Planificación y Administración de Redes · 2020. 11. 6. · Planificación y Administración de...

Planificación y Administración de Redes

1

Actividad 3.1: Nuestro router de fibra para el

hogar se ha averiado, hemos conseguido uno nuevo pero no conseguimos conectar, vemos

nuestra IP y es 169.254.123.123. ¿Cómo conseguimos poner a funcionar internet?

Tenemos un síntoma del mal funcionamiento en el rango de nuestra IP (169.254.x.x), es el

rango utilizado para autoconfiguración, por tanto, nuestro PC está pidiendo una IP y no

recibe del router la IP.

El primer paso recomendado es borrar todos los datos que traiga el router (bloqueos,

contraseñas, etc.) puesto que pueden provocar un mal funcionamiento en la red y desconoceríamos el motivo. Todos los routers disponen de un botón Reset, normalmente

pulsando durante 30 segundos el botón se borran todos los datos y se recupera la configuración de fábrica.

Ahora volvemos a solicitar una IP desde nuestro PC, vemos nuestra configuración IP, si todo ha

ido bien recibiremos una IP privada y la dirección para configurar nuestro router será la IP de la puerta de enlace de nuestra configuración.

Puede que sigamos sin recibir IP, en tal caso lo mejor es buscar el manual del dispositivo en internet, ahí aparecerán los valores de fábrica, estos nos indican usuario y clave de

configuración, IP que trae el dispositivo de fábrica, etc. En este caso tendremos que configurar

nuestro PC con una IP manual que se encuentre en el rango de la IP de fábrica del router.

Por último nos conectamos al dispositivo desde cualquier navegador introduciendo los valores de fábrica, podemos revisar los siguientes: activar el servicio DHCP, cambiar usuario y

contraseña (cualquiera podría hacer lo mismo que acabamos de hacer en el ejercicio), activar WIFI y poner una clave WPA3 o WPA2.

Actividad 3.2: Disponemos de una red con router fibra hogar (IP LAN 192.168.0.1/24), para ampliar esta red en 3 equipos alámbricos más hemos adquirido un router NAT (parámetros de

fábrica IP LAN: 192.168.0.1/24 IP WAN: automática usuario: admin clave: admin). Haz un esquema e indica los pasos para poner operativos los nuevos equipos de la red.

Hay duplicidad en la IP de los routers, por lo tanto hay que configurar el router NAT antes de conectarlo a la red del router fibra. Conectamos un PC al nuevo router-NAT, el PC puede recibir

una IP de la red 192.168.0.0/24 si el router-NAT tiene activado el servicio DHCP, si no es así lo configuramos manualmente, después desde el navegador accedemos a la IP de fábrica del

router NAT:

• Cambiamos la IP del router-NAT a otra red (por ejemplo 192.168.1.0/24).

• Desactivamos el servicio DHCP

• Guardamos los cambios, en ese instante perderemos la conexión al router porque ya no

estamos en su red, pero lo hemos quedado listo. A partir de aquí hay dos planteamientos:

Primer planteamiento:

Conectar todos los cables como se muestra en la imagen (conexión LAN de router-fibra a conexión

LAN de router-NAT), consiste en utilizar solo el

switch que trae incorporado el router-NAT. En este planteamiento hay una única red. Aunque

no es lógico adquirir un router cuando al final no vamos a hacer 2 redes diferentes.


2

Segundo planteamiento:

Conectamos la red LAN del router-fibra a la WAN del router-NAT. En este caso tendremos 2 redes,

la red que teníamos 192.168.0.0/24 y la nueva red 192.168.1.0/24.

El router-NAT hay que configurarlo para que pida en el puerto WAN una IP, que recibirá del router-

ADSL. Es también recomendable activar el servicio DHCP en el router-NAT para que asigne las IPs a

la nueva red.

Inconvenientes de este segundo planteamiento:

• El tráfico irá un poco más lento porque obligamos al router-NAT a procesar los paquetes que le llegan para hacer NAT

• Desde la red exterior 192.168.0.0/24 no se puede acceder a la red interior

192.168.1.0/24 porque la función NAT construye la tabla NAT a medida que salen paquetes al exterior (Ver apartado NAT, unidad didáctica 2). Ya veremos más adelante

que para acceder desde el exterior debemos “abrir puertos”.

Actividad 3.3: Estamos de vacaciones en una casa rural, tenemos 2 tablets pero no hay WIFI,

en cambio en el móvil si tenemos internet ¿Qué solución podemos usar para tener internet en las tablets? Haz un esquema de esta solución.

Tendremos que activar el móvil como router-NAT, la interfaz WAN será la antena 5G del móvil y nuestra interfaz LAN será la antena WIFI de nuestro móvil, si es android será similar a:

La IP pública recibida en nuestro móvil por la antena es ahora compartida utilizando NAT por

nuestras 2 tablets (en vez de ser usada en exclusiva por nuestro móvil como ocurría antes de

activarlo como router-NAT). El esquema final que obtenemos es:


3

Actividad 3.4: Comenta la siguiente salida del comando netstat de Linux:

Con este comando vemos la tabla de enrutamiento de un PC con sistema Linux. La tercera línea nos indica que si el destino es 192.168.0.0/24 no hay puerta de enlace o

pasarela porque se trata de la red en la que está el PC (tendrá una IP en este rango) La segunda línea nos indica que si el destino es 169.254.0.0/16 no hay puerta de enlace,

recordemos que es una red especial que se utiliza para autoconfiguración, es decir, que si el

equipo no recibe configuración IP de un servidor DHCP se inventará aleatoriamente una IP de este rango y, por tanto, no sabrá por donde salir al exterior.

La primera línea nos indica que cuando el destino es 0.0.0.0/0 (ruta por defecto) se enviará a la puerta de enlace 192.168.0.254, esto sucederá cuando no se trate de ninguna de la redes

indicadas en las líneas anteriores (recordemos que tiene preferencia las rutas más específicas /16 y /24 antes que las menos específicas).

