Practica 3

REDES
Seguridad en Redes
Prctica 3
REDES
Planificacin
VLAN
Semana del 29 de enero:

Repaso de los conceptos necesarios para realizar la prctica
Realizacin de un ejemplo
Semana del 4 de febrero (1 hora):
Realizacin de un ejercicio prctico de VLAN y resolucin de dudas
ACLs
Semana del 4 de febrero (1 hora) y Semana 11 de febrero (1 hora):
Semana del 11 de febrero (1 hora):
Realizacin de un ejercicio prctico de ACLs y resolucin de dudas
REDES
Planificacin
NAT
Semana del 18 de febrero (2 horas):
Realizacin de un ejercicio prctico de NAT y resolucin de dudas
Defensa de la prctica:
Semana del 6 de marzo
REDES
Parte I
Diseo y configuracin de seguridad bsica en una LAN
corporativa. Utilizacin de VLANs
REDES
Objetivos
Reforzar el concepto de VLAN
Conocer las caractersticas y ventajas que aportan las VLAN en una red corporativa
Comprender los diferentes protocolos que permiten la expansin de VLANs a travs de la

infraestructura de red conmutada en un entorno corporativo. Utilizacin del estndar IEEE
802.1Q en switches
Entender la relacin existente entre VLAN dominio de difusin red lgica.
Distinguir los diferentes tipos de enrutamiento que se pueden utilizar en un entorno

corporativo para intercambiar informacin entre VLANs. Utilizacin