8/18/2019 DSPOI - Exposicion Oral
1/118
DIPLOMADO SUPERIOR ENPLATAFORMAS OPERATIVAS
PARA INTERNETWORKINGEXAMEN COMPLEXIVO
ABRIL 2015
8/18/2019 DSPOI - Exposicion Oral
2/118
TEMÁTICA• Protocolos para correo electrónico (SMTP, POP3, IMAP)
y su Configuración en Linux.
• Arquitectura 10-Gigabit Ethernet, Funcionalidad yCaracterísticas de Capa Física (PHY) y Subcapa MAC.
• Protocolo IPv4. Direccionamiento con clase y sin clase.
• Protocolos DHCP, DNS y su Configuración en Linux.
• Protocolos de Enrutamiento RIP versión 2 y OSPF.Funcionalidad y Características.
8/18/2019 DSPOI - Exposicion Oral
3/118
Protocolos para Correo
Electrónico• El Correo Electrónico o e-mail como se lo conocemas comúnmente, es la solución para transferirinformación de forma rápida y menos costosa que
el correo convencional(correo en papel).
• A inicios de la década de los 90 su uso pasó de sermeramente académico al método de transferencia
de información de crecimiento exponencial.
• Dentro del Modelo de Referencia OSI éste serviciose ubica en la capa mas alta (7:Aplicación)
8/18/2019 DSPOI - Exposicion Oral
4/118
Correo Electrónico
e-mail• El modelo de transferencia de información vía e-
mail esta basado en un concepto bastante
sencillo el cual contempla dos sub-sistemas:
• Los Agentes de Usuario, y
• Los Agentes de Transferencia del Mensaje.
8/18/2019 DSPOI - Exposicion Oral
5/118
Correo Electrónico
ESPECIFICACIONES IETF (INTERNET ENGINEERING TASK FORCE):
• RFC 822 : RFC 2822 : RFC 5322 (Formato del Mensaje de Internet)
8/18/2019 DSPOI - Exposicion Oral
6/118
8/18/2019 DSPOI - Exposicion Oral
7/118
SMTP• El Protocolo de Transferencia de Correo Simple se
concentra especificamente en como el sistemasubyacente de entrega de correo pasa los mensajes
a través del internet desde un computador a otro.
• Sus especificaciones están establecidas en los RFC821 : RFC 2821 : RFC 5321 del IETF.
• El mensaje se entrega mediante la conexión TCP alpuerto 25 establecida entre el computador remitentey el computador receptor.
8/18/2019 DSPOI - Exposicion Oral
8/118
SMTP• El servicio acepta pre definidamente conexiones
sin necesidad de autenticarse lo cual debetenerse muy en cuenta; si el mensaje no puede
ser entregado se genera un reporte con lacabecera del mensaje para ser devuelto alremitente.
• La comunicación se realiza mediante comandosSMTP mismos que contemplan el uso de palabrasreservadas y parámetros al igual que la mayoríade lenguajes informáticos.
8/18/2019 DSPOI - Exposicion Oral
9/118
SMTPLos comandos que hacen posible las operaciones básicas en el envío de correosson:
HELO: (Hello) El cliente envía este comando al servidor SMTP para autoidentificarse e iniciar la "conversación" SMTP, regularmente este comando esacompañado por el nombre de dominio o dirección IP del cliente SMTP (ej.: HELOcesarmac.grizzly-cave.com. Si el argumento usado es un nombre de dominioentonces este debe ser un nombre de dominio completamente identificado (fullyqualified domain name) o FQDN.
MAIL FROM: Especifica la dirección del remitente. Este comando también le dice alservidor SMTP que una nueva transacción de correo esta empezando y hace que elservidor inicialice todas sus tablas de estado y buffers, etc. Usualmente este elprimer comando luego del proceso de identificación y de login. Si la dirección delremitente es aceptada, el servidor contestara con un código de respuesta 250 OK.Ej.:
C: MAIL FROM:
S: 250 OK
http://cesarmac.grizzly-cave.com/
8/18/2019 DSPOI - Exposicion Oral
10/118
SMTPRCPT TO (Recipient To): Especifica la dirección deldestinatario. Este comando puede ser repetido múltiplesveces para un mensaje dado con el fin de entregar un
mismo mensaje a múltiples destinatarios. Ej.:
C: MAIL FROM: S: 250 OK
C: RCPT TO:S: 250 OK
C: RCPT TO:
S: 250 OK
8/18/2019 DSPOI - Exposicion Oral
11/118
SMTPDATA: Este comando inicia la transferencia del contenido del mensaje (texto del cuerpodel mensaje, adjuntos, etc.) Al concluir el envío del comando al servidor, este respondecon un código 354. Luego, los contenidos del mensaje pueden ser transferidos al servidor.Cuando todos los contenidos del mensaje han sido enviados, un sencillo punto (".") debeser enviado en un linea independiente. Si el mensaje es aceptado para entrega, el código250 OK será enviado por el servidor. Ej.:
C: DATA
S: 354 Send message content; end with .
C: Date: Wed, 29 Apr 2015 12:50:29 -0500
C: From: Cesar Mena
C: Subject: Resultado del Examen Complexivo
C: To: [email protected]
C:
C: Hola Steve,
C: El resultado del examen lo sabremos en un momento mas.
C: /Cesar.
C: .
S: 250 OK
8/18/2019 DSPOI - Exposicion Oral
12/118
SMTPRSET: (Reset) Si el comando RSET es enviado al servidor de e-mail, latransacción actual de correo seria abortada. La conexión no secerraria(de eso se encarga el comando QUIT) pero toda la informaciónsobre el remitente, destinatario(s) y datos serian eliminados y los buffers
y tablas de estados serian limpiados.
VRFY: (Verify) Este comando le pide al servidor que confirme que unnombre de usuario especificado o un buzón es valido (existe). Si sepregunta el nombre de usuario, el nombre completo del usuario y elbuzón completamente especificado se devuelve. Dado que VRFY
puede constituirse en una amenaza de seguridad en algunos servidoreses ignorado. El comando puede ser usado para averiguar nombres deusuario en los servidores. Los servidores que ignoran el comando,contestaran la petición pero sin devolver la información solicitada.
8/18/2019 DSPOI - Exposicion Oral
13/118
SMTPNOOP: (No operation) El comando NOOP haceque el receptor envie una respuesta OK. Elproposito principal es verificar que el servidor estaaun conectado y es capaz de comunicarse con elcliente.
QUIT: Le solicita al servidor cerrar la conexión. Sila conexión puede ser cerrada el servidor contestacon un código numérico 221 y entonces la sesiónes cerrada.
8/18/2019 DSPOI - Exposicion Oral
14/118
SMTPAdicionalmente SMTP brinda un conjunto de comandos Extendidos o serviciosextendidos de SMTP. Estos servicios extendidos pueden ser distintos en cadaservidor, cada vez que se inicia una transacción con el comando EHLO enlugar de HELO el servidor generalmente entrega al cliente un listado de suscomandos/servicios extendidos.
EHLO: (Extended Hello) Al igual que HELO inicia la conexión pero especificaque se quiere usar el protocolo ESMPT. EHLO puede ser usado aun cuando nose use ningún comando ESMTP; los servidores que no ofrezcan ningúncomando ESMTP adicional al menos reconocen el comando EHLO ycontestaran de forma adecuada.
AUTH: (Authentication) Este comando es usado para autenticar el cliente conel servidor. El comando envía el usuario y clave del cliente al servidor. AUTHpuede ser combinado con otras palabras claves como PLAIN, LOGIN y CRAM-MD5 para usar diferentes métodos de login y diferentes niveles de seguridad.
8/18/2019 DSPOI - Exposicion Oral
15/118
SMTPSTARTTLS: (Start Transport Layer Security) Tanto clientes como servidores queusan SMTP normalmente se comunican usando texto plano sobre el internet. Lacomunicación a menudo va a través de uno o mas ruteadores que no soncontrolados o fiables por el servidor y el cliente. Esta comunicación puede sermonitoreada y es posible alterar los mensajes que son enviados vía esos
ruteadores.
Para mejorar la seguridad, puede ser usada una conexión TLS (Transport LayerSecurity) encriptada cuando se comunican entre el servidor y el cliente. TLS esmas útil cuando un usuario y clave (enviados por el comando AUTH) necesitanser encriptados. TLS puede ser usado para encriptar el mensaje completo, pero
el comando no garantiza que todo el mensaje se mantenga encriptado durantetoda la ruta al receptor; algunos servidores de e-mail pueden decidir enviar elmensaje sin encriptacion. Pero al menos el usuario y la clave usados con elcomando AUTH se mantendrán encriptados. Usando el comando STARTTLSjunto con el comando AUTH es posible autenticar usuarios de una manera muysegura.
8/18/2019 DSPOI - Exposicion Oral
16/118
8/18/2019 DSPOI - Exposicion Oral
17/118
SMTP
• En el sistema operativo Linux la instalación ypuesta en marcha del servicio ha evolucionado
desde las primeras versiones hasta el puntoactual en el cual es una tarea relativamentesencilla.
• Tomando como referencia a la distribución defedora procedemos a la instalación yconfiguración de SMTP:
8/18/2019 DSPOI - Exposicion Oral
18/118
SMTPEs posible configurar dos programas para SMTP: Postfix y Sendmail. Laversiones mas recientes no incluyen Postfix sin embargo Sendmail si estadisponible.
