CISCO CCNA4: Práctica de Lab 1.5.3 Introductory Lab 3 – Access Control List Basics and Extended Ping

Esta actividad de laboratorio revisa los fundamentos de la norma y las listas de acceso extendidas, que se utilizan extensamente en el currículo CCNP.
Los usuarios de la LAN conectados al router Vista están preocupados por el acceso a la red de hostsen la red 10.0.0.0. Una lista de acceso estándar debe ser utilizado para bloquear todo el acceso a la LAN Vista desde red 10.0.0.0 / 24.También, una ACL extendida debe ser utilizado para bloquear el acceso de host 192.168.3.0 red para servidores Web en la red 10.0.0.0 / 24.

SanJose1(config)#
router rip
SanJose1(config-router)#
network 192.168.1.0
SanJose1(config-router)#
network 10.0.0.0

Vista#
config terminal
Vista(config)#
access-list 50 deny 10.0.0.0 0.0.0.255
Vista(config)#
access-list 50 permit any
Vista(config)#
interface fastethernet 0/0
Vista(config-if)#
ip access-group 50 out
Vista(config-if)#
exit

Router(config)#
access-list 75 deny host 192.168.1.10

SanJose1#
ping 192.168.3.2
Sending 5, 100-byte ICMP Echos to 192.168.3.2, timeout is 2 seconds:
!!!!!

SanJose1(config)#
ip http server
SanJose2(config)#
ip http server

Vista(config)#
access-list 101 deny tcp 192.168.3.0 0.0.0.255 10.0.0.0 0.0.0.255 eq www
Vista(config)#
access-list 101 deny tcp 192.168.3.0 0.0.0.255 any eq ftp
Vista(config)#
access-list 101 permit ip any any
Vista(config)#
interface fastethernet 0/0
Vista(config-if)#
ip access-group 101 in

CCNA4 tema7: Servicios de Direccionamiento IP (DHCP vs NAT)

DHCP

Dinamic Host Control Protocol

- asignación manual
- asignación automática
- asignación dinámica: (automática + dinámica en x tiempo) consta de 4 pasos:

ip dhcp excluded-address 192.168.10.3 192.168.10.8   (reservamos direcs como gateway, print...)
ip dhcp pool taxo
   network 192.168.10.0 255.255.255.0
   default-router 192.168.10.1             (defines gateway)
   lease (dias horas minutos)               (tiempo de asignación)
service dhcp                                   (activar el dhcp)

no service dhcp
show ip dhcp binding

CLIENTE:
interfaz fastethernet 0/0
   ip address dhcp
   no shutdown

ENVIAR UNA SOLICITUD DHCP FUERA DE LA RED:
interfaz fastethernet 0/0
   ip helper-address 192.168.11.8         (ésa es la direc del server DHCP)





BOOTP
Protocolo bootstrap, predecesor del DHCP
No usa ni disco, ni sistema operativo, ni configuraciones de arranque...
La diferencia con el DHCP es que BOOTP debe tener configurada en el servidor bootstrap la asociación entre la MAC y la IP

NAT

Network Address Translation, traduce una ip pública en una privada y viceversa

Usa 3 direcciones:
LOCAL INTERIOR, dirección privada
GLOBAL INTERIOR, dirección pública que se le asigna al host cuando sale
GLOBAL EXTERIOR, dirección pública de destino

Existen NAT dinámica y NAT estática:


NAT ESTÁTICA:
Asigna a cada dirección IP provada una IP pública constante
                (direc local interior, server LAN) (dire global interior, IP pública)
ip nat inside source static 192.168.10.254 209.165.200.254
interface S0/0/0
   ip nat inside
interface S0/1/0
   ip nat outside


NAT DINÁMICA:
Un host de la privada solicita acceso a internet, NAT le da una dirección IP de las globales interiores que no se estén utilizando, 1º en llegar 1º ser servido.
                                                     (aquí pones las ip públicas que has comprado)
ip nat pool Taxo 209.165.200.226................. netmask 255.255.255.224
ip access-list extended Nateandooo
   permit ip 192.168.10.0 0.0.0.255 any
   permit ip 192.168.10.0 0.0.0.255 any
ip nat inside source list Nateandooo pool Taxo          (asocias la ACL y la pool)
interfaz serial 0/0/0
   ip nat inside
interfaz serial 0/1/0
   ip nat outisde

show ip nat statics
show ip nat translations

IPv6

CCNA4 tema6: Servicios de Teletrabajador

Mediante acceso telefónico, DSL, Cable o Satélite

ADSL
Asimetric Digital Suscriber Line, convierte la señal en analógico para que viaje a través de la red telefónica y cuando llega a casa, el router la convierte a digital.

