Capitulo 11: Topologías de redes pequeñas

Topologías de redes pequeñas

La mayoría de las empresas son pequeñas. Por lo tanto, es de esperarse que la mayoría de las redes también sean pequeñas. En la ilustración, se muestra la típica red de una pequeña empresa.

En las redes pequeñas, el diseño de la red suele ser simple. La cantidad y el tipo de dispositivos incluidos se reducen considerablemente en comparación con una red más grande. En general, las topologías de red constan de un único router y uno o más switches. Las redes pequeñas también pueden tener puntos de acceso inalámbrico (posiblemente incorporados al router) y teléfonos IP. En cuanto a la conexión a Internet, las redes pequeñas normalmente tienen una única conexión WAN proporcionada por una conexión DSL, por cable o Ethernet.

La administración de una red pequeña requiere muchas de las mismas habilidades necesarias para administrar redes más grandes. La mayor parte del trabajo se centra en el mantenimiento y la resolución de problemas de equipos existentes, así como en la protección de los dispositivos y de la información de la red. La administración de las redes pequeñas está a cargo de un empleado de la empresa o de una persona contratada por esta, según el tamaño y el tipo de empresa.

Selección de dispositivos para redes pequeñas

Para cumplir con los requisitos de los usuarios, incluso las redes pequeñas requieren planificación y diseño. La planificación asegura que se consideren debidamente todos los requisitos, factores de costo y opciones de implementación.

Una de las primeras consideraciones de diseño cuando se implementa una red pequeña es el tipo de dispositivos intermediarios que se utilizarán para dar soporte a la red. Al elegir el tipo de dispositivos intermediarios, se deben tener en cuenta varios factores, como se muestra en la ilustración.

Costo

El costo de un switch o un router se determina sobre la base de sus capacidades y características. La capacidad del dispositivo incluye la cantidad y los tipos de puertos disponibles, además de la velocidad de backplane. Otros factores que afectan el costo son las capacidades de administración de red, las tecnologías de seguridad incorporadas y las tecnologías de conmutación avanzadas optativas. También se debe tener en cuenta el costo del tendido de cable necesario para conectar cada dispositivo de la red. Otro elemento clave que afecta las consideraciones de costos es la cantidad de redundancia que se debe incorporar en la red.

Velocidad y tipos de puertos e interfaces

Elegir la cantidad y el tipo de puertos en un router o un switch es una decisión fundamental. Las PC más modernas tienen NIC de 1 Gb/s incorporadas. Algunos servidores y estaciones de trabajo ya vienen con puertos de 10 Gb/s incorporados. Si bien es más costoso, elegir dispositivos de capa 2 que puedan admitir velocidades mayores permite que la red evolucione sin reemplazar los dispositivos centrales.

Capacidad de expansión

Los dispositivos de red incluyen configuraciones físicas modulares y fijas. Las configuraciones fijas tienen un tipo y una cantidad específica de puertos o interfaces. Los dispositivos modulares tienen ranuras de expansión que proporcionan la flexibilidad necesaria para agregar nuevos módulos a medida que aumentan los requisitos. Existen switches con puertos adicionales para uplinks de alta velocidad. Se pueden utilizar routers para conectar diferentes tipos de redes. Se debe tener precaución al seleccionar las interfaces y los módulos adecuados para los medios específicos.

Características y servicios de los sistemas operativos

Según la versión del sistema operativo, los dispositivos de red pueden admitir determinados servicios y características, por ejemplo:

• Seguridad

• Calidad de servicio (QoS)

• Voz sobre IP (VOIP)

• Conmutación de Capa 3

• Traducción de direcciones de red (NAT)

• Protocolo de configuración dinámica de host (DHCP)

Direccionamiento IP para redes pequeñas

Al implementar una red pequeña, es necesario planificar el espacio de direccionamiento IP. Todos los hosts dentro de una internetwork deben tener una dirección exclusiva. Se debe planificar, registrar y mantener un esquema de asignación de direcciones IP basado en los tipos de dispositivos que reciben la dirección.

Los siguientes son ejemplos de diferentes tipos de dispositivos que afectan el diseño de IP:

• Dispositivos finales para usuarios

• Servidores y periféricos

• Hosts a los que se accede desde Internet

• Dispositivos intermediarios

La planificación y el registro del esquema de direccionamiento IP ayudan al administrador a realizar un seguimiento de los tipos de dispositivos. Por ejemplo, si se asigna una dirección de host en el rango 50 a 100 a todos los servidores, resulta fácil identificar el tráfico de servidores por dirección IP. Esto puede resultar muy útil al llevar a cabo la resolución de problemas de tráfico de la red mediante un analizador de protocolos.

Además, los administradores pueden controlar mejor el acceso a los recursos de la red sobre la base de las direcciones IP cuando se utiliza un esquema de direccionamiento IP determinista. Esto puede ser especialmente importante para los hosts que proporcionan recursos a la red interna y la red externa. Los servidores Web o los servidores de e-commerce cumplen dicha función. Si las direcciones para estos recursos no son planificadas y documentadas, no es posible controlar fácilmente la seguridad y accesibilidad de los dispositivos. Si se asigna una dirección aleatoria a un servidor, resulta difícil bloquear el acceso a esta dirección, y es posible que los clientes no puedan localizar ese recurso.

Cada uno de estos diferentes tipos de dispositivos debería asignarse a un bloque lógico de direcciones dentro del rango de direcciones de la red.

Haga clic en los botones de la ilustración para ver el método de asignación.

Redundancia en redes pequeñas

Otra parte importante del diseño de red es la confiabilidad. Incluso las pequeñas empresas, con frecuencia, dependen en gran medida de la red para su operación comercial. Una falla en la red puede tener consecuencias muy costosas. Para mantener un alto grado de confiabilidad, se requiere redundancia en el diseño de red. La redundancia ayuda a eliminar puntos de error únicos. Existen muchas formas de obtener redundancia en una red. La redundancia se puede obtener mediante la instalación de equipos duplicados, pero también se puede obtener al suministrar enlaces de red duplicados en áreas fundamentales, como se muestra en la ilustración.

Por lo general, las redes pequeñas proporcionan un único punto de salida a Internet a través de uno o más gateways predeterminados. Si el router falla, toda la red pierde la conectividad a Internet. Por este motivo, puede ser recomendable para las pequeñas empresas contratar a un segundo proveedor de servicios a modo de respaldo.

Administración del tráfico

El administrador de red debe tener en cuenta los diversos tipos de tráfico y su tratamiento en el diseño de la red. Los routers y switches en una red pequeña se deben configurar para admitir el tráfico en tiempo real, como voz y vídeo, de forma independiente del tráfico de otros datos.

De hecho, un buen diseño de red clasifica el tráfico cuidadosamente según la prioridad, como se muestra en la ilustración. En definitiva, el objetivo de un buen diseño de red, incluso para una red pequeña, es aumentar la productividad de los empleados y reducir el tiempo de inactividad de la red.

Aplicaciones comunes

La utilidad de las redes depende de las aplicaciones que se encuentren en ellas. Hay dos formas de procesos o programas de software que proporcionan acceso a la red: las aplicaciones de red y los servicios de la capa de aplicación.

Aplicaciones de red

Las aplicaciones son los programas de software que se utilizan para comunicarse a través de la red. Algunas aplicaciones de usuario final reconocen la red, lo que significa que implementan los protocolos de la capa de aplicación y pueden comunicarse directamente con las capas inferiores del stack de protocolos. Los clientes de correo electrónico y los navegadores web son ejemplos de este tipo de aplicaciones.

Servicios de la capa de aplicación

Otros programas pueden necesitar la asistencia de los servicios de la capa de aplicación para utilizar recursos de red, como la transferencia de archivos o la administración de las colas de impresión en la red. Si bien el empleado no se da cuenta, estos servicios son los programas que interactúan con la red y preparan los datos para la transferencia. Los distintos tipos de datos, ya sean de texto, gráficos o vídeo, requieren distintos servicios de red para asegurar que estén correctamente preparados para que los procesen las funciones que se encuentran en las capas inferiores del modelo OSI.

Cada servicio de red o aplicación utiliza protocolos que definen los estándares y los formatos de datos que se deben utilizar. Sin protocolos, la red de datos no tendría una manera común de formatear y direccionar los datos. Es necesario familiarizarse con los protocolos subyacentes que rigen la operación de los diferentes servicios de red para entender su función.

Utilice el Administrador de tareas para ver las aplicaciones, los procesos y los servicios en ejecución en una PC Windows.