Para verificar que servicio tenemos instalados recurrimos al comando:[root@primary-ns ~]# alternatives --config mta
There is 1 program that provides 'mta'.
Selection Command
-----------------------------------------------
*+ 1 /usr/sbin/sendmail.ssmtp
Enter to keep the current selection[+], or type selection number:
[root@primary-ns ~]#
La respuesta del servidor indica que únicamente disponemos de sendmail.
8/18/2019 DSPOI - Exposicion Oral
19/118
SMTPDe requerirlo, la instalación de Postfix se la realizade la siguiente manera:[root@primary-ns ~]# yum -y install postfix
Luego de resolver las dependencias de paquetespara esta aplicación la instalación concluyeexitosamente: Installed:
postfix.x86_64 2:2.11.3-1.fc21
Dependency Installed:
mariadb-common.x86_64 1:10.0.17-1.fc21 mariadb-config.x86_64 1:10.0.17-1.fc21
mariadb-libs.x86_64 1:10.0.17-1.fc21
Complete!
8/18/2019 DSPOI - Exposicion Oral
20/118
SMTPEs posible verificar la instalación al invocar al menu de servidores SMTP instalados enel sistema nuevamente:
[root@primary-ns ~]# alternatives --config mta
There are 2 programs which provide 'mta'.
Selection Command
-----------------------------------------------
*+ 1 /usr/sbin/sendmail.ssmtp
2 /usr/sbin/sendmail.postfix
Enter to keep the current selection[+], or type selection number:
2
Ahora ya es posible usar Postfix como servidor de SMTP.
8/18/2019 DSPOI - Exposicion Oral
21/118
SMTPCon la verificación del servicio activo es posible avanzar hacia laconfiguración de los parámetros adicionales dado que predeterminadamentePostfix no permite conexiones de red diferentes a las de local host:
Editar el archivo /etc/postfix/main.cf.
Quite el comentario de la linea mydomain removiendo simbolo hash (#), y reemplacedomain.tld con el dominio del servidor de mail que esta siriviendo, such as grizzly-cave.com.
Quite el comentario de la linea myorigin = $mydomain.
Quite el comentario de la linea myhostname, y reemplace host.domain.tld con elhostname para el equipo.
Quite el comentario de la linea mydestination = $myhostname, localhost.$mydomain.
Quite el comentario de la linea mynetworks, y reemplace 168.100.189.0/28 con unparámetro de red valido para los hosts que pueden conectarse al servidor.
Quite el comentario de la linea inet_interfaces = all.
Comente la linea inet_interfaces = localhost.
Reinicie el servicio de postfix.
8/18/2019 DSPOI - Exposicion Oral
22/118
POP3• El Protocolo de Oficina Postal versión 3 por sus
siglas en ingles describe la implementaciónsimple de trasferencia de mensajes entre el
servidor de correo y el cliente de correo (agentede usuario).
• Aunque existe la versión segura de ésta
implementación (POP3S) el protocolo simplerealiza el proceso de autenticación del clientecontra el servidor mediante el envío de los datosde usuario y contraseña.
8/18/2019 DSPOI - Exposicion Oral
23/118
POP3• Desde la perspectiva del servidor la gestión es
bastante mas puntual que desde el lado delcl iente puesto que los mensajes sondescargados y leídos en el cliente sin mantenercopias en el servidor.
• Este enfoque en la gestión de recepción demensajes hace que no sea posible la lectura delos mensajes desde diferentes agente deusuario.
8/18/2019 DSPOI - Exposicion Oral
24/118
POP3
• Las conexiones TCP al servidor desde el agente
de usuario se las realiza al puerto 110generalmente y la implementación seguraPOP3S en el puerto 995.
• Las especificaciones IETF del protocolo POP3están contenidas en el RFC 1939.
8/18/2019 DSPOI - Exposicion Oral
25/118
IMAP
• El Protocolo de Acceso a los Mensajes de Internet(versión 4) en contraste a POP3 permite la visualizacióny manipulación de los mensajes directamente en el
servidor aun cuando el agente de usuario permitagestionar los mensajes desde el computador local.
• Existe la implementación segura de IMAPS aunque lo
mas relevante de IMAP4 es la inclusión de nuevoselementos mas versátiles como el de buzón de correo,carpeta y otras funcionalidades de búsqueda quepermiten que la gestión de mensajes sea mas efectiva.
8/18/2019 DSPOI - Exposicion Oral
26/118
IMAP• El Protocolo de Acceso a los Mensajes de Internet
esta implementado con un conjunto de comandosque hacen posible que la gestión de los mensajes
brinde nuevas alternativas.
• Generalmente los agentes de usuario mantienenembebidos dichos comandos de manera que éstos
sean transparentes al usuario final; sin embargo,basta conocer la sintaxis de los mismos parainteractuar con el servidor desde una conexión enmodo consola desde el equipo cliente.
8/18/2019 DSPOI - Exposicion Oral
27/118
IMAP
• Las conexiones TCP al servidor desde el agente
de usuario se las realiza al puerto 143generalmente; la implementación segura IMAPSestá en el puerto 993.
• Las especificaciones IETF del protocolo IMAP4están contenidas en el RFC 3501.
8/18/2019 DSPOI - Exposicion Oral
28/118
CONFIGURACION EN LINUX
DE POP3 E IMAPTanto POP3 como IMAP4 son Protocolos de Acceso aMail que en la distribución Fedora de Linux estánsoportados pre determinadamente en el paquete
dovecot. Su instalación procede de la siguiente manera:[root@primary-ns ~]# yum -y install dovecotInstalled:
dovecot.x86_64 1:2.2.15-3.fc21
Dependency Installed:clucene-core.x86_64 0:2.3.3.4-13.fc21
Complete!
Existen implementaciones que en busca de una mejoraen la fase de autent icación han generadomodificaciones como: APOP, KPOP y RPOP.
8/18/2019 DSPOI - Exposicion Oral
29/118
CONFIGURACION EN LINUX
DE POP3 E IMAPLos procesos imap-login y pop3-login los cuales implementan los protocolos IMAP yPOP3 son liberados por el demonio maestro de dovecot incluido en su paquete. Eluso de IMAP y POP3 es configurado a través del archivo de configuración /etc/dovecot/dovecot.conf predeterminadamente dovecot ejecuta IMAP y POP3 junto consus versiones seguras usando SSL.
Para configurar los protocolos que se desea servir, es necesario quitar el comentariode la linea protocols borrando el símbolo hash(#) y verificar que se encuentra el/losnombre(s) de el/loss protocolo(s) deseado(s):
protocols imap imaps pop3 pop3s
Luego de grabar los cambios en el archivo editado, es mandatorio reiniciar el servicio
para que los cambios sean aplicados de manera inmediata:[root@primary-ns ~]# systemctl restart dovecot.service
Excepto si se espera que el cambio surta efecto en el siguiente reinicio del sistema:[root@primary-ns ~]# systemctl enable dovecot.service
TEMATICA
8/18/2019 DSPOI - Exposicion Oral
30/118
Arquitectura 10-Gigabit
Ethernet10-Gigabit Ethernet es básicamente la versión de
Ethernet de mayor velocidad. Soporta tasas dedatos de 10Gb/s. Ofrece beneficios similares aaquellos del estándar de Ethernet precedente.
De todas maneras, ésta no soportará el modo deoperación half-duplex.
8/18/2019 DSPOI - Exposicion Oral
31/118
Arquitectura 10-Gigabit
EthernetLas potenciales aplicaciones y mercados para 10-Gigabit Ethernet son enormes. Existen amplios
grupos de usuarios quienes demandan 10-GigabitEthernet, por ejemplo, usuarios empresariales,universidades, portadoras de telecomunicacionesy proveedores del servicio de Internet.
Cada mercado típicamente tiene diferentesrequerimientos para cobertura del enlace y costo.
8/18/2019 DSPOI - Exposicion Oral
32/118
Arquitectura 10-Gigabit
EthernetFUNCIONALIDAD• Bajo el modelo OSI, Ethernet es fundamentalmente un protocolo de
capa 1 y 2. 10-Gigabit Ethernet retiene la arquitectura clave de Ethernet,el formato de la trama, y el tamaño máximo y mínimo de la trama.
• Justo como en Gigabit Ethernet, tanto 1000BASE-X y 1000BASE-Tsiguen el estándar del modelo Ethernet, 10-Gigabit Ethernet continua laevolución de Ethernet en velocidad y distancia, mientras retiene lamisma arquitectura usada en otras especificaciones Ethernet, exceptopor un ingrediente clave.
• Dado que 10-Gigabit Ethernet es una tecnología full-duplex únicamente,no necesita del protocolo (CSMA/CD) Detección de Portadora deAcceso Múltiples/Detección de Colisiones usado en otras tecnologíasEthernet. En cualquier otro aspecto, 10-Gigabit Ethernet concuerda conel modelo original de Ethernet.
8/18/2019 DSPOI - Exposicion Oral
33/118
Arquitectura 10-GigabitEthernet
8/18/2019 DSPOI - Exposicion Oral
34/118
Arquitectura 10-Gigabit
EthernetCARACTERISICAS DE CAPA FISICA (PHY)• En la capa física (capa 1), un dispositivo de Ethernet de
capa física (PHY) conecta el medio óptico o de cobre a
la capa MAC a través de una tecnología de conectividad.• La arquitectura de Ethernet divide mas allá la capa física
en tres subcapas: Medio Físico Dependiente (PMD),Medio Físico Adjunto (PMA), y Subcapa de Codificación
Física(PCS). PMDs proveen la conexión física yseñalización al medio; los transceivers ópticos, porejemplo son PMDs. La PCS consiste de codificación (ej.:64B/66B) y un serializador o multiplexor.