VPN
Virtual Private Network, encripta la información en sus extremos

DOCSIS
Data Our Cable Service Interface Specification, es una normativa, un estándar, no un protocolo!


VPN
Encapsulación, TUNNELING, encapsula un paket dentro de otro paket mediante 3 protocolos:
   Portador (frame-relay por ejemplo)
   Pasajero ( IPv6 por ejemplo)
   Encapsulador ( PPTP por ejemplo)
Encriptación, codifica el mensaje gracias a algoritmos de encriptación, como DES, 3DES, AES, RSA.... Y pueden ser de 2 tipos:
   Con clave simétrica, donde la misma passowrd se usa para encriptar y para desencriptar
   Con clave asimétrica, donde se usan distintas passwords para encriptar y desencriptar



Integridad de los datos, es sabes que los datos no han sido manipulados usando ASHES, que es un compendio de mensajes como MD5, SHA-1, etc...

Autentificación, es saber que es de un origen auténtico, usando passwords, crtificados digitales...

CCNA4 tema4 y 5: Seguridad en la red ACLs

White hat, HACKER
Black hat, CRACKER
PH Freaker, el que altera la red telefónica ya sea de manera física o lógica
Phisier, "pescador", cartas nigerianas, webs falsas...
Spammer, REPETIDOR

Existen 3 tipos de ataques:
-recononceise atack
-access atack
-DoS atac          (Denied of Service)


SEGURIDAD = DOMINAR ACLs
CERT, Equipo de Respuesta de Emergencia Informática
(Déjate todos los puertos abiertos... que sólo se conecto una MAC y fuera!)

1)))aaa
Authentification Autorization Acounting
#
enable secret cisco
username taxo password cisco
aaa new-model
aaa authentification login TOMA local
line console 0
   login authentification TOMA
line vty 0 4
   login authentification TOMA
service password encryption

2)))Loggin activity with SNMP  (Simple Network Management Protocol)
syslog server, sistema de logeo, notario, historial....
0 emergencias
1 alertas
2 critical
3 errors
4 warnigns
5 notifications
6 international
7 debuging

3)))autosecure
Comando que deshabilita todos los servicios no esenciales

4)))Seguridad de ruteo   ACL



SDM, es un programa para hacer seguridad en entorno gráfico



La información de ruteo se puede encriptar!!!
1))))))))))))))))))))))))))))))))))))))))))))))))))))
conf t
key chain RIP-KEY
   key 1
      key-string cisco
int 0/0/0
   ip rip authentification mode md5
   ip rip authentification key-chain RIP-KEY
2))))))))))))))))))))))))))))))))))))))))))))))))))))
conf t
key chain EIGRP-KEY
   key 1
      key-string cisco
int 0/0/0
   ip eigrp authentification mode md5
   ip eigrp authentification key-chain EIGRP-KEY
3)))))))))))))))))))))))))))))))))))))))))))))))))))) 
conf t
int 0/0/0
    ip ospf message-digest-key 1 md5 cisco
    ip ospf authentification message-digest
exit
router ospf 10
    area 0 authentification message-digest



SPOOFING, usar ips falsas para suplantar ips verdaderas

service timestamps        (guarda tiempos cuando se producen eventos)
service tcp-keepalives-in



NTP
ip ssh time-out 15
ip ssh authentification-retries 2         (2 intentos para autenticarse)

line vty 0 4
   no transport input          (capas todo)
   transport input telnet ssh        (solo permites telnet y ssh)
   exec-timeout 3          (corta sessión telnet si no hay actividad en 3 min)