Actividad 3.5: Una empresa dispone de 2 conexiones a internet (IP de los routers 172.23.160.115/24 y 172.23.160.15/24), todos los PCs tienen como puerta de enlace

172.23.160.115, pero cuando visiten la web: www.dominio.es – 88.2.188.98 deberán salir por el router 172.23.160.15. Configura un PC con estas instrucciones.

Este ejercicio está solucionado con sistema Windows.

Lo primero que hacemos es mostrar la tabla de enrutamiento del PC, comando route print:

Vemos que la ruta 0.0.0.0 máscara 0.0.0.0 (ruta por defecto) es enviada a la puerta de enlace

172.23.160.115, es decir, cuando no está en nuestra red (quinta línea 172.23.160.0/24) o no es una red especial (127.0.0.0/8, 224.0.0.0/4, 255.255.255.255/0) se enviará a la puerta de

enlace. Vamos a añadir una ruta extra para que cuando se visite la web www.dominio.es salga por el

otro router, introducimos el comando:

route add 88.2.188.98 mask 255.255.255.255 172.23.160.15

Visualizamos de nuevo la tabla de enrutamiento:


4

En la segunda línea aparece ahora la ruta a seguir si el destino es el equipo 88.2.188.98, que es

el que aloja la web. Para comprobar hacemos una traza hasta el destino con tracert www.dominio.es, podremos observar cuando el destino es la web www.dominio.es el primer

salto lo da a través de 172.23.160.15, en cambio cuando el destino es www.google.el el primer salto es a través de 172.23.160.115.

Actividad 3.6: Bloquea el acceso a Facebook en tu router fibra hogar Depende del modelo, muchos incluyen el bloqueo por URL como vemos en la siguiente imagen

del firmware dd-wrt:

Si no fuera posible por URL podemos intentar el bloqueo por IP, para ello hacemos ping a

Facebook.com, vemos cuál es su IP asociada: 173.252.120.6, el siguiente paso es bloquear

todos los paquetes con destino a esta IP.

Actividad 3.7: En una instalación doméstica se quiere instalar dos redes independientes (que los equipos de

diferentes redes no accedan entre ellos), para ello se

dispone de dos routers con las siguientes configuraciones de fábrica:

Router fibra hogar (IP LAN: 192.168.1.1/24 IP WAN dinámica)

Router – NAT (IP LAN: 192.168.1.1/24 IP WAN dinámica)

Indica los pasos para configurar los equipos.

Comenta las tablas de enrutamiento.

El primer problema que tenemos que solucionar es que el router-NAT tendría la misma red en WAN y en LAN (si un router tiene la misma red en dos interfaces no sabrá por cuál de

ellas enrutar los paquetes). Además tener la misma red por ambas interfaces puede

bloquear el router, por tanto, es mejor configurar el router-NAT antes de conectarlo al router ADSL.

Para cambiarlo accedemos a la configuración del router-NAT desde uno de los PC rojos, cambiamos la IP de la LAN (por ejemplo a 192.168.0.1) y reiniciamos:

http://www.dominio.es/

http://www.dominio.es/

http://www.google.el/


5

El router-hogar lo podemos quedar con la configuración de fábrica. Una posible asignación de

IPs sería:

La otra cuestión es que los PCs de la red 192.168.0.0/24 podrán acceder a los PCs de la red

192.168.1.0/24 (recordemos que NAT consiste en que el router-NAT manipula los datos, elimina

la IP interna 192.168.0.x y la sustituye por la IP externa 192.168.1.2, esto a efecto de comunicación es como si comunicáramos equipos de la misma red), pero no a la inversa, desde

la red 192.168.1.0/24 no se puede acceder a la red 192.168.0.0/24. Por tanto, en el router NAT tendremos que programar una ACL que evite el acceso de la red

192.168.0.0/24 192.168.1.0/24, con la excepción de la puerta de enlace puesto que si bloqueamos la puerta de enlace quitamos internet.

De forma “teórica” (siguiendo el estándar de Cisco) podemos decir que la ACL sería:

Se trata de una ACL llamada “Bloqueo” que tiene 3 reglas:

1. Permite el acceso desde cualquier origen a la IP 192.168.1.1 (IP del router-hogar que

da acceso a internet)

2. Bloqueo a cualquier dato que vaya a la red 192.168.0.0/24 (0.0.0.255 = 24, es el inverso de la máscara, llamado wildcard)

3. Permitir el resto de comunicaciones

Esta ACL hay que aplicarla a la entrada en el interfaz LAN del router-NAT:

Para programar esta ACL en los routers doméstico depende de cada modelo, de hecho muchos

de ellos no lo admiten (dd-wrt entre otros). En cuanto a las tablas de enrutamiento, en el router fibra hogar, la tabla de enrutamiento de

fábrica, antes de conectar a internet será: Tipo de

enrutamiento Red Interface

IP siguiente salto

Métrica

Conectada 192.168.1.0/24 LAN - 0


6

Una vez que haya conectado al ISP (supongamos que recibe la IP pública 88.2.188.98/26 con

puerta de enlace 88.2.188.65, DNS 8.8.8.8): Tipo de


IP siguiente salto

Métrica

Conectada 192.168.1.0/24 LAN - 0

Conectada 88.2.188.64/26 WAN - 0

Estática 0.0.0.0/0 WAN 88.2.188.65 1

En la tabla es llamativo que el tipo de enrutamiento sea estático y la IP recibida sea dinámica,

es porque se trata de dos cuestiones diferentes, por un lado como se configura la IP y por otro como se enruta, la ruta es estática porque no se ha aprendido de otros routers sino que el

propio router ha añadido la ruta deducida de su configuración IP. Otra cuestión llamativa es la métrica, lo habitual es que el sistema calcule automáticamente la

métrica, como es este caso. Recordemos que la métrica más baja tiene preferencia, es decir que si algo va destinado a la red 88.2.188.64 se podría aplicar la ruta 0.0.0.0 (todo) o la ruta

88.2.188.64, pero se aplica esta segunda ruta porque tiene una métrica más baja (un coste

más bajo) y también porque es más específica.