8/18/2019 DSPOI - Exposicion Oral
35/118
Arquitectura 10-Gigabit
EthernetCARACTERISICAS DE CAPA FISICA (PHY)
• El estándar 802.3ae define dos tipos de PHY:• LAN PHY y
• WAN PHY.
Estos proveen la misma funcionalidad, excepto quePHY WAN tiene un conjunto de característicasextendido en la PCS que habilita la conectividad conredes SONET STS-192c/SHD VC-4-64c.
8/18/2019 DSPOI - Exposicion Oral
36/118
Arquitectura 10-Gigabit
Ethernet
8/18/2019 DSPOI - Exposicion Oral
37/118
Arquitectura 10-Gigabit
EthernetCARACTERISITICAS DE SUBCAPA MAC La capa de Control de Acceso al Medio mantienelas definiciones previas de Ethernet excepto por eluso del protocolo CSMA/CD puesto que en 10-Gigabit Ethernet solo se brindará soporte para full-duplex.
Esto a pesar de que la simplicidad de CSMA/CDaportó en gran medida al éxito de Ethernet.
8/18/2019 DSPOI - Exposicion Oral
38/118
Arquitectura 10-Gigabit
EthernetCARACTERISITICAS DE SUBCAPA MAC
El formato de la trama MAC mantiene laespecificación del estándar predecesor demanera que la integración con las redesexistentes sea lo mas uniforme, evitando además
la fragmentación y reensamblaje de las tramas .
8/18/2019 DSPOI - Exposicion Oral
39/118
Arquitectura 10-Gigabit
EthernetCARACTERISITICAS DE SUBCAPA MAC El formato de la trama MAC mantiene el tamaño de 64 octetos yconsta de los siguientes campos:
• Preámbulo: El preámbulo de 7 octetos contiene un patrón de0's y 1's alternados que son usados para permitir al receptorla sincronización del tiempo para alcanzar un estado estable.
• Delimitador de Inicio de la trama: El campo SFD es lasecuencia 10101011 usada para indicar el inicio de la trama.
• Campos de Dirección: Cada trama MAC contiene las
direcciones de origen y destino. Cada dirección tiene untamaño de 48 bits. El primero de los cuales es usado paraidentificar la dirección como una dirección individual (0) o ungrupo de direcciones (1). El segundo es usado para indicar sila dirección es definida localmente (1) o globalmente (0).
8/18/2019 DSPOI - Exposicion Oral
40/118
Arquitectura 10-Gigabit
EthernetCARACTERISITICAS DE SUBCAPA MAC • Longitud/Tipo: Si el número es menor que el tamaño
máximo de trama válida, indica la longitud de los datosdel cliente MAC. Si el numero es mayor o igual aldecimal 1536, representa el tipo de protocolo del clienteMAC.
• Datos y relleno: El relleno es opcional. Es necesarioúnicamente cuando el paquete de datos es maspequeño que 38 octetos para asegurar el tamaño de
trama mínimo de 64 octetos como está especificado enel estándar existente.
• Secuencia de chequeo de trama: El campo FCScontiene un código de redundancia cíclica de 32-bits.
TEMATICA
8/18/2019 DSPOI - Exposicion Oral
41/118
Protocolo IPv4.
• Es uno de los dos protocolos mas utilizadosdentro la Arquitectura TCP/IP.
• Es el encargado de la gestión de la entrega depaquetes entre los puntos finales.
• Pertenece a la suite de paquetes de la capa deInternet del modelo TCP/IP.
8/18/2019 DSPOI - Exposicion Oral
42/118
Protocolo IPv4.
• Es un protocolo no orientado a conexión, noconfiable.
• Las capas superiores en la arquitectura TCP/IPentregan los datos a IP y éste, los empaquetadentro de un datagrama IP.
• Las especificaciones IETF del protocolo IPv4están contenidas en el RFC 971.
8/18/2019 DSPOI - Exposicion Oral
43/118
Protocolo IPv4.DATAGRAMA IP
32 BITS
4 BITS 8 BITS 16 BITSVERSION HLEN TIPO DE SERVICIO LONGITUD TOTAL
IDENTIFICACION FLAGS FRAGMENT OFFSET
TTL PROTOCOLO HEADER CHECKSUM
DIRECCION DE ORIGEN
DIRECCION DE DESTINO
OPCIONES
DATOS
8/18/2019 DSPOI - Exposicion Oral
44/118
Protocolo IPv4.DIRECCION IP
• Una dirección IP es una dirección usada para identificar
de forma única a un dispositivo en una red IP.• Está formada por cuatro octetos (8 bits) para dar como
resultado una dirección de 32 bits separada por puntosy expresada en formato decimal.
• Una porción variable de la dirección identifica la red ala que se encuentra adherida y la otra porción tambiénvariable indica el host que la identifica.
8/18/2019 DSPOI - Exposicion Oral
45/118
Protocolo IPv4.
MASCARA DE SUBRED
• Al igual que las direcciones IP esta formada porcuatro octetos y expresada en formato decimal.
• La mascara de subred permite describir queporción de una dirección se refiere a la subred yque parte al host.
P l IP 4
8/18/2019 DSPOI - Exposicion Oral
46/118
Protocolo IPv4.
DIRECCIONAMIENTO CON CLASE
• Referido en ocaciones como "direccionamiento jerárquico", esel mecanismo inicial de direccionamiento IP, en la actualidad suuso es muy poco frecuente.
• Este esquema se dice que es auto identificable, dado quepermite identificar el limite entre prefijo y sufijo de la direcciónIP; esto, a partir de los tres bits de orden mayor de la dirección.
• El acelerado crecimiento del uso de las redes obligó a buscarnuevos esquemas de direccionamiento que superen laslimitaciones que suponen usar este esquema.
8/18/2019 DSPOI - Exposicion Oral
47/118
DIRECCIONAMIENTO CON CLASE
P l IP 4
8/18/2019 DSPOI - Exposicion Oral
48/118
Protocolo IPv4.
DIRECCIONAMIENTO CON CLASE
Este esquema jerárquico supone dos debilidadesimportantes:
• Dependencia de la ubicación de la dirección IPen la red.
• Tendencia al uso poco eficiente de la asignaciónde direcciones IP y su consecuente desperdicio.
P t l IP 4
8/18/2019 DSPOI - Exposicion Oral
49/118
Protocolo IPv4.
IPv4 SUBNET ADDRESSING
Es el direccionamiento de IPv4 mediante division de redes o"subnetting" :
• Si bien IPv6 plantea alternativas de solución para la yasaturada demanda de direcciones IP, deberá transcurrir untiempo hasta que ésta versión este ampliamente instalada.
• Entre tanto IPv6 sea adoptado como el protocolo standardpara Internet, existe una alternativa que brinda unmecanismo eficiente en el uso de direcciones IPdenominado subnetting.
P t l IP 4
8/18/2019 DSPOI - Exposicion Oral
50/118
Protocolo IPv4.
IPv4 SUBNET ADDRESSING
• Las subredes (subnetting) brindan flexibilidad al
mecanismo de direccionamiento IP. En ésteproceso, la porción local es subdividida en elcampo de subred y el campo de host.
• La asignación la hace de forma discrecional eladministrador de red, en tanto y en cuanto, serespeten las restricciones del estándar formalpara subredes.
P t l IP 4
8/18/2019 DSPOI - Exposicion Oral
51/118
Protocolo IPv4.
IPv4 SUBNET ADDRESSING
• Para el procedimiento de subnetting es
necesario tomar bits de la porción host.Dependiendo de la clase de dirección existe unlímite de bits que pueden ser "prestados".
Tamaño del campode host Máximo # de bitsprestados
Clase A 24 22
Clase B 16 14
Clase C 8 6
P t l IP 4
8/18/2019 DSPOI - Exposicion Oral
52/118
Protocolo IPv4.
IPv4 SUBNET ADDRESSING
• Para que los paquetes sean entregados efectivamente, elruteador realizará la operación lógica AND entre la
dirección IP de destino y su máscara de subred, elresultado es la dirección de red/subred a la que el destinopertenece.
• Se debe tomar en cuenta que al subdividir una red,implícitamente se generan una dirección de subred ybroadcast por cada nueva división. Estas direcciones dered/subred y broadcast no deben ser asignadas a hostalguno ni a sus interfaces.
8/18/2019 DSPOI - Exposicion Oral
53/118
Protocolo IPv4.DIRECCIONAMIENTO SIN CLASE
• El mecanismo de división de redes para superar lalimitación del número de direcciones IP, aun nobrindaba la flexibilidad de asignación de la cantidadde redes y/o hosts por red que en la práctica serequería.
• La respuesta a ésta necesidad dio origen a la técnicade subnetting aplicando Mascaras de Subred deLongitud Variable [Variable Lenght Subnet Masks(VLSM)] dentro un segmento de red dado.
8/18/2019 DSPOI - Exposicion Oral
54/118
Protocolo IPv4.DIRECCIONAMIENTO SIN CLASE
• Como se mencionó anteriormente, la versión 6 delprotocolo IP supera ésta restricción; sin embargo, auna la presente fecha, su implementación aun no esmasiva ni es el estándar oficial en Internet.