Protocolos comunes

La mayor parte del trabajo de un técnico, ya sea en una red pequeña o una red grande, está relacionada de alguna manera con los protocolos de red. Los protocolos de red admiten los servicios y aplicaciones que usan los empleados en una red pequeña. Los protocolos de red comunes se muestran en la figura. Haga clic en cada servidor para obtener una breve descripción.

Estos protocolos de red conforman el conjunto de herramientas fundamental de los profesionales de red. Cada uno de estos protocolos de red define lo siguiente:

• Procesos en cualquier extremo de una sesión de comunicación.

• Tipos de mensajes.

• La sintaxis de los mensajes

• Significado de los campos informativos.

• Cómo se envían los mensajes y la respuesta esperada.

• Interacción con la capa inferior siguiente.

Muchas empresas establecieron una política de utilización de versiones seguras de estos protocolos, siempre que sea posible. Estos protocolos son HTTPS, SFTP y SSH.

Aplicaciones de voz y vídeo

En la actualidad, las empresas utilizan cada vez más la telefonía IP y la transmisión de medios para comunicarse con sus clientes y partners comerciales, como se muestra en la figura 1. El administrador de red debe asegurarse de que se instalen los equipos adecuados en la red y que se configuren los dispositivos de red para asegurar la entrega según las prioridades. 

Infraestructura

Para admitir las aplicaciones en tiempo real propuestas y existentes, la infraestructura debe adaptarse a las características de cada tipo de tráfico. El diseñador de red debe determinar si los switches y el cableado existentes pueden admitir el tráfico que se agregará a la red.

VoIP

Los dispositivos VoIP convierten la entrada analógica en paquetes IP digitales. Los dispositivos pueden ser un adaptador de teléfono analógico (ATA) conectado entre un teléfono analógico tradicional y un switch Ethernet. Una vez que las señales se convierten en paquetes IP, el router envía dichos paquetes entre las ubicaciones correspondientes. VoIP es mucho más económico que una solución de telefonía IP integrada, pero la calidad de las comunicaciones no cumple con los mismos estándares. Las soluciones de vídeo y voz sobre IP para pequeñas empresas pueden consistir, por ejemplo, en Skype y en las versiones no empresariales de Cisco WebEx.

Telefonía IP

En la telefonía IP, el teléfono IP propiamente dicho realiza la conversión de voz a IP. En las redes con solución de telefonía IP integrada, no se requieren routers con capacidades de voz. Los teléfonos IP utilizan un servidor dedicado para el control y la señalización de llamadas. En la actualidad, existen numerosos proveedores que ofrecen soluciones de telefonía IP dedicada para redes pequeñas.

Aplicaciones en tiempo real

Para transportar streaming media de manera eficaz, la red debe ser capaz de admitir aplicaciones que requieran entrega dependiente del factor tiempo. El Protocolo de transporte en tiempo real (RTP, Real-Time Transport Protocol) y el Protocolo de control de transporte en tiempo real (RTCP, Real-Time Transport Control Protocol) admiten este requisito. RTP y RTCP habilitan el control y la escalabilidad de los recursos de red al permitir la incorporación de mecanismos de calidad de servicio (QoS). Estos mecanismos de QoS proporcionan herramientas valiosas para minimizar problemas de latencia en aplicaciones de streaming en tiempo real.

Crecimiento de las redes pequeñas

El crecimiento es un proceso natural para muchas pequeñas empresas, y sus redes deben crecer en consecuencia. En forma ideal, el administrador de red tiene un plazo suficiente para tomar decisiones inteligentes acerca del crecimiento de la red con relación al crecimiento de la empresa.

Para escalar una red, se requieren varios elementos:

• Documentación de la red: topología física y lógica.

• Inventario de dispositivos: lista de dispositivos que utilizan o conforman la red.

• Presupuesto: presupuesto de TI detallado, incluido el presupuesto de adquisición de equipos para el año fiscal.

• Análisis de tráfico: se deben registrar los protocolos, las aplicaciones, los servicios y sus respectivos requisitos de tráfico.

Estos elementos se utilizan para fundamentar la toma de decisiones que acompaña el escalamiento de una red pequeña.

Análisis de protocolos

Al intentar determinar cómo administrar el tráfico de la red, en especial a medida que esta crece, es importante comprender el tipo de tráfico que atraviesa la red y el flujo de tráfico actual. Si se desconocen los tipos de tráfico, un analizador de protocolos ayuda a identificar el tráfico y su origen.

Para determinar patrones de flujo de tráfico, es importante:

• Capturar tráfico en horas de uso pico para obtener una buena representación de los diferentes tipos de tráfico.

• Realizar la captura en diferentes segmentos de la red; parte del tráfico será local en un segmento en particular.

La información recopilada por el analizador de protocolos se evalúa de acuerdo con el origen y el destino del tráfico, y con el tipo de tráfico que se envía. Este análisis puede utilizarse para tomar decisiones acerca de cómo administrar el tráfico de manera más eficiente. Para hacerlo, se pueden reducir los flujos de tráfico innecesarios o modificar completamente los patrones de flujo mediante el traslado de un servidor, por ejemplo.

En ocasiones, simplemente reubicar un servidor o un servicio en otro segmento de red mejora el rendimiento de la red y permite adaptarse a las necesidades del tráfico creciente. Otras veces, la optimización del rendimiento de la red requiere el rediseño y la intervención de la red principal.

Utilización de la red por parte de los empleados

Además de comprender las tendencias cambiantes del tráfico, los administradores de red también deben ser conscientes de cómo cambia el uso de la red. Como se muestra en la ilustración, los administradores de redes pequeñas tienen la capacidad de obtener “instantáneas” de TI en persona del uso de aplicaciones por parte de los empleados para una porción considerable de la fuerza laboral a través del tiempo. Generalmente, estas instantáneas incluyen la siguiente información:

• SO y versión del SO

• Aplicaciones Non-Network

• Aplicaciones de red

• Uso de CPU

• Utilización de unidades

• Utilización de RAM

El registro de instantáneas de los empleados en una red pequeña durante un período determinado resulta muy útil para informar al administrador de red sobre la evolución de los requisitos de los protocolos y los flujos de tráfico relacionados. Un cambio en la utilización de recursos puede requerir que el administrador de red ajuste la asignación de los recursos de red en consecuencia.

Tipos de amenazas

Ya sean redes conectadas por cable o inalámbricas, las redes de computadoras son cada vez más fundamentales para las actividades cotidianas. Tanto las personas como las organizaciones dependen de las PC y las redes. Las intrusiones de personas no autorizadas pueden causar interrupciones costosas en la red y pérdidas de trabajo. Los ataques en una red pueden ser devastadores y pueden causar pérdida de tiempo y de dinero debido a los daños o robos de información o de activos importantes.

Los intrusos pueden acceder a una red a través de vulnerabilidades de software, ataques de hardware o descifrando el nombre de usuario y la contraseña de alguien. Por lo general, a los intrusos que obtienen acceso mediante la modificación del software o la explotación de las vulnerabilidades del software se los denomina piratas informáticos.

Una vez que un pirata informático obtiene acceso a la red, pueden surgir cuatro tipos de amenazas, como se muestra en la figura: Haga clic en cada imagen para obtener más información.

Seguridad física

Una vulnerabilidad igualmente importante es la seguridad física de los dispositivos. Si los recursos de red están expuestos a riesgos físicos, un atacante puede denegar el uso de dichos recursos.

Las cuatro clases de amenazas físicas son las siguientes:

• Amenazas de hardware: daño físico a servidores, routers, switches, planta de cableado y estaciones de trabajo

• Amenazas ambientales: extremos de temperatura (demasiado calor o demasiado frío) o extremos de humedad (demasiado húmedo o demasiado seco)

• Amenazas eléctricas: picos de voltaje, suministro de voltaje insuficiente (apagones parciales), alimentación sin acondicionamiento (ruido) y caída total de la alimentación

• Amenazas de mantenimiento: manejo deficiente de componentes eléctricos clave (descarga electrostática), falta de repuestos críticos, cableado y etiquetado deficientes

Estos problemas se deben solucionar con una política organizacional, como se muestra en la figura.

Tipos de vulnerabilidades

La vulnerabilidad es el grado de debilidad inherente a cada red y dispositivo. Esto incluye routers, switches, computadoras de escritorio, servidores e, incluso, dispositivos de seguridad. Por lo general, los dispositivos de red que sufren ataques son las terminales, como los servidores y las computadoras de escritorio.

Existen tres vulnerabilidades o debilidades principales:

• Tecnológicas. 