En el caso del router-NAT una vez hayamos cambiado la IP y recibido la IP WAN del router fibra hogar tendremos una tabla de enrutamiento:

Tipo de enrutamiento

Red Interface IP siguiente

salto Métrica

Conectada 192.168.0.0/24 LAN - 0

Conectada 192.168.1.0/24 WAN - 0

Estática 0.0.0.0/0 WAN 192.168.1.1 1

Actividad 3.8: En el esquema de la imagen todos los routers vienen de fábrica con IP local 192.168.1.1 e

IP WAN con asignación dinámica. Indica los pasos para configurar los equipos y las tablas de

enrutamiento intentando cambiar lo menos posibles

las configuraciones para que todos accedan a internet

Primera cuestión que vamos a solucionar es, en

todos los routers, que no tengan dos redes iguales

en sus interfaces.

Podemos mantener el router fibra hogar con la configuración de fábrica, tiene una IP dinámica

pública en WAN (red pública) y una IP privada en

LAN (red privada). La tabla de enrutamiento de fábrica será:



salto Métrica

Conectada 192.168.1.0/24 LAN - 0

Una vez reciba la IP pública (supongamos 88.2.188.98/26) será igual que el ejercicio anterior: Tipo de


IP siguiente salto

Métrica

Conectada 192.168.1.0/24 LAN - 0

Conectada 88.2.188.64/26 WAN - 0

Estática 0.0.0.0/0 WAN 88.2.188.65 1

En el router-NAT superior es imprescindible cambiar la red LAN porque coincidirá con la red

WAN. Antes de conectarlo a la WAN (así evitamos bloqueo del router) cambiamos la IP LAN (a 192.168.0.1 por ejemplo)

En tal caso, la tabla de enrutamiento quedará, igual que en el ejercicio anterior: Tipo de


IP siguiente salto

Métrica

Conectada 192.168.0.0/24 LAN - 0

Conectada 192.168.1.0/24 WAN - 0

Estática 0.0.0.0/0 WAN 192.168.1.1 1


7

En el caso de router-NAT inferior no necesitamos hacer ningún cambio puesto que su red WAN

es 192.168.0.0/24 y su red LAN es 192.168.1.0/24, su tabla de enrutamiento quedará: Tipo de


IP siguiente salto

Métrica

Conectada 192.168.1.0/24 LAN - 0

Conectada 192.168.0.0/24 WAN - 0

Estática 0.0.0.0/0 WAN 192.168.0.1 1

El esquema con IP sería similar a:

Lo más llamativo del esquema es que tenemos dos veces la red 192.168.1.0/24, una como LAN del router fibra hogar y otra como la LAN inferior, de hecho podemos ver la IP 192.168.1.2/24

repetida en el esquema. ¿Qué problemas puede producir esta duplicidad de redes?

El objetivo que se persigue es que todos accedan a internet y está cumplido porque a medida

que un paquete salga de la red inferior y vaya atravesando los routers-NAT (todos hacen NAT, incluso el fibra-hogar) desaparece la IP interna y se sustituye por la IP externa, con lo cual de

cara al exterior solo existe la IP externa de los diferentes routers. El único caso en que esto no funcionará es cuando queramos comunicar un PC de la red inferior

(192.168.1.0/24) con un PC de la red que cuelga del router fibra hogar (192.168.1.0/24),

porque al coincidir la red el PC inferior supondrá que queremos comunicar con un PC de nuestra propia red y no enviará el paquete a la puerta de enlace, igual sucederá al contrario.

Actividad 3.9: Nos han facilitado un acceso a una red WIFI, para ello nos han solicitado la MAC

de nuestro PC. ¿Cómo podríamos conectar más equipos?

Aunque hay un filtrado por MAC y la MAC está grabada en la ROM de la tarjeta de red

realmente no se trabaja con este dato directamente sino que esta MAC es grabada a la RAM de nuestro dispositivo y se trabaja con esta copia. Hay una operación que permiten muchos

routers que consiste en modificar la copia en la RAM de la MAC, es lo que se denomina CLONAR la MAC.

Por tanto necesitamos un dispositivo que reciba una IP del acceso WIFI y la comparta con varios PCs; además este dispositivo debe permitir clonar la MAC de nuestro PC en su memoria

RAM, el dispositivo ideal para esto es un router WISP, es decir, un router cuya WAN es una tarjeta inalámbrica. También podemos adquirir un router-NAT inalámbrico normal que admita

dd-wrt, con este firmware podemos configurar el dispositivo como router WISP, desde la opción Estado – Inalámbrica podemos buscar las señales WIFI cercanas y unirnos a ella, el firmware

realizará la configuración necesaria:

http://www.dd-wrt.com/wiki/index.php/Supported_Devices

http://www.dd-wrt.com/wiki/index.php/Supported_Devices


8

Además tendremos que clonar la MAC desde la opción Configuración – Clonar Dirección MAC:

Con esto nuestro router utilizará la antena para unirse a la red WIFI y las 4 conexiones

LAN para conectar los PCs.

El inconveniente es que no repartimos la

señal en inalámbrico, para ello tendríamos que crear una subinterface inalámbrica

(hacer que la antena de nuestro router sirva para WAN y para LAN). En la imagen vemos

cómo quedaría la configuración inalámbrica

de nuestro dispositivo

Actividad 3.10: A partir del siguiente esquema completa las tablas de enrutamiento de los routers A y B.

En el router A hay 2 redes conocidas por el propio router porque están conectadas

directamente y el propio router las añadirá automáticamente a su tabla de enrutamiento.

El administrador de la red solo tendrá que configurar el router añadiendo la ruta hacia la red no conocida 33.0.0.0/8, para ello indica el siguiente paso para llegar a ella, es decir, indicar hacía

que punto debe enviar los paquetes con destino a esta red.


9

En el router B nos encontramos algo similar, 2 redes están conectadas directamente y, por

tanto, el router las añade a su tabla de enrutamiento directamente. Y una red desconocida

(11.0.0.0/8), de esta red el administrador deberá introducir en la tabla de enrutamiento hacia que punto se envían los paquetes con destino a esa red.

