miércoles, 23 de noviembre de 2016

Configuración de F-Relay, OSPF, NAT, VPN, SNMP, VOIP, Proxy, HSRP, IP Inspect y STP

En esta ocasión veremos la configuración de varios Protocolos y Servicios los cuales pueden ser configurados en el simulador de red Cisco Packet Tracer.


Configuración de Frame Relay

¿Que es Frame Relay?


Frame Relay o (Frame-mode Bearer Service) es una técnica de comunicación mediante retransmisión de tramas para redes de circuito virtual, introducida por la ITU-T a partir de la recomendación I.122 de 1988. Consiste en una forma simplificada de tecnología de conmutación de paquetes que transmite una variedad de tamaños de tramas o marcos (“frames”) para datos, perfecto para la transmisión de grandes cantidades de datos.
La técnica Frame Relay se utiliza para un servicio de transmisión de voz y datos a alta velocidad que permite la interconexión de redes de área local separadas geográficamente a un coste menor.

Para configurar el Frame Relay se debe hacer lo que se muestra en las siguientes imágenes:

Imagen N° 1

Imagen N° 2

Imagen N° 3

  • Primero se debe establecer las DLCI de cada serial conectado a la Nube.
  • En segundo lugar de debe establecer la conexión eligiendo las DLCI creadas anteriormente creadas tomando en cuenta que se debe elegir el camino de ida y de vuelta.
  • En tercer lugar se debe asignar una dirección ip en las interfaces serial de cada router las cuales deben pertenecer a la misma red
  • En cuarto lugar se debe configurar la encapsulación del frame relay en cada serial y asignarle la DLCI perteneciente a cada una para que asi pueda reconocer las mismas que ya fueron eleginas anteriormente en la nube frame relay.
Router(config-if)#encapsulation frame-relay
Router(config-if)#frame-relay interface-dlci 103

Configuración de OSPF

¿Que es el OSPF?
Open Shortest Path First (OSPF), camino más corto primero, es un protocolo de red para encaminamiento jerárquico de pasarela interior o Interior Gateway Protocol (IGP), que usa el algoritmo SmoothWall Dijkstra enlace-estado (Link State Advertisement, LSA) para calcular la ruta idónea entre dos nodos cualesquiera de un sistema autónomo.
Su medida de métrica se denomina cost, y tiene en cuenta diversos parámetros tales como el ancho de banda y la congestión de los enlaces. OSPF construye además una base de datos enlace-estado (Link-State Database, LSDB) idéntica en todos los routers de la zona.

Configurar el OSPF es sumamente sencillo y unas ves configurado correctamente al hacer uso del comando show ip route debe aparecer como muestra la siguiente imagen:


 Las O representas a la adyacencia del las OSPF

  • Para configurar las OSPF de debe de colocar las Network que están directamente conectadas al router.


Router(config)#router ospf 1
Router(config-router)#router-id 1.1.1.1
Router(config-router)#network 192.168.1.0

El Siguiente video cono configurar el Frame Relay junto al OSPF



Configuración del NAT

¿Que es el NAT?
La traducción de direcciones de red o NAT (del inglés Network Address Translation) es un mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes que asignan mutuamente direccionesincompatibles. Consiste en convertir, en tiempo real, las direcciones utilizadas en los paquetes transportados. También es necesario editar los paquetes para permitir la operación de protocolos que incluyen información de direcciones dentro de la conversación del protocolo.


Router(config)#access-list 1 permit 192.168.0.1 0.0.0.255 (red del inside)
Router(config)#ip nat inside source list 101 interface serial 0/0/0 overload
Router(config)#interface fastetehernet 0/0
Router(config-if)#ip nat inside
Router(config)#exit
Router(config)#interface serial 0/0/0
Router(config-if)#ip nat outside




Configuración de VPN

¿Que es el VPN?
Una red privada virtual (RPV), en inglés: Virtual Private Network (VPN), es una tecnología de red de computadoras que permite una extensión segura de la red de área local (LAN) sobre una red pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada.1 Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos.


crypto isakmp policy 10
authentication pre-share
hash sha
encryption aes 256
group 2
lifetime 86400
exit
crypto isakmp key toor address 10.0.0.2 (router 2)
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 (Direccion red 1 y red 2)
crypto map CMAP 10 ipsec-isakmp
set peer 10.0.0.2 (Router 2)
match address 101
set transform-set TSET
exit
interface fa0/1 (Interface a Router 2)
crypto map CMAP


Configuración de SNMP

¿Que es el SNMP?
El Protocolo Simple de Administración de Red o SNMP (del inglés Simple Network Management Protocol) es un protocolo de la capa de aplicación que facilita el intercambio de información de administración entre dispositivos de red. Los dispositivos que normalmente soportan SNMP incluyen routersswitches, servidores, estaciones de trabajo, impresoras, bastidores de módem y muchos más. Permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento.

snmp-server community 1234 ro
snmp-server community 1234 rw



Configuración de VOIP

¿Que es el VOIP?
Voz sobre protocolo de internet o Voz por protocolo de internet, también llamado voz sobre IP, voz IP, vozIP o VoIP (siglas en inglés de voice over IP:‘voz por IP’), es un conjunto de recursos que hacen posible que la señal de voz viaje a través de Internet empleando el protocolo IP (Protocolo de Internet). Esto significa que se envía la señal de voz en forma digital, en paquetes de datos, en lugar de enviarla en forma analógica a través de circuitos utilizables solo por telefonía convencional, como las redes PSTN (siglas de Public Switched Telephone Network, red telefónica pública conmutada).

El Primer Vídeo muestra como configurar el VOIP solo en un nodo o en una red LAN


El segundo Vídeo muestra como configurar VOIP para que tenga conexión entre nodos


Configuración de Proxy

¿Que es Proxy?
El proxy es un agente o sustituto autorizado para actuar en nombre de otra persona (máquina o entidad) o un documento que lo autoriza a hacerlo y puede utilizarse en los siguientes contextos:
Proxy ARP, técnica de enrutamiento.
Proxy (estadística), variable estadística.
Proxy (patrón de diseño), patrón estructural.
Proxys (Ergo Proxy), personajes del anime Ergo Proxy.

El simulador Cisco Packet Tracer no tiene un dispositivo proxy el cual nos brinde una una manera fácil de hacer uso de proxy dentro del simulador, sin embargo existe una manera sumamente sencilla de configurarlo denegando el acceso a algún servicios o servidor mediante listas de acceso.


