y carece de
características adicionales. Se suele emplear en redes domésticas o en redes de
empresas pequeñas, permitiendo la conexión de pocos equipos. La configuración
de cada puerto se realiza por una auto-configuración de Ethernet, por lo tanto
no requiere de configuración alguna.
Switches perimetrales no gestionables
Estos se emplean en redes de tamaño
pequeño, son parecidos a los switches desktop en cuanto a funcionamiento, ya
que no permite opciones de configuración, auto-configurándose el mismo. La
diferencia de este es que el número de puertos es mucho mayor, por lo tanto se
puede montar en rack 19¨.
Switches perimetrales gestionables
Son los empleados para la conexión de
equipos en redes que presenten un tamaño medio o grande. Se ubican en el nivel
jerárquico inferior. Estos funcionan bajo opciones avanzadas de gestión y configuración.
Switches troncales de prestaciones medias
Refiere al tipo de switch que forma un
troncal o núcleo en una red de medio tamaño. Este llega a ofrecen
funcionalidades y prestaciones muy avanzadas. Estos brindan como enrutamiento
IP características de tercer nivel, punto que le hace diferenciar de los
switches perimetrales.
Switch troncal de alta prestación
Se caracteriza principalmente por su gran
rendimiento y su alta modularidad. Este se presenta en varios formatos, pero el
más común es el de tipo chasis, que es el lugar donde los módulos son
instalados. Este tipo de switch es el que se emplea en redes corporativas
grandes o en redes de campos y metropolitanas.
Switch procurve 1700-8
Se trata de un switch híbrido que es
gestionable y que presenta opciones muy avanzadas y que tiene 8 puertos, donde
uno es de 10/100/1000, y los restante son de 10/100.
(Configuración básica de un Switch en Packet Tracer)
Packet Tracer
PT (Packet Tracer), es una herramienta de
aprendizaje y simulación de redes interactiva. Esta herramienta permite
crear topologías de red, simular una red con múltiples
representaciones visuales, principalmente es una herramienta de apoyo didáctico.
Permite a los estudiantes crear
redes con un número casi ilimitado de dispositivos y experiencias de solución
de problemas sin tener que comprar routers o switches reales.
Esta herramienta les permite a los
usuarios crear topologías de red, configurar dispositivos, insertar paquetes y
simular una red con múltiples representaciones visuales. Packet Tracer se
enfoca en apoyar mejor los protocolos de redes que se enseñan en el currículum
de la certificación cisco.
En este programa se crea la topología
física de la red simplemente arrastrando los dispositivos a la pantalla. Luego
clickando en ellos se puede ingresar a sus consolas de configuración. Allí
están soportados todos los comandos del Cisco OS e incluso funciona el
"interprete de línea de comandos". Una vez completada la
configuración física y lógica del net, también se puede hacer simulaciones de
conectividad (pings “Buscador o rastreador de paquetes en redes”, traceroutes”
consola de diagnóstico de redes de Linux”, etc.) todo ello desde las mismas
consolas incluidas.
(Interfaz Gráfica de Packet Tracer)
Switch
Cisco 2960 Capa 2
Los switches Cisco® Catalyst® de la serie 2960 son las
plataformas de switching de acceso líderes de la industria que permiten mayor
productividad y dinamismo empresarial, con características diseñadas para
abordar las megatendencias en redes corporativas, como transición IPv6, Bring
Your Own Device (BYOD) y movilidad. Los switches Cisco Catalyst 2960
proporcionan funciones de seguridad que permiten que dichas transiciones en la
red se realicen de manera segura y eficiente.
Los
switches Cisco Catalyst 2960 proporcionan un conjunto completo e integral de
funciones de seguridad diseñadas para:
●
Asegurar la red de interceptación de tráfico, suplantación de identidad y
ataques de denegación de servicio (DoS).
●
Controlar el acceso a los recursos en su red con listas de control de acceso
(ACL), incluidas ACL por tipo de usuario/dispositivo.
●
Asegurar el acceso a la red en función de la identidad y el rol del usuario.
●
Proporcionar políticas basadas en dispositivos a través de la creación de
perfiles de dispositivos.
●
Proteger la confidencialidad e integridad del tráfico de red a través del
cifrado* (funcionalidad de hardware).