• La división de redes bajo el mecanismo VLSM permite
la coexistencia de redes grandes y pequeñas(indistintamente del numero de hosts) alcanzando unuso amplio y mas efectivo del espacio de direccionesIP.
8/18/2019 DSPOI - Exposicion Oral
55/118
Protocolo IPv4.DIRECCIONAMIENTO SIN CLASE
• No obstante a la flexibilidad brindada por VLSM, suadministración demanda de un mayor esfuerzo y precisión;
puesto que de otro modo, podría presentarse el caso en el queuna dirección es interpretada de forma diferente en dos redesfísicas, éste escenarios es conocido como ambigüedad dedirecciones.
•
Con el uso adecuado de VLSM se logra flexibilidad en ladivisión de redes; esta división por otro lado, incrementa lacantidad de subredes y las correspondientes rutas quepermitan a los ruteadores hacer una entrega eficientemente delos datagramas IP.
8/18/2019 DSPOI - Exposicion Oral
56/118
Protocolo IPv4.DIRECCIONAMIENTO SIN CLASE
• El crecimiento de las tablas de ruteo en términos delvolumen de paquetes a entregar y del procesamiento que
demandan esas operaciones, se tornan en factores críticospara la estabilidad y confiabilidad del proceso de ruteo.
• Nuevamente, la introducción de una nueva técnica dentrodel estándar se enfoca en resolver esta problemática. La
técnica se denomina Ruteo Inter-Dominio Sin Clase[Classless Inter-Domain Routing (CIDR)] y consiste encombinar multiples prefijos pequeños de red en un soloprefijo mas grande.
8/18/2019 DSPOI - Exposicion Oral
57/118
Protocolo IPv4.DIRECCIONAMIENTO SIN CLASE
• La combinación de rutas se conoce como
Agregación de Rutas, el resultante prefijo masgrande se lo llama también supernet . Este concepto"supernetting" contrasta con el de subnetting que esla división de bloques de direcciones.
• Las especificaciones IETF para la estrategia dedireccionamiento CIDR están contenidas en el RFC4632 (1518, 1519).
TEMATICA
8/18/2019 DSPOI - Exposicion Oral
58/118
Protocolo DHCP• El Protocolo de Configuración Dinámica de Host
DHCP permite la configuración automática de losparámetros de red en los hosts.
• Este procedimiento disminuye la probabilidad deerror al realizar esta tarea de forma manual.
•
El servicio DHCP instalado previamente en unhost servidor, contiene los rangos de direccionesIP a ser entregados, así como también los plazosde "arrendamiento".
8/18/2019 DSPOI - Exposicion Oral
59/118
Protocolo DHCP• Tanto los hosts, como el servicio DHCP, deben
estar conectados dentro del mismo segmento dered, puesto que el requerimiento se lo hace a
través del envío broadcast de un paquete dedescubrimiento DHCP solicitando al servicio unadirección IP.
•
El servicio luego de identificar una dirección libre,responderá a ésta petición mediante un paquetede ofrecimiento con los datos de la dirección IPasignada.
8/18/2019 DSPOI - Exposicion Oral
60/118
Protocolo DHCP
• El host arrendatario deberá solicitar una nueva
dirección antes de que el plazo dearrendamiento haya vencido.
• Es importante verificar que todas las direcciones
arrendadas hayan sido devueltas para evitarque éstas se pierdan.
8/18/2019 DSPOI - Exposicion Oral
61/118
Protocolo DHCP
• Comúnmente ademas de la dirección IP,información sobre la mascara de subred, IP de
la puerta de enlace predeterminada, servidor deDNS son enviados por el servicio de DHCP alhost.
• Las definiciones del protocolo DHCP estáncontenidas en la RFC 2131 y 2132.
8/18/2019 DSPOI - Exposicion Oral
62/118
Protocolo DHCP
CONFIGURACION EN LINUX
El procedimiento de instalación es el siguiente:[root@primary-ns ~]# yum -y install dhcpInstalled:dhcp.x86_64 12:4.3.1-12.fc21
Dependency Updated:
dhclient.x86_64 12:4.3.1-12.fc21 dhcp-common.x86_6412:4.3.1-12.fc21dhcp-libs.x86_64 12:4.3.1-12.fc21
Complete!
8/18/2019 DSPOI - Exposicion Oral
63/118
Protocolo DHCPCONFIGURACION EN LINUX
La instalación de dhcp crea el archivo de configuración /etc/dhcp/dhcpd.conf, mismo que inicialmente esta vacío.No obstante, el archivo de ejemplo /usr/share/doc/dhcp-version/dhcpd.conf.sample puede ser utilizadocomo base para configurar el servicio recién instalado:
DHCP también usa el archivo /var/lib/dhcpd/dhcpd.leases para almacenar la base de datos de“arrendamiento” a los clientes.
8/18/2019 DSPOI - Exposicion Oral
64/118
Protocolo DHCPCONFIGURACION EN LINUX
El primer paso al configurar un servidor DHCP es crear el archivo de configuración que almacena lainformación de red para los clientes. En este archivo se puede declarar opciones independientes y globaleslos sistemas clientes.
El archivo de configuración puede contener tabulaciones adicionales para mejor legibilidad. Las palabras
claves son case sensitive y las líneas que empiezan con el símbolo (#) son consideradas comentarios.
Hay dos tipos de declaraciones en un archivo de configuración:
• Parámetros - Declaran como realizar una tarea, ya sea para realizarla, o que opciones de configuración dered enviar al cliente.
• Declaraciones - Describen la topología de la red, los clientes, provee el direccionamiento para los clientes,o aplica un grupo de parámetros a un grupo de declaraciones.
Los parámetros que inician con la palabra clave opción son referidos como opciones. Estas opcionescontrolan opciones de DHCP así como configura valores de parámetros que no son opcionales o controlacomo se comporta el servidor DHCP.
Los parámetros (incluyendo opciones) declaradas antes de una sección encerrada entre paréntesis sonconsideradas parámetros globales. Los parámetros globales aplican a todas las secciones bajo éstos.
8/18/2019 DSPOI - Exposicion Oral
65/118
Protocolo DHCPCONFIGURACION EN LINUX
En el siguiente ejemplo, las opciones routers, subnet-mask, domain-search,domain-name-servers, y time-offset son usadas para cualquier sentenciahost declarada bajo ésta.
Adicionalmente, una subred puede ser declarada, su declaración debe estar incluidapara cada subred en la red. Caso contrario, falla el inicio del servidor DHCP.
Hay opciones globales para cada cliente DHCP en la subred y un rango declarado. Alos clientes les es asignada una dirección ip dentro del rango.
subnet 192.168.1.0 netmask 255.255.255.0 {
option routers 192.168.1.254; option subnet-mask 255.255.255.0;
option domain-search “grizzly-cave.com";
option domain-name-servers 192.168.1.1;
option time-offset -18000; # Eastern Standard Time
range 192.168.1.10 192.168.1.100;
}
8/18/2019 DSPOI - Exposicion Oral
66/118
Protocolo DHCPCONFIGURACION EN LINUX
Para configurar un servidor DHCP que rente una dirección IPdinámica a un sistema dentro de una subred, se requiere declarar untiempo predeterminado de renta, tiempo máximo de renta, y valoresde configuración de la red para los clientes.default-lease-time 600;
max-lease-time 7200;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.1.255;
option routers 192.168.1.254;option domain-name-servers 192.168.1.1, 192.168.1.2;
option domain-search "grizzly-cave.com";
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.10 192.168.1.100;
}
8/18/2019 DSPOI - Exposicion Oral
67/118
Protocolo DHCPCONFIGURACION EN LINUX
En el caso de requerir la asignación de una dirección IP basa enla dirección MAC de la tarjeta de red, se debe usar el parámetro
hardware ethernet dentro de la declaración host. Ej.: ladeclaración host gamebox especifica que la tarjeta de red con ladirección 00:0c:29:49:01:29 siempre recibe la dirección IP192.168.1.4: el parámetro opcional host-name también puedeser usado para asignar un nombre al cliente.
host gamebox { option host-name “gamebox.grizzly-cave.com";
hardware ethernet 00:0c:29:49:01:29;
fixed-address 192.168.1.4;
}
8/18/2019 DSPOI - Exposicion Oral
68/118
Protocolo DHCPCONFIGURACION EN LINUX
Todas las subredes que comparten la misma red física deberían ser declarar dentro dela declaración shared-network. Los parámetros dentro de shared-network, pero fuerade las declaraciones subnet, son consideradas como parámetros globales. El nombrede shared-network debe ser un titulo descriptivo para la red.
shared-network name {
option domain-search “test.grizzly-cave.com";
option domain-name-servers ns1.grizzly-cave.com, ns2.grizzly-cave.com;
option routers 192.168.0.254;
more parameters for GRIZZLY-CAVE shared-network
subnet 192.168.1.0 netmask 255.255.252.0 {
parameters for subnet
range 192.168.1.1 192.168.1.254; }
subnet 192.168.2.0 netmask 255.255.252.0 {
parameters for subnet
range 192.168.2.1 192.168.2.254;
}
}
8/18/2019 DSPOI - Exposicion Oral
69/118
Protocolo DHCPCONFIGURACION EN LINUX
Las declaraciones grupales group son usadas para aplicar parámetro globales a ungrupo de declaraciones. Ej.: shared network, subnet y hosts pueden ser agrupadas.
group {
option routers 192.168.1.254;
option subnet-mask 255.255.255.0; option domain-search "grizzly-cave.com";
option domain-name-servers 192.168.1.1;
option time-offset -18000; # Eastern Standard Time
host gamebox {
option host-name “gamebox.grizzly-cave.com";
hardware ethernet 00:0c:29:49:01:29;
fixed-address 192.168.1.4;
} host steve {
option host-name “steve.grizzly-cave.com";
hardware ethernet 00:A1:C3:F2:DD:74;
fixed-address 192.168.1.7;
}
}
8/18/2019 DSPOI - Exposicion Oral
70/118
Protocolo DNSConocido también como servidor de nombres, es un sistema de redque asocia nombres de equipos con su respectiva dirección IP.