ACL

Es una lista de sentencias de permiso o denegación para controlar el tráfico que entra o sale de la red. No actúa sobre los pakets que origina el propio router.
ip access-list ESTENOMBRE
     deny host 192.168.14.0              (si pones host, no hace falta wildcard 0.0.0.1)
     deny ip 192.168.14.0 0.0.0.255   (si pones ip, es para dar una red!)
interface fastethernet o serial
     ip access-group ESTENOMBRE in o out


Para entender más la wildcar y la mask veamos lo siguiente:
Tenemos la 192.164.14.0, ¿Pasarán la .233 y la .224? con:

255.255.255.0 mask                  255.255.255.255 mask                     255.255.255.1 mask
0.0.0.255 wildcard                       0.0.0.0 wildcard                             0.0.0.254 wildcard
         |||| ||||                                         oooo oooo                                         oooo ooo|

          233                                              233                                                233 no pasa
          244                                              244                                                  <===== 
          pasan                                        no pasan                                            244 pasa
        =====>                                      <=====                                               =====>
  no filtras nada                                   filtras todo                                    filtras impares
                                                                                                           no pasan impares



TCP
Transfer Control Protocol, capa 4
TCP envía un saludo a 3 vías, y mandaba los pakets mezclados poco a poco
UDP ni llama, ni acuerda, ni... mandaba el churro a caparrón

TCP:  21 FTP,  23 Telnet,  25 SMTP,  80 Http,  443 Https,  110 POP .............
UDP:  69 TFTP,  520 RIP .............
TCP/UDP:  53 DNS,  162 SNMP .........

TIPOS DE ACL:

Estándar        (cisco)
Extendida      (cisco)
Complejas: dinámicas
                   reflexivas
                   de tiempo


ESTÁNDAR, se basa en la dirección IP DE ORIGEN para filtrar pakets
EXTENDIDAS, se basan en la dirección IP DE ORIGEN/DESTINO, PUERTO ORIGEN/DESTINO, y/o PROTOCOLO ORIGEN/DESTINO

ACL ESTÁNDAR

access-list 3 permit 192.168.30.0
access-list (1-99,  1300-1999,  o nombre)   permit/deny   ip origen

ACL EXTENDIDA

access-list 180 permit tcp 192.168.20.0 0.0.0.253 any eq 23
aceess-list (100-199,   2000-2699,  o nombre)   permit/deny   protocolo origen   wildcar   puerto

ACL COMPLEJAS

1)dinámicas, meter un telnet con usuario y password
username taxo password cisco
access-list 101permit any host 10.2.2.2 eq telnet
access-list 101 dynamic router-telnet time-out 15 permit ip 192.168.10.0 0.0.0.255 
                                                                                                    192.168.3.0  0.0.0.255
interfaz serial 0/0/0
ip access-group 101 in


2)reflexivas, sólo permites las ips que pides
ip access-list extended outboundfilters                       (permite la evaluación) 
permit tcp 192.168.0.0 0.0.255.255 any reflect tcptraffic
permit icmp 192.168.0.0 0.0.255.255 any reflect icmptraffic
ip access-list extended outboundfilters                       (verifica las ACLs) 
evaluate tcptraffic
evaluate icmptraffic 
interfaz serial 0/0/0                                                       (metes la ACL) 
ip access-group in (o out) 


3)de tiempo, basadas en el reloj
time-range taxo                             (nombras y defines)
periodic monday wednesday friday 8:00 to 17:00
access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq telnet time-range taxo          (asociasACLrango)
interfaz serial 0/0/0
  ip access-group 101 out

CCNA4 tema3: Frame-Relay

Protocolo de alto rendimiento de las capas 1física y 2enlace de datos
De lo más usado y de lo más barato.

*La corrección de errores se dedica en los puntos finales.
*VC, Circuito Virtual, conexión a través de los DTE
        SVC, Switched Virtual Circuit o circuitos virtuales conmutados, SON TEMPORALES
        PVC, Permanent Virtual Circuit, SON PERMANENTES
*DLCI, etiqueta cada tramo de un VC, el final y el principio
Los nº de 0-15 y de 1008-1023 son especiales
Los nº de 16-1007 son los nº de DLCI asignables
*Multiplexación, coexistir muchas líneas lógicas en una física.
Se hacen sub.interfaces con distintas DLCI.