●
Arrancar con seguridad las imágenes de software con firma digital de Cisco IOS®
Como
parte de la arquitectura de Acceso unificado de Cisco, los switches Cisco
Catalyst 2960
Representan
una infraestructura de red que es compatible con clasificación y aplicación de
políticas distribuidas en la capa de acceso, con definiciones de políticas de
la plataforma Cisco One Policy, Cisco Identity Services Engine (ISE).
Los switches Cisco Catalyst 2960 permiten asegurar las redes y
proporcionan acceso seguro a través de las siguientes categorías de funciones
primarias.
● Seguridad
de primer salto (FHS) en IPv4: los switches Cisco Catalyst ofrecen Cisco
Integrated Security Features (CISF), una solución líder del sector que
proporciona capacidades superiores de defensa ante amenazas de capa 2 a fin de
atenuar los ataques por intermediario, tales como la suplantación de identidad
de MAC, IP y protocolo de resolución de direcciones (ARP). Esta solución ofrece
una seguridad sólida en toda la red a través de herramientas poderosas y
fáciles de usar que previenen eficazmente las amenazas de seguridad de capa 2
más comunes y potencialmente dañinas.
● Creación
de perfiles de dispositivos: las tendencias como BYOD requieren que los
clientes tengan visibilidad de los diversos tipos de dispositivos que acceden a
la red y sean capaces de administrar el control de acceso, las políticas de
segmentación y las políticas QoS basadas en el tipo de dispositivo conectado.
Los switches Cisco Catalyst tienen funcionalidades integradas de creación de
perfiles de dispositivos para identificar el tipo de dispositivo conectado y
aplicar políticas basadas en el tipo de dispositivo.
● Redes
basadas en identidades: Cisco admite una amplia gama de opciones de
autenticación, que incluyen 802.1x para dispositivos y usuarios administrados,
autenticación web para usuarios temporales o usuarios no 802.1x, y omisión de
autenticación MAC para dispositivos no administrados o no 802.1x. Se pueden
configurar el orden y la prioridad de los métodos de autenticación, junto con
el comportamiento después de los errores de servidor 802.1x o AAA.
● Cisco
TrustSec: Cisco TrustSec® permite definiciones de políticas basadas en
roles en un motor de políticas centralizado (ISE) y la aplicación distribuida
de dichas políticas en la infraestructura de red independiente de la
arquitectura de la red. Esto proporciona la capacidad de definir políticas
granulares basadas en rol de usuario, dispositivo, ubicación, estado, etc.,
mientras hace que la definición de políticas y la administración de cambios sea
eficiente desde el punto de vista operativo.
●
Funcionalidad de hardware para cifrar el tráfico mediante MACsec basado en
802.1AE (hardware compatible en el primer envío a clientes [FCS], soporte de
software en plan).
Ahora analizaremos
las descripciones detalladas de cada una de estas categorías de funciones.
Router
Cisco 2811 Capa 3
El Cisco 2811 cambia la naturaleza de las comunicaciones
corporativas de lasoficinas sucursales. Hoy en día, las redes IP corporativas
necesitan llevar a cabo muchas tareas. Más aun, las organizaciones necesitan no
solo comunicaciones rápidas, sino también comunicaciones seguras. Además, las
infraestructuras IPpueden ahora llevar señales de voz y video, una excelente
manera de mejorar laproductividad y disminuir costos. El Cisco 2811 ofrece
soporte sin precedente para estas funciones. El paquete de seguridad Cisco 2811
con los servicios avanzados de IP Cisco IOS incluye 64 MB Flash/256 MB DRAM,
AIM-VPN-EPII-PLUSEnhanced-performance DES, 3DES, AES y la compresión VPN y el
cifrado (AIM).
Cisco 2811 posee dos puertos Ethernet, los cuales proporcionan una
velocidad de transferencia de datos máxima de 100 megabits por segundo. Además
incluyen cuatro ranuras para tarjetas de interfaz, puertos de consola y
auxiliar de 115,2 kbps, y dos ranuras PVDM (Packet Voice DSP Module - Módulo
DSP de paquetes por voz). El Cisco 2801 tiene un puerto USB 1.1, mientras que
el Cisco 2811 tiene dos. Además, mientras el 2801 y el 2811 proporcionando 64
MB de memoria Compact Flash, el primero posee 128 MB de DRAM (Dynamic Random
Access Memory - Memoria de acceso aleatorio dinámica), mientras que el segundo
tiene 256 MB de DRAM. Además, el cisco 2811 se puede montar sobre una pared.