• Para los usuarios, esto tiene la ventaja de que pueden referirse amaquinas en la red por sus nombres que usualmente son masfáciles de recordar que direcciones IP numéricas.
• Para los administradores de sistemas, el uso de nombres deservidores les permite cambiar direcciones IP para un host sinafectar de ninguna manera a las consultas basadas en nombre, o a
decidir que maquinas manejan estas consultas.• La clave de éste servicio radica en la conveniencia que le supone al
ser humano por ejemplo, recordar el nombre de una pagina webversus los cuatro octetos de la dirección IP del servidor que la aloja.
8/18/2019 DSPOI - Exposicion Oral
71/118
Protocolo DNS• DNS usualmente se implementa usando uno o mas servidores
centralizados que son autorizados para ciertos dominios.
• Cuando un host cliente solicita información de un nameserver , ésteusualmente se conecta al puerto 53. El NS entonces intentaresolver el nombre consultado.
• Si éste no tiene la respuesta autorizada, o no tiene aun la respuestaen cache por consultas previas, realiza la consulta a otros NS,llamados root nameservers o NS raíz, para determinar que NS esta
autorizado para los nombres consultados, luego los consulta paraobtener el nombre requerido.
• Las definiciones del protocolo DNS están contenidas en la RFC1034, 1035 y 2181.
8/18/2019 DSPOI - Exposicion Oral
72/118
Protocolo DNSZonas de Nameservers
En un servidor de DNS (ej.: BIND - Berkley Internet Name Domain), toda la informaciónes almacenada en elementos de datos básicos llamados registros de datos(resourcerecords ) RR. El registro de recurso generalmente es un nombre de dominio
completamente calificado(fully qualified domain name ) FQDN de un host, y este sedescompone en multiples secciones organizadas dentro de una jerarquía tipo árbol.Esta jerarquía consiste de un tronco principal (main trunk), ramas primarias (primarybranches), ramas secundarias (secondary branches), y así sucesivamente. Ej.:
cesar.research.grizzly-cave.com
Cada nivel de la jerarquía esta dividido por un punto (.) En el ejemplo, com define eldominio de nivel mas alto, grizzly-cave su subdominio, y research el subdominio degrizzly-cave. En éste caso, cesar identifica el registro de recurso RR que es parte deldominio research.grizzly-cave.com. Con excepción de la parte mas distante hacia laizquierda (esto es, cesar) cada una de estas secciones es llamada una zona y defineun espacio de nombres (namespace ) específico.
8/18/2019 DSPOI - Exposicion Oral
73/118
Protocolo DNS
Zonas de Nameservers
Cada nivel de la jerarquía esta dividido por un punto (.) En el ejemplo, com defineel dominio de nivel mas alto, grizzly-cave su subdominio, y research el
subdominio de grizzly-cave. En éste caso, cesar identifica el registro de recursoRR que es parte del dominio research.grizzly-cave.com. Con excepción de la partemas distante hacia la izquierda (esto es, cesar) cada una de estas secciones esllamada una zona y define un espacio de nombres (namespace ) específico.
Se han definido 2 tipos de namespaces de alto nivel: Genéricos y Paises.Conceptualmente existen 250 dominio de alto nivel. La administración de
nombrado de nivel mas alto es administrado por la ICAAN Corporacion de Internetpara la Asignación de Nombre y Números (Internet Corporation for AssignedNames and Numbers quienes absorbieron a IANA en 1998). Las asignaciones desegundo nivel las realizan los registradores (registrars) acreditados por la ICAAN
8/18/2019 DSPOI - Exposicion Oral
74/118
Protocolo DNSZonas de Nameservers
Genericas Países
aero com biz info gov net org … us au cn ec jp es
cisco washington ieee pmi edu
robot www
FQDN
8/18/2019 DSPOI - Exposicion Oral
75/118
Protocolo DNSZonas de Nameservers
Las zonas están definidas en NS autorizados a través del uso dearchivos de zonas, los cuales contienen definiciones de los registros
de recursos RR en cada zona.Los archivos de las Zonas están almacenados en los NS primarios(llamados también Master NS), donde se hacen los cambios a losarchivos, y los NS secundarios (llamados también Slave NS), loscuales reciben las definiciones de las zonas de los NS primarios.
Tanto los unos como los otros están autorizados para la zona y luceniguales para los clientes. Dependiendo de la configuración, cualquierNS puede también servir como servidor primario o secundario paramúltiples zonas al mismo tiempo.
8/18/2019 DSPOI - Exposicion Oral
76/118
Protocolo DNS
Tipos de Servidores de Nombres
Existen dos tipos de configuraciones de NS:
• Autorizado (authoritative) Los servidores autorizados respondena registros de recursos que son parte de sus zonas únicamente.Esta categoría incluye tanto NS primarios como secundarios.
• Recursivo (recursive) Los servidores recursivos ofrecen
servicios de resolución, pero no están autorizados para ningunazona. Las respuestas para todas las resoluciones sonalmacenadas en cache en una memoria por un periodo fijo, elcual esta especificado por el registro de recurso obtenido.
8/18/2019 DSPOI - Exposicion Oral
77/118
Protocolo DNSTipos de Servidores de Nombres
Aun cuando un nameserver puede ser tanto autorizado como recursivo a lavez, se recomienda no combinar los tipos de configuración. Para poderrealizar su trabajo, los servidores autorizados deberían estar disponibles
para los clientes todo el tiempo.
Por otro lado, dado que una consulta recursiva tarda mucho mas que lasrespuestas autorizadas, los servidores recursivos deberían estar disponiblespara un numero restringido de clientes únicamente, de otro modo sonsusceptibles a los ataques de denegación de servicio distribuidos
(Distributed Denial of Service DDoS ).
BIND consiste de un conjunto de programas relacionados al servicio DNS.Contiene un servidor de nombres monolítico llamado named , una utilidad deadministración llamada rndc , y una herramienta de depuración llamada dig .
8/18/2019 DSPOI - Exposicion Oral
78/118
Protocolo DNS
CONFIGURACION EN LINUX
La instalación procede de la siguiente manera:[root@primary-ns ~]# yum -y install bindInstalled:bind.x86_64 32:9.9.6-8.P1.fc21
Dependency Updated:bind-libs.x86_64 32:9.9.6-8.P1.fc21
bind-libs-lite.x86_64 32:9.9.6-8.P1.fc21bind-license.noarch 32:9.9.6-8.P1.fc21bind-utils.x86_64 32:9.9.6-8.P1.fc21
Complete!
8/18/2019 DSPOI - Exposicion Oral
79/118
Protocolo DNSCONFIGURACION EN LINUX
Concluida la instalación es necesario modificar el archivo /etc/named.conf que contiene laconfiguración principal del servicio. Adicionalmente en el directorio auxiliar /etc/named/ también seregistran archivos usados por el archivo principal de configuración.
El archivo de configuración consiste de una colección de sentencias con opciones anidadas yrodeadas por llaves. Como en la mayoría de archivos de configuración, es necesario cuidar la
sintaxis, puesto que errores de este tipo derivan en imposibilidad de iniciar el servicio named.statement-1 ["statement-1-name"] [statement-1-class] { option-1; option-2; option-N;};statement-2 ["statement-2-name"] [statement-2-class] { option-1;
option-2; option-N;};statement-N ["statement-N-name"] [statement-N-class] { option-1; option-2; option-N;};
8/18/2019 DSPOI - Exposicion Oral
80/118
Protocolo DNSCONFIGURACION EN LINUX
Los tipos de sentencias mas comunes en el archivo deconfiguración de BIND son:
acl: Permite definir listas de control de acceso sobre gruposde hosts.
include: Permite invocar archivos externos de manera quese limite el acceso y organización a información privilegiada.
options: Permite declarar opciones de configuraciónglobales así como predefinidas.
zones: Define las características de una zona.
8/18/2019 DSPOI - Exposicion Oral
81/118
Protocolo DNSCONFIGURACION EN LINUX
El nombre de la sentencia acl_name hace referencia a la lista de control de acceso, y la opciónelemento concordante ( match element) es usualmente una dirección IP individual 192.168.1.1 ouna notación CIDR 192.168.1.0/24. Ej.:
acl acl-name { match-element;
...};
ACL puede ser usado en combinación con otras sentencias, especialmente con options.
acl black-hats { 10.0.2.0/24; 192.168.0.0/24; 1234:5678::9abc/24;};
acl red-hats { 10.0.1.0/24;};options { blackhole { black-hats; }; allow-query { red-hats; }; allow-query-cache { red-hats; };};
8/18/2019 DSPOI - Exposicion Oral
82/118
Protocolo DNSCONFIGURACION EN LINUX
La sentencia include permite incluir archivos en el /etc/named.conf,de manera que los datos potencialmente sensibles puedan ser ubicadosen un archivo separado con acceso restringido. El archivo invocado deberser siempre referido con su ruta absoluta. Ej.:
include "/etc/named.rfc1912.zones";
La sentencia options permite definir opciones globales de configuracióndel servidor así como parámetros predeterminados para otras sentencias.Por ejemplo puede usarse para especificar la ubicación del directorio de
trabajo para named , el tipo de consultas permitidas, etc.options {
option;
...