Configuración de HSRP

¿Que es el HSRP?
El Hot Standby Router Protocol es un protocolo propiedad de CISCO que permite el despliegue de routers redundantes tolerantes a fallos en una red. Este protocolo evita la existencia de puntos de fallo únicos en la red mediante técnicas de redundancia y comprobación del estado de los routers. Es un protocolo muy similar a VRRP, que no es propietario. Es por ello que CISCO reclama que VRRP viola una serie de patentes que le pertenecen.
Router A
Router(config-if)#standby 1 ip 192.168.20.1
Router(config-if)#standby 1 priority 200
Router(config-if)#standby 1 preempt
Router B
Router(config-if)#standby 1 ip 192.168.20.1



Configuración de IP Inspect

¿Que es el IP Inspect?
Es el que permite inspeccionar cual es trafico http, icmpp, tcp, telnet y udp de una red haciendo uno del Syslog
Router(config)#ip inspect name TRAFICO http audit-trail on timeout 3600
Router(config)#ip inspect name TRAFICO icmp audit-trail on timeout 10
Router(config)#ip inspect name TRAFICO tcp audit-trail on timeout 3600
Router(config)#ip inspect name TRAFICO telnet audit-trail on timeout 3600
Router(config)#ip inspect name TRAFICO udp audit-trail on timeout 30


Configuración de STP

En comunicaciones, STP (del inglés Spanning Tree Protocol) es un protocolo de red de nivel 2 del modelo OSI (capa de enlace de datos). Su función es la de gestionar la presencia de bucles en topologías de red debido a la existencia de enlaces redundantes (necesarios en muchos casos para garantizar la disponibilidad de las conexiones). El protocolo permite a los dispositivos de interconexión activar o desactivar automáticamente los enlaces de conexión, de forma que se garantice la eliminación de bucles. STP es transparente a las estaciones de usuario.


Router(config)#spanning-tree portfast default 





sábado, 22 de octubre de 2016

Configuración de Servios en Packet Tracer (FTP, NTP, SYSLOG, SSH, AAA)

En esta ocasión se demostrara como configurar algunos servicios  servicios básicos los cuales con unos de los requisitos exigidos para la elaboración de la Red de Interconexión de un Proyecto Socio Tecnológico en Redes.


Configuración del Servidor FTP

¿Que es el servicio FTP?

FTP (siglas en inglés de File Transfer Protocol, 'Protocolo de Transferencia de Archivos') en informática, es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP (Transmission Control Protocol), basado en la arquitectura cliente-servidor. Desde un equipo cliente se puede conectar a un servidor para descargar archivos desde él o para enviarle archivos, independientemente del sistema operativo utilizado en cada equipo.

El servicio FTP es ofrecido por la capa de aplicación del modelo de capas de red TCP/IP al usuario, utilizando normalmente el puerto de red 20 y el 21. Un problema básico de FTP es que está pensado para ofrecer la máxima velocidad en la conexión, pero no la máxima seguridad, ya que todo el intercambio de información, desde el login y password del usuario en el servidor hasta la transferencia de cualquier archivo, se realiza en texto plano sin ningún tipo de cifrado, con lo que un posible atacante puede capturar este tráfico, acceder al servidor y/o apropiarse de los archivos transferidos.

Para configurar el servidor FTP se debe realizar lo que se muestra en las siguientes imágenes:


  • En primer lugar se ingresa al servidor que sera utilizado como servidor FTP y se enciende el servicio o se coloca en On como lo muestra la imagen.
  • En segundo lugar se elige el nombre de usuario y la contraseña como lo muestra la imagen el cual sera el que tendrá acceso al servidor FTP desde otro dispositivos el cual puede ser una PC.  


Luego se realizar los pasos anteriores se realiza lo siguiente:

  • Se palomean o todas las opciones disponibles en el servidor FTP como lo muestra la imagen (Write, Read, Delete, Rename y List) estas son los privilegios o funciones que podrá realizar el usuario creado.
  • Por ultimo se agrega el usuario haciendo click en el botón ADD.
Con esto ya estaría configurado el servidor FTP, es muy sencillo y solo quedaría hacer una prueba para comprobar su funcionamiento. 

A continuación dejo un vídeo propio donde muestro la configuración un poco mas detallada:





Configuración de Servidores NTP y SYSLOG

Lo que vamos a ver en esta ocacion es como configurar un servidor NTP y un SysLog.

¿Qué es o qué hace un servidor NTP?  

Network Time Protocol (NTP) es un protocolo de Internet para sincronizar los relojes de los sistemas informáticos a través del enrutamiento de paquetes en redes con latencia variable. NTP utiliza UDP como su capa de transporte, usando el puerto 123. Está diseñado para resistir los efectos de la latencia variable.
Básicamente la función de dicho servidor es la de proveer la fecha y hora al router. Otra opción es configurar el reloj y la fecha de forma manual pero corremos el riesgo de si se reinicia el router perdemos la fecha y hora exacta. Para prevenir eso utilizamos NTP

¿Qué es el servidor SYSLOG?

Syslog es un estándar de facto para el envío de mensajes de registro en una red informática IP. Por syslog se conoce tanto al protocolo de red como a la aplicación o biblioteca que envía los mensajes de registro.
Un mensaje de registro suele tener información sobre la seguridad del sistema, aunque puede contener cualquier información. Junto con cada mensaje se incluye la fecha y hora del envío.
La función que cumple dicho servidor es la de registrar todos los accesos al router, es decir, cada vez que accedemos ya sea remotamente o por consola queda registrado en el servidor.
NTP
R1(config)#ntp server [IP DEL SERVIDOR]
R1(config)#ntp update-calendar(1)

Syslog
R1(config)#logging host [IP DEL SERVIDOR]
R1(config)#service timestamps log datetime msec(2)

Crear un usuario local
R1(config)#username [USUARIO] secret [CONTRASEÑA](3)

(1): Esta comando sirve para que se actualice el calendario.
(2): Este comando se utiliza para, que los mensajes que almacena el servidor Syslog, tengan la fecha, hora (con minutos y segundos).
(3): Este comando sirve para crear un usuario que se almacena en la base de datos del router.
A continuación les dejo el vídeo en el que se configuran los dos servicios más detalladamente:


Configuración del Servicio SSH

Lo que vamos a ver es la forma que existe en Packet Tracer de configurar SSH. Lo que nos permite hacer SSH es lo mismo que Telnet, conectarnos a un equipo de forma remota. La gran diferencia entre Telnet y SSH es que en SSH el trafico viaja encriptado ademas necesitamos tener un usuario para conectarnos.
¿Qué es SSH?
SSH (Secure SHell, en español: intérprete de órdenes seguro) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo la computadora mediante un intérprete de comandos, y también puede redirigir el tráfico de X (Sistema de Ventanas X) para poder ejecutar programas gráficos si tenemos ejecutando un Servidor X (en sistemas Unix y Windows).
Además de la conexión a otros dispositivos, SSH nos permite copiar datos de forma segura (tanto archivos sueltos como simular sesiones FTP cifradas), gestionarclaves RSA para no escribir claves al conectar a los dispositivos y pasar los datos de cualquier otra aplicación por un canal seguro tunelizado mediante SSH.
SSH(config)# ip domain-name [Nombre] (1)
SSH(config)# crypto key generate rsa(2)
SSH(config)# line vty 0 4
SSH(config-line)# transport input ssh(3)
SSH(config-line)# login local
SSH(config)# username [usuario] privilege 15 password [password] (4)
SSH(config)# enable secret [password] (5)

(1): Establecemos bajo que nombre de dominio está el router.