(Router Cisco 2811)
(ConfiguraciónBásica de Router Cisto 2811)
Firewall Cisco ASA 5505 Multicapa
La movilidad y la nube impulsan la productividad pero introducen
riesgos. Para proteger sus recursos, debe ver los usuarios, las aplicaciones,
los dispositivos y las amenazas presentes en su red y lo que hacen. Los
firewalls Cisco ASA 5505-X proporcionan la visibilidad de red que usted
necesita además de una protección superior frente a amenazas y malware
avanzado, y mayor automatización para reducir costes y complejidad.
Protección contra amenazas sólidas y
multicapa
Los firewalls de última generación Cisco ASA de la serie 5505
permiten equilibrar la eficacia de la seguridad con la productividad. Esta
solución ofrece la combinación de stateful firewall más utilizado de la
industria con una completa gama de servicios de seguridad de red de última
generación, que incluye:
Visibilidad
y control granular
Seguridad
web sólida
in-situ o en la nube
Sistema
de prevención de intrusiones (IPS) líder de la
industria para disfrutar de protección frente a amenazas
conocidas
Completa
protección contra amenazas y malware avanzado
El firewall ASA más
utilizado en el mundo con acceso remoto sumamente seguro Cisco AnyConnect.
Servicios Locales:
DHCP
Significa Protocolo de configuración
de host dinámico. Es un protocolo que permite que un equipo conectado a una red
pueda obtener su configuración (principalmente, su configuración de red) en
forma dinámica (es decir, sin intervención particular). Sólo tiene
que especificarle al equipo, mediante DHCP, que encuentre una dirección IP de
manera independiente. El objetivo principal es simplificar la administración de
la red.
DNS
Es una abreviatura para Sistema de nombres
de dominio (Domain Name System), un sistema para asignar nombres a equipos y
servicios de red que se organiza en una jerarquía de dominios. La asignación de
nombres DNS se utiliza en las redes TCP/IP, como Internet, para localizar
equipos y servicios con nombres descriptivos. Cuando un usuario escriba un
nombre DNS en una aplicación, los servicios DNS podrán traducir el nombre a
otra información asociada con el mismo, como una dirección IP.
HTTP
Hypertext Transfer Protocol o HTTP (en español protocolo de transferencia de
hipertexto) es el protocolo usado en cada transacción de la World Wide Web.
HTTP fue desarrollado por el World Wide Web Consortium y la Internet
Engineering Task Force, colaboración que culminó en 1999 con la publicación de
una serie de RFC, siendo el más importante de ellos el RFC 2616, que especifica
la versión 1.1. HTTP define la sintaxis y la semántica que utilizan los
elementos de software de la arquitectura web (clientes, servidores, proxies)
para comunicarse. Es un protocolo orientado a transacciones y sigue el esquema
petición-respuesta entre un cliente y un servidor. Al cliente que efectúa la
petición (un navegador web o un spider) se lo conoce como "user agent"
(agente del usuario). A la información transmitida se la llama recurso y se la
identifica mediante un localizador uniforme de recursos (URL). Los recursos
pueden ser archivos, el resultado de la ejecución de un programa, una consulta
a una base de datos, la traducción automática de un documento, etc.
Syslog
Los
mensajes syslog son mensajes generados por los equipos de comunicación y
enviados a un servidor central donde se almacenan todos. La monitorización de
los mensajes syslog se basará en la recolección de estos mensajes en un mismo
servidor para su análisis y configuración de alarmas.
NTP
Network
Time Protocol (NTP) es un protocolo de Internet para
sincronizar los relojes de los sistemas informáticos a través del enrutamiento de
paquetes en redes con latencia variable. NTP utiliza UDP como su capa de transporte, usando el puerto 123. Está diseñado para resistir
los efectos de la latencia variable.
AAA
La sigla AAA puede traducirse en español como Autenticación, Autorización
y Auditoría (originalmente, Authentication, Authorization y Accounting).