• De configuración.

• De política de seguridad.

Todas estas vulnerabilidades o debilidades pueden dar origen a diversos ataques, incluidos los ataques de código malintencionado y los ataques de red.

Tipos de malware

El malware (código malicioso) es la abreviatura de software malicioso. Se trata de código o software que está específicamente diseñado para dañar, alterar, robar o infligir acciones “malas” o ilegítimas en los datos, hosts o redes. Los virus, gusanos y caballos de Troya son tipos de malware.

Haga clic en Reproducir para ver una animación sobre estas tres amenazas.

Virus

Un virus informático es un tipo de malware que se propaga mediante la inserción de una copia de sí mismo en otro programa, del que pasa a formar parte. Se propaga de una computadora a otra, dejando infecciones a medida que viaja. Los virus pueden variar en gravedad, desde provocar efectos ligeramente molestos hasta dañar datos o programas y causar condiciones de denegación de servicio (DoS). Casi todos los virus se adjuntan a un archivo ejecutable, lo que significa que el virus puede existir en un sistema pero no estará activo ni será capaz de propagarse hasta que un usuario ejecute o abra el archivo o programa host malicioso. Cuando se ejecuta el código del host, el código viral se ejecuta también. Por lo general, el programa anfitrión sigue funcionando después de ser infectado por el virus. Sin embargo, algunos virus sobrescriben otros programas con copias de sí mismos, lo que destruye el programa host por completo. Los virus se propagan cuando el software o el documento al que están unidos se transfiere de una computadora a otra a través de la red, un disco, adjuntos de correo electrónico infectados o al compartir archivos.

Gusanos

Los gusanos informáticos son similares a los virus en que se replican en copias funcionales de sí mismos y pueden causar el mismo tipo de daño. A diferencia de los virus, que requieren la propagación de un archivo host infectado, los gusanos son software independiente y no requieren de un programa host ni de la ayuda humana para propagarse. Un gusano no necesita unirse a un programa para infectar un host y entrar en una computadora a través de una vulnerabilidad en el sistema. Los gusanos se aprovechan de las características del sistema para viajar a través de la red sin ayuda.

Caballos de Troya

Un caballo de Troya es otro tipo de malware que lleva el nombre del caballo de madera que los griegos utilizaron para infiltrarse en Troya. Es una pieza de software dañino que parece legítimo. Los usuarios suelen ser engañados para cargarlo y ejecutarlo en sus sistemas. Después de que se active, puede lograr una variedad de ataques contra el anfitrión, desde irritar al usuario (haciendo aparecer ventanas o cambiando de escritorios) hasta dañar el host (eliminación de archivos, robo de datos, o activación y difusión de otros tipos de malware, como virus). Los caballos de Troya también son conocidos por crear puertas traseras para que usuarios maliciosos puedan acceder al sistema.

A diferencia de los virus y gusanos, los caballos de Troya no se reproducen al infectar otros archivos, ni se autoreplican. Los caballos de Troya se deben distribuir a través de las interacciones con el usuario, tales como abrir un adjunto de correo electrónico o descargar y ejecutar un archivo desde internet.

Ataques de reconocimiento

Además de los ataques de código malintencionado, es posible que las redes sean presa de diversos ataques de red. Los ataques de red pueden clasificarse en tres categorías principales:

• Ataques de reconocimiento: detección y esquematización de sistemas, servicios o vulnerabilidades.

• Ataques de acceso: manipulación no autorizada de datos, de accesos al sistema o de privilegios de usuario.

• Denegación de servicio: consisten en desactivar o dañar redes, sistemas o servicios.

Para los ataques de reconocimiento, los atacantes externos pueden utilizar herramientas de Internet, como las utilidades nslookup y whois, para determinar fácilmente el espacio de direcciones IP asignado a una empresa o a una entidad determinada. Una vez que se determina el espacio de direcciones IP, un atacante puede hacer ping a las direcciones IP públicamente disponibles para identificar las direcciones que están activas. Para contribuir a la automatización de este paso, un atacante puede utilizar una herramienta de barrido de ping, como fping o gping, que hace ping sistemáticamente a todas las direcciones de red en un rango o una subred determinados. Esto es similar a revisar una sección de una guía telefónica y llamar a cada número para ver quién atiende.

Haga clic en cada tipo de herramienta de ataque de reconocimiento para ver una animación del ataque.

Ataques con acceso

Los ataques de acceso explotan las vulnerabilidades conocidas de los servicios de autenticación, los servicios FTP y los servicios Web para obtener acceso a las cuentas Web, a las bases de datos confidenciales y demás información confidencial. Un ataque de acceso permite que una persona obtenga acceso no autorizado a información que no tiene derecho a ver. Los ataques de acceso pueden clasificarse en cuatro tipos:

• Ataques de contraseña.

• Explotación de confianza.

• Redireccionamiento de puertos.

• Man-in-the-middle (intermediario).

Ataques por denegación de servicio

Los ataques por denegación de servicio (DoS) son la forma de ataque más conocida y también están entre los más difíciles de eliminar. Incluso dentro de la comunidad de atacantes, los ataques DoS se consideran triviales y están mal vistos, ya que requieren muy poco esfuerzo de ejecución. Sin embargo, debido a la facilidad de implementación y a los daños potencialmente considerables, los administradores de seguridad deben prestar especial atención a los ataques DoS.

Los ataques DoS tienen muchas formas. Fundamentalmente, evitan que las personas autorizadas utilicen un servicio mediante el consumo de recursos del sistema.

Haga clic en los botones de la ilustración para ver ejemplos de ataques de Dos y DDos.

Para prevenir los ataques de DoS es importante estar al día con las actualizaciones de seguridad más recientes de los sistemas operativos y las aplicaciones. Por ejemplo, el ping de la muerte ya no es una amenaza debido a que las actualizaciones de los sistemas operativos han corregido la vulnerabilidad que atacaba.

Copias de respaldo, actualizaciones y parches

Mantenerse actualizado con los últimos avances puede ser una técnica de defensa eficaz contra los ataques de red. A medida que se publica nuevo malware, las empresas deben mantenerse al día con las versiones más recientes del software antivirus.

La manera más eficaz de mitigar un ataque de gusanos consiste en descargar las actualizaciones de seguridad del proveedor del sistema operativo y aplicar parches a todos los sistemas vulnerables. La administración de numerosos sistemas implica la creación de una imagen de software estándar (sistema operativo y aplicaciones acreditadas cuyo uso esté autorizado en los sistemas cliente) que se implementa en los sistemas nuevos o actualizados. Sin embargo, los requisitos de seguridad cambian, y es posible que se deban instalar parches de seguridad actualizados en los sistemas que ya están implementados.

Una solución para la administración de parches críticos de seguridad es crear un servidor central de parches con el que deban comunicarse todos los sistemas después de un período establecido, como el que se muestra en la ilustración. Todo parche que no esté aplicado en un host se descarga automáticamente del servidor de parches y se instala sin que intervenga el usuario.

Autenticación, autorización y registro (Authentication, Authorization, and Accounting)

Los servicios de seguridad de red de autenticación, autorización y contabilidad (AAA o “triple A”) proporcionan el marco principal para configurar el control de acceso en dispositivos de red. AAA es un modo de controlar quién tiene permitido acceder a una red (autenticar), controlar lo que las personas pueden hacer mientras se encuentran allí (autorizar) y qué acciones realizan mientras acceden a la red (contabilizar).

El concepto de AAA es similar al uso de una tarjeta de crédito. La tarjeta de crédito identifica quién la puede utilizar y cuánto puede gastar ese usuario, y lleva un registro de los elementos en los que el usuario gastó dinero, como se muestra en la ilustración.

Firewalls

El firewall es una de las herramientas de seguridad más eficaces disponibles para la protección de los usuarios contra amenazas externas. Los firewalls de red residen entre dos o más redes, controlan el tráfico entre ellas y evitan el acceso no autorizado. Los firewalls basados en el host, o firewalls personales, se instalan en los sistemas finales. Los productos de firewall usan diferentes técnicas para determinar qué acceso permitir y qué acceso denegar en una red. Estas técnicas son las siguientes:

• Filtrado de paquetes: evita o permite el acceso según las direcciones IP o MAC.

• Filtrado de aplicaciones: evita o permite el acceso de tipos específicos de aplicaciones según los números de puerto.

• Filtrado de URL: evita o permite el acceso a sitios Web según palabras clave o URL específicos.