(2): Este comando sirve para darle el tamaño de encriptación.

(3): En esta parte le decimos que deje pasar el protocolo SSH.

(4): El password que se ingresa sirve para entrar por SSH. La parte de la sintaxis privilege 15 son los permisos de usuario.

(5): El password (encriptado) ingresado aca sirve para entrar al modo EXEC.
En la PC se ingresa:
SSH –l (el símbolo menos y la letra “L” en minúscula) [usuario] [dirección ip]



Configuración del Servidor AAA

¿Que es un AAA?

AAA corresponde a autenticacion, autorizacion y contabilizacion(en inglés accounting). Dichas referencias de la sigla son las funciones que cumple el protocolo AAA.

Lo bueno de contar con un servidor AAA es que podemos centralizar el manejo de cuentas de usuario para acceder a los dispositivos de red. En esta ocasión vamos a ver 2 protocolos dentro del ya mencionado AAA, son TACACS y RADIUS.

La gran diferencia entre estos 2 protocoles es que TACACS cifra todo el trafico desde que se solicita la comprobación del usuario hasta que termina. En cambio RADIUS solo cifra la contraseña.
Router(config)#hostname [NOMRE DE ROUTER](1)
R1(config)#enable secret [CONTRASEÑA](2)
R1(config)#username [USUARIO] secret [CONTRASEÑA](3)
R1(config)#aaa new-model(4)
R1(config)#radius-server host [IP DEL SERVIDOR](5)
R1(config)#radius-server key [CLAVE](6)
R1(config)#aaa authentication login [default o NOMBRE DE LISTA] [Metodo1][Metodo2]..[Metodo4](7)
R0(config-line)#login authentication default(8)
R2(config)#tacacs-server host [IP DEL SERVIDOR](5)
R2(config)#tacacs-server key [CLAVE](6)
(1): Ingresamos el nombre del router.

(2): Configuramos una contraseña cifrada para el acceso al modo EXEC.

(3): Creamos un usuario y contraseña cifrada.

(4): Creamos un nuevo modelo de autenticación AAA.

(5): Ingresamos la ip del servidor.

(6): Ingresamos la clave para que el router se pueda conectar al servidor.

(7): Se ingresa los métodos por los cuales se va a autenticar el usuario, ya sea group radius, group tacacs o local. Se pueden ingresar un maximo de 4. Si ingresamos mas de uno por ej: group radius local; significa que primero autenticara con Radius y ,en caso de fallar, se autenticara con la base de datos del router. Para eso creamos el username.

(8): Ingresamos en un modo consola, vty o aux y le indicamos que se autentique con el método aaa previamente definido.


martes, 14 de junio de 2016

Introducción a las Redes

Redes


     Una red de computadoras, también llamada red de ordenadores, red de comunicaciones de datos o red informática, es un conjunto de equipos informáticos y software conectados entre sí por medio de dispositivos físicos que envían y reciben impulsos eléctricosondas electromagnéticas o cualquier otro medio para el transporte de datos, con la finalidad de compartir información, recursos y ofrecer Servicios.
     Como en todo proceso de comunicación, se requiere de un emisor, un mensaje, un medio y un receptor. La finalidad principal para la creación de una red de computadoras es compartir los recursos y la información en la distancia, asegurar la confiabilidad y la disponibilidad de la información, aumentar la velocidad de transmisión de los datos y reducir el costo. Un ejemplo es Internet, la cual es una gran red de millones de computadoras ubicadas en distintos puntos del planeta interconectadas básicamente para compartir información y recursos.
     La estructura y el modo de funcionamiento de las redes informáticas actuales están definidos en varios estándares, siendo el más importante y extendido de todos ellos el modelo TCP/IP basado en el modelo de referencia OSI. Este último, estructura cada red en siete capas con funciones concretas pero relacionadas entre sí; en TCP/IP se reducen a cuatro capas. Existen multitud de protocolos repartidos por cada capa, los cuales también están regidos por sus respectivos estándares.


Router

          En redes de conmutación por paquetes, como Internet, el router es un dispositivo o, en algunos casos, un software en la computadora que determina el siguiente punto de la red a la que se reenviará el paquete para que llegue a su destino. El router o enrutador está conectado, por lo menos, a dos redes y decide qué camino recorrerá cada paquete de información en función del entendimiento que tenga en cada momento del estado en que se encuentran las redes a las que está conectado. El router está ubicado en cualquier pasarela (allí donde una red conecta con otra), incluyendo cada punto de presencia en Internet. A menudo, el router forma parte del conmutador (o switch) de una red. 

     Un router es un puente de red combinado con un enrutador. Para los usuarios de computadoras domésticas y de empresa que cuentan con conexiones a Internet de alta velocidad por cable, satélite o DSL, el router puede funcionar como unos cortafuegos para el hardware. Esto es así incluso si el hogar o la empresa sólo disponen de una computadora.

(Router Cisco)



Funcionamiento del Router

     El funcionamiento básico de un enrutador o encaminador, como se deduce de su nombre, consiste en enviar los paquetes de red por el camino o ruta más adecuada en cada momento. Para ello almacena los paquetes recibidos y procesa la información de origen y destino que poseen. Con arreglo a esta información reenvía los paquetes a otro encaminador o bien al anfitrión final, en una actividad que se denomina 'encaminamiento'. Cada encaminador se encarga de decidir el siguiente salto en función de su tabla de reenvío o tabla de encaminamiento, la cual se genera mediante protocolos que deciden cuál es el camino más adecuado o corto, como protocolos basado en el algoritmo de Dijkstra.
     Por ser los elementos que forman la capa de red, tienen que encargarse de cumplir las dos tareas principales asignadas a la misma:
·         Reenvío de paquetes: cuando un paquete llega al enlace de entrada de un encaminador, éste tiene que pasar el paquete al enlace de salida apropiado. Una característica importante de los encaminadores es que no difunden tráfico difusivo.
·         Encaminamiento de paquetes: mediante el uso de algoritmos de encaminamiento tiene que ser capaz de determinar la ruta que deben seguir los paquetes a medida que fluyen de un emisor a un receptor.
     Por tanto, debemos distinguir entre reenvío y encaminamiento. Reenvío consiste en coger un paquete en la entrada y enviarlo por la salida que indica la tabla, mientras que por encaminamiento se entiende el proceso de hacer esa tabla.