Cuando hablamos de AAA (triple A), no nos estamos basando en un solo protocolo
o en algunos en especial, sino en una familia de protocolos que proveen los
servicios anteriormente mencionados. Si le adicionamos el concepto de
Auditoría, tendríamos lo que a veces se conoce como AAAA, o cuádruple A. Para comprender
mejor estos sistemas de autenticación, debemos recordar primero los conceptos
que representan.
FTP
En informática, es un protocolo de
red para la transferencia de archivos entre
sistemas conectados a una red TCP (Transmission Control Protocol),
basado en la arquitectura cliente-servidor.
Desde un equipo cliente se puede conectar a un servidor para descargar archivos
desde él o para enviarle archivos, independientemente del sistema operativo
utilizado en cada equipo.
TFTP
Son las siglas de Trivial file transfer Protocol (Protocolo de
transferencia de archivos trivial).
Es un
protocolo de transferencia muy simple semejante a una versión básica de FTP. TFTP a menudo se utiliza para
transferir pequeños archivos entre ordenadores en
una red, como cuando un terminalX Window o
cualquier otro cliente ligero arranca desde un servidor de red.
Algunos
detalles del TFTP:
Utiliza UDP (en el puerto 69) como protocolo
de transporte (a diferencia de FTP que utiliza los puertos 20 y
21 TCP).
No
puede listar el contenido de los directorios.
No
existen mecanismos de autenticación o cifrado.
Se
utiliza para leer o escribir archivos de un servidor remoto.
Soporta tres modos
diferentes de transferencia, "netascii", "octet" y "mail",
de los que los dos primeros corresponden a los modos "ascii"
e "imagen" (binario) del protocolo FTP.
Mail
El correo electrónico (también conocido
como e-mail, un término inglés derivado de electronic mail) es un
servicio que permite el intercambio de mensajes a través de sistemas de
comunicación electrónicos. El concepto se utiliza principalmente para denominar
al sistema que brinda este servicio vía Internet mediante el protocolo SMTP (Simple Mail Transfer Protocol),
pero también permite nombrar a otros sistemas similares que utilicen distintas
tecnologías. Los mensajes de correo electrónico posibilitan el envío, además de
texto, de cualquier tipo de documento digital (imágenes, videos, audios, etc.).
El funcionamiento del correo electrónico es similar al
del correo postal. Ambos permiten enviar y recibir mensajes, que llegan a
destino gracias a la existencia de una dirección. El correo electrónico
también tiene sus propios buzones: son los servidores que
guardan temporalmente los mensajes hasta que el destinatario los revisa
SSH
Es un protocolo que facilita las comunicaciones seguras entre dos
sistemas usando una arquitectura cliente/servidor y que permite a los usuarios
conectarse a un host remotamente. A diferencia de otros protocolos de
comunicación remota tales como FTP o Telnet, SSH encripta la sesión de
conexión, haciendo imposible que alguien pueda obtener contraseñas no
encriptadas.
SSH está diseñado para reemplazar los métodos más viejos y
menos seguros para registrarse remotamente en otro sistema a través de la shell
de comando, tales como telnet o rsh. Un programa relacionado, el scp, reemplaza
otros programas diseñados para copiar archivos entre hosts como rcp. Ya que
estas aplicaciones antiguas no encriptan contraseñas entre el cliente y el
servidor, evite usarlas mientras le sea posible. El uso de métodos seguros para
registrarse remotamente a otros sistemas reduce los riesgos de seguridad tanto
para el sistema cliente como para el sistema remoto.
VoIP
VoIP proviene del ingles Voice Over
Internet Protocol, que significa "voz sobre un protocolo de
internet". Básicamente VoIP es un método por el cual tomando señales de
audio analógicas del tipo de las que se escuchan cuando uno habla por teléfono
se las transforma en datos digitales que pueden ser transmitidos a traves de
internet hacia una dirección IP determinad.
Seguridad en TIC
Zone
firewall
En seguridad informática, una zona
desmilitarizada (conocida también como DMZ, sigla en inglés de demilitarized
zone) o red perimetral es una zona segura que se ubica entre la red
interna de una organización y una red externa, generalmente en Internet.