• Inspección activa de estado de paquetes (SPI): los paquetes entrantes deben constituir respuestas legítimas a solicitudes de los hosts internos. Los paquetes no solicitados son bloqueados, a menos que se permitan específicamente. La SPI también puede incluir la capacidad de reconocer y filtrar tipos específicos de ataques, como los ataques por denegación de servicio (DoS).

Los productos de firewall pueden admitir una o más de estas capacidades de filtrado. Los productos de firewall vienen en distintos formatos, como se muestra en la ilustración. Haga clic en cada tipo para obtener más información.

Seguridad de terminales

Una terminal, o un host, es un sistema de computación o un dispositivo individual que actúa como cliente de red. Los terminales más comunes, como se muestra en la figura, son las PC portátiles, PC de escritorio, servidores, teléfono inteligentes y tabletas. La seguridad de los dispositivos terminales es uno de los trabajos más desafiantes para un administrador de red, ya que incluye a la naturaleza humana. Las empresas deben aplicar políticas bien documentadas, y los empleados deben estar al tanto de estas reglas. Se debe capacitar a los empleados sobre el uso correcto de la red. En general, estas políticas incluyen el uso de software antivirus y la prevención de intrusión de hosts. Las soluciones más integrales de seguridad de terminales dependen del control de acceso a la red.

Descripción general de seguridad de los dispositivos

Cuando se instala un nuevo sistema operativo en un dispositivo, la configuración de seguridad está establecida en los valores predeterminados. En la mayoría de los casos, ese nivel de seguridad es insuficiente. En los routers Cisco, se puede utilizar la característica Cisco AutoSecure para proteger el sistema, como se muestra en la ilustración. Además, existen algunos pasos simples que se deben seguir y que se aplican a la mayoría de los sistemas operativos:

• Se deben cambiar de inmediato los nombres de usuario y las contraseñas predeterminados.

• Se debe restringir el acceso a los recursos del sistema solamente a las personas que están autorizadas a utilizar dichos recursos.

• Siempre que sea posible, se deben desactivar y desinstalar todos los servicios y las aplicaciones innecesarios.

A menudo, los dispositivos enviados por el fabricante pasaron cierto tiempo en un depósito y no tienen los parches más actualizados instalados. Es importante actualizar todo el software e instalar todos los parches de seguridad antes de la implementación.

Contraseñas

Para proteger los dispositivos de red, es importante utilizar contraseñas seguras. Las pautas estándar que se deben seguir son las siguientes:

• Utilice una longitud de contraseña de, al menos, ocho caracteres y preferentemente de diez caracteres o más. Cuanto más larga sea, mejor será la contraseña.

• Cree contraseñas complejas. Incluya una combinación de letras mayúsculas y minúsculas, números, símbolos y espacios, si están permitidos.

• Evite las contraseñas basadas en la repetición, las palabras comunes de diccionario, las secuencias de letras o números, los nombres de usuario, los nombres de parientes o mascotas, información biográfica (como fechas de nacimiento), números de identificación, nombres de antepasados u otra información fácilmente identificable.

• Escriba una contraseña con errores de ortografía a propósito. Por ejemplo, Smith = Smyth = 5mYth, o Seguridad = 5egur1dad.

• Cambie las contraseñas con frecuencia. Si se pone en riesgo una contraseña sin saberlo, se limitan las oportunidades para que el atacante la utilice.

• No anote las contraseñas ni las deje en lugares obvios, por ejemplo, en el escritorio o el monitor.

En la ilustración, se muestran ejemplos de contraseñas seguras y no seguras.

En los routers Cisco, se ignoran los espacios iniciales para las contraseñas, pero no ocurre lo mismo con los espacios que le siguen al primer carácter. Por lo tanto, un método para crear una contraseña segura es utilizar la barra espaciadora y crear una frase compuesta de muchas palabras. Esto se conoce como frase de contraseña. Una frase de contraseña suele ser más fácil de recordar que una contraseña simple. Además, es más larga y más difícil de descifrar.

Prácticas de seguridad básicas

Seguridad adicional de contraseñas

Las contraseñas seguras resultan útiles en la medida en que sean secretas. Se pueden tomar diversas medidas para asegurar que las contraseñas sigan siendo secretas. Mediante el comando de configuración global service password-encryption, se evita que las personas no autorizadas vean las contraseñas como texto no cifrado en el archivo de configuración, como se muestra en la ilustración. Este comando provoca el cifrado de todas las contraseñas sin cifrar.

Además, para asegurar que todas las contraseñas configuradas tengan una longitud mínima específica, utilice el comando security passwords min-length del modo de configuración global.

Otra forma en la que los piratas informáticos descubren las contraseñas es simplemente mediante ataques de fuerza bruta, es decir, probando varias contraseñas hasta que una funcione. Es posible evitar este tipo de ataques si se bloquean los intentos de inicio de sesión en el dispositivo cuando se produce una determinada cantidad de errores en un lapso específico.

Router(config)# login block-for 120 attempts 3 within 60

Este comando bloquea los intentos de inicio de sesión durante 120 segundos si hay tres intentos de inicio de sesión fallidos en 60 segundos.

Exec Timeout

Otra recomendación es configurar tiempos de espera de ejecución. Al configurar el tiempo de espera de ejecución, le ordena al dispositivo Cisco que desconecte automáticamente a los usuarios en una línea después de que hayan estado inactivos durante el valor de tiempo de espera de ejecución. Los tiempos de espera de ejecución se pueden configurar en los puertos de consola, VTY y auxiliares con el comando exec-timeout en el modo de configuración de línea.

Router(config)# line vty 0 4

Router(config-line)# exec-timeout 10

Este comando configura el dispositivo para desconectar a los usuarios inactivos después de 10 minutos.

Activar SSH

Telnet no es seguro. Los datos contenidos en un paquete Telnet se transmiten sin cifrar. Por este motivo, se recomienda especialmente habilitar SSH en los dispositivos para obtener un método de acceso remoto seguro. Es posible configurar un dispositivo Cisco para que admita SSH mediante cuatro pasos, como se muestra en la ilustración.

Paso 1. Asegúrese de que el router tenga un nombre de host exclusivo y configure el nombre de dominio IP de la red mediante el comando ip domain-name en el modo de configuración global.

Paso 2. Se deben generar claves secretas unidireccionales para que un router cifre el tráfico SSH. Para generar la clave SSH, utilice el comando crypto key generate rsa general-keys en el modo de configuración global. El significado específico de las diferentes partes de este comando es complejo y excede el ámbito de este curso. Observe que el módulo determina el tamaño de la clave y se puede configurar de 360 a 2048 bits. Cuanto más grande es el módulo, más segura es la clave, pero más se tarda en cifrar y descifrar la información. La longitud mínima de módulo recomendada es de 1024 bits.

Paso 3. Cree una entrada de nombre de usuario en la base de datos local mediante el comando de configuración global username.

Paso 4. Habilite las sesiones SSH entrantes mediante los comandos de línea vty login local y transport input ssh.

Ahora se puede acceder remotamente al router solo con SSH.

Router File Systems

Sistemas de archivos de enrutador

El Sistema de archivos Cisco IOS (IFS) permite al administrador navegar a diferentes directorios y listar los archivos en un directorio, y crear subdirectorios en la memoria flash o en un disco. Los directorios disponibles dependen del dispositivo.

La Figura 1 muestra la salida del comando show file systems, que enumera todos los sistemas de archivos disponibles en un enrutador Cisco 1941. Este comando proporciona información útil, como la cantidad de memoria disponible y libre, el tipo de sistema de archivos y sus permisos. Los permisos incluyen solo lectura (ro), solo escritura (wo) y lectura y escritura (rw), que se muestran en la columna Banderas de la salida del comando.

Aunque hay varios sistemas de archivos listados, nos interesarán los sistemas de archivos tftp, flash, nvram y usbflash.

Observe que el sistema de archivos flash también tiene un asterisco que lo precede. Esto indica que flash es el sistema de archivos predeterminado actual. El IOS de arranque se encuentra en flash; por lo tanto, el símbolo de libra (#) se anexa a la lista flash, lo que indica que es un disco de arranque.

El sistema de archivos flash

La salida del comando dir. Debido a que flash es el sistema de archivos predeterminado, el comando dir muestra el contenido de flash. Varios archivos se encuentran en flash, pero de interés específico es el último listado. Este es el nombre de la imagen actual del archivo Cisco IOS que se está ejecutando en la RAM.