Como conclusión, las tablas de enrutamiento serían:

Router A Tipo de


IP siguiente salto

Conectada 11.0.0.0/8 GI0/1 -

Conectada 22.0.0.0/8 GI0/2 -

Estática 33.0.0.0/8 22.0.0.2

Router B



salto

Conectada 22.0.0.0/8 GI0/1 -

Conectada 33.0.0.0/8 GI0/2 -

Estática 11.0.0.0/8 22.0.0.1

Actividad 3.11: A partir del siguiente esquema completa las tablas de enrutamiento de los

routers A y B.

En este caso además de las redes del ejercicio anterior aparece Internet, es decir, el resto de

redes mundiales, por tanto, en el caso del router A, el administrador de la red no solo tiene que

configurar por donde se va hacia la red 33.0.0.0/8, si no también por donde se va al resto de redes del mundo (internet), para hacer referencia al resto de redes se utiliza la red 0.0.0.0/0:


10

En el caso del router B, además de las redes conectadas directamente, hay 2 rutas que debe configurar el administrador, la red 11.0.0.0/8 que está en dirección 22.0.0.1 y el resto de redes

0.0.0.0/0 que está en dirección 33.0.0.2. Observar que las IPs de los siguientes saltos pertenecen siempre a una red conectada

directamente.

Como conclusión, las tablas de enrutamiento serían:

Router A



salto

Conectada 11.0.0.0/8 GI0/1 -

Conectada 22.0.0.0/8 GI0/2 -

Estática 33.0.0.0/8 22.0.0.2

Estática 0.0.0.0/0 22.0.0.2

Router B Tipo de


IP siguiente salto

Conectada 22.0.0.0/8 GI0/1 -

Conectada 33.0.0.0/8 GI0/2 -

Estática 11.0.0.0/8 22.0.0.1

Estática 0.0.0.0/0 33.0.0.2

Actividad 3.12: En una empresa con redes públicas han optado por utilizar enrutamiento estático, el esquema de redes es:


11

Completa las tablas de enrutamiento iniciales (antes de la configuración estática). ¿Qué

comunicaciones serán posibles en un principio? Añade las rutas estáticas que consideres oportunas para configurar el enrutamiento de la empresa y que todas las comunicaciones sean

posibles. En este caso la empresa es un sistema autónomo con enrutamiento estático, ningún router

hace NAT, son routers empresariales y todas las redes son públicas. La empresa se conecta a

internet por un router de borde (Router C), que intercambiará rutas con otros routers de borde por el protocolo BGP (“idioma” internacional para intercambio de rutas)

Las tablas de enrutamiento iniciales solo tendrán en su configuración las redes conectadas directamente:

Router A Tipo de


IP siguiente salto

Métrica

Conectada 55.0.0.0/8 GI0/0 - 0

Conectada 33.33.32.0/23 GI0/1 - 0

Router B



salto Métrica

Conectada 222.0.0.0/24 GI0/0 - 0

Conectada 44.0.0.0/8 GI0/1 - 0

Router C Tipo de


IP siguiente salto

Métrica

Conectada 11.0.0.0/8 GI0/1 - 0

Conectada 222.0.0.0/24 GI0/2 - 0

Conectada 33.33.32.0/23 GI0/3 - 0

Por tanto, en un principio los routers solo conocen las rutas conectadas directamente, esto implica que serán posibles las comunicaciones entre redes contiguas puesto que habrá un

router que conocerá ambas redes, por ejemplo, habrá comunicación entre 55.55.55.55 y 33.33.33.33 pero no habrá comunicación entre 55.55.55.55 y 44.44.44.44

Añadamos pues las rutas necesarias a las tablas para que todos los routers sepan siempre hacia

donde deben enviar cada paquete.

Router A Tipo de


IP siguiente salto

Métrica

Conectada 55.0.0.0/8 GI0/0 - 0

Conectada 33.33.32.0/23 GI0/1 - 0

Estática 222.0.0.0/24 GI0/1 33.33.33.3 1

Estática 44.0.0.0/8 GI0/1 33.33.33.3 1

Estática 11.0.0.0/8 GI0/1 33.33.33.3 1

Estática 0.0.0.0/0 GI0/1 33.33.33.3 1

Hemos puesto en azul los datos introducidos y en rojo los datos calculados por el router. Como podemos observar el enrutamiento estático consiste en indicar el siguiente paso que

debe atravesar el paquete para llegar a su destino. Es decir, paso el problema de la ruta al siguiente router y el siguiente router pasará el problema de nuevo a otro router, así hasta que

el paquete llegue a su destino.

Según el estándar de Cisco, los comandos introducidos serían:

RouterA> RouterA>enable RouterA#configure terminal RouterA(config)#ip route 222.0.0.0 255.255.255.0 33.33.33.3 RouterA(config)#ip route 44.0.0.0 255.0.0.0 33.33.33.3 RouterA(config)#ip route 11.0.0.0 255.0.0.0 33.33.33.3 RouterA(config)#ip route 0.0.0.0 0.0.0.0 33.33.33.3

http://es.wikipedia.org/wiki/Sistema_aut%C3%B3nomo

http://es.wikipedia.org/wiki/Border_Gateway_Protocol


12

También se puede construir la tabla indicando la interfaz por donde hay que enviar el dato y el

router determina el siguiente salto.

RouterA(config)#ip route 222.0.0.0 255.255.255.0 GI0/1 RouterA(config)#ip route 44.0.0.0 255.0.0.0 GI0/1 RouterA(config)#ip route 11.0.0.0 255.0.0.0 GI0/1 RouterA(config)#ip route 0.0.0.0 0.0.0.0 GI0/1

También podemos indicar la métrica pero esto sería contenido de una asignatura más amplia,

no vamos a entrar en ello.