};
8/18/2019 DSPOI - Exposicion Oral
83/118
8/18/2019 DSPOI - Exposicion Oral
84/118
Protocolo DNSCONFIGURACION EN LINUX
Los archivos de zonas contienen información acerca de un namespace.Estos están almacenados predeterminadamente en el directorio de trabajode named ubicado en /var/named/, y cada archivo de zona es nombrado
acorde con la opción del archivo en la sentencia zona, usualmente demanera que es relacione al dominio en cuestión e identifique el archivocomo contenedor de los datos de la zona.
Un archivo de zona consiste de directivas y registros e recursos. Lasdirectivas le indican al NS que ejecute las tareas o que aplique parámetros
especiales a la zona, los registros de recursos definen los parámetros de lazona y asignan identidades a los hosts individuales. Mientras las directivasson opcionales, los registros de recursos son requeridos con el fin deproveer el servicio de nombre a una zona. Todas las directivas y registrosde recursos deben ser ingresados en lineas individuales.
8/18/2019 DSPOI - Exposicion Oral
85/118
Protocolo DNSCONFIGURACION EN LINUX
Las Directivas Comunes son:
$INCLUDE: Esta directiva permite incluir otro archivo en el lugar en el que aparece, demanera que los parámetros de otro zona puedan ser almacenados en un archivo de zonaseparado. Ej.:
$INCLUDE /var/named/penguin.grizzly-cave.com
$ORIGIN: La directiva de origen permite agregar el nombre del dominio a registros nocalificados, como aquellos que tienen únicamente nombre de host. Se debe tener en cuentaque el uso de esta directiva no es necesario si la zona esta especificada en /etc/named.conf, dado que el nombre de la zona es usada predeterminadamente. Ej.:
$ORIGIN grizzly-cave.com.$TTL: Para definir el Tiempo de Vida predeterminado para la zona se usa la directiva Time toLive (TTL) $TTL, esto es, por cuanto tiempo es valido el registro de una zona. Cada registrode recurso puede contener su propio valor TTL, la cual sobreescribe esta directiva. Ej.:
$TTL 1D
8/18/2019 DSPOI - Exposicion Oral
86/118
Protocolo DNSCONFIGURACION EN LINUX
Los Registros de Recursos Comunes usados en las zonas son:
A: El registro de dirección Address especifica la dirección IP a ser asignada al nombre. A
The Address record specifies an IP address to be assigned to a name. It takes the following form:hostname IN A IP-address
If the hostname value is omitted, the record will point to the last specified hostname .
In Example 11.9, “Using the A resource record”, the requests for server1.example.com are pointed to 10.0.1.3 or 10.0.1.5.
Example 11.9. Using the A resource recordserver1 IN A 10.0.1.3 IN A 10.0.1.5
CNAME
The Canonical Name record maps one name to another. Because of this, this type of record is sometimes referred to as an alias record. It takes the following form:alias-name IN CNAME real-name
CNAME records are most commonly used to point to services that use a common naming scheme, such as www for Web servers. However, there are multiple restrictions for their usage:
" CNAME records should not point to other CNAME records. This is mainly to avoid possible infinite loops.
" CNAME records should not contain other resource record types (such as A, NS, MX, etc.). The only exception are DNSSEC related records (that is, RRSIG, NSEC, etc.) when the zone is signed."
Other resource record that point to the fully qualified domain name (FQDN) of a host (that is, NS, MX, PTR) should not point to a CNAME record.In Example 11.10, “Using the CNAME resource record”, the A record binds a hostname to an IP address, while the CNAME record points the commonly used www hostname to it.
Example 11.10. Using the CNAME resource recordserver1 IN A 10.0.1.5 www IN CNAME server1
MX
The Mail Exchange record specifies where the mail sent to a particular namespace controlled by this zone should go. It takes the following form:IN MX preference-value email-server-name
The email-server-name is a fully qualified domain name (FQDN). The preference-value allows numerical ranking of the email servers for a namespace, giving preference to some email systems over others. The MX resource record with the lowest preference-value is preferred over the others. However, multiple email servers can possess the same value to
distribute email tra#c evenly among them.In Example 11.11, “Using the MX resource record” , the first mail.example.com email server is preferred to the mail2.example.com email server when receiving email destined for the example.com domain.
Example
11.11.
Using the MX resource recordexample.com. IN MX 10 mail.example.com. IN MX 20 mail2.example.com.
NS
The Nameserver record announces authoritative nameservers for a particular zone. It takes the following form:IN NS nameserver-name
The nameserver-name should be a fully qualified domain name (FQDN). Note that when two nameservers are listed as authoritative for the domain, it is not important whether these nameservers are secondary nameservers, or if one of them is a primary server. They are both still considered authoritative.
Example
11.12.
Using the NS resource recordIN NS dns1.example.com.IN NS dns2.example.com.
PTR
The Pointer record points to another part of the namespace. It takes the following form:last-IP-digit IN PTR FQDN-of-system
The last-IP-digit directive is the last number in an IP address, and the FQDN-of-system is a fully qualified domain name (FQDN).
PTR records are primarily used for reverse name resolution, as they point IP addresses back to a particular name. Refer to Section 11.2.2.4.2, “A Reverse Name Resolution Zone File” for more examples of PTR records in use.SOA
The Start of Authority record announces important authoritative information about a namespace to the nameserver. Located after the directives, it is the first resource record in a zone file. It takes the following form:@ IN SOA primary-name-server hostmaster-email (
serial-number time-to-refresh time-to-retry time-to-expire minimum-TTL )
The directives are as follows:
" The @ symbol places the $ORIGIN directive (or the zone's name if the $ORIGIN directive is not set) as the namespace being defined by this SOA resource record.
" The primary-name-server directive is the hostname of the primary nameserver that is authoritative for this domain.
" The hostmaster-email directive is the email of the person to contact about the namespace.
" The serial-number directive is a numerical value incremented every time the zone file is altered to indicate it is time for the named service to reload the zone.
" The time-to-refresh directive is the numerical value secondary nameservers use to determine how long to wait before asking the primary nameserver if any changes have been made to the zone.
" The time-to-retry directive is a numerical value used by secondary nameservers to determine the length of time to wait before issuing a refresh request in the event that the primary nameserver is not answering. If the primary server has not replied to a refresh request before the amount of time specified in the time-to-expire directive elapses, the
secondary servers stop responding as an authority for requests concerning that namespace." In BIND 4 and 8, the minimum-TTL directive is the amount of time other nameservers cache the zone's information. In BIND 9, it defines how long negative answers are cached for. Caching of negative answers can be set to a maximum of 3 hours (that is, 3H).
When configuring BIND, all times are specified in seconds. However, it is possible to use abbreviations when specifying units of time other than seconds, such as minutes ( M ), hours (H), days (D), and weeks ( W ). Table 11.6, “Seconds compared to other time units” shows an amount of time in seconds and the equivalent time in another format.
The Address record specifies an IP address to be assigned to a name. It takes the following form:hostname IN A IP-address
If the hostname value is omitted, the record will point to the last specified hostname .
CNAME
TEMATICA
http://docs.fedoraproject.org/en-US/Fedora/15/html/Deployment_Guide/s2-bind-zone.html#tb-bind-secondshttp://docs.fedoraproject.org/en-US/Fedora/15/html/Deployment_Guide/s2-bind-zone.html#s3-bind-configuration-zone-reversehttp://docs.fedoraproject.org/en-US/Fedora/15/html/Deployment_Guide/s2-bind-zone.html#example-bind-zone-rr-mxhttp://docs.fedoraproject.org/en-US/Fedora/15/html/Deployment_Guide/s2-bind-zone.html#example-bind-zone-rr-cnamehttp://docs.fedoraproject.org/en-US/Fedora/15/html/Deployment_Guide/s2-bind-zone.html#example-bind-zone-rr-a
8/18/2019 DSPOI - Exposicion Oral
87/118
Protocolo DNSCONFIGURACION EN LINUX
Los Registros de Recursos Comunes usados en las zonasson:
A: El registro de dirección Address especifica la direcciónIP a ser asignada al nombre.
hostname IN A IP-address
Si el valor de hostname es omitido, el registro apuntará alúltimo hostname especificado.
server1 IN A 10.0.1.3
IN A 10.0.1.5
TEMATICA
8/18/2019 DSPOI - Exposicion Oral
88/118
Protocolos de Enrutamiento
ENRUTAMIENTO
• El enrutamiento es la función de entregar paquetesentre los extremos de la comunicación identificando la
mejor ruta. Esta función corresponde a variosprotocolos de la capa de Red (3) del modelo dereferencia OSI.
• En esta capa, los equipos son activos y autónomos enla medida en la que puede "decidir", que ruta tomarpara la entrega de paquetes basados en diferentesmétricas de referencia.