El sistema de archivos NVRAM

Para ver el contenido de la NVRAM, debe cambiar el sistema de archivos predeterminado actual mediante el comando cd (cambiar directorio), como se muestra en la Figura 3. El comando pwd (directorio de trabajo actual) verifica que estamos viendo el directorio de la NVRAM. Finalmente, el comando dir (directorio) enumera los contenidos de NVRAM. Aunque hay varios archivos de configuración enumerados, de interés específico es el archivo de configuración de inicio.

Backing Up and Restoring Using Text Files

Copia de seguridad y restauración mediante archivos de texto

Configuraciones de respaldo con captura de texto (Tera Term)

Los archivos de configuración se pueden guardar / archivar en un archivo de texto usando Tera Term.

Como se muestra en la figura, los pasos son:

Paso 1. En el menú Archivo, haga clic en Registro.

Paso 2. Elige la ubicación para guardar el archivo. Tera Term comenzará a capturar texto.

Paso 3. Una vez iniciada la captura, ejecute el comando show running-config o show startup-config en el indicador EXEC privilegiado. El texto que se muestra en la ventana del terminal se dirigirá al archivo elegido.

Paso 4. Cuando se complete la captura, seleccione Cerrar en la ventana Tera Term: Log.

Paso 5. Vea el archivo para verificar que no esté dañado.

Restaurando configuraciones de texto

Se puede copiar una configuración de un archivo a un dispositivo. Cuando se copia de un archivo de texto y se pega en una ventana de terminal, el IOS ejecuta cada línea del texto de configuración como un comando. Esto significa que el archivo requerirá edición para garantizar que las contraseñas cifradas estén en texto sin formato y que se eliminen los mensajes que no sean de comando, como "--Más--" y los mensajes de IOS. Este proceso se discute en el laboratorio.

Además, en la CLI, el dispositivo debe configurarse en el modo de configuración global para recibir los comandos del archivo de texto que se pega en la ventana del terminal.

Al usar Tera Term, los pasos son:

Paso 1. En el menú Archivo, haga clic en Enviar archivo.

Paso 2. Localice el archivo a copiar en el dispositivo y haga clic en Abrir.

Paso 3. Tera Term pegará el archivo en el dispositivo.

El texto del archivo se aplicará como comandos en la CLI y se convertirá en la configuración en ejecución en el dispositivo. Este es un método conveniente para configurar manualmente un enrutador.

Backing up and Restoring TFTP

Copia de seguridad y restauración de TFTP

Configuraciones de respaldo con TFTP

Las copias de los archivos de configuración deben almacenarse como archivos de copia de seguridad en caso de un problema. Los archivos de configuración se pueden almacenar en un servidor de Protocolo de transferencia de archivos trivial (TFTP) o en una unidad USB. También se debe incluir un archivo de configuración en la documentación de la red.

Para guardar la configuración en ejecución o la configuración de inicio en un servidor TFTP, use el comando copy running-config tftp o copy startup-config tftp como se muestra en la figura. Siga estos pasos para hacer una copia de seguridad de la configuración en ejecución en un servidor TFTP:

Paso 1. Ingrese el comando copy running-config tftp.

Paso 2. Ingrese la dirección IP del host donde se almacenará el archivo de configuración.

Paso 3. Ingrese el nombre para asignar al archivo de configuración.

Paso 4. Presiona Enter para confirmar cada opción.

Restaurando Configuraciones con TFTP

Para restaurar la configuración en ejecución o la configuración de inicio desde un servidor TFTP, use el comando copy tftp running-config o copy tftp startup-config. Siga estos pasos para restaurar la configuración en ejecución desde un servidor TFTP:

Paso 1. Ingresa el comando copy-tftp running-config.

Paso 2. Ingrese la dirección IP del host donde se almacena el archivo de configuración.

Paso 3. Ingrese el nombre para asignar al archivo de configuración.

Paso 4. Presiona Enter para confirmar cada opción.

Using USB Ports on a Cisco Router

Uso de puertos USB en un router Cisco

La función de almacenamiento de bus serie universal (USB) permite que ciertos modelos de enrutadores de Cisco admitan unidades flash USB. La función de flash USB proporciona una capacidad de almacenamiento secundario opcional y un dispositivo de arranque adicional. Las imágenes, configuraciones y otros archivos se pueden copiar a la memoria flash USB de Cisco o desde ella con la misma confiabilidad que el almacenamiento y la recuperación de archivos con la tarjeta Compact Flash. Además, los enrutadores de servicios integrados modulares pueden iniciar cualquier imagen del software Cisco IOS guardada en la memoria flash USB. Idealmente, la memoria USB puede contener múltiples copias del Cisco IOS y múltiples configuraciones de enrutadores.

Backing Up and Restoring Using a USB

Copia de seguridad y restauración utilizando un USB

Configuraciones de respaldo con una unidad flash USB

Al realizar una copia de seguridad en un puerto USB, es una buena idea ejecutar el comando show file systems para verificar que la unidad USB esté allí y confirmar el nombre, como se muestra en la Figura 1.A continuación, use el comando copy run usbflash0: / para copiar el archivo de configuración en la unidad flash USB. Asegúrese de usar el nombre de la unidad flash, como se indica en el sistema de archivos. La barra diagonal es opcional, pero indica el directorio raíz de la unidad flash USB.El IOS solicitará el nombre del archivo. Si el archivo ya existe en la unidad flash USB, el enrutador le pedirá que sobrescriba, como se ve en la Figura 2.Use el comando dir para ver el archivo en la unidad USB y use el comando more para ver el contenido, como se ve en la Figura 3.Restaurar configuraciones con una unidad flash USB . Para volver a copiar el archivo, será necesario editar el archivo USB R1-Config con un editor de texto. Suponiendo que el nombre del archivo es R1-Config, use el comando copy usbflash0: / R1-Config running-config para restaurar una configuración en ejecución.

Interpretación de los resultados de ping

El comando ping es una manera eficaz de probar la conectividad. El comando ping utiliza el protocolo de mensajes de control de Internet (ICMP) y verifica la conectividad de la capa 3. El comando ping no siempre identifica la naturaleza de un problema, pero puede contribuir a identificar su origen, un primer paso importante en la resolución de problemas de una falla de red.

Indicadores de ping IOS

Un ping emitido desde el IOS tiene como resultado una de varias indicaciones para cada solicitud de eco ICMP que se envió. Los indicadores más comunes son los siguientes:

• ! - indica la recepción de un mensaje de respuesta de eco ICMP, como se muestra en la figura 1.

• . : indica que se agotó el tiempo mientras se esperaba un mensaje de respuesta de eco ICMP.

• U: se recibió un mensaje ICMP inalcanzable.

El "." (punto) puede señalar que se produjo un problema de conectividad en alguna parte de la ruta. También puede indicar que un router de la ruta no contaba con una ruta hacia el destino y no envió un mensaje de ICMP de destino inalcanzable. También puede señalar que el ping fue bloqueado por la seguridad del dispositivo. Cuando se envía un ping en una LAN Ethernet, es habitual que se agote el tiempo de espera del primer pedido de eco si se requiere el proceso ARP.

La "U" indica que un router a lo largo de la ruta respondió con un mensaje ICMP inalcanzable. O bien el router no contaba con una ruta hacia la dirección de destino o se bloqueó la solicitud de ping.

Prueba de loopback

El comando ping también se puede utilizar para verificar la configuración de IP interna en el host local al hacer ping a la dirección de loopback, 127.0.0.1, como se muestra en la figura 2. Esto verifica que el stack de protocolos funcione correctamente desde la capa de red hasta la capa física y viceversa, sin colocar realmente una señal en los medios.

Ping extendido

Cisco IOS ofrece un modo “extendido” del comando ping. Se ingresa a este modo escribiendo ping en el modo EXEC privilegiado, sin una dirección IP de destino. Como se muestra en la figura, a continuación se presenta una serie de peticiones de entrada. Al presionar Intro se aceptan los valores predeterminados indicados. El ejemplo muestra cómo forzar que la dirección de origen para un ping sea 10.1.1.1 (observe el R2 en la ilustración); la dirección de origen para un ping estándar sería 209.165.200.226. De esta manera, el administrador de red puede verificar desde el R2 que el R1 tenga la ruta a 10.1.1.0/24.

Nota: El comando ping ipv6 se utiliza para pings extendidos IPv6.

Línea base de red

Una de las herramientas más efectivas para controlar y resolver problemas relacionados con el rendimiento de la red es establecer una línea de base de red. La creación de una línea de base efectiva del rendimiento de la red se logra con el tiempo. La medición del rendimiento en distintos momentos (figuras 1 y 2) y con distintas cargas ayuda a tener una idea más precisa del rendimiento general de la red.