EA, es la direccion extendida que determina el DLCI.
CR, es lo más importante pero los listos de cisco dicen que en otro momento.
FECN, BECN y DE controlan la congestión.
FCS, determina si hubo errores en el campo durante la transmisión. El control de errores tiene lugar en capas superiores del modelo OSI.

Se necesita conocer los mapas de DLCI para transmitir
*Inverso ARP obtiene direcciones de capa 3 (IP) a través de direcciones de capa 2 DLCI
Recuerda que ARP de direcciones de capa 3 obtenía direcciones de capa 2
             ARP: 3 => 2
inverse ARP: 2 => 3
En los routers cisco el ARP inverso está activado predeterminadamente.

LMI (Local Management Interface): mecanismo que ofrece información sobre el estado de las coenxiones fram-relay entre el router DTE y el switch frame-relay DCE. (En cisco predeterminadamente cada 10seg.).

*Gracias a los mensajes de LMI junto con los de ARP inverso el router asocia direcciones de forma dinámica de capa 3(red) y capa 2(enlace de datos).

El control de flujo no existe, pues se hace con mecanismos de notificación y gestión:
BECN, notificación directa
FECN, notificación indirecta
Se sitúan en cada trama del switch frame-relay

ASIGNACIÓN ESTÁTICA:

R1#
frame-relay map protocolo direccióndeprotocolo DLC broadcast/eitf/cisco
conf t
interfaz serial 0/0/0
ip address 192.168.1.1 255.255.255.0
encapsulation frame-relay cisco/eitf
no frame-relay inverse-arp
frame relay map ip 10.1.1.2 102 broadcast            ((mapear))
bandwith 64                                   (((hacer un bandwith controlará la congestión)))
no shutdown




FRAME-RELAY,   ATM,    X.25     son    NBMA
                                                                   Non Broadcast Multiple Access
Son redes de acceso múltiple sin broadcast, así que no admiten tráfico multicast, ni broadcast...


SUBINTERFACES!!
Es una interfaz lógica, una interfaz virtual, o varias, que se asocian a una interfaz física, real
Tipos:
a) Una subred para cada VC punto a punto (configuración punto a punto)
b) Todos los VC pertenecen a la misma subred (configuración multipunto)


Horizonte dividido, los routers no envían actualizaciones por la interfaz por la cual las recibe, evitando bucles de enrutamiento. Usamos subinterfaces para solucionar el problema de horizonte divido.

SUBINTERFAZ

R1#
interfaz serial número.número-subinterfaz pointtopoint/multipoint
conf t
interfaz serial 0/0/0
no ip address
encapsulation frame-relay cisco/eitf
no shutdown
exit
interfaz serial 0/0/0.102 point-to-point
ip address 10.1.1.1 255.255.255.252
frame-relay interfaz-dlci 102                ((al ser virtual, mapea el DLCI))
bandwith 64

FRAME-RELAY PVC

1) frame-relay switching                (degradas el router a switch activando frame-relay)
2) interfaz serial 0/0/0
    clock rate 64000
    encapsulation frame-relay
    no frame-relay inverse-arp         (no aprende subinterfaces entrantes)
    frame-relay map ip 10.1.1.2 102 broadcast         (no hace broadcast!!!, lo tira atravesando la nube                                                                                      de frame-relay para que llegue a su 102)
    Este último comando asocia la pata del otro router con la 102
3) frame-relay intf-type dce/dte
4) frame-relay route 102 interfaz serial 0/0/1 201        (das routa)
    no shutdown

show frame-relay pvc
show frame-relay route


POP, Point Of Present                          (DCE)
FRAD, Frame Relay Access Device    (DTE)
SVC, Switched Virtual Circuits
llamada, transferencia de datos, vago, colgar
PVC, Permanent Virtual Circuits
transferencia de datos, vago

CCNA4 tema2: Protocolo Punto a Punto (((PPP)))

La conexión punto a punto entre una LAN y una WAN se conoce también como conexión serial o línea arrendada. Ya que estas líneas se alquilan a una empresa de comunicaciones, las empresas pagan por tener una conexión contínua en todo momento.
PPP proporciona conexiones multiprotocolo
Cable, F.O, Transmisión Satelital

PAP: Password Authentification Protocol, permite autentificaciones de contraseñas
CHAP: Challenge Handshake Authentification Protocol, Permite autentificaciones de intercambio de señales

TDM: concepto explicado en el tema uno donde viaja el churro mezclado:

STDM: exige autentificación del canal y no desperdicia nada de tiempo. Los canales compiten por cualquier espacio libre.