Tipos de Enrutamiento

Tanto los enrutadores como los anfitriones guardan una tabla de enrutamiento. El daemon de enrutamiento de cada sistema actualiza la tabla con todas las rutas conocidas. El núcleo del sistema lee la tabla de enrutamiento antes de reenviar paquetes a la red local. La tabla de enrutamiento enumera las direcciones IP de las redes que conoce el sistema, incluida la red local predeterminada del sistema. La tabla también enumera la dirección IP de un sistema de portal para cada red conocida. El portal es un sistema que puede recibir paquetes de salida y reenviarlos un salto más allá de la red local.

Enrutamiento estático

     Hosts y redes de tamaño reducido que obtienen las rutas de un enrutador predeterminado, y enrutadores predeterminados que sólo necesitan conocer uno o dos enrutadores.

Determinación de enrutamiento
     La información de enrutamiento que el encaminador aprende desde sus fuentes de enrutamiento se coloca en su propia tabla de enrutamiento. El encaminador se vale de esta tabla para determinar los puertos de salida que debe utilizar para retransmitir un paquete hasta su destino. La tabla de enrutamiento es la fuente principal de información del enrutador acerca de las redes. Si la red de destino está conectada directamente, el enrutador ya sabrá el puerto que debe usar para reenviar los paquetes. Si las redes de destino no están conectadas directamente, el encaminador debe aprender y calcular la ruta más óptima a usar para reenviar paquetes a dichas redes. La tabla de enrutamiento se constituye mediante uno de estos dos métodos o ambos:
·         Manualmente, por el administrador de la red.
·         A través de procesos dinámicos que se ejecutan en la red.

Rutas estáticas
     Las rutas estáticas se definen administrativamente y establecen rutas específicas que han de seguir los paquetes para pasar de un puerto de origen hasta un puerto de destino. Se establece un control preciso de enrutamiento según los parámetros del administrador.
     Las rutas estáticas por defecto especifican una puerta de enlace de último recurso, a la que el enrutador debe enviar un paquete destinado a una red que no aparece en su tabla de enrutamiento, es decir, se desconoce.

     Las rutas estáticas se utilizan habitualmente en enrutamientos desde una red hasta una red de conexión única, ya que no existe más que una ruta de entrada y salida en una red de conexión única, evitando de este modo la sobrecarga de tráfico que genera un protocolo de enrutamiento. La ruta estática se configura para conseguir conectividad con un enlace de datos que no esté directamente conectado al enrutador. Para conectividad de extremo a extremo, es necesario configurar la ruta en ambas direcciones. Las rutas estáticas permiten la construcción manual de la tabla de enrutamiento.

Enrutamiento dinámico

     El enrutamiento dinámico le permite a los encaminadores ajustar, en tiempo real, los caminos utilizados para transmitir paquetes IP. Cada protocolo posee sus propios métodos para definir rutas (camino más corto, utilizar rutas publicadas por pares, etc.).
Introducción a RIP.

     RIP (Protocolo de Información de Enrutamiento) es uno de los protocolos de enrutamiento más antiguos utilizados por dispositivos basados en IP. Su implementación original fue para el protocolo Xerox a principios de los 80. Ganó popularidad cuando se distribuyo con UNIX como protocolo de enrutamiento para esa implementación TCP/IP. RIP es un protocolo de vector de distancia que utiliza la cuenta de saltos de enrutamiento como métrica. La cuenta máxima de saltos de RIP es 15. Cualquier ruta que exceda de los 15 saltos se etiqueta como inalcanzable al establecerse la cuenta de saltos en 16. En RIP la información de enrutamiento se propaga de un enrutador a los otros vecinos por medio de una difusión de IP usando protocolo UDP y el puerto 520.

Proceso de configuración de RIP

     El protocolo RIP versión 1 es un protocolo de enrutamiento con clase que no admite la publicación de la información de la máscara de red. El protocolo RIP versión 2 es un protocolo sin clase que admite CIDR, VLSM, resumen de rutas y seguridad mediante texto simple y autenticación MD5.

Arquitectura Física


 En un enrutador se pueden identificar cuatro componentes:
     Puertos de entrada: realiza las funciones de la capa física consistentes en la terminación de un enlace físico de entrada a un encaminador; realiza las funciones de la capa de enlace de datos necesarias para interoperar con las funciones de la capa de enlace de datos en el lado remoto del enlace de entrada; realiza también una función de búsqueda y reenvío de modo que un paquete reenviado dentro del entramado de conmutación del encaminador emerge en el puerto de salida apropiado.
  • Entramado de conmutación: conecta los puertos de entrada del enrutador a sus puertos de salida.
  • Puertos de salida: almacena los paquetes que le han sido reenviados a través del entramado de conmutación y los transmite al enlace de salida. Realiza entonces la función inversa de la capa física y de la capa de enlace que el puerto de entrada.
  • Procesador de encaminamiento: ejecuta los protocolos de encaminamiento, mantiene la información de encaminamiento y las tablas de reenvio y realiza funciones de gestión de red dentro del enrutador.


Enrutadores del Modelo OSI

Enrutadores y conmutadores en el modelo OSI

     En el  modelo OSI se distinguen diferentes niveles o capas en los que las máquinas pueden trabajar y comunicarse para entenderse entre ellas. En el caso de los enrutadores encontramos dos tipos de interfaces:
  • Interfaces encaminadas: son interfaces de nivel 3, accesibles por IP. Cada una se corresponde con una dirección subred distinta. En IOS se denominan "IP interface". Se distinguen a su vez dos subtipos.
  •  Interfaces físicas: aquellas accesibles directamente por IP.
  • Interfaces virtuales: aquellas que se corresponden con una VLAN o un CV. Si dicha interfaz se corresponde con una única Vlan se denomina Switch Virtual Interfaz (SVI), mientras que si se corresponde con un enlace trunk o con un CV, actúan como subinterfaces.
  •  Interfaces conmutadas: se trata de interfaces de nivel 2 accesibles solo por el módulo de conmutamiento. En IOS reciben el nombre de puertos de conmutador. Las hay de dos tipos:
  • Puertos de acceso: soportan únicamente tráfico de una VLAN.
  • Puertos trunk: soportan tráfico de varias VLANs distintas.