La última línea (ruta por defecto) indica donde enviaremos los paquetes cuando la ruta no esté expresamente indicada en la tabla. Evidentemente si pensamos un poco en esto último otra

posible solución habría sido:



salto Métrica

Conectada 55.0.0.0/8 GI0/0 - 0

Conectada 33.33.32.0/23 GI0/1 - 0

Estática 0.0.0.0/0 GI0/1 33.33.33.3 1

Es decir, enviamos todos los paquetes (menos los destinos conectados directamente) al router C y que el determine si los envía hacia el exterior del sistema autónomo o a otras redes

propias. Utilizando comandos del IOS de Cisco, solo introduciríamos el comando:

RouterA(config)#ip route 0.0.0.0 0.0.0.0 GI0/1

Router B Tipo de


IP siguiente salto

Métrica

Conectada 222.0.0.0/24 GI0/0 - 0

Conectada 44.0.0.0/8 GI0/1 - 0

Estática 11.0.0.0/8 GI0/0 222.0.0.2 1

Estática 33.33.32.0/23 GI0/0 222.0.0.2 1

Estática 55.0.0.0/8 GI0/0 222.0.0.2 1

Estática 0.0.0.0/0 GI0/0 222.0.0.2 1

En este caso como vemos todas las redes no conectadas directamente se alcanzan a través de la IP 222.0.0.2, por tanto, la tabla la podemos indicar de forma resumida con:

Tipo de


IP siguiente salto

Métrica

Conectada 222.0.0.0/24 GI0/0 - 0

Conectada 44.0.0.0/8 GI0/1 - 0

Estática 0.0.0.0/0 GI0/0 222.0.0.2 1


RouterB> RouterB>enable RouterB#configure terminal RouterB(config)#ip route 0.0.0.0 0.0.0.0 222.0.0.2

Router C Tipo de


IP siguiente salto

Métrica

Conectada 11.0.0.0/8 GI0/1 - 0

Conectada 222.0.0.0/24 GI0/2 - 0

Conectada 33.33.32.0/23 GI0/3 - 0

Estática 55.0.0.0/8 GI0/3 33.33.33.1 1

Estática 44.0.0.0/8 GI0/2 222.0.0.1 1

En este caso vemos que el router C solo tiene acceso a la nube por un punto, esto significa que podemos indicar la ruta estática:

Estática 0.0.0.0/0 GI0/1 11.11.11.1 1


13

Según el estándar de Cisco, los comandos introducidos serían: RouterC> RouterC>enable RouterC#configure terminal RouterC(config)#ip route 55.0.0.0 255.0.0.0 33.33.33.1 RouterC(config)#ip route 44.0.0.0 255.0.0.0 222.0.0.1 RouterC(config)#ip route 0.0.0.0 0.0.0.0 11.11.11.1

Aunque en los routers de borde de un sistema autónomo, como es este caso, se usa el

protocolo BGP para comunicarse con otros routers de bordes de otros sistemas autónomos e intercambiar con ellos la información sobre las rutas. Por lo que la tabla suele tener líneas de

rutas aprendidas por BGP, algo similar a: Dinámica (BGP) RED 1 GI0/1 11.11.11.1 X

Dinámica (BGP) RED 2 GI0/1 11.11.11.1 X

…….

Dinámica (BGP) RED X GI0/1 11.11.11.1 X

Esto se tratará más a fondo en la unidad didáctica Configuración y administración de protocolos

dinámicos.

Actividad 3.13: En una empresa con redes públicas han optado por utilizar enrutamiento estático, el esquema de redes es:

a) Completa las tablas de enrutamiento de los 4 routers. b) Indica la configuración IP completa del PC 22.0.0.22.

a) Router A



salto Métrica

Conectada 11.0.0.0/8 GI0/0 - 0

Conectada 33.33.33.0/24 GI0/1 - 0

Conectada 22.0.0.0/8 GI0/2 - 0

Estática 11.0.0.0/8 GI0/2 22.0.0.3 1

Estática 22.0.0.0/8 GI0/0 11.0.0.2 1

Estática 44.0.0.0/8 GI0/2 22.0.0.2 1

Estática 88.0.0.0/8 GI0/2 22.0.0.4 1

Estática 88.0.0.0/8 GI0/0 11.0.0.2 1

Estática 0.0.0.0/0 GI0/2 22.0.0.4 1

Estática 0.0.0.0/0 GI0/0 11.0.0.2 1

Al encontrarnos con un esquema en el que hay un circuito en bucle tenemos varias alternativas para algunas rutas.

Por ejemplo, a la red 11.0.0.0 podemos ir directamente o dando un rodeo a través de la IP

22.0.0.3, en este caso el router elegirá siempre la ruta con menor métrica que es la conectada directamente. ¿Entonces para qué introducimos las 2 rutas? Por seguridad, porque en caso de

que la conexión entre el router A y el Switch A se pierda el router podrá usar la segunda alternativa.


14

Nos encontramos también con la ruta 88.0.0.0/8 por dos trayectos diferentes pero aunque

parece claro que lo mejor es usar la ruta por 22.0.0.4 que la ruta por 11.0.0.2 el router le asigna la misma métrica ¿Por qué? Pues porque el router a todas las rutas estáticas que

introduzcamos, si no indicamos métrica, le asigna siempre 1. Para que use la ruta 11.0.0.2 como segunda alternativa tendríamos que indicar en la métrica 2 para esta ruta.

Podemos hacer una tabla de enrutamiento más pequeña, que también funcionará, aunque no