Punto de DEMARCACIÓN:

Es el punto que separa la empresa de telecomunicación y la empresa que contrata el servicio

HDLC:

Señalador en los extremos de las tramas

El campo dirección contiene la dirección de la estación secundaria

Posee un control de error y flujo (P/F) en el bit final

Trama S que: solicita y/o suspende la transmisición

                      informa del estado de tramas 

                      acusa de recibo de tramas

La FCS es una recordatoria para el CRC Código de Redundancia Cíclica (CHECKSUN)

Cisco utiliza predeterminadamente esta encapsulación en sus dispositivos

Si vamos a la interfaz serial 0/0/0 por ejemplo, podemos poner: encapsulation hdlc y luego verlo haciendo un show interfaz seria 0/0/0.

PPP:

Si detecta muchos errores desactiva el enlace

Admite autentificación PAP y CHAP

Requiere duplex, dedicado o conmutado

LCP, para autentificación, compresión, detección de errores

NCP, varios protocolos operan en el mismo enlace de comunicación

Saludo a 3 vías:

1, se establece el enlace y la configuración de negociación

2, determinación de la calidad del enlace (LCP)

3, configuración de la negociación (NCP)

Multienlace: aumenta el ancho de banda

Algunos comandos:

conf t

interfaz serial 0/0/0

encapsulation hdlc

encapsulation ppp

compress predictor / stac       (solo cisco)

ppp quality percentage 80     (el 80% de tramas deben llegar bien, sino tira el enlace) 

ppp multilink                         (enlace equilibrado)

ppp authentification chap

ppp authentification pap

CCNA4 tema1: Introducción a las redes WAN

WAN, es una red de comunicación de datos en serie que opera más allá del alcance geográfico de una LAN. La WAN pertenece a un proveedor de servicios que nosotros como empresa o como un cliente más contrataremos para tener una LAN propia, nuestra.
En las WAN se utilizan las capas 1 y 2 del modelos OSI, FÍSICA y ENLACE DE DATOS.

WAN
Núcleo
Distribución
Accesso

CAPA 1, Capa física

La capa 1 es aquella donde encontramos la conexión física, los cables, las conexiones, los dispositivos....


Las WAN se unen medienta los serials (no los fastethernet). Recordemos que habían dos tipos de serial, los DCE o emisores acuerdate de la C de Clock, los que mandan. Y los DTE
DCE: Data Comunication Equipament
DTE: Data Terminal Equipament

Veamos algunos conectores para los Serials como el DB44, el v.35, el db25, el db9...

Podemos encontrar otros conectores como el EIA/TIA-232, el X.21, el EIA, el EIA/TIA-449...

Hemos visto algo de la capa física, vamos ahora a por la capa de enlace de datos:

CAPA 2, Capa de enlace de datos

La capa 2 podemos encontrar Frame-Relay, ATM, HDLC, (servicios WAN).
Enlace de datos define la encapsulación de los datos para su transmisión así como la transferencia de sus tramas. Para ello se utilizan protocolos (ISDN, Frame-Relay, ATM) que usan determinados mecanismo de entramado (típico HDLC).
Inciso: ATM se diferencia de los demás por usar celdas fijas de tamaño de 53bytes (48bytes datos)

MPLS, MultiProtocol Label Switching es un protocolo de conmutación de etiquetas que puede operar en cualquier estructura como IP, ATM, Frame-Relay, Ethernet. Es de capa 2-3.

TIPOS:

LÍNEAS DEDICADAS,  PROTOCOLOS PUNTO A PUNTO: 
PPP (HDLC, NCP [chap], LCP[pap])

CONMUTACIÓN DE PAKETES:
X.25
Frame-Relay
ATM

CONMUTACIÓN DE CIRCUITOS:
RDSI = ISDN
PSTN

 

 

CONMUTACIÓN ((WAN))

CONMUTACIÓN DE CIRCUITOS:

Son aquellas que establecen un circuito, un canal entre los nodos y los terminales.

o----------------o

TDM, Multiplexación por División de Tiempo, asigna a cada conversación una parte de la conexión por turno, así varias conversaciones comparten la misma ruta sin pisarse una a otra.
Si los modems reemplazan a los teléfonos se pueden transportar datos de computadora.
PSTN
ISDN
Suelen ser caras las conmutaciones de circuitos.

CONMUTACIÓN DE PAKETES:

Son aquellas que dividen la información en paketes y éstos viajan a través de varias rutas
 
        ..........
    /------------\
  /---------------\
o-----------------o
  \---------------/
    \------------/
        ..........

No requieren que se establezca un circuito y permiten que muchos nodos se comuniquen por el mismo canal. Existen 2 tipos, orientada a la conexión o no.

a)Orientada a sin conexión:
(Internet) transmiten toda la información de direccionamiento en cada pakete

b)Orientada a la conexión:
Predeterminan la ruta del pakete y cada pakete sólo es necesario que lleve un identificador tipo Frame-Relay=DLCI Data Link Control Identifier
Pueden establecer rutas de extremo a extremo o conexiones particulares. Estas rutas son los VC o Circuitos Virtuales:
                            PVC, Permanent Virtual Circuit
                            SVC, Switching Virtual Circuit

C.Circuitos = + costos y - retardos
C.Paketes = -costos y + retardos

LÍNEAS DEDICADAS,     Conexiones Punto a Punto PPP

HDLC, encapsula datagramas de enlace de capa2
NCP, sirve para que por un protocolo corran más protocolos
LCP, establece, configura y testea capa 2
Caras, sin latencia y permanentes
Ideal para Voz por IP y para vídeo por IP o Streaming

CONMUTACIÓN DE CIRCUITOS,     PSTN y ISDN

PSTN, para transferencia de datas de bajo volumen (conexión analógica telefónica). Velocidad limitada a 56Kps.
No son caras, poca velocidad y mal funcionamiento de VoIP y Streaming
ISDN, cambia señales PSTN a digitales por TDM Multiplexación por Divisió  Temporal
ISDN = RDSI o Red Digital de Sercicios Integrados
No son caras, mayor velocidad y capacidad que PSTN

CONMUTACIÓN DE PAKETES,     X.25

Proporciona a los subscriptores una dirección de red.
CV, Circuitos Virtuales se establecen con paketes de petición de llamada al destino. Un número de canal identifica la SVC.
Varios canales pueden ser activos en una sola conexción
Velocidad de 2400bps a 2Mbps (capa2-3)

CONMUTACIÓN DE PAKETES,     Frame-Relay

Es un protocolo muy sencillo (no caro como X.25) y corre en capa 2 y no en capa 3.
No realiza ningún control de errores o flujo pues sus paketes se identifican con un DLCI garantizando una comunicación bidireccional de un DTE y otro DTE. La mayoría de Frame-Relay son PVC
Velocidad de 4Mbps o más

CONMUTACIÓN DE PAKETES,     ATM

Capaz de transferir voz, vídeo y datos perfectamente. Posee unas celdas de 53bytes fijos (5bytes de encabezado y otros 48bytes de contenido ATM)
Velocidad de 622Mbps o más.

BANDA ANCHA, VPN (Virtual Private Network)     DSL

DSL, Digital Suscriber Line
Tecnología de conexión permanente que usa líneas telefónicas de par trenzado para transferir datos de gran ancho de banda y servicios IP. Un router DSL convierte Ethernet a DSL. Se puede multiplexar TDM, DSLAM
Velocidad de unos 8192Mbps

BANDA ANCHA, VPN (Virtual Private Network)    Cable

Usado en áreas urbanas para distribuir la señal de TV. A cuanto más usuarios, menor ancho de banda.

BANDA ANCHA, VPN (Virtual Private Network)     Accesso inalámbrico

WIRELESS:      WIFI, WIMAX, Internet Satelital

WIMAX = micro onda, WIFI exagerado
Internet Satelital = zonas rurales aisladas