     Estas posibilidades de configuración están únicamente disponibles en los equipos modulares, ya que en los de configuración fija, los puertos de un enrutador actúan siempre como interfaces encaminadas, mientras que los puertos de un conmutaador como interfaces conmutadas. Además, la única posible ambigüedad en los equipos configurables se da en los módulos de conmutamiento, donde los puertos pueden actuar de las dos maneras, dependiendo de los intereses del usuario. 

(Configuracion de Router por consola en Packet Tracer)


SWICTH

     Un switch o conmutador es un dispositivo de interconexión utilizado para conectar equipos en red formando lo que se conoce como una red de área local (LAN) y cuyas especificaciones técnicas siguen el estándar conocido como Ethernet (o técnicamente IEEE 802.3).
(Switch de 50 puertos que permite constituir una red local de hasta 50 equipos conectados)

Funcionamiento del Swicht

     La función básica de un switch es la de unir o conectar dispositivos en red. Es importante tener claro que un switch NO proporciona por si solo conectividad con otras redes, y obviamente, TAMPOCO proporciona conectividad con Internet. Para ello es necesario un router.

Como se observa en la imagen, la existencia de la red local permite:
  • Compartir archivos. Un equipo de la red habilita la compartición de archivos y el resto de equipos pueden acceder a dichos archivos a través de la red.
  • Compartir impresoras. Todos los equipos de la red pueden utilizar la misma impresora.
  • Compartir la conexión a Internet. Todos los equipos pueden acceder a Internet a través de router de acceso, que está conectado en la red.

Características básicas de los switches

Puertos

     Los puertos son los elementos del switch que permiten la conexión de otros dispositivos al mismo. Como por ejemplo un PC, portátil, un router, otro switch, una impresora y en general cualquier dispositivo que incluya una interfaz de red Ethernet. El número de puertos es una de las características básicas de los switches. Aquí existe un abanico bastante amplio, desde los pequeños switches de 4 puertos hasta switches troncales que admiten varios cientos de puertos.

         El estándar Ethernet admite básicamente dos tipos de medios de transmisión cableados:el cable de par trenzado y el cable de fibra óptica. El conector utilizado para cada tipo lógicamente es diferente así que otro dato a tener en cuenta es de qué tipo son los puertos. Normalmente los switches básicos sólo disponen de puertos de cable de par trenzado (cuyo conector se conoce como RJ-45) y los más avanzados incluyen  puertos de fibra óptica (el conector más frecuente aunque no el único es el de tipo SC).

Switch con puertos RJ-45 y SC

Velocidad

     Dado que Ethernet permite varias velocidades y medios de transmisión, otra de las características destacables sobre los puertos de los switches es precisamente la velocidad a la que pueden trabajar sobre un determinado medio de transmisión. Podemos encontrar puertos definidos como 10/100, es decir, que pueden funcionar bajo los estándares 10BASE-T (con una velocidad de 10 Mbps) y 100BASE-TX (velocidad: 100 Mbps). Otra posibilidad es encontrar puertos 10/100/1000, es decir, añaden el estándar1000BASE-T (velocidad 1000 Mbps). También se pueden encontrar puertos que utilicen fibra óptica utilizando conectores hembra de algún formato para fibra óptica. Existen puertos 100BASE-FX y 1000BASE-X.
     Por último, los switches de altas prestaciones pueden ofrecer puertos que cumplan con el estándar 10GbE, tanto en fibra como en cable UTP.

Puertos modulares: GBIC y SFP

     La mayor parte de los switches de gamas media y alta ofrecen los llamados puertos modulares. Estos puertos realmente no tienen ningún conector específico si no que a ellos se conecta un módulo que contiene el puerto. De esta forma podemos adaptar el puerto al tipo de medio y velocidad que necesitemos. Es habitual que los fabricantes ofrezcan módulos de diferentes tipos con conectores RJ-45 o de fibra óptica. Los puertos modulares proporcionan flexibilidad en la configuración de los switches.

     Existen dos tipos de módulos para conectar a los puertos modulares: el primer tipo de módulo que apareció es el módulo GBIC (Gigabit Interface Converter) diseñado para ofrecer flexibilidad en la elección del medio de transmisión para Gigabit Ethernet. Posteriormente apareció el módulo SFP (Small Form-factor Puggable) que es algo más pequeño que GBIC (de hecho también se denomina mini-GBIC) y que ha sido utilizado por los fabricante para ofrecer módulos tanto Gigabit como 10GbE en fibra o en cable UTP.

Puertos Modulares SFP y GBIC

Tipos de Switch

Switch administrable
     Refiere al tipo de switch que permite que sea administrado.

Switch no administrable
     Estos no permiten ningún tipo de administración o de configuración. Acorde a su capacidad.

Swith apilables
     Estos agrupan diversas unidades en un bus de expansión, el cual aporta un gran ancho de banda con lo cual se mejora la comunicación full-duplex.

Switch no apilable
     Estos swith no soportan ningún bus de expansión.. Otros tipos de swith.

Switch troncal
     Son aquellos empleados en el núcleo de las redes amplias. Los servidores, los routers y otros swithes se llegan a conectar a este tipo de switch.

Switch perimetral
     Estos son los que se conectan a la red troncal, por lo cual se usan en el nivel jerárquico inferior. A estos se conectan los equipos finales de los usuarios.

Switch gestionable
     También conocido como managed en inglés. Se trata de un tipo de switch que presenta características añadidas que necesitan de una gestión y configuración.

Switch no gestionable
     Refiere aquellos switch que solo ofrecen funcionalidades básicas, las cuales no requieren de una gestión o configuración. Estos también se le suele conocer en el idioma inglés como managed.

Switch desktop
     Es el más básico a comparación de los demás switch, el cual lleva a cabo la conmutación básica y carece de características adicionales. Se suele emplear en redes domésticas o en redes de empresas pequeñas, permitiendo la conexión de pocos equipos. La configuración de cada puerto se realiza por una auto-configuración de Ethernet, por lo tanto no requiere de configuración alguna.

Switches perimetrales no gestionables
     Estos se emplean en redes de tamaño pequeño, son parecidos a los switches desktop en cuanto a funcionamiento, ya que no permite opciones de configuración, auto-configurándose el mismo. La diferencia de este es que el número de puertos es mucho mayor, por lo tanto se puede montar en rack 19¨.