8/18/2019 DSPOI - Exposicion Oral
89/118
Protocolos de Enrutamiento
ENRUTAMIENTO
• El equipo toma la denominación de ruteador (router) yestará en capacidad de entregar paquetes a las redes
a las cuales esta conectado por una interfaz (puerto)con su respectiva dirección IP asignada.
• La entrega de paquetes depende de la dirección IP de
destino y la red a la que pertenece, éste calculo resultade la operación lógica AND entre la dirección IP dedestino y su respectiva mascara de subred; finalmente,se quita la porción de host y obtenemos la red.
8/18/2019 DSPOI - Exposicion Oral
90/118
Protocolos de Enrutamiento
ENRUTAMIENTO
• Los protocolos ruteables (Routed) son datos
siendo transportados a lo largo de la red. Ej. IP,IPX, AppleTalk, DECnet.
• Los protocolos no ruteables (Non Routable) no
soportan ser ruteados y asumen que todos loshosts que se comunicarán están en el mismosegmento de red. Ej.: NetBEUI, DLC, LAC, DRP.
8/18/2019 DSPOI - Exposicion Oral
91/118
Protocolos de Enrutamiento
ENRUTAMIENTO
• Los protocolos de enrutamiento (Routing)
dis t r ibuyen (anuncian) dinámicamenteinformación de enrutamiento a lo largo de todoslos ruteadores en la red y "aprenden" nuevasrutas hacia los otros ruteadores conectados a la
red, en base a lo cual cada ruteador puededeterminar el mejor camino a usar para entregarel tráfico. Ej.: d OSPF, RIP, EIGRP or BGP.
8/18/2019 DSPOI - Exposicion Oral
92/118
Protocolos de Enrutamiento
ENRUTAMIENTO
Estos protocolos de enrutamiento son responsables de:
• Enviar actualizaciones.
• Con el conocimiento adecuado.
• En el momento correcto y
• Acorde a la ubicación que mantienen sobre losdestinatarios de las actualizaciones.
8/18/2019 DSPOI - Exposicion Oral
93/118
Protocolos de Enrutamiento
ENRUTAMIENTO
• Los algoritmos de ruteo, mientras tanto, son esaparte del software de la capa de red,responsable de decidir por cual de las líneas de
salida deberá ser transmitido un paqueteentrante.
8/18/2019 DSPOI - Exposicion Oral
94/118
Protocolos de Enrutamiento
ENRUTAMIENTO
• Los protocolos de enrutamiento actúan ruteandoinformación tanto dentro, como entre, sistemas
autónomos*, lo que da lugar a su división en:
• Protocolos de Enrutamiento Interior (IGP). Ej: RIP, RIPv2,IGRP, EIGRP, OSPF.
• Protocolos de Enrutamiento Exterior (EGP). Ej. EGP, BGP:
* Un grupo de redes y ruteadores controlados por una solaautoridad administrativa se denomina Sistema Autónomo.
8/18/2019 DSPOI - Exposicion Oral
95/118
Protocolos de Enrutamiento
ENRUTAMIENTO
• En el caso de que sea necesario establecercomunicación entre dos hosts que comparten el
mismo segmento de red, no se requiere laintervención de un ruteador, éste es el caso del RuteoDirecto.
• En contraste, si los hosts a comunicarse estánconectados a redes diferentes, la participación delruteador es inevitable y en ese caso el Ruteo esIndirecto .
8/18/2019 DSPOI - Exposicion Oral
96/118
Protocolos de EnrutamientoENRUTAMIENTO
Los protocolos referidos anteriormente fundamentan su accionaren algoritmos de enrutamiento.
• Si el mantenimiento de las tablas de rutas se lo realizamanualmente se trata de Enrutamiento Estático , éste algoritmopresenta debilidades en la gestión actualizaciones y respuesta acambios de topología convirtiéndose en una debilidad.
• Cuando el proceso de actualización es automático y respondede igual forma ante cambios de topología enviandoactualizaciones de enrutamiento hacia otros routers, entonces elEnrutamiento es Dinámico .
8/18/2019 DSPOI - Exposicion Oral
97/118
Protocolos de Enrutamiento
ENRUTAMIENTO
Los algoritmos dinámicos de enrutamiento están clasificados.
• Si el mantenimiento de las tablas de rutas se lo realizamanualmente se trata de Enrutamiento Estático , éste algoritmopresenta debilidades en la gestión actualizaciones y respuesta acambios de topología convirtiéndose en una debilidad.
• Cuando el proceso de actualización es automático y respondede igual forma ante cambios de topología enviandoactualizaciones de enrutamiento hacia otros routers, entonces elEnrutamiento es Dinámico .
P l d E i
8/18/2019 DSPOI - Exposicion Oral
98/118
Protocolos de EnrutamientoENRUTAMIENTO
Existe otra clasificación para los algoritmos dinámicos deenrutamiento.
• Algoritmo Vector-Distancia*: Cada ruteador mantiene una listade todos los destinos conocidos en su FIB**. Cuando el ruteadorarranca, se inicializa la FIB para que contenga una entrada paracada red conectada directamente. Cada entrada en la FIBidentifica una red destino, un ruteador de un salto para alcanzarel destino, y la "distancia" a la red (de acuerdo a algunasmedidas de distancia).
*También conocido como algoritmo de Bellman-Ford en honor a los investigadores que lo desarrollaron.
**FIB (Forwarding Information Base): Base de Información de Retransmisión.
P l d E i
8/18/2019 DSPOI - Exposicion Oral
99/118
Protocolos de Enrutamiento
ENRUTAMIENTO
• Algoritmo Estado del Enlace*: Puede ser entendidocomo el mapa que tiene cada ruteador, y que muestra
todos los otros ruteadores y las redes a las cuales seconectan. En términos abstractos, los ruteadorescorresponden a nodos en un gráfico, y las redes queconectan ruteadores corresponden a los límites. Hay
un límite (enlace) entre dos nodos en el gráfico de latopología si y solo si el ruteador correspondientepuede comunicarse directamente.
* También conocido como algoritmo de Dijkstra
Protocolos de Enrutamiento
8/18/2019 DSPOI - Exposicion Oral
100/118
Protocolos de EnrutamientoRIP version 2
RIPv2 fue descrito primero en la RFC 1388 y RFC 1723; la RFCactual es 2453, escrita en Noviembre de 1998. Aunque losentornos actuales usan protocolos de enrolamiento avanzadoscomo OSPF y EIGRP, aun hay redes que utilizan RIP. La necesidad
de usar VLSMs y otros requerimientos indujo la definición deRIPv2.
Las mejoras de RIPv2 sobre RIPv1 en la habilidad de usar VLSM,con soporte para autenticación de rutas, y con multicasting deactualizaciones de ruta. RIPv2 soporta CIDR. Aun envíaactualizaciones cada 30 segundos y retiene el límite de 15 saltos;también usa actualizaciones disparadas. RIPv2 aun usa el puertoUDP 520; el proceso RIP es responsable de verificar el número deversión.
Protocolos de Enrutamiento
8/18/2019 DSPOI - Exposicion Oral
101/118
Protocolos de EnrutamientoRIP version 2
Retiene las estrategias de prevención de lazos deveneno reverso y conteo al infinito. La distanciasadministrativa de 120 de RIPv1 se mantiene. Finalmente,
RIPv2 usa la dirección IP 224.0.0.9 cuando se actualizala ruta multicast a otro ruteador RIP. Al igual que enRIPv1, RIPv2 resume las redes IP en los límites de lasredes. Es posible deshabitar auto-resumen si se requiere.
Se puede usar RIPv2 en redes pequeñas donde serequiere VLSM. También trabaja al límite de redes masgrandes.
Protocolos de Enrutamiento
8/18/2019 DSPOI - Exposicion Oral
102/118
Protocolos de EnrutamientoRIP version 2
Autenticación
La autenticación puede prevenir comunicaciones con cualquierruteador RIP que no estén planificados para que forme parte de la red,como una estación UNIX que este ejecutando routed. Unicamente las
actualizaciones RIP con la clave de autenticación son aceptadas. LaRFC 1723 define la autenticación simple de texto plano para RIPv2.
Autenticación MD5
Adicionalmente a las claves de texto plano, existen implementacionespropietarias que proveen la habilidad para usar autenticación Message
Digest 5 (MD5), la cual esta definida en la RFC 1321. Su algoritmotoma como entrada un mensaje de longitud arbitraria y produce unasalida de huella digital de 128-bits o mensaje asimilado de la entrada,haciéndolo mucho mas seguro que las claves de texto plano.
Protocolos de Enrutamiento
8/18/2019 DSPOI - Exposicion Oral
103/118
Protocolos de EnrutamientoRIP version 2
Base de Información de Retransmisión (FIB) RIPv2
RIPv2 mantiene una base de datos de tablas de ruteo como en la Versión1. La diferencia es que éste también mantiene información de la máscara
de subred. La siguiente lista repite la información de la tabla de RIPv1:• Dirección IP: Direcciones IP del host de destino o red, con máscara
de subred.
• Gateway: La primera puerta de enlace a lo largo del camino al destino.
• Interface: La red física que debe ser usada para alcanzar el destino.
• Métrica: Un número indicando el número de saltos hasta el destino.
• Temporizador: La cantidad de tiempo desde que la entrada de la rutafue actualizada por última vez.
Protocolos de Enrutamiento
8/18/2019 DSPOI - Exposicion Oral
104/118
Protocolos de EnrutamientoRIP version 2Formato del Mensaje RIPv2
El formato del mensaje RIPv2 aprovecha la ventaja de los camposno usados en el formato del mensaje RIPv1 al agregar mascarasde subred y otra información.
La siguientes es una descripción de cada campo:
• Comando: Indica si el paquete es un mensaje de petición o unarespuesta. El mensaje de petición pide que un ruteador envíetoda o parte de su tabla de ruteo. Los mensajes de respuesta
contiene entradas de la ruta. El ruteador envía la respuestaperiódicamente o como una contestación a una petición.
• Versión: Especifica la version de RIP usada. Se lo pone a 2para RIPv2 y a 1 para RIPv1.
Protocolos de Enrutamiento
8/18/2019 DSPOI - Exposicion Oral
105/118
Protocolos de EnrutamientoRIP version 2
Formato del Mensaje RIPv2
• AFI: Especifica la familia de dirección usada. RIP estadiseñado para transportar información de ruteo paradiferentes protocolos. Cada entrada tiene un AFI paraindicar el tipo de dirección especificada. El AFI para IP es2. El AFI se pone a 0xFFFF para la primera entrada paraindicar que el resto de la entrada contiene información deautenticación.
• Tag de Ruta: Provee un metodo pra distinguir entre rutasinternas (aprendidas via RIP) y rutas externas (aprendidaspor otros protocolos). Se puede agregar este atributoopcional durante la redistribución de protocolos de ruteo.
Protocolos de Enrutamiento
8/18/2019 DSPOI - Exposicion Oral
106/118
Protocolos de EnrutamientoRIP version 2
Formato del Mensaje RIPv2
• Dirección IP: Especifica la dirección IP(red) del destino.
• Máscara de subred: Contiene la máscara de subred
para el destino. SI éste campo es 0, no se haespecificado mascara de subred para la entrada.
• Siguiente salto: Indica la dirección IP del siguiente saltodonde los paquetes son enviado para alcanzar sudestino.
• Métrica: Indica cuantos saltos de ruteador para alcanzarel destino. La Métrica esta entre 1 y 15 para una rutaválida o 16 para una inalcanzable o ruta infinita.
Protocolos de Enrutamiento
8/18/2019 DSPOI - Exposicion Oral
107/118
otoco os de uta e toRIP version 2Formato del Mensaje RIPv2
Nuevamente, como en la Versión 1, el ruteador permite hasta 25ocurrencias de las últimas cinco palabras de 32-bits (20 bytes) parahasta 25 rutas por mensaje RIP. Si el AFI especifica un mensajeautenticado, el ruteador puede especificar únicamente 24 entradaspara la tabla de ruteo. Las actualizaciones son enviadas a ladirección multicast 224.0.0.9.
Temporizadores RIPv2
Los temporizadores RIPv2 son los mismos que en la Versión 1. Se
envían actualizaciones periódicas cada 30 segundos. Eltemporizador predeterminado inválido es 180 segundos, eltemporizador holddown es 180 segundos, y el temporizador flush es240 segundos. Se puede escribir esta lista como 30/180/180/240representando a los temporizadores U/I/H/F.
Protocolo de Enrutamiento
8/18/2019 DSPOI - Exposicion Oral
108/118
OSPFUno de los protocolos de puerta de enlace interna mascomúnmente usados en enlaces IP. OSPFv2 es un protocolo deestándar abierto que provee enrutamiento para IPv4. OSPFv3ofrece algunas mejoras para IPv6. OSPF es un protocolo
complejo que esta hecho de varios handshakes de protocolo,anuncios de base de datos y tipos de paquetes.
OSPF es un protocolo de enrutamiento de puerta de enlaceque usa estado de enlace en lugar distancia vector para laselección de la ruta. OSPF propaga anuncios del estado del
enlace (LSA) en lugar de actualizaciones a las tablas de ruteo.Dado que lo único que se intercambia son LSAs en lugar deentradas de tablas de ruteo, las redes OSPF convergen de unamanera oportuna.
Protocolo de Enrutamiento
8/18/2019 DSPOI - Exposicion Oral
109/118
OSPF
OSPF usa un algoritmo estado del enlace paraconstruir y calcular el camino mas corto paratodos los destinos conocidos. Cada ruteador enun área OSPF contiene una base de datos deestado del enlace idéntica, la cual es una lista de
cada uno de las interfaces utilizables del ruteadory de vecinos alcanzables.
Protocolo de Enrutamiento
8/18/2019 DSPOI - Exposicion Oral
110/118
OSPFEstableciendo Relaciones OSPF con los Vecinos
OSPF es un protocolo de estado del enlace basado en unestándar abierto. A un nivel alto, la operación consiste de treselementos principales: descubrimiento de los vecinos, intercambiode información dl estado del enlace, y cálculo del mejor camino.
Para calcular el mejor camino, OSPF usa primero el camino mascorto (SPF) o algoritmo de Dijkstra. La información de entradapara cálculo del SPF es la información de estado del enlace, la
cual es intercambiada entre ruteadores usando diferente tipos demensajes OSPF. Estos tipos de empajes ayudan a mejorar laconvergencia y escalabilidad en implementaciones OSPFmultitarea.
Protocolo de Enrutamiento
8/18/2019 DSPOI - Exposicion Oral
111/118
OSPF
Estableciendo Relaciones OSPF con losVecinos
OSPF soporta varios tipos de red diferentes. Lascuales permiten configurar OSPF sobre una
variedad diferente de tecnologías de redprimarias.
Protocolo de Enrutamiento
8/18/2019 DSPOI - Exposicion Oral
112/118
OSPFCaracterísticas de OSPF
OSPF fue desarrollado por Equipo de Trabajo de Ingenieríade Internet (IETF) para resolver las limitaciones de losprotocolos de enrutamiento distancia vector. Una de lasprincipales razones porque OSPF es ampliamenteimplementado en las redes empresariales de hoy en día esel hecho de que éste es un estándar abierto; OSPF no espropietario. La Versión 1 del protocolo esta descrito la RFC
1131. La versión actual usada para IPv4, Versión 2, estaespecificada en la RFC 1247 y 2328. OSPF Versión 3, lacual es usada en redes IPv6, esta especificada en la RFC5340.
Protocolo de Enrutamiento
8/18/2019 DSPOI - Exposicion Oral
113/118
OSPF
Características de OSPF
OSPF ofrece un gran nivel de escalabilidad yconvergencia rápida. A pesar de que ésta es deconfiguración relativamente simple en redes detamaño pequeño y mediano, la implementación
OSPF y la resolución de problemas en redes degran escala puede en ocasiones ser desafiante.
Protocolo de Enrutamiento
8/18/2019 DSPOI - Exposicion Oral
114/118
OSPFCaracterísticas de OSPF
Las características claves del protocolo OSPF son las siguientes:
• Transporte independiente: OSPF trabaja en la parte mas alta de IP y usael protocolo número 89. No depende de funciones de los protocolos TCP o
UDP de la capa de tranporte.• Uso eficiente de las actualizaciones: Cuando un ruteador OSPF
descubre primero un nuevo vecino, éste envía una actualización completacon toda la información del estado del enlace. Todos los ruteadores dentrode un área OSPF deben tener información del estado del enlace idéntica ysincronizada en sus bases de datos de estado del enlace OSPF. Cuando
una red OSPF está en estado convergente y viene un nuevo enlace o unenlace se vuelve no disponible, el ruteador OSPF envía únicamente unaactualización parcial a todos sus vecinos. Esta actualización seráinundada a todos los ruteadores OSPF dentro de un área.
Protocolo de Enrutamiento
8/18/2019 DSPOI - Exposicion Oral
115/118
OSPF• Métrica: OSPF usa una métrica que está basada en los costos
acumulados de todas las interfaces de origen a destino. Los costosde la interface son inversamente proporcionales al ancho de bandade la interface y pueden tambien ser definidos explicitamente.
• Actualización de la dirección de destino: OSPF usa multicast yunicast, en lugar de broadcast, para envío de mensajes. Lasdirecciones multicast IPv4 usadas por OSPF son 224.0.0.5 paraenviar información a todos los ruteadores OSPF y 224.0.0.6 paraenviar información a ruteadores DR/BDR. Las direcciones multicastIPv6 son FF02::5 para todos los ruteadores OSPFv3 y FF02::6 para
todos los ruteadores DR/BDR. Si las redes primarias no tienescapacidades de broadcast, se deben establecer relaciones OSPFcon los vecinos usando una dirección unicast. Para IPv6, éstadirección será una dirección IPv6 de enlace local.
Protocolo de Enrutamiento
8/18/2019 DSPOI - Exposicion Oral
116/118
OSPF• Soporte para VLSM: OSPF es un protocolo de ruteo sin
clase. Soporta enmascaramiento de red de longitudvariable (VLSM) y redes marginales. Este portainformación de la máscara de subred las actualizaciones
de las rutas.• Resumen de rutas manual: Es posible resumir
manualmente rutas OSPF inter-área en el Area de Fronteradel Ruteador (ABR), y es posible resumir rutas OSPFexternas en el Límite del Sistema Autónomo del Ruteador(ASBR). OSPF no sabe el concepto de auto resumen.
• Autenticación: OSPF soporta autenticación de texto-claro, MD5 y SHA.
Bibliografía
8/18/2019 DSPOI - Exposicion Oral
117/118
Bibliografía
• Funcionalidad
• Características
8/18/2019 DSPOI - Exposicion Oral
118/118