tenga la seguridad de la anterior: Tipo de


IP siguiente salto

Métrica

Conectada 11.0.0.0/8 GI0/0 - 0

Conectada 33.33.33.0/24 GI0/1 - 0

Conectada 22.0.0.0/8 GI0/2 - 0

Estática 44.0.0.0/8 GI0/2 22.0.0.2 1

Estática 0.0.0.0/0 GI0/2 22.0.0.4 1

Router B Tipo de


IP siguiente salto

Métrica

Conectada 22.0.0.0/8 GI0/0 - 0

Conectada 44.0.0.0/8 GI0/1 - 0

Estática 33.33.33.0/24 GI0/0 22.0.0.1 1

Estática 33.33.33.0/24 GI0/0 22.0.0.3 1

Estática 11.0.0.0/8 GI0/0 22.0.0.1 1

Estática 11.0.0.0/8 GI0/0 22.0.0.3 1

Estática 88.0.0.0/8 GI0/0 22.0.0.4 1

Estática 0.0.0.0/0 GI0/0 22.0.0.4 1

También podemos hacer una solución mínima: Tipo de


IP siguiente salto

Métrica

Conectada 22.0.0.0/8 GI0/0 - 0

Conectada 44.0.0.0/8 GI0/1 - 0

Estática 33.33.33.0/24 GI0/0 22.0.0.1 1

Estática 11.0.0.0/8 GI0/0 22.0.0.1 1

Estática 0.0.0.0/0 GI0/0 22.0.0.4 1

Router C Tipo de


IP siguiente salto

Métrica

Conectada 22.0.0.0/8 GI0/1 - 0

Conectada 11.0.0.0/8 GI0/2 - 0

Estática 33.33.33.0/24 GI0/2 11.0.0.1 1

Estática 33.33.33.0/24 GI0/1 22.0.0.1 1

Estática 44.0.0.0/8 GI0/1 22.0.0.2 1

Estática 44.0.0.0/8 GI0/2 11.0.0.1 1

Estática 88.0.0.0/8 GI0/1 22.0.0.4 1

Estática 88.0.0.0/8 GI0/2 11.0.0.1 1

Estática 0.0.0.0/0 GI0/1 22.0.0.4 1

Estática 0.0.0.0/0 GI0/2 11.0.0.1 1

Si nos limitamos a poner una única ruta por cada red:



salto Métrica

Conectada 22.0.0.0/8 GI0/1 - 0

Conectada 11.0.0.0/8 GI0/2 - 0

Estática 33.33.33.0/24 GI0/2 11.0.0.1 1

Estática 44.0.0.0/8 GI0/1 22.0.0.2 1

Estática 0.0.0.0/0 GI0/1 22.0.0.4 1

Router D Tipo de


IP siguiente salto

Métrica

Conectada 22.0.0.0/8 GI0/2 - 0

Conectada 88.0.0.0/8 GI0/1 - 0

Estática 33.33.33.0/24 GI0/2 22.0.0.1 1

Estática 33.33.33.0/24 GI0/2 22.0.0.3 1

Estática 44.0.0.0/8 GI0/2 22.0.0.2 1

Estática 11.0.0.0/8 GI0/2 22.0.0.1 1

Estática 11.0.0.0/8 GI0/2 22.0.0.3 1


15

En cuanto al acceso a la nube, dependerá de la configuración se puede optar por una ruta

estática: Estática 0.0.0.0/0 GI0/1 88.88.88.88/8 1

Aunque lo habitual es que las rutas públicas a la nube en un router de borde sean aprendidas

por el protocolo BGP de otros routers de borde.

b)

La configuración IP completa del equipo 22.0.0.22/8 tiene varias soluciones. Respecto del DNS recordemos que puede ser cualquiera puesto que cualquier servidor DNS nos

realizará el trabajo que se pide traducir nombres en sus correspondientes IPs. Pero evidentemente lo más razonables es indicar como DNS 33.33.33.33 puesto que está dentro del

mismo sistema autónomo y, por tanto, el acceso supuestamente será más rápido.

Respecto de la puerta de enlace podemos optar por: 22.0.0.1 22.0.0.2 22.0.0.3 22.0.0.4. Las tres primeras enviarán los paquetes a los routers A B y C respectivamente, estos buscarán en

su tabla de enrutamiento la ruta 0.0.0.0 y enviarán a este destino los paquetes. Evidentemente lo mejor será poner como puerta de enlace 22.0.0.4 puesto que al final siempre acabarán aquí

los paquetes con destino al exterior.

Actividad 3.14: Una empresa tiene la estructura de red que se muestra a continuación, sale a

internet a través de la IP 14.0.0.1. La empresa decide utilizar enrutamiento estático para todo su estructura.

a) Realiza las tablas de enrutamiento de cada router. Indicar los comandos. b) Realiza las tablas NAT de los routers-NAT.

c) ¿en qué equipo de los 4 del esquema sería más fácil alojar la web de la empresa?

Router-NAT A Tipo de


IP siguiente salto

Métrica

Conectada 192.168.0.0/24 LAN - 0

Conectada 12.0.0.0/8 WAN - 0

Estática 0.0.0.0/0 WAN 12.0.0.1 1

Se trata de un router-NAT que tiene una tabla de enrutamiento que crea el firmware

directamente a partir de los parámetros que introducimos en su configuración (IP LAN: 192.168.0.1 IP WAN: 12.0.0.2 Puerta de enlace: 12.0.0.1)


16

¿Y cómo accede el router a la red 11.0.0.0/8? Pues al no estar la red en la tabla de

enrutamiento utilizará la ruta por defecto (0.0.0.0), enviará los datos a su puerta de enlace (12.0.0.1), esta puerta de enlace es un router que buscará en su tabla de enrutamiento la ruta

para la red 11.0.0.0 (que como veremos un poco más adelante está en su tabla de enrutamiento) y enviará los datos según le indique su tabla de enrutamiento.

En el caso de router-NAT, de tipo doméstico, se configuran habitualmente a través de interfaz gráfica y no tiene mucho sentido indicar aquí comandos Cisco, como acabamos de comentar su

tabla de enrutamiento es “fija”, tiene 3 entradas que son las redes conectadas a sus interfaces LAN y WAN, y la tercera que es la ruta por defecto.

Router-NAT B Tipo de


IP siguiente salto

Métrica

Conectada 10.0.0.0/8 LAN - 0

Conectada 13.0.0.0/8 WAN - 0

Estática 0.0.0.0/0 WAN 13.0.0.1 1

Seguimos el mismo razonamiento que en el router anterior.

Router C Tipo de


IP siguiente salto

Métrica

Conectada 12.0.0.0/8 GI0/2 - 0

Conectada 11.0.0.0/8 GI0/1 - 0

Estática 13.0.0.0/8 GI0/2 12.0.0.1 1

Estática 0.0.0.0/0 GI0/2 12.0.0.1 1

En este caso no incluimos las redes privadas 10.0.0.0/8 ni 192.168.0.0/24 porque nunca se accederá a ellas desde las redes públicas, se accede a las IPs públicas de los routers NAT (estos

buscarán en su tabla NAT que dispositivo hizo la consulta al exterior y le envía la respuesta cuando la recibe)

Podemos también resumir las dos últimas rutas en una sola que sería la 0.0.0.0


RouterC> RouterC>enable RouterC#configure terminal RouterC(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.1

Router D Tipo de


IP siguiente salto

Métrica

Conectada 12.0.0.0/8 GI0/2 - 0

Conectada 13.0.0.0/8 GI0/0 - 0

Conectada 14.0.0.0/8 GI0/1 - 0

Estática 11.0.0.0/8 GI0/2 12.0.0.3 1

Estática 0.0.0.0/0 GI0/1 14.0.0.1 1


RouterD> RouterD>enable RouterD#configure terminal RouterD(config)#ip route 11.0.0.0 255.0.0.0 12.0.0.3 RouterD(config)#ip route 0.0.0.0 0.0.0.0 14.0.0.1

b)

Las tablas NAT son tablas dinámicas que se construyen a medida que desde las redes locales salen paquetes al exterior. No hay nada que realizar, dependerá de los accesos que realicen los

diferentes equipos al exterior.