Switches perimetrales gestionables
     Son los empleados para la conexión de equipos en redes que presenten un tamaño medio o grande. Se ubican en el nivel jerárquico inferior. Estos funcionan bajo opciones avanzadas de gestión y configuración.

Switches troncales de prestaciones medias
     Refiere al tipo de switch que forma un troncal o núcleo en una red de medio tamaño. Este llega a ofrecen funcionalidades y prestaciones muy avanzadas. Estos brindan como enrutamiento IP características de tercer nivel, punto que le hace diferenciar de los switches perimetrales.

Switch troncal de alta prestación
     Se caracteriza principalmente por su gran rendimiento y su alta modularidad. Este se presenta en varios formatos, pero el más común es el de tipo chasis, que es el lugar donde los módulos son instalados. Este tipo de switch es el que se emplea en redes corporativas grandes o en redes de campos y metropolitanas.

Switch procurve 1700-8
     Se trata de un switch híbrido que es  gestionable y que presenta opciones muy avanzadas y que tiene 8 puertos, donde uno es de 10/100/1000, y los restante son de 10/100.


(Configuración básica de un Switch en Packet Tracer)


Packet Tracer
     PT (Packet Tracer), es una herramienta de aprendizaje y simulación de redes interactiva. Esta herramienta permite crear topologías de red, simular una red con múltiples representaciones visuales, principalmente es una herramienta de apoyo didáctico.

     Permite a los estudiantes  crear redes con un número casi ilimitado de dispositivos y experiencias de solución de problemas sin tener que comprar routers o switches reales.

     Esta herramienta les permite a los usuarios crear topologías de red, configurar dispositivos, insertar paquetes y simular una red con múltiples representaciones visuales. Packet Tracer se enfoca en apoyar mejor los protocolos de redes que se enseñan en el currículum de la certificación cisco.

         En este programa se crea la topología física de la red simplemente arrastrando los dispositivos a la pantalla. Luego clickando en ellos se puede ingresar a sus consolas de configuración. Allí están soportados todos los comandos del Cisco OS e incluso funciona el "interprete de línea de comandos". Una vez completada la configuración física y lógica del net, también se puede hacer simulaciones de conectividad (pings “Buscador o rastreador de paquetes en redes”, traceroutes” consola de diagnóstico de redes de Linux”, etc.) todo ello desde las mismas consolas incluidas.

(Interfaz Gráfica de Packet Tracer)

Switch Cisco 2960 Capa 2

      Los switches Cisco® Catalyst® de la serie 2960 son las plataformas de switching de acceso líderes de la industria que permiten mayor productividad y dinamismo empresarial, con características diseñadas para abordar las megatendencias en redes corporativas, como transición IPv6, Bring Your Own Device (BYOD) y movilidad. Los switches Cisco Catalyst 2960 proporcionan funciones de seguridad que permiten que dichas transiciones en la red se realicen de manera segura y eficiente.
                                        
Los switches Cisco Catalyst 2960 proporcionan un conjunto completo e integral de funciones de seguridad diseñadas para:

● Asegurar la red de interceptación de tráfico, suplantación de identidad y ataques de denegación de servicio (DoS).

● Controlar el acceso a los recursos en su red con listas de control de acceso (ACL), incluidas ACL por tipo de usuario/dispositivo.

● Asegurar el acceso a la red en función de la identidad y el rol del usuario.

● Proporcionar políticas basadas en dispositivos a través de la creación de perfiles de dispositivos.

● Proteger la confidencialidad e integridad del tráfico de red a través del cifrado* (funcionalidad de hardware).

● Arrancar con seguridad las imágenes de software con firma digital de Cisco IOS®
Como parte de la arquitectura de Acceso unificado de Cisco, los switches Cisco Catalyst 2960

     Representan una infraestructura de red que es compatible con clasificación y aplicación de políticas distribuidas en la capa de acceso, con definiciones de políticas de la plataforma Cisco One Policy, Cisco Identity Services Engine (ISE).
     Los switches Cisco Catalyst 2960 permiten asegurar las redes y proporcionan acceso seguro a través de las siguientes categorías de funciones primarias.

● Seguridad de primer salto (FHS) en IPv4: los switches Cisco Catalyst ofrecen Cisco Integrated Security Features (CISF), una solución líder del sector que proporciona capacidades superiores de defensa ante amenazas de capa 2 a fin de atenuar los ataques por intermediario, tales como la suplantación de identidad de MAC, IP y protocolo de resolución de direcciones (ARP). Esta solución ofrece una seguridad sólida en toda la red a través de herramientas poderosas y fáciles de usar que previenen eficazmente las amenazas de seguridad de capa 2 más comunes y potencialmente dañinas.

● Seguridad de primer salto en IPv6: IPv6 plantea un número de preocupaciones FHS que no estaban presentes en IPv4. Dichas preocupaciones emanan de la manera exclusiva con la que el protocolo realiza la detección de routers y vecinos, la asignación de direcciones y la resolución de direcciones mediante el protocolo de detección de vecinos (NDP). Estos mecanismos podrían p podrían permitir que un atacante implemente ataques como interceptación de tráfico, DoS o por intermediario. © 2013 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 5.

● Creación de perfiles de dispositivos: las tendencias como BYOD requieren que los clientes tengan visibilidad de los diversos tipos de dispositivos que acceden a la red y sean capaces de administrar el control de acceso, las políticas de segmentación y las políticas QoS basadas en el tipo de dispositivo conectado. Los switches Cisco Catalyst tienen funcionalidades integradas de creación de perfiles de dispositivos para identificar el tipo de dispositivo conectado y aplicar políticas basadas en el tipo de dispositivo.

● Redes basadas en identidades: Cisco admite una amplia gama de opciones de autenticación, que incluyen 802.1x para dispositivos y usuarios administrados, autenticación web para usuarios temporales o usuarios no 802.1x, y omisión de autenticación MAC para dispositivos no administrados o no 802.1x. Se pueden configurar el orden y la prioridad de los métodos de autenticación, junto con el comportamiento después de los errores de servidor 802.1x o AAA.

● Cisco TrustSec: Cisco TrustSec® permite definiciones de políticas basadas en roles en un motor de políticas centralizado (ISE) y la aplicación distribuida de dichas políticas en la infraestructura de red independiente de la arquitectura de la red. Esto proporciona la capacidad de definir políticas granulares basadas en rol de usuario, dispositivo, ubicación, estado, etc., mientras hace que la definición de políticas y la administración de cambios sea eficiente desde el punto de vista operativo.

● Funcionalidad de hardware para cifrar el tráfico mediante MACsec basado en 802.1AE (hardware compatible en el primer envío a clientes [FCS], soporte de software en plan).
Ahora analizaremos las descripciones detalladas de cada una de estas categorías de funciones.