El resultado derivado de los comandos network aporta datos a la línea de base de red.

Un método para iniciar una línea de base es copiar y pegar en un archivo de texto los resultados de los comandos ping, trace u otros comandos relevantes. Estos archivos de texto pueden tener grabada la fecha y la hora y pueden guardarse en un archivo para su posterior recuperación y comparación (figura 3). Entre los elementos que se deben considerar se encuentran los mensajes de error y los tiempos de respuesta de host a host. Si se observa un aumento considerable de los tiempos de respuesta, es posible que exista un problema de latencia para considerar.

Las redes corporativas deben tener líneas de base extensas; más extensas de lo que podemos describir en este curso. Existen herramientas de software a nivel profesional para almacenar y mantener información de línea de base. En este curso, se cubren algunas técnicas básicas y se analiza el propósito de las líneas de base.

Las prácticas recomendadas para los procesos de línea de base se pueden encontrar aquí.

Interpretación de los mensajes de rastreo

Un rastreo proporciona una lista de saltos cuando un paquete se enruta a través de una red. La forma del comando depende de dónde se emita el comando. Cuando lleve a cabo el rastreo desde un equipo con Windows, utilice tracert. Cuando lleve a cabo el rastreo desde la CLI de un router, utilice traceroute.

La única respuesta satisfactoria provino del gateway en el Router A. Las solicitudes de rastreo al siguiente salto expiraron, lo cual significa que el siguiente router de salto no respondió. Los resultados del rastreo indican que, o bien hay una falla en la interconexión de redes fuera de la LAN o que esos routers se configuraron para no responder a las solicitudes de eco que se utilizan en el rastreo.

Comando extended traceroute

Diseñado como variante del comando traceroute, el comando traceroute extendido permite que el administrador ajuste los parámetros relacionados con el funcionamiento del comando. Esto es útil para solucionar problemas de bucles de routing, determinar el router de siguiente salto, o ayudar a determinar dónde los paquetes son descartados por un router o denegados por un firewall. Si bien el comando ping extendido se puede utilizar para determinar el tipo de problema de conectividad, el comando traceroute extendido es útil para localizar el problema.

El mensaje de error de tiempo superado de ICMP indica que un router en la ruta ha visto y ha descartado el paquete. El mensaje de error de destino inalcanzable de ICMP indica que un router recibió el paquete, pero lo descartó porque no podía enviarse. Al igual que ping, traceroute utiliza solicitudes de eco ICMP y respuestas de eco. Si expira el temporizador ICMP antes de que se reciba una respuesta de eco ICMP, el resultado del comando traceroute muestra un asterisco (*).

En IOS, el comando traceroute extendido finaliza en cualquiera de los siguientes casos:

• El destino responde con una respuesta de eco ICMP

• El usuario interrumpe el seguimiento con la secuencia de escape

Nota: En IOS, puede invocar esta secuencia de escape presionando Ctrl+Shift+6. En Windows, la secuencia de escape se invoca presionando Ctrl+C.

Para utilizar el comando traceroute extendido, solo debe escribir traceroute, sin introducir ningún parámetro, y presionar ENTER. IOS lo guiará en las opciones de comando presentando varios indicadores relacionados con la configuración de todos los parámetros diferentes. En la Figura 1, se muestran las opciones de traceroute extendido y sus respectivas descripciones.

Aunque el comando tracert de Windows permite introducir varios parámetros, no es guiado y se debe ejecutar a través de opciones en la línea de comandos. 

Repaso de comandos show comunes

Los comandos show de la CLI de Cisco IOS muestran información importante sobre la configuración y el funcionamiento del dispositivo.

Los técnicos de red utilizan los comandos show con frecuencia para ver los archivos de configuración, revisar el estado de los procesos y las interfaces del dispositivo, y verificar el estado de funcionamiento del dispositivo. Los comandos show están disponibles independientemente de si el dispositivo se configuró utilizando la CLI o Cisco Configuration Professional.

Mediante un comando show se puede mostrar el estado de casi todo proceso o función del router. Algunos de los comandos show más conocidos son:

• show running-config (figura 1)

• show interfaces (figura 2)

• show arp (figura 3)

• show ip route (figura 4)

• show protocols (figura 5)

• show version (figura 6)

El comando ipconfig

La dirección IP del gateway predeterminado de un host se puede ver emitiendo el comando ipconfig en la línea de comandos de una computadora Windows.

El comando ipconfig /all para ver la dirección MAC junto con varios detalles relacionados con la asignación de direcciones de capa 3 del dispositivo.

El servicio del cliente DNS en PC con Windows también optimiza el rendimiento de la resolución de nombres DNS al almacenar en la memoria los nombres resueltos previamente, el comando ipconfig /displaydns muestra todas las entradas DNS en caché en un sistema informático Windows.

El comando arp

El comando arp se ejecuta desde el símbolo del sistema de Windows, como se muestra en la figura. El comando arp –a enumera todos los dispositivos que se encuentran actualmente en la caché ARP del host, lo cual incluye la dirección IPv4, la dirección física y el tipo de direccionamiento (estático/dinámico) para cada dispositivo.

Se puede borrar la caché mediante el comando arp -d* en caso de que el administrador de red desee volver a llenarla con información actualizada.

Nota: La caché de ARP solo contiene información de los dispositivos a los que se accedió recientemente. Para asegurar que la caché ARP esté cargada, haga ping a un dispositivo de manera tal que tenga una entrada en la tabla ARP.

El comando show cdp neighbors.

Existen otros comandos IOS que son útiles. Por ejemplo, Cisco Discovery Protocol (CDP) es un protocolo exclusivo de Cisco que se ejecuta en la capa de enlace de datos. Debido a que el protocolo CDP funciona en la capa de enlace de datos, es posible que dos o más dispositivos de red Cisco (como routers que admiten distintos protocolos de la capa de red) obtengan información de los demás incluso si no hay conectividad de capa 3.

Examine el resultado de los comandos show cdp neighbors de la figura 1, con la topología de la figura 2. Observe que R3 ha recopilado información detallada acerca de R2 y el switch conectado a la interfaz Fast Ethernet de R3.

Cuando arranca un dispositivo Cisco, el CDP se inicia de manera predeterminada. CDP descubre automáticamente los dispositivos Cisco vecinos que ejecutan ese protocolo, independientemente de los protocolos o los conjuntos de aplicaciones de capa 3 en ejecución. El CDP intercambia información del hardware y software del dispositivo con sus vecinos CDP conectados directamente.

El CDP brinda la siguiente información acerca de cada dispositivo vecino de CDP:

• Identificadores de dispositivos: por ejemplo, el nombre host configurado de un switch.

• Lista de direcciones: hasta una dirección de capa de red para cada protocolo admitido.

• Identificador de puerto: el nombre del puerto local y remoto en forma de una cadena de caracteres ASCII, como por ejemplo, FastEthernet 0/0.

• Lista de capacidades: por ejemplo, si el dispositivo es un router o un switch

• Plataforma: plataforma de hardware del dispositivo; por ejemplo, un router Cisco serie 1841.

El comando show cdp neighbors detail muestra la dirección IP de un dispositivo vecino. CDP revelará la dirección IP del vecino, independientemente de que se pueda hacer ping en ese vecino o no. Este comando es muy útil cuando dos routers Cisco no pueden enrutarse a través de su enlace de datos compartido. El comando show cdp neighbors detail lo ayudará a determinar si uno de los vecinos de CDP tiene un error de configuración IP.

Pese a que CDP es útil, también puede ser un riesgo de seguridad, ya que puede proporcionar a los atacantes información útil sobre la infraestructura de la red. Por ejemplo, de manera predeterminada muchas versiones de IOS envían anuncios de CDP por todos los puertos habilitados. Sin embargo, las prácticas recomendadas sugieren que CDP debe habilitarse solamente en las interfaces que se conectan a otros dispositivos Cisco de infraestructura. Los anuncios de CDP se deben deshabilitar en los puertos para el usuario.

Debido a que algunas versiones de IOS envían publicaciones CDP de manera predeterminada, es importante que sepa cómo deshabilitar el CDP. Para desactivar CDP globalmente, utilice el comando de configuración global no cdp run. Para desactivar CDP en una interfaz, utilice el comando de interfaz no cdp enable.

El comando show ip interface brief.

De la misma manera que los comandos y las utilidades se utilizan para verificar la configuración de un host, los comandos se pueden utilizar para verificar las interfaces de los dispositivos intermediarios. Cisco IOS proporciona comandos para verificar el funcionamiento de interfaces de router y switch.