17

c)

Sería posible alojar la web en cualquiera, pero en principio lo más lógico parece en 13.0.0.2 puesto que está más cerca de la salida y exponemos menos nuestra red al exterior, no

ocupamos ancho de banda hasta otros dispositivos más internos. En el router D crearíamos las correspondientes ACL para evitar accesos desde el exterior a otros dispositivos de la red

empresarial, incluso podemos hacer un DMZ hacia la red 13.0.0.0.

También podríamos usar los otros dispositivos. En el caso de 192.168.0.100 y 10.0.0.2 tendríamos que abrir el puerto 80 en los routers NAT puesto que desde el exterior solo se

reconocen las IPs públicas de estos routers.

Actividad 3.15: La empresa de la actividad 10 va a implantar progresivamente IPv6, para ello ha

adquirido la red 2001:2000::/60. ¿Cómo plantearías el nuevo enrutamiento?

Al ser propietaria de una red /60, y teniendo en cuenta que las redes serán /64, hay 4 bits con los que podrá crear hasta 24 redes, es decir, todas las combinaciones del último hexadecimal

del prefijo de red: 2001:2000:0000:0000::/64 2001:2000:0000:0001::/64 2001:2000:0000:0002::/64 … 2001:2000:0000:000F::/64.

La recomendación es simultanear los dos protocolos IPv4 e IPv6. Habrá dispositivo que trabajen en ambos protocolos, dispositivos que no se podrán actualizar a IPv6 por estar desfasados y

dispositivos que solo trabajarán con IPv6. Como en el esquema solo hay 5 redes un posible planteamiento será:

Respecto al enrutamiento, tendremos dos tablas de enrutamiento en cada router, una para los

paquetes IPv4 y otro para el IPv6. Las tablas de enrutamiento de IPv4 ya las realizamos en su momento, para IPv6 serían:

Router A


Red Interface IP siguiente salto Métrica

Conectada 2001:2000:0000:0005/64 GI0/0 - 0

Conectada 2001:2000:0000:0003/64 GI0/1 - 0

Estática ::/0 GI0/1 2001:2000:0000:0003::3 1

Es decir, enviamos todos los paquetes (menos los destinos conectados) al router C.


18

Router B Tipo de

enrutamiento Red Interface IP siguiente salto Métrica

Conectada 2001:2000:0000:0002/64 GI0/0 - 0

Conectada 2001:2000:0000:0001/64 GI0/1 - 0

Estática ::/0 GI0/0 2001:2000:0000:0002::2 1

Router C Tipo de

enrutamiento Red Interface IP siguiente salto Métrica

Conectada 2001:2000::/64 GI0/1 - 0

Conectada 2001:2000:0000:0002/64 GI0/2 - 0

Conectada 2001:2000:0000:0003/64 GI0/3 - 0

Estática 2001:2000:0000:0005/64 GI0/3 2001:2000:0000:0003::1 1

Estática 2001:2000:0000:0004/64 GI0/2 2001:2000:0000:0002::1 1

Para el acceso a internet podemos utilizar una ruta estática, aunque lo normal es que utilice

MBGP (Multiprotocol BGP) para aprender las rutas de otros routers de borde. Estática ::/0 GI0/1 2001:2000::1 1

Actividad 3.16: Realizar una ACL (siguiendo el estándar de Cisco) para bloquear el acceso a las

web 88.0.0.1 y 88.0.0.88 desde el PC1. Indicar los comandos Cisco correspondientes.

Para realizar el bloqueo hay que crear la ACL e indicar en que interface se va a aplicar.

Una solución sería:

De forma más esquemática, la ACL estaría compuesta por las siguientes reglas:

Acción Origen Destino

Protocolo Descripción IP ó Red Puerto IP ó Red Puerto

Denegar 11.11.11.11 - 88.0.0.1 80 TCP Bloquear PC1 a 88.0.0.1

Denegar 11.11.11.11 - 88.0.0.88 80 TCP Bloquear PC1 a 88.0.0.88

Permitir Cualquiera Cualquiera IP Permitir el resto de accesos

En estas ACL se pueden bloquear los protocolos TCP-UDP (la capa de transporte), ICMP (ping)

o IP (todos, puesto que los protocolos anteriores se basan en esté). No se pueden bloquear

protocolos como HTTP o DNS, para bloquear estos protocolos tenemos que utilizar la combinación del puerto + el protocolo de transporte que utilizan. Algunos puertos típicos son:

HTTP = TCP – 80 POP3 = TCP – 110

DNS = UDP – 53, también TCP – 53 Comentando las reglas de nuestra ACL:


19

1. Denegar el protocolo TCP que salga con origen en 11.11.11.11 (PC1) con destino al

puerto 80 del servidor 88.0.0.1, en el puerto 80 está escuchando (esperando paquetes) una aplicación servidora que responde a las peticiones de páginas web (normalmente

apache o iis). ¿Y no podíamos bloquear por el puerto de origen? Sí, pero es más complicado, el

puerto que usa el navegador (aplicación cliente para conectarnos a la web) varía, si

abrimos un navegador que usa normalmente el puerto 1500 y, de nuevo lo volvemos a abrir tendrá que usar otro puerto puesto que el 1500 estaría ocupado.