Router Cisco 2811 Capa 3 

     El Cisco 2811 cambia la naturaleza de las comunicaciones corporativas de lasoficinas sucursales. Hoy en día, las redes IP corporativas necesitan llevar a cabo muchas tareas. Más aun, las organizaciones necesitan no solo comunicaciones rápidas, sino también comunicaciones seguras. Además, las infraestructuras IPpueden ahora llevar señales de voz y video, una excelente manera de mejorar laproductividad y disminuir costos. El Cisco 2811 ofrece soporte sin precedente para estas funciones. El paquete de seguridad Cisco 2811 con los servicios avanzados de IP Cisco IOS incluye 64 MB Flash/256 MB DRAM, AIM-VPN-EPII-PLUSEnhanced-performance DES, 3DES, AES y la compresión VPN y el cifrado (AIM).

     Cisco 2811 posee dos puertos Ethernet, los cuales proporcionan una velocidad de transferencia de datos máxima de 100 megabits por segundo. Además incluyen cuatro ranuras para tarjetas de interfaz, puertos de consola y auxiliar de 115,2 kbps, y dos ranuras PVDM (Packet Voice DSP Module - Módulo DSP de paquetes por voz). El Cisco 2801 tiene un puerto USB 1.1, mientras que el Cisco 2811 tiene dos. Además, mientras el 2801 y el 2811 proporcionando 64 MB de memoria Compact Flash, el primero posee 128 MB de DRAM (Dynamic Random Access Memory - Memoria de acceso aleatorio dinámica), mientras que el segundo tiene 256 MB de DRAM. Además, el cisco 2811 se puede montar sobre una pared.

(Router Cisco 2811)

(Configuración Básica de Router Cisto 2811)

Firewall Cisco ASA 5505 Multicapa
     La movilidad y la nube impulsan la productividad pero introducen riesgos. Para proteger sus recursos, debe ver los usuarios, las aplicaciones, los dispositivos y las amenazas presentes en su red y lo que hacen. Los firewalls Cisco ASA 5505-X proporcionan la visibilidad de red que usted necesita además de una protección superior frente a amenazas y malware avanzado, y mayor automatización para reducir costes y complejidad.

Protección contra amenazas sólidas y multicapa
     Los firewalls de última generación Cisco ASA de la serie 5505 permiten equilibrar la eficacia de la seguridad con la productividad. Esta solución ofrece la combinación de stateful firewall más utilizado de la industria con una completa gama de servicios de seguridad de red de última generación, que incluye:
  • Visibilidad y control granular
  • Seguridad web sólida in-situ o en la nube
  • Sistema de prevención de intrusiones (IPS) líder de la industria para disfrutar de protección frente a amenazas conocidas
  • Completa protección contra amenazas y malware avanzado
  • El firewall ASA más utilizado en el mundo con acceso remoto sumamente seguro Cisco AnyConnect. 

Servicios Locales:
DHCP
     Significa Protocolo de configuración de host dinámico. Es un protocolo que permite que un equipo conectado a una red pueda obtener su configuración (principalmente, su configuración de red) en forma dinámica (es decir, sin intervención particular). Sólo tiene que especificarle al equipo, mediante DHCP, que encuentre una dirección IP de manera independiente. El objetivo principal es simplificar la administración de la red.

DNS
     Es una abreviatura para Sistema de nombres de dominio (Domain Name System), un sistema para asignar nombres a equipos y servicios de red que se organiza en una jerarquía de dominios. La asignación de nombres DNS se utiliza en las redes TCP/IP, como Internet, para localizar equipos y servicios con nombres descriptivos. Cuando un usuario escriba un nombre DNS en una aplicación, los servicios DNS podrán traducir el nombre a otra información asociada con el mismo, como una dirección IP.

HTTP
    Hypertext Transfer Protocol o HTTP (en español protocolo de transferencia de hipertexto) es el protocolo usado en cada transacción de la World Wide Web. HTTP fue desarrollado por el World Wide Web Consortium y la Internet Engineering Task Force, colaboración que culminó en 1999 con la publicación de una serie de RFC, siendo el más importante de ellos el RFC 2616, que especifica la versión 1.1. HTTP define la sintaxis y la semántica que utilizan los elementos de software de la arquitectura web (clientes, servidores, proxies) para comunicarse. Es un protocolo orientado a transacciones y sigue el esquema petición-respuesta entre un cliente y un servidor. Al cliente que efectúa la petición (un navegador web o un spider) se lo conoce como "user agent" (agente del usuario). A la información transmitida se la llama recurso y se la identifica mediante un localizador uniforme de recursos (URL). Los recursos pueden ser archivos, el resultado de la ejecución de un programa, una consulta a una base de datos, la traducción automática de un documento, etc.

Syslog
    Los mensajes syslog son mensajes generados por los equipos de comunicación y enviados a un servidor central donde se almacenan todos. La monitorización de los mensajes syslog se basará en la recolección de estos mensajes en un mismo servidor para su análisis y configuración de alarmas.

NTP 
Network Time Protocol (NTP) es un protocolo de Internet para sincronizar los relojes de los sistemas informáticos a través del enrutamiento de paquetes en redes con latencia variable. NTP utiliza UDP como su capa de transporte, usando el puerto 123. Está diseñado para resistir los efectos de la latencia variable.

  AAA
     La sigla AAA puede traducirse en español como Autenticación, Autorización y Auditoría (originalmente, Authentication, Authorization y Accounting). Cuando hablamos de AAA (triple A), no nos estamos basando en un solo protocolo o en algunos en especial, sino en una familia de protocolos que proveen los servicios anteriormente mencionados. Si le adicionamos el concepto de Auditoría, tendríamos lo que a veces se conoce como AAAA, o cuádruple A. Para comprender mejor estos sistemas de autenticación, debemos recordar primero los conceptos que representan.


FTP  
     En informática, es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP (Transmission Control Protocol), basado en la arquitectura cliente-servidor. Desde un equipo cliente se puede conectar a un servidor para descargar archivos desde él o para enviarle archivos, independientemente del sistema operativo utilizado en cada equipo.

TFTP
      Son las siglas de Trivial file transfer Protocol (Protocolo de transferencia de archivos trivial).
Es un protocolo de transferencia muy simple semejante a una versión básica de FTP. TFTP a menudo se utiliza para transferir pequeños archivos entre ordenadores en una red, como cuando un terminal X Window o cualquier otro cliente ligero arranca desde un servidor de red.
Algunos detalles del TFTP:

  • Utiliza UDP (en el puerto 69) como protocolo de transporte (a diferencia de FTP que utiliza los puertos 20 y 21 TCP).
  • No puede listar el contenido de los directorios.
  • No existen mecanismos de autenticación o cifrado.
  • Se utiliza para leer o escribir archivos de un servidor remoto.
  • Soporta tres modos diferentes de transferencia, "netascii", "octet" y "mail", de los que los dos primeros corresponden a los modos "ascii" e "imagen" (binario) del protocolo FTP.