Verificación de interfaces del router

Uno de los comandos más utilizados es el comando show ip interface brief. Este comando proporciona un resultado más abreviado que el comando show ip interface. Proporciona un resumen de la información clave para todas las interfaces de red de un router.

Verificación de las interfaces del switch

En la figura 2, haga clic en el botón S1. El comando show ip interface brief también se puede utilizar para verificar el estado de las interfaces del switch. La interfaz VLAN1 recibió la dirección IPv4 192.168.254.250 y está habilitada y en funcionamiento.

El resultado también muestra que la interfaz FastEthernet0/1 está inactiva. Esto indica que no hay ningún dispositivo conectado a la interfaz o que el dispositivo que está conectado tiene una interfaz de red que no funciona.

Por otro lado, el resultado muestra que las interfaces FastEthernet0/2 y FastEthernet0/3 funcionan. Esto lo indica el valor up en las columnas Status y Protocol.

Comando debug

Los procesos, protocolos, mecanismos y eventos de IOS generan mensajes para comunicar su estado. Estos mensajes pueden proporcionar información valiosa cuando hay que solucionar problemas o verificar las operaciones del sistema. El comando debug de IOS permite que el administrador muestre estos mensajes en tiempo real para su análisis. Es una herramienta muy importante para supervisar eventos en un dispositivo Cisco IOS.

Todos los comandos debug se introducen en el modo EXEC privilegiado. Cisco IOS permite limitar el resultado de debug para incluir solo la característica o la subcaracterística relevante. Esto es importante porque se le asigna alta prioridad al resultado de depuración en el proceso de CPU y puede hacer que el sistema no se pueda utilizar. Por este motivo, use los comandos debug solo para solucionar problemas específicos. Para supervisar el estado de mensajes de ICMP en un router Cisco, utilice debug ip icmp, como se muestra en la ilustración.

Para acceder a una breve descripción de todas las opciones del comando de depuración, utilice el comando debug ? en modo EXEC con privilegios, en la línea de comandos.

Para desactivar una característica de depuración específica, agregue la palabra clave no delante del comando debug:

Router# no debug ip icmp

Alternativamente, puede ingresar la forma undebug del comando en modo EXEC privilegiado:

Router# undebug ip icmp

Para desactivar todos los comandos debug activos de inmediato, utilice el comando undebug all:

Router# undebug all

Algunos comandos debug, como debug all y debug ip packet, generan una importante cantidad de resultados y usan una gran porción de recursos del sistema. El router estaría tan ocupado mostrando mensajes de depuración que no tendría suficiente potencia de procesamiento para realizar las funciones de red, o incluso escuchar los comandos para desactivar la depuración. Por este motivo, no se recomienda y se debe evitar utilizar estas opciones de comando.

Comando terminal monitor

Las conexiones para otorgar acceso a la interfaz de línea de comandos de IOS se pueden establecer de forma local o remota.

Las conexiones locales requieren acceso físico al router o switch; por lo tanto, se requiere una conexión de cable. Esta conexión se establece generalmente mediante la conexión de una PC al puerto de consola del router o del switch mediante un cable de sustitución. En este curso, nos referimos a una conexión local como conexión de consola.

Las conexiones remotas se establecen a través de la red; por lo tanto, requieren un protocolo de red como IP. No se requiere acceso físico directo para las sesiones remotas. SSH y Telnet son dos protocolos de conexión comunes utilizados para las sesiones remotas. En este curso, usamos el protocolo cuando hablamos de una conexión remota específica, como una conexión Telnet o una conexión SSH.

Aunque los mensajes de registro de IOS se envían a la consola de manera predeterminada, estos mismos mensajes de registro no se envían a las líneas virtuales de manera predeterminada. Debido a que los mensajes de depuración son mensajes de registro, este comportamiento evita que los mensajes se muestren en las líneas VTY.

Para mostrar los mensajes de registro en una terminal (consola virtual), utilice el comando modo EXEC privilegiado terminal monitor.

Para detener los mensajes de registro en una terminal, utilice el comando modo EXEC privilegiado terminal no monitor.

Use el verificador de sintaxis para practicar, con terminal monitor y debug para solucionar problemas

Enfoques básicos para la solución de problemas

Los problemas de red pueden ser simples o complejos, y pueden ser el resultado de una combinación de problemas de hardware, software y conectividad. Los técnicos informáticos deben ser capaces de analizar el problema y determinar la causa del error para poder reparar el problema de red. Este proceso se denomina “solución de problemas”.

Una metodología de solución de problemas común y eficaz se basa en el método científico, y se puede dividir en los seis pasos importantes que se muestran en la ilustración.

Para evaluar el problema, determine cuántos dispositivos de la red lo tienen. Si existe un problema con un dispositivo de la red, inicie el proceso de solución de problemas en ese dispositivo. Si existe un problema con todos los dispositivos de la red, inicie el proceso de solución de problemas en el dispositivo donde se conectan todos los otros dispositivos. Debe desarrollar un método lógico y coherente para diagnosticar problemas de red mediante la eliminación de un problema por vez.

¿Solucionar o escalar?

En algunas situaciones, quizás no sea posible solucionar el problema de inmediato. Un problema debería escalarse cuando requiere la decisión del gerente, cierta experiencia específica, o el nivel de acceso a la red no está disponible para el técnico que debe solucionar el problema.

Por ejemplo, después de solucionar problemas, el técnico decide que un módulo de router debe reemplazarse. Este problema se debe escalar para obtener la aprobación del gerente. Es probable que el gerente tenga que escalar el problema nuevamente ya que podría necesitar la aprobación del departamento de finanzas antes de comprar un nuevo módulo.

La política de la empresa debe indicar claramente cuándo y cómo un técnico debe escalar un problema.

Verificación y supervisión de la solución

Cisco IOS incluye herramientas eficaces para la solución de problemas y la verificación. Cuando se ha solucionado el problema y se ha implementado la solución, es importante verificar el funcionamiento del sistema. Las herramientas de verificación incluyen los comandos ping, traceroute y show. El comando ping se utiliza para verificar si la conectividad de la red es satisfactoria.

Si un ping se completa con éxito, como se muestra en la Figura 1, puede darse por seguro que los paquetes están llegando desde el origen hasta el destino.

Nota: Un ping fallido no suele proporcionar suficiente información para llegar a una conclusión. Puede ser el resultado de una ACL o de un firewall que bloqueaba los paquetes ICMP, o bien el dispositivo de destino puede estar configurado para no responder los pings. Un ping fallido generalmente indica que se requiere investigación adicional.

El comando traceroute, como se muestra en la Figura 2.2, es útil para mostrar la ruta que los paquetes utilizan para llegar a un destino. Aunque el resultado del comando ping muestra si un paquete llegó al destino, el resultado del comando traceroute muestra qué ruta tomó para llegar allí, o dónde el paquete fue interrumpido a lo largo de la ruta.

Los comandos show de Cisco IOS son algunas de las herramientas de corrección y verificación más útiles para solucionar problemas. Al aprovechar una gran variedad de opciones y de subopciones, el comando show puede utilizarse para filtrar y mostrar información sobre prácticamente cualquier aspecto específico de IOS.

En la Figura 3, se muestra el resultado del comando show ip interface brief. Observe que las dos interfaces configuradas con las direcciones IPv4 están en “up” y “up”. Estas interfaces pueden enviar y recibir tráfico. Las otras tres interfaces no tienen ningún direccionamiento IPv4 y están desactivadas.

Operación en dúplex

Cuando se trata de comunicación de datos, dúplex se refiere a la dirección de la transmisión de datos entre dos dispositivos. Si las comunicaciones se limitan al intercambio de datos en una dirección por vez, esta conexión se denomina semidúplex. El dúplex completo permite el envío y la recepción de datos simultáneamente.

Para un mejor rendimiento de la comunicación, dos interfaces de red Ethernet conectadas deben funcionar en el mismo modo dúplex para evitar la ineficiencia y la latencia en el enlace.

La negociación automática de Ethernet se diseñó para facilitar la configuración, para minimizar problemas y maximizar el rendimiento del enlace. Los dispositivos conectados primero anuncian sus capacidades utilizadas y luego eligen el modo de mayor rendimiento soportado por ambos extremos. Por ejemplo, el switch y el router en la ilustración negociaron de manera automática y correcta el modo dúplex completo.