El objetivo de una DMZ es que las conexiones desde la red interna y
la externa a la DMZ estén permitidas, mientras que en general las
conexiones desde la DMZ solo se permitan a la red externa -- los
equipos (hosts)
en la DMZ no pueden conectar con la red interna. Esto permite que los
equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que
protegen la red interna en el caso de que intrusos comprometan la seguridad de
los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la
red externa que quiera conectarse ilegalmente a la red interna, la zona
desmilitarizada se convierte en un callejón sin salida.
Asa
La familia de dispositivos de seguridad Cisco ASA protege redes
corporativas de todos los tamaños. Brinda a los usuarios un acceso sumamente
seguro a datos: en cualquier momento, desde cualquier lugar y con cualquier
dispositivo. Estos dispositivos representan más de 15 años de liderazgo
comprobado en firewalls y seguridad de redes, con más de 1 millón de
dispositivos de seguridad implementados en el mundo entero.
VPN
Un VPN (Virtual Private Network) te permite crear una
conexión segura a otra red a través del Internet. Cuando conectas
cualquier dispositivo a un VPN, este actúa como si estuviese en la misma red
que la que tiene el VPN y todo el tráfico de datos se envía de forma segura a través
del VPN.
Esto quiere decir que puedes usar el Internet como si estuvieses
presente en la región que tiene la red del VPN, lo que te viene muy bien si
necesitas acceso a contenido que está bloqueado por región. Por ejemplo, si
quieres entrar a mirar el catálogo de un servicio exclusivo de un país
concreto, con un VPN puedes hacerlo, porque una vez que entras con la conexión
enmascarada, dicho servicio sólo verá que te estás conectando desde ese país,
aunque en realidad no sea así.
Además el VPN es una red privada y virtual como su nombre lo
dice, por lo tanto todo el tráfico que pasa por esa red está asegurado y
protegido de ojos no deseados. Esto puede ser de mucha utilidad cuando nos
conectamos a una red Wi-Fi pública.
ACL
Este es una sigla que traduce lista de control de acceso -Access
Control Lists en inglés- y es un método popular en redes para controlar qué
nodos de la red tienen qué permisos sobre el sistema que implementa las ACLs.
Las ACLs se usan para aplicar una política de seguridad que
permite o niega el acceso de cierta parte de la red a otra. La granularidad de
las ACLs permite que estas partes sean o bien PC específicos o partes de una
subred arbitrariamente, es decir, permite que se conceda o niegue el acceso
desde un único PC hasta otro, de un segmento de red a otro o cualquier
combinación que se quiera.
Las ACLs, como ya comenté, son la especificación de una acción a
realizar sobre paquetes que cumplan ciertas condiciones. Una ACL es un conjunto
de reglas identificadas con un número o un nombre y cada regla especifica una
acción y una condición, las acciones a aplicar son permitir o denegar todos los
paquetes que cumplan la condición asociada a la regla. Una ACL se identifica
con un número o un nombre y todas las reglas que tengan el mismo número/nombre
hacen parte de la ACL, éstos identificadores suelen indicar también qué tanta
expresividad tendrá la ACL, es decir, qué tan específicas pueden ser las
reglas.
Inspect
Es el acto de inspección realizado por cualquier equipo de red de
paquetes que no sea punto final de comunicación, utilizando con algún propósito
el contenido (normalmente la parte útil) que no sea el encabezamiento del
paquete. Esto se efectúa en el momento en que el paquete pasa un punto de
inspección en la búsqueda de incumplimientos del protocolo, virus, spam,
intrusiones o criterios predefinidos para decidir qué medidas tomar sobre el
paquete, incluyendo la obtención de información estadística. Esto contrasta con
la inspección superficial de paquetes (usualmente llamada Stateful Packet
Inspection) que sólo inspecciona el encabezamiento de los paquetes.
SNMP
SNMP significa Protocolo simple de administración de red. Es
un protocolo que
les permite a los administradores de red administrar dispositivos de red y
diagnosticar problemas en la red.
El sistema de administración de red se basa en dos elementos
principales: un supervisor y agentes. El supervisor es el terminal que le
permite al administrador de red realizar solicitudes de administración. Los
agentes son entidades que se encuentran al nivel de cada interfaz. Ellos
conectan a la red los dispositivos administrados y permiten recopilar
información sobre los diferentes objetos.