Mail
     El correo electrónico (también conocido como e-mail, un término inglés derivado de electronic mail) es un servicio que permite el intercambio de mensajes a través de sistemas de comunicación electrónicos. El concepto se utiliza principalmente para denominar al sistema que brinda este servicio vía Internet mediante el protocolo SMTP (Simple Mail Transfer Protocol), pero también permite nombrar a otros sistemas similares que utilicen distintas tecnologías. Los mensajes de correo electrónico posibilitan el envío, además de texto, de cualquier tipo de documento digital (imágenes, videos, audios, etc.).

      El funcionamiento del correo electrónico es similar al del correo postal. Ambos permiten enviar y recibir mensajes, que llegan a destino gracias a la existencia de una dirección. El correo electrónico también tiene sus propios buzones: son los servidores que guardan temporalmente los mensajes hasta que el destinatario los revisa

SSH
     Es un protocolo que facilita las comunicaciones seguras entre dos sistemas usando una arquitectura cliente/servidor y que permite a los usuarios conectarse a un host remotamente. A diferencia de otros protocolos de comunicación remota tales como FTP o Telnet, SSH encripta la sesión de conexión, haciendo imposible que alguien pueda obtener contraseñas no encriptadas.

     SSH está diseñado para reemplazar los métodos más viejos y menos seguros para registrarse remotamente en otro sistema a través de la shell de comando, tales como telnet o rsh. Un programa relacionado, el scp, reemplaza otros programas diseñados para copiar archivos entre hosts como rcp. Ya que estas aplicaciones antiguas no encriptan contraseñas entre el cliente y el servidor, evite usarlas mientras le sea posible. El uso de métodos seguros para registrarse remotamente a otros sistemas reduce los riesgos de seguridad tanto para el sistema cliente como para el sistema remoto.

VoIP
     VoIP proviene del ingles Voice Over Internet Protocol, que significa "voz sobre un protocolo de internet". Básicamente VoIP es un método por el cual tomando señales de audio analógicas del tipo de las que se escuchan cuando uno habla por teléfono se las transforma en datos digitales que pueden ser transmitidos a traves de internet hacia una dirección IP determinad.

Seguridad en TIC

Zone firewall

     En seguridad informática, una zona desmilitarizada (conocida también como DMZ, sigla en inglés de demilitarized zone) o red perimetral es una zona segura que se ubica entre la red interna de una organización y una red externa, generalmente en Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que en general las conexiones desde la DMZ solo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida.

Asa
     La familia de dispositivos de seguridad Cisco ASA protege redes corporativas de todos los tamaños. Brinda a los usuarios un acceso sumamente seguro a datos: en cualquier momento, desde cualquier lugar y con cualquier dispositivo. Estos dispositivos representan más de 15 años de liderazgo comprobado en firewalls y seguridad de redes, con más de 1 millón de dispositivos de seguridad implementados en el mundo entero. 

VPN
     Un VPN (Virtual Private Network) te permite crear una conexión segura a otra red a través del Internet.  Cuando conectas cualquier dispositivo a un VPN, este actúa como si estuviese en la misma red que la que tiene el VPN y todo el tráfico de datos se envía de forma segura a través del VPN.

     Esto quiere decir que puedes usar el Internet como si estuvieses presente en la región que tiene la red del VPN, lo que te viene muy bien si necesitas acceso a contenido que está bloqueado por región. Por ejemplo, si quieres entrar a mirar el catálogo de un servicio exclusivo de un país concreto, con un VPN puedes hacerlo, porque una vez que entras con la conexión enmascarada, dicho servicio sólo verá que te estás conectando desde ese país, aunque en realidad no sea así.

     Además el VPN es una red privada y virtual como su nombre lo dice, por lo tanto todo el tráfico que pasa por esa red está asegurado y protegido de ojos no deseados. Esto puede ser de mucha utilidad cuando nos conectamos a una red Wi-Fi pública.

ACL 
     Este es una sigla que traduce lista de control de acceso -Access Control Lists en inglés- y es un método popular en redes para controlar qué nodos de la red tienen qué permisos sobre el sistema que implementa las ACLs.

     Las ACLs se usan para aplicar una política de seguridad que permite o niega el acceso de cierta parte de la red a otra. La granularidad de las ACLs permite que estas partes sean o bien PC específicos o partes de una subred arbitrariamente, es decir, permite que se conceda o niegue el acceso desde un único PC hasta otro, de un segmento de red a otro o cualquier combinación que se quiera.

    Las ACLs, como ya comenté, son la especificación de una acción a realizar sobre paquetes que cumplan ciertas condiciones. Una ACL es un conjunto de reglas identificadas con un número o un nombre y cada regla especifica una acción y una condición, las acciones a aplicar son permitir o denegar todos los paquetes que cumplan la condición asociada a la regla. Una ACL se identifica con un número o un nombre y todas las reglas que tengan el mismo número/nombre hacen parte de la ACL, éstos identificadores suelen indicar también qué tanta expresividad tendrá la ACL, es decir, qué tan específicas pueden ser las reglas.

Inspect
     Es el acto de inspección realizado por cualquier equipo de red de paquetes que no sea punto final de comunicación, utilizando con algún propósito el contenido (normalmente la parte útil) que no sea el encabezamiento del paquete. Esto se efectúa en el momento en que el paquete pasa un punto de inspección en la búsqueda de incumplimientos del protocolo, virus, spam, intrusiones o criterios predefinidos para decidir qué medidas tomar sobre el paquete, incluyendo la obtención de información estadística. Esto contrasta con la inspección superficial de paquetes (usualmente llamada Stateful Packet Inspection) que sólo inspecciona el encabezamiento de los paquetes.

SNMP
     SNMP significa Protocolo simple de administración de red. Es un protocolo que les permite a los administradores de red administrar dispositivos de red y diagnosticar problemas en la red. 

     El sistema de administración de red se basa en dos elementos principales: un supervisor y agentes. El supervisor es el terminal que le permite al administrador de red realizar solicitudes de administración. Los agentes son entidades que se encuentran al nivel de cada interfaz. Ellos conectan a la red los dispositivos administrados y permiten recopilar información sobre los diferentes objetos.