2. Denegar el acceso TCP desde el PC1 al servidor 88.0.0.88:80, o sea, no poder visitar la web.

3. Ya que la ACL solo tiene hasta ahora 2 denegación hay poner como tercera regla (a la

que llegarán los paquetes que no se ven afectados por las dos anteriores) que se permite todo lo demás.

Ahora debemos indicar en que interface vamos a aplicar esta ACL y si en el tráfico de entrada o

en el salida. Teniendo en cuenta que el origen que hemos indicado es PC1 y destino 88… el sentido es:

Por tanto, podemos aplicar la ACL en el tráfico de entrada de GI0/0 o en el tráfico de salida de

GI0/1, evidentemente es mejor en el tráfico de entrada de GI0/0 porque destruimos el paquete de obligar al router a realizar el proceso de enrutamiento y, por tanto, lo descargamos de un

trabajo innecesario.


Router> Router>enable Router#configure terminal Router(config)#ip access-list extended Bloqueo Router(config-ext-nacl)#deny tcp host 11.11.11.11 host 88.0.0.1 eq 80 Router(config-ext-nacl)#deny tcp host 11.11.11.11 host 88.0.0.88 eq 80 Router(config-ext-nacl)#permit ip any any Router(config-ext-nacl)#exit Router(config)#interface GI0/0 Router(config-if)#ip access-group Bloqueo in

Para identificar un equipo podemos poner: host 11.11.11.11 ó 11.11.11.11 0.0.0.0

Para identificar cualquier equipo podemos poner: any ó 0.0.0.0 255.255.255.255

Para identificar la red 123.0.0.0/8 ponemos: 123.0.0.0 0.0.0.255 Actividad 3.17: Realizar una ACL (siguiendo el estándar de Cisco) para bloquear el acceso desde

la red 11.0.0.0/8 al servidor 88.0.0.88 y la descarga de archivos provenientes de 88.0.0.1; permitir el resto de accesos.


20

Para que una comunicación funcione es necesario que sea posible una petición de datos y

llegue la respuesta, por tanto, podemos bloquear los accesos en un sentido u otro. Para variar vamos a hacer esta ACL bloqueando las respuestas (evidentemente es mejor bloquear las

peticiones para evitar trabajo innecesario):



Denegar 88.0.0.1 21 11.0.0.0/8 TCP Bloqueo descarga ficheros

Denegar 88.0.0.88 11.0.0.0/8 IP Bloquear respuesta de 88.0.0.88


La primera línea bloqueará las descargas de ficheros desde un servidor ftp (programa servidor

que escucha en el puerto 21) con destino a la red 11.0.0.0/8.

Si el paquete de datos no se ve afectado por esta primera línea se evaluará la segunda línea

para comprobar si es un paquete con origen en el servidor 88.0.0.88 (sea cual sea la aplicación

que lo envía) con destino a la red 11.0.0.0/8.

Por último, si el paquete no está relacionado con los tráficos anteriores se deja pasar.

Ahora tenemos que indicar en que interface y en que tráfico

(entrada o salida se va a aplicar), como el origen es red

exterior el sentido será el mostrado en la imagen y por tanto,

podemos aplicar la ACL en GI0/1 en el tráfico de entrada o en

GI0/0 en el tráfico de salida


Router> Router>enable Router#configure terminal Router(config)#ip access-list extended BloqueoRed Router(config-ext-nacl)#deny tcp host 88.0.0.1 eq 21 11.0.0.0 0.0.0.255 Router(config-ext-nacl)#deny ip host 88.0.0.88 11.0.0.0 0.0.0.255 Router(config-ext-nacl)#permit ip any any Router(config-ext-nacl)#exit Router(config)#interface GI0/1 Router(config-if)#ip access-group BloqueoRed in

Actividad 3.16: Realizar las siguientes ACL (siguiendo el estándar de Cisco) para:

a) Bloquear el acceso desde la red 192.168.0.0/24 al servidor 88.0.0.1

b) Bloquear el acceso desde el servidor 88.0.0.1 a la red 192.168.0.0/24

c) Bloquear el acceso a la web de S2 desde el PC1


21

a) Para realizar el bloqueo de la red 192.168.0.0/24 debemos recordar que la técnica NAT

consiste en sustituir las IPs privadas por la IP pública y enviar los paquetes con la IP pública,

por tanto, los únicos paquetes que van a pasar por el Router empresarial son con origen en la

red 11.0.0.0/8. A partir de esto una posible solución es:



Denegar 11.0.0.2 88.0.0.1 IP Bloquear router NAT a S1


Esta ACL se aplicaría en el tráfico de entrada de GI0/0.

b) Aquí no hay que realizar ninguna ACL. El único tráfico que puede “entrar” en la red privada

es el tráfico de respuesta a peticiones realizadas desde la red privada (estas peticiones quedan

registradas en la tabla NAT a la espera de la respuesta), pero este tráfico ya está bloqueado

con la ACL anterior.

c) Como estos dispositivos funcionan con IPv4 e IPv6 hay que realizar una ACL para cada

protocolo.

Para IPv6 sería:



Denegar 2001::11 2000::88 80 TCP Bloquear acceso a web por IPv6

Permitir Cualquiera Cualquiera IPv6 Permitir el resto de accesos

Evidentemente los bloqueos TCP son de la capa transporte y, por tanto, son independientes del

protocolo que se usa en la capa de internet por lo que el puerto TCP sigue siendo el mismo.

Esta ACL (v6) podemos aplicarla a la vez que la ACL (v4) del apartado a) puesto que el sistema

las trata independientemente, así que, la aplicamos en el tráfico de entrada de GI0/0.

Para IPv4 sería:



Denegar 11.11.11.11 88.0.0.88 80 TCP Bloquear acceso a web por IPv4


Esta ACL no la podemos aplicar en el mismo lugar que la ACL (v4) del apartado a) pero

podemos aplicarla en el tráfico de salida de la interface GI0/1. También podemos optar por

crear una única ACL que incluya los bloqueos del apartado a) y c) y aplicarla en la interface

GI0/0 en el tráfico de entrada.

Planificación y Administración de Redes · 2020. 11. 6. · Planificación y Administración de...

Documents

Transcript of Planificación y Administración de Redes · 2020. 11. 6. · Planificación y Administración de...