Surge una discordancia si uno de los dos dispositivos conectados funciona en modo dúplex completo y el otro funciona en modo semidúplex. Si bien la comunicación de datos se realizará a través de un enlace con una discordancia de dúplex, el rendimiento del enlace será muy deficiente. La discordancia de dúplex puede deberse a la configuración manual incorrecta, que configura manualmente los dos dispositivos conectados a diferentes modos dúplex. La discordancia de dúplex también puede producirse cuando se conecta un dispositivo que realiza la negociación automática con otro que está configurado manualmente en dúplex completo. Si bien no es común, la discordancia de dúplex también puede ocurrir debido a la falla de la negociación automática.

Incompatibilidad de dúplex

Las discordancias de dúplex pueden ser difíciles de resolver mientras se produce la comunicación entre dispositivos. Es posible que no sean evidentes, incluso si se usan herramientas como ping. Los pequeños paquetes individuales no puedan revelar un problema de discordancia de dúplex. Una sesión de terminal que envía los datos lentamente (en ráfagas muy cortas) también podría comunicar con éxito a través de una discordancia de dúplex. Aun cuando cualquier extremo de la conexión intente enviar una cantidad significativa de datos y el rendimiento del enlace caiga considerablemente, la causa puede no ser fácilmente evidente debido a que la red está operativa de otra manera.

CDP, el protocolo exclusivo de Cisco, puede detectar fácilmente una discordancia de dúplex entre dos dispositivos Cisco. Vea la topología y los mensajes de registro, donde la interfaz G0/0 en R1 se ha configurado de forma errónea para funcionar en modo semidúplex. El CDP muestra los mensajes de registro del enlace con la discordancia de dúplex. Los mensajes también contienen los nombres de los dispositivos y los puertos involucrados en la discordancia de dúplex, lo cual facilita mucho identificar y solucionar el problema.

Nota: Debido a que estos son mensajes de registro, de manera predeterminada se muestran únicamente en una sesión de consola. Estos mensajes puede verse en una conexión remota solo si se habilita el comando terminal monitor.

La interfaz S1 se configuró correctamente para la operación de dúplex completo. En la Figura 3, se muestra que la configuración semidúplex en R1 causó el problema.

Problemas de asignación de direcciones IP en dispositivos IOS

Los problemas relacionados con la dirección IP probablemente evitarán la comunicación de los dispositivos de redes remotas. Debido a que las direcciones IP son jerárquicas, cualquier dirección IP asignada a un dispositivo de red debe adaptarse al rango de direcciones de esa red. Las direcciones IP asignadas incorrectamente crean una variedad de problemas, incluso conflictos de direcciones IP y problemas de routing.

Dos causas comunes de asignación incorrecta de IPv4 son los errores manuales de asignación o los problemas relacionados con DHCP.

Los administradores de redes tienen que asignar a menudo las direcciones IP manualmente a los dispositivos como servidores y routers. Si se genera un error durante la asignación, es muy probable que ocurran problemas de comunicación con el dispositivo.

En un dispositivo IOS, utilice los comandos show ip interface o show ip interface brief para comprobar qué direcciones IPv4 se asignan a las interfaces de red. En la ilustración, se muestra el resultado del comando show ip interface emitido en R1. Observe que el resultado muestra la información de IPv4 (capa 3 de OSI), mientras que el comando show interfaces mencionado anteriormente muestra los detalles físicos y del enlace de datos de una interfaz.

Problemas de asignación de direcciones IP en terminales

En las máquinas con Windows, cuando el dispositivo no puede comunicarse con un servidor DHCP, Windows asigna automáticamente una dirección que pertenezca al rango 169.254.0.0/16. Este proceso se diseñó para facilitar la comunicación dentro de la red local. Piense que Windows dice: “Utilizaré esta dirección del rango 169.254.0.0/16 porque no pude obtener ninguna otra dirección”. A menudo, una computadora con rango 169.254.0.0/16 no podrá comunicarse con otros dispositivos en la red porque es probable que dichos dispositivos no pertenezcan a la red 169.254.0.0/16. Esta situación indica un problema de asignación automática de direcciones IPv4 que debe solucionarse.

Nota: Otros sistemas operativos, como Linux y OS X, no asignarán una dirección IPv4 a la interfaz de red si falla la comunicación con un servidor DHCP.

La mayoría de los terminales se configuran para confiar en un servidor DHCP para la asignación automática de direcciones IPv4. Si el dispositivo no puede comunicarse con el servidor DHCP, el servidor no puede asignar una dirección IPv4 para la red específica y el dispositivo no podrá comunicarse.

Para comprobar las direcciones IP asignadas a una computadora con Windows, utilice el comando ipconfig, como se muestra en la ilustración.

Problemas con el gateway predeterminado

El gateway predeterminado para un terminal es el dispositivo de red más cercano que puede reenviar tráfico a otras redes. Si un dispositivo tiene una dirección de gateway predeterminado incorrecta o inexistente, no podrá comunicarse con los dispositivos de las redes remotas. Dado que el gateway predeterminado es la ruta a las redes remotas, su dirección debe pertenecer a la misma red que el terminal.

La dirección del gateway predeterminado se puede configurar u obtener manualmente de un servidor DHCP. Como sucede con los problemas de asignación de direcciones IPv4, los problemas del gateway predeterminado pueden estar relacionados con la configuración incorrecta (en el caso de la asignación manual) o problemas de DHCP (si está en uso la asignación automática).

Para resolver los problemas de un gateway predeterminado mal configurado, asegúrese de que el dispositivo tenga configurado el gateway predeterminado correcto. Si la dirección predeterminada fue configurada manualmente pero es incorrecta, simplemente reemplácela por la dirección apropiada. Si la dirección de gateway predeterminado fue configurada automáticamente, asegúrese de que el dispositivo pueda comunicarse correctamente con el servidor DHCP. También es importante verificar que se configuraron la dirección IPv4 y la máscara de subred correspondientes en la interfaz del router y que la interfaz esté activa.

Para verificar el gateway predeterminado en las computadoras con Windows, utilice el comando ipconfig. 

En un router, use el comando show ip route para mostrar la tabla de routing y comprobar que se ha establecido el gateway predeterminado, conocido como ruta predeterminada. Se usa esta ruta cuando la dirección de destino del paquete no coincide con ninguna otra ruta en la tabla de routing. En la Figura 2, se muestra que R2 es la ruta predeterminada para R1, mientras que el resultado de los comandos show ip route muestra que el gateway predeterminado se configuró con una ruta predeterminada de 10.1.0.2.

Solución de problemas de DNS

El Servicio de Nombres de Dominio (DNS) es un servicio automatizado que hace coincidir los nombres, como www.cisco.com, con la dirección IP. Aunque la resolución de DNS no es fundamental para la comunicación del dispositivo, es muy importante para el usuario final.

Es común que los usuarios relacionen erróneamente el funcionamiento de un enlace de Internet con la disponibilidad del servicio DNS. Las quejas de los usuarios como “la red está inactiva” o “Internet está inactiva” se deben a menudo a un servidor DNS al que no se puede acceder. Aunque los servicios de routing de paquetes y cualquier otro tipo de servicios de red estén todavía operativos, los errores de DNS generalmente llevan al usuario a la conclusión incorrecta. Si un usuario escribe un nombre de dominio como www.cisco.com en un navegador web y no se puede acceder al servidor DNS, el nombre no será traducido a una dirección IP y la página web no se mostrará.

Las direcciones del servidor DNS pueden asignarse de manera manual o automática. Los administradores de redes a menudo son responsables de asignar manualmente las direcciones del servidor DNS en servidores y otros dispositivos, mientras que el DHCP se usa para asignar automáticamente las direcciones del servidor DNS a los clientes.

Si bien es común que las empresas y las organizaciones administren sus propios servidores DNS, cualquier servidor DNS accesible puede utilizarse para solucionar nombres. Los usuarios de oficinas pequeñas y oficinas en el hogar con frecuencia dependen del servidor DNS que mantiene su ISP para la resolución de nombres. Los servidores DNS mantenidos por un ISP son asignados a los clientes de SOHO mediante DHCP. Por ejemplo, Google mantiene un servidor DNS público que puede ser utilizado por cualquier persona y es muy útil para realizar pruebas. La dirección IPv4 del servidor DNS público de Google es 8.8.8.8 y 2001:4860:4860::8888 para su dirección IPv6 DNS.

Use el comando ipconfig /all, como se muestra en la Figura 1, para verificar qué servidor DNS utiliza la computadora con Windows.

El comando nslookup es otra herramienta útil para la solución de problemas de DNS para PC. Con nslookup un usuario puede configurar manualmente las consultas de DNS y analizar la respuesta de DNS.