Ud7.

Configuracin y
administracin de
encaminadores (routers)

1 Administracin de Sistemas
Informticos en Red (A.S.I.R.)

Inmaculada Beln

Objetivos (I)
Al finalizar esta unidad de trabajo, los alumnos debern ser
capaces de:
Interpretar la informacin que proporcionan los indicadores
luminosos del encaminador.
Utilizar distintos mtodos para acceder al modo de
configuracin del encaminador.
Identificar las etapas de la secuencia de arranque del
encaminador.
Utilizar los comandos para la configuracin y
administracin bsicas del encaminador.
Identificar los archivos que guardan la configuracin del
encaminador y los comandos que se usan para su gestin.
Inmaculada Beln

Objetivos (II)
Al finalizar esta unidad de trabajo, los alumnos debern ser
capaces de:
Configurar rutas estticas.
Utilizar los comandos proporcionados por el sistema
operativo del encaminador que permiten hacer el
seguimiento de posibles incidencias.
Describir las capacidades de filtrado de trfico del
encaminador.
Utilizar comandos para gestionar listas de control de
acceso.

Inmaculada Beln

Contenidos
INTRODUCCIN
Componentes del encaminador
CONFIGURACIN DE LAS CONEXIONES
Formas de conexin al router para su configuracin inicial. Puertos y
acceso remoto (http, telnet).
Modos de configuracin. Archivos de configuracin. Contraseas de
acceso. Configuracin de interfaces.
Configuracin de una conexin Ethernet
Configuracin de una conexin Serie
LISTAS DE CONTROL DE ACCESO
Mscaras wildcard
Creacin de una ACL
CONFIGURACIN DEL ENCAMINAMIENTO ESTTICO
Mostrar la tabla de rutas.
Aadir/eliminar rutas estticas.

Inmaculada Beln

Introduccin (I)
En el centro de la red se encuentra el router conectando una red
con otra. La efectividad de las comunicaciones de internetwork
depende, en gran medida, de la capacidad de los routers de reenviar
paquetes de la manera ms eficiente posible.
Adems del reenvo de paquetes, un router tambin proporciona
otros servicios:
Aseguran la disponibilidad las 24 horas del da, los 7 das de la
semana manteniendo rutas alternativas en caso de que la ruta
principal falle.
Proveen servicios integrados de datos, video y voz en redes
conectadas por cable o inalmbricas (priorizan los paquetes IP
segn QoS).
Disminuyen el impacto de gusanos, virus y otros ataques en la
red mediante la autorizacin o el rechazo del reenvo de
paquetes.
Inmaculada Beln

Introduccin (II)
Un router tiene varias interfaces, cada una de las cuales pertenece a
una red IP diferente. Cuando un router recibe un paquete IP en una
interfaz, determina qu interfaz usar para reenviar el paquete hacia
su destino. La interfaz que usa el router para reenviar el paquete
puede ser la red del destino final del paquete (la red con la direccin
IP de destino de este paquete), o puede ser una red conectada a otro
router que se usa para llegar a la red de destino.
Generalmente, cada red a la que se conecta un router requiere una
interfaz separada. Estas interfaces se usan para conectar una
combinacin de Redes de rea local (LAN) y Redes de rea extensa
(WAN). Por lo general, las LAN son redes Ethernet que contienen
dispositivos como PC, impresoras y servidores. Las WAN se usan
para conectar redes a travs de un rea geogrfica extensa. Por
ejemplo, una conexin WAN comnmente se usa para conectar una
LAN a la red del Proveedor de servicios de Internet (ISP).
Inmaculada Beln

Apariencia fsica de un router (I)

Parte delantera:
Indicadores luminosos
Parte trasera:
Puerto auxiliar
Puerto de consola
Puertos Fast Ethernet.
Ranuras de interfaz WAN de alta velocidad.
Ranuras de interfaz WAN de alta velocidad con deteccin
automtica100BASE-TX/10BASE-T.
Mdulo flash .

Componentes de un router (I)

Fuente de alimentacin
Ventilador
CPU: ejecuta las instrucciones del sistema operativo, como la inicializacin
del sistema y las funciones de enrutamiento y conmutacin.
NVRAM: Para almacenamiento permanente del archivo de configuracin
de inicio (startup-config). Retiene sus contenidos incluso cuando el router
se recarga o se apaga.
SDRAM: almacena las instrucciones y los datos necesarios que la CPU
debe ejecutar: Sistema operativo, archivo de configuracin en ejecucin
(running-config), tabla de enrutamiento IP, cache ARP, bfer de paquetes.
ROM: Para almacenar permanentemente software bsico de diagnstico y
versin ms bsica del IOS (bootstrap).
Memoria Flash: Se usa como almacenamiento permanente (y rpido) para
el sistema operativo, Cisco IOS. Consiste en tarjetas SIMM o PCMCIA,
que pueden actualizarse para aumentar la cantidad de memoria flash.

Componentes de un router (II)

Proceso de arranque (I)

El proceso de arranque est conformado por cuatro etapas principales:
1. Ejecucin del POST (Autodiagnstico al encender)
2. Carga del programa bootstrap
3. Ubicacin y carga del software Cisco IOS
4. Ubicacin y carga del archivo de configuracin de inicio o ingreso al
modo setup

Proceso de arranque (II)

1. Ejecucin del POST (Autodiagnstico al encender)
Proceso comn que ocurre en casi todos los ordenadores durante el
arranque. El proceso de POST se utiliza para probar el hardware del router.
Cuando se enciende el router, el software en el chip de la ROM ejecuta el
POST. Durante esta autocomprobacin, el router ejecuta diagnsticos
desde la ROM a varios componentes de hardware, entre ellos la CPU, la
RAM y la NVRAM. Una vez finalizado el POST, el router ejecuta el
programa bootstrap.

Proceso de arranque (III)

2. Carga del programa bootstrap
Despus del POST, el programa bootstrap se copia de la ROM a la RAM.
Una vez en la RAM, la CPU ejecuta las instrucciones del programa
bootstrap. La tarea principal del programa bootstrap es ubicar al Cisco IOS
y cargarlo en la RAM.
Si existe una conexin de consola al router, comenzarn a aparecer los
resultados en la pantalla.

Proceso de arranque (IV)

3. Ubicacin y carga del Cisco IOS
El IOS normalmente se almacena en la memoria flash, pero tambin puede
almacenarse en otros lugares como un servidor de protocolo de
transferencia de archivos trivial (TFTP, Trivial File Transfer Protocol).
Si no se puede localizar una imagen completa del IOS, se copia una
versin ms bsica del IOS desde la ROM a la RAM. Esta versin del IOS
se usa para ayudar a diagnosticar cualquier problema y puede usarse para
cargar una versin completa del IOS en la RAM.
Algunos de los routers Cisco ms antiguos ejecutan el IOS directamente
desde la memoria flash, pero los modelos actuales copian el IOS a la RAM
para que la CPU lo ejecute.
Una vez que el IOS empieza a cargarse, puede verse una secuencia de
signos numerales (#), como se muestra en la figura, mientras la imagen se
descomprime.

Proceso de arranque (V)

4. Ubicacin y carga del archivo de configuracin
Despus de cargar el IOS, el programa bootstrap busca en la NVRAM el
archivo de configuracin de inicio, conocido como startup-config. El archivo
contiene los parmetros y comandos de configuracin previamente
guardados, entre ellos:
direcciones de interfaz
informacin de enrutamiento
contraseas
cualquier otra configuracin guardada por el administrador de red
Si el archivo de configuracin de inicio, startup-config, se encuentra en la
NVRAM, se copia a la RAM como el archivo de configuracin en ejecucin,
running-config.

Proceso de arranque (VI)

4. Ubicacin y carga del archivo de configuracin
Si el archivo de configuracin de inicio no existe en la NVRAM, el router
puede buscar un servidor TFTP. Esta situacin har que el router haga una
pausa, pero finalmente se ver un mensaje de consola como el siguiente:
%Error opening tftp://255.255.255.255/network-confg (Timed out)
%Error opening tftp://255.255.255.255/cisconet.cfg (Timed out)
Si se encuentra un archivo de configuracin de inicio en la NVRAM, el IOS
lo carga en la RAM como el running-config y ejecuta los comandos del
archivo, de a una lnea por vez.
Ingreso al modo Setup (opcional): si no puede localizarse el archivo de
configuracin de inicio, el router indica al usuario que ingrese en el modo
Setup. El modo Setup consiste en una serie de preguntas que solicitan al
usuario informacin de configuracin bsica.

Configuracin bsica (I)

Denominar el router
Configurar contraseas
Configurar un mensaje
Configurar interfaces:
Un enlace serie punto a punto tiene un DTE en un extremo del cable
y la marca DCE en el otro extremo. El router que tiene el extremo
DCE del cable conectado a su interfaz serie necesitar la
configuracin del comando adicional clock rate. (solamente es
necesario en un entorno de laboratorio)
R1(config-if)#clock rate 64000

Guardar los cambios realizados en un router

Verificar la configuracin bsica y las operaciones del router

Configuracin bsica (II)

Configuracin bsica (III)

Configuracin bsica (IV)

Configuracin bsica (V)

Configuracin bsica (VI)

Configuracin bsica (VII)

Router> show flash: para determinar la memoria flash usada y libre.
Router> show clock: para mostrar el reloj del sistema.
Router> show users: para mostrar los usuarios conectados va telnet.
Router> show interfaces serial 0/0/0: para mostrar informacin de una
determinada interfaz
Router> show sessions: para mostrar de las conexiones telnet activas
Router> show ip interface f0/0: para mostrar informacin de la
configuracin IP de una determinada interfaz
Router(config)# banner motd #Bienvenido al router#: mensaje de
bienvenida
Router(config)# banner login #Bienvenido por telnet#: mensaje de
bienvenida a usuarios conectados por telnet.
Router(config)# service pasword-encryption: habilita el servicio de
encriptacin de claves en el fichero running-config.

Configuracin de interfaces (I)

Configuracin de una interfaz serie
La capa fsica WAN describe la interfaz entre el equipo terminal de datos
(DTE) y el equipo de terminacin de circuitos de datos (DCE: proveedor
del servicio).
Las interfaces serie necesitan una seal de temporizacin para controlar
los tiempos de la comunicacin. El dispositivo DCE proporciona la
temporizacin. De manera predeterminada, los routers Cisco son
dispositivos DTE. Sin embargo, en un entorno de laboratorio, uno de los
routers realiza la funcin de DCE. La interfaz serie se encontrar en estado
up slo despus de que el otro extremo del enlace tambin haya sido
configurado correctamente.

Configuracin de interfaces (II)

Configuracin de una interfaz serie
Para configurar un router para que acte como dispositivo DCE:
1. Conectar el extremo DCE del cable a la interfaz serie.
2. Configurar la seal de temporizacin de la interfaz serie (Las frecuencias de
reloj disponibles, en bits por segundo, son 1200, 2400, 9600, 19200,
38400, 56000, 64000, 72000, 125000, 148000, 500000, 800000, 1000000,
1300000, 2000000 y 4000000)
R1(config)#interface serial 0/0/0
R1(config-if)#clock rate 64000
01:10:28: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed
state to up

Configuracin de interfaces (III)

Configuracin de una interfaz serie
Si se conecta un cable entre los dos routers, puede utilizar el comando
show controllers para determinar qu extremo del cable est conectado a
esa interfaz. En los resultados del comando, observe que R1 tiene el cable
DCE conectado a su interfaz serial 0/0 y que la frecuencia de reloj no est
configurada.
R1#show controllers serial 0/0/0
Interface Serial0/0/0
Hardware is PowerQUICC MPC860
DCE V.35, no clock
<resultado omitido>

Enrutamiento (I)
La principal responsabilidad de un router es dirigir los paquetes
destinados a redes locales y remotas mediante:
La determinacin del mejor camino para enviar paquetes
El reenvo de los paquetes a su destino
El router usa su tabla de enrutamiento para determinar el mejor
camino para reenviar el paquete. Cuando el router recibe un
paquete, examina su direccin IP de destino y busca la mejor
coincidencia con una direccin de red en la tabla de enrutamiento
del router. La tabla de enrutamiento tambin incluye la interfaz que
se utilizar para reenviar el paquete. Cuando se encuentra una
coincidencia, el router encapsula el paquete IP en la trama de
enlace de datos de la interfaz de salida. Luego, el paquete se
reenva hacia su destino.

Inmaculada Beln

Enrutamiento (II)
Es muy probable que un router reciba un paquete encapsulado en
un tipo de trama de enlace de datos, como una trama de Ethernet, y
al reenviar el paquete, el router lo encapsular en otro tipo de trama
de enlace de datos, como el Protocolo punto a punto (PPP, Point-toPoint Protocol). La encapsulacin de enlace de datos depende del
tipo de interfaz del router y del tipo de medio al que se conecta. Las
diferentes tecnologas de enlace de datos a las que se conecta un
router pueden incluir tecnologas LAN, como Ethernet, y conexiones
seriales WAN: PPP, Frame Relay y Modo de transferencia
asncrona (ATM).
Los routers usan protocolos de rutas estticas y de enrutamiento
dinmico para detectar redes remotas y crear sus tablas de
enrutamiento.

Inmaculada Beln

Enrutamiento (III)
La tabla de enrutamiento consta de tres tipos de rutas:
Redes conectadas directamente: detectadas
automticamente una vez que se habilita una interfaz del
router.
Rutas estticas: configuradas manualmente por el
administrador.
Rutas dinmicas: aprendidas por el router mediante algn
protocolo de enrutamiento dinmico.

Inmaculada Beln

Enrutamiento (IV)
La tabla de enrutamiento se muestra con el comando show ip route.
En un principio, slo muestra las redes conectadas directamente del router.
Para cada red enumerada en la tabla de enrutamiento, se incluye la
siguiente informacin:
C: ruta conectada directamente.
192.168.1.0/24: es la direccin de red y la mscara de subred de la red
remota o conectada directamente.
FastEthernet 0/0: interfaz de salida o la direccin IP del router del
siguiente salto.

Inmaculada Beln

Enrutamiento (V)
Cuando la tabla de enrutamiento incluye una entrada de ruta
(esttica o dinmica) para una red remota se incluye informacin
adicional, como la mtrica de enrutamiento y la distancia
administrativa.
Los PC tambin tienen una tabla de enrutamiento. Se visualiza con
el comando route print (redes de broadcast, multicast, loopback,
conectadas o de gateway predeterminado que estn configuradas o
adquiridas).

Inmaculada Beln

Descubrir redes con CDP (I)

El protocolo de descubrimiento de Cisco (CDP) es una herramienta utilizada
por administradores de red para obtener informacin acerca de los
dispositivos Cisco conectados directamente.
De manera predeterminada, cada dispositivo Cisco enva mensajes
peridicos, conocidos como publicaciones CDP .
El CDP funciona slo en la Capa 2. Por lo tanto, los vecinos del CDP son
dispositivos Cisco que estn conectados fsicamente en forma directa y
comparten el mismo enlace de datos.
El CDP publica de cada dispositivo vecino de CDP:
Identificadores de dispositivos: por ejemplo, el nombre .
Lista de direcciones: hasta una direccin de capa de red para cada
protocolo admitido.
Identificador de puerto: el nombre del puerto local y remoto en forma
de una cadena de caracteres ASCII, como por ejemplo, ethernet0.
Lista de capacidades: si el dispositivo es un router o un switch.
Plataforma: la plataforma de hardware del dispositivo; por ejemplo,
un router Cisco serie 7200
Inmaculada Beln

Descubrir redes con CDP (II)

Cuando arranca un dispositivo Cisco, el CDP se inicia de manera
predeterminada. El CDP descubre automticamente los dispositivos Cisco
que ejecutan el CDP, independientemente de qu protocolo o conjunto de
aplicaciones se ejecuta.

Inmaculada Beln

Rutas estticas (I)

Una ruta esttica incluye la direccin de red y la mscara de
subred de la red remota, junto con la direccin IP del router del
siguiente salto o la interfaz de salida. Se indican con el cdigo S en
la tabla de enrutamiento.

Inmaculada Beln

Rutas estticas (II)

Las rutas estticas se recomiendan en los siguientes casos:
Una red est compuesta por unos pocos routers.
Una red se conecta a Internet solamente a travs de un nico
ISP. No es necesario usar un protocolo de enrutamiento
dinmico a travs de este enlace porque el ISP representa el
nico punto de salida hacia Internet.
Una red extensa est configurada con una topologa hub-andspoke. Una topologa hub-and-spoke comprende una ubicacin
central (el hub) y mltiples ubicaciones de sucursales (spokes),
donde cada spoke tiene solamente una conexin al hub. El uso
del enrutamiento dinmico sera innecesario porque cada
sucursal tiene un nico camino hacia un destino determinado, a
travs de la ubicacin central.

Inmaculada Beln

Rutas estticas (III)

Rutas estticas con direccin del siguiente salto:
Para crearla:
Router(config)#ip route network-address subnet-mask {ip-address |
exit-interface }
network-address: direccin de red de destino de la red remota que
se deber agregar en la tabla de enrutamiento.
subnet-mask: mscara de subred de la red remota que se deber
agregar en la tabla de enrutamiento. La mscara de subred puede
modificarse para resumir un grupo de redes.
ip-address: generalmente denominada direccin IP del router de
siguiente salto.

Inmaculada Beln

Rutas estticas (IV)

Rutas estticas con direccin del siguiente salto:
Para verificarla:
Router#show ip route
Router#show running-config
Para borrarla:
Router(config)#no ip route network-address subnet-mask {ip-address |
exit-interface }

Inmaculada Beln

Rutas estticas (V)

Rutas estticas con interfaz de salida
Para crearla:
Router(config)#ip route network-address subnet-mask {ip-address |
exit-interface }
network-address: direccin de red de destino de la red remota que
se deber agregar en la tabla de enrutamiento.
subnet-mask: mscara de subred de la red remota que se deber
agregar en la tabla de enrutamiento. La mscara de subred puede
modificarse para resumir un grupo de redes.
exit-interface: interfaz de salida que se debera utilizar para
reenviar paquetes a la red de destino.

Inmaculada Beln

Rutas estticas (VI)

Rutas estticas con direccin del siguiente salto:
Para verificarla:
Router#show ip route
Router#show running-config
Para borrarla:
Router(config)#no ip route network-address subnet-mask {ip-address |
exit-interface }

Inmaculada Beln

Rutas estticas predeterminadas(I)

Una ruta esttica predeterminada es una ruta que coincidir con
todos los paquetes. Se utilizan en los siguientes casos:
Cuando ninguna otra ruta de la tabla de enrutamiento coincide
con la direccin IP de destino del paquete. Se utilizan
comnmente cuando se conecta un router perifrico de una
compaa a la red ISP.
Cuando un router tiene otro router nico al que est conectado.
Esta condicin se conoce como router de conexin nica.

Inmaculada Beln

Rutas estticas predeterminadas(II)

Configuracin de una ruta esttica predeterminada
La direccin de red es 0.0.0.0 y la mscara de subred es 0.0.0.0
(ruta quad-zero):
Router(config)#ip route 0.0.0.0 0.0.0.0 [exit-interface | ip-address ]
Verificacin de una ruta esttica predeterminada
Router# show ip route
S* 0.0.0.0/0 is directly connected, Serial0/0/0
El * junto a la letra S indica que esta ruta esttica es una ruta
candidata predeterminada.
La clave para esta configuracin es la mscara /0 que indica que no
debe coincidir ningn bit. Siempre y cuando no exista una
coincidencia ms especfica, la ruta esttica predeterminada
coincidir con todos los paquetes.
Inmaculada Beln

Rutas estticas sumarizadas(I)

Sumarizacin de ruta para reducir la tabla de enrutamiento
Podemos utilizar una sola direccin de red para representar
mltiples subredes. Por ejemplo, las redes 10.0.0.0/16, 10.1.0.0/16,
10.2.0.0/16, 10.3.0.0/16, 10.4.0.0/16, 10.5.0.0/16, hasta
10.255.0.0/16, pueden representarse con una sola direccin de red:
10.0.0.0/8.
Es posible sumarizar redes (sumarizar rutas) si:
las redes de destino se pueden resumir en una sola direccin
de red y
todas las rutas estticas utilizan la misma interfaz de salida o la
direccin IP del siguiente salto.

Inmaculada Beln

Rutas estticas sumarizadas(II)

Proceso para crear una ruta sumarizada (172.16.1.0/22):
1. Escribir en binario las redes que se quiere resumir.
2. Para encontrar la mscara de subred para la sumarizacin, empezar
con el primer bit que se encuentra a la izquierda.
3. Continuar hacia la derecha y buscar todos los bits que coincidan
consecutivamente.
4. Cuando encuentres una columna de bits que no coincida, ah se
encuentra en el lmite de sumarizacin.
5. Cuenta la cantidad de bits coincidentes comenzando por la
izquierda. Este nmero ser su mscara de subred para la ruta
sumarizada,(/22 255.255.252.0).
6. Para encontrar la direccin de red para la sumarizacin, copia los
bits que coinciden(22) y agrega 0 a los dems bits hasta el final
para obtener 32 bits.

Inmaculada Beln

Rutas estticas sumarizadas(III)

Configuracin de una ruta esttica sumarizada:
1 . Eliminar las tres rutas estticas actuales:
R3(config)#no ip route 172.16.1.0 255.255.255.0 serial0/0/1
R3(config)#no ip route 172.16.2.0 255.255.255.0 serial0/0/1
R3(config)#no ip route 172.16.3.0 255.255.255.0 serial0/0/1
2. Configurar la ruta esttica sumarizada:
R3(config)#ip route 172.16.0.0 255.255.252.0 serial0/0/1

Inmaculada Beln

Rutas estticas sumarizadas(IV)

Configuracin de una ruta esttica sumarizada:

Inmaculada Beln

Rutas estticas sumarizadas(V)

Verificacin de una ruta esttica sumarizada:
Con el comando show ip route, como se muestra:
172.16.0.0/22 is subnetted, 1 subnets
S 172.16.0.0 is directly connected, Serial0/0/1
Todo paquete con una direccin IP de destino que pertenezca a la red
172.16.1.0/24, 172.16.2.0/24 172.16.3.0/24 coincidir con esta
ruta sumarizada.

Inmaculada Beln

Configuracin de nombres de hosts(I)

Es posible que el router resuelva nombres de dispositivos de dos
maneras:
Configurando un DNS interno
Mediante la resolucin esttica de nombres
Con el comando ip host BARCELONA 224.0.4.1 192.168.3.1 se
asocia las IPs 224.0.4.1 192.168.3.1, al nombre BARCELONA.
Desde ese momento se puede ejecutar algo como: ping
BARCELONA.
La informacin se guarda en la NVRAM y se verifica con el
comando Router# show hosts.

Inmaculada Beln

Configuracin de DHCP (I)

Es posible configurar en el router un servidor DHCP. Para ello:
Se habilita el servicio: service dhcp (en Packet Tracer no es
necesario)
Se decide el intervalo de IP excluidas de la asignacin
automtica:
Router(config)#ip dhcp excluded-address [IP-inicio] [IP-fin]
Se asigna un nombre al mbito de direccionamiento:
Router(config)#ip dhcp pool LAN_A
Se decide el mbito de IPs:
Router(dhcp-config)#network [IP-red] [Mscara]
Se define la IP que se colocar como gateway de todos los
host:
Router(dhcp-config)#default-router [IP-router]

Inmaculada Beln

Configuracin de DHCP (II)

Se configuran los host para obtener la IP dinmicamente.
Se verifica con el comando ipconfig, ipconfig/all,
ipconfig/release, ipconfig/renew.
Se verifica las IP que ya ha asignado el servidor DHCP:
Router#show ip dhcp binding

Inmaculada Beln

Configuracin de DHCP (III)

En cada router se pueden definir tantos mbitos de IPs como
subredes queramos configurar dinmicamente.
Si un router A quiere utilizar el servidor DHCP de otro router B
vecino:
Crear un nuevo mbito de IPs en el router B, servidor DHCP
En la interfaz del router A asociada a la LAN :
Router(config-if)#ip helper-address [IP-routerB]

Inmaculada Beln

ACL: Listas de Control de Acceso(I)

Las ACL permiten crear un cortafuegos en el router.
ACL: coleccin secuencial de sentencias de permiso o denegacin
(reglas) que se aplican a una interfaz del router acerca de qu
paquetes aceptar o denegar.
Los parmetros utilizados pueden ser:
Direccin origen
Direccin destino
Protocolo
Nmero de puerto
Tipo de aplicacin

Inmaculada Beln

ACL: Listas de Control de Acceso (II)

Ventajas de las ACL:
Limitan el trfico y mejoran el rendimiento de la red.
Ofrecen control del flujo de trfico.
Proporcionan un nivel bsico de seguridad para el acceso a
la red.
Permiten que el administrador decide a qu reas de la red
puede acceder un usuario.
Permiten que el administrador decida qu aplicaciones
puede utilizar un usuario.
Permiten que el administrador decida qu tipo de archivos
puede enviar/recibir un usuario.

Inmaculada Beln

ACL: Listas de Control de Acceso (III)

En la creacin de una ACL:
Se crea una lista de condiciones (cond1, cond2, condn)
Importa el orden de las condiciones. El orden debe ir de lo
particular (host y servidores) a lo general (red).
Si la condicinx se cumple, se permite o deniega
(PERMIT/DENY) el trafico para esa interfaz, y no se evala
ninguna condicin ms.
Si la condicinx no se cumple, se salta a la siguiente.
Al final de la ltima condicin se aplica por defecto la
condicin DENY ANY, que deniega todo el trfico para el cual
no se haba creado una regla.

Inmaculada Beln

ACL: Listas de Control de Acceso (IV)

Inmaculada Beln

ACL: Listas de Control de Acceso (V)

Se puede crear una ACL para cada protocolo(IP, IPX, AppleTalk,)
que se quiera filtrar en cada interfaz del router, para cada puerto o
interfaz(F0/0, F0/1, S0/0,) y para cada direccin del trfico
(inbound/outbound).

El trfico entrante (inbound) es hacia el router y el saliente

(outbound) desde el router hacia afuera.
Inmaculada Beln

ACL: Listas de Control de Acceso (VI)

El comando access-list permite crear cada regla:
Router(config)# acces-list [n] [deny/permit/remark] [address/any/host]

Cada regla debe tener un nmero nico que la identifique. Para IP

estndar del 1 al 99 y para IP extendida de 100 a 199.
En address hay que indicar una IP y una mscara wildcard.
La palabra any sustituye a 0.0.0.0 255.255.255.255, es decir,
cualquier direccin.
La palabra host se utiliza para una IP determinada, sustituye a la IP
del host y la mscara 0.0.0.0.

Inmaculada Beln

ACL: Listas de Control de Acceso (VII)

El Mscara Wildcard:
Indica qu bits de una IP se deben procesar en una ACL y qu bits se
deben ignorar. Es lo inverso de la mscara de subred.
32 bits divididos en 4 octetos conteniendo unos(1) o ceros (0). La
mscara wildcard se compara con una IP, bit a bit, de la siguiente
manera:
Un 0 indica que se debe tener en cuenta ese bit de la IP.
Un 1 indica que se debe ignorar ese bit de la IP.
Ejemplos:
00000000: Verificar los 8 bits
00111111: Ignorar los ltimos 6 bits
00001111: Ignorar los ltimos 4 bits
11111100: Verificar los ltimos 2 bits
11111111: Ignorar los 8 bits.
Inmaculada Beln

ACL: Listas de Control de Acceso (VIII)

En una ACL, dada la IP 172.30.16.0 con mscara wildcard 0.0.15.255
comprueba las subredes de 172.30.16.0 hasta 172.30.31.255.
2 ltimos octetos de la IP:

00010000.00000000

Verificar Ignorar

2 ltimos octetos wildcard : 00001111.11111111

Verificamos desde 172.30.00010000.00000000

172.30.16.0

hasta
172.30.00011111.11111111

172.30.31.255

Inmaculada Beln

ACL: Listas de Control de Acceso (IX)

Ejemplo:
Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255
equivale a
Router(config)# access-list 1 permit any

Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0

equivale a
Router(config)# acess-list 1 permit host 172.30.16.29

Inmaculada Beln

ACL: Listas de Control de Acceso (X)

Acl estndar
Filtran todo el trfico (UDP, TCP, ICMP, ARP, ) de una IP origen.
Se colocan los ms cerca posible del destino.
Ejemplo:
Router2(config)# access-list 1 permit host 165.12.0.3
Router2(config)# access-list 1 deny 165.12.0.0 0.0.255.255
(Al final siempre va implcito un DENY ALL)
Router2(config)# int fa0/0
Router2(config-if)# ip access-group 1 out
(aplicamos la acl 1 a la interfaz fa0/0 para el trfico saliente)

Inmaculada Beln

ACL: Listas de Control de Acceso (XI)

Acl estndar
La ACL se elimina entera, no se pueden eliminar las reglas
individualmente.
Ejemplo:
Router2(config)# no access-list 1
Router2(config)# int fa0/0
Router2(config-if)# no ip access-group 1 out

Inmaculada Beln

ACL: Listas de Control de Acceso (XII)

Acl extendida
Filtran por IP origen, IP destino y puertos (protocolos: UDP, TCP,
ICMP, ARP, ).
Se colocan los ms cerca posible del origen. As se disminuye el
trfico en la red
Router(config)# acces-list [100-199] [deny/permit] [protocolo] [IP
origen] [mscara wildcard] [IP destino] [mscara wildcard]
[operador] [puerto]
[operador]: It (less than), gt (greater than), eq (equal), neq (non
equal)
[puerto]: 23 (telnet), 21(ftp), 53(dns), 80(http), 520 (rip), etc.
Inmaculada Beln

ACL: Listas de Control de Acceso (XIII)

El comando ip access-group asocia la regla al trfico entrante (IN)
o saliente (OUT)
El comando no access-list [n] borra la ACL entera.
El comando show acces-lists muestra las ACL creadas.
El comando show ip interface F0/0 muestra la informacin de la
interfaz y si se ha establecido alguna ACL.
El comando show running-config muestra todas las ACL creadas
en el router.

Inmaculada Beln

Enrutamiento de VLANs (I)

Dos equipos pertenecientes a dos VLAN distintas no se pueden
comunicar.
Si fuera necesario se puede conseguir mediante un router.
Adems, los nodos de las dos VLAN deben estar en la misma
subred.
Alternativas:
Usar un enlace adicional al router por cada VLAN que se
quiere conectar
Usar un enlace adicional al router y dividir esa interfaz fsica
en tantas lgicas como se quieran conectar, mediante un
enlace troncal.

Inmaculada Beln

Enrutamiento de VLANs (II)

Usar un enlace diferente al router por cada VLAN:

Inmaculada Beln

Enrutamiento de VLANs (III)

Dividir una interfaz fsica en varias lgicas, Router-on-a-stick:

Inmaculada Beln

Enrutamiento de VLANs (IV)

Se configura la primera subinterfaz:

Router(config)#int fa0/1.1
Router(config-subif)#description VLAN 1
Router(config-subif)#encapsulation dot1q 1
Router(config-subif)#ip address 10.1.0.1 255.255.0.0
Inmaculada Beln

Enrutamiento de VLANs (V)

Se configura la segunda subinterfaz:
Router(config)#int fa0/1.10
Router(config-subif)#description VLAN 10
Router(config-subif)#encapsulation dot1q 10
Router(config-subif)#ip address 10.10.0.1 255.255.0.0
Se configura la tercera subinterfaz:
Router(config)#int fa0/1.20
Router(config-subif)#description VLAN 20
Router(config-subif)#encapsulation dot1q 20
Router(config-subif)#ip address 10.20.0.1 255.255.0.0

Inmaculada Beln

Enrutamiento de VLANs (VI)

Se configura la interfaz del switch que conecta con el router:
Switch(config)#int fa0/0
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk

Inmaculada Beln

Enrutamiento de VLANs (VII)

Inmaculada Beln

Diapositivas Exploration_Routers_Chapter1.ppt de la Academia

Virtual de Cisco. (E2)
Diapositivas Exporation_Routers _Chapter2.ppt de la Academia
Virtual de Cisco. (E2)
Diapositivas Exporation_Switching _Chapter6.ppt de la Academia
Virtual de Cisco. (E3)
Planificacin y Administracin de Redes, Fco. Jos Molina Robles,
Ed. Ra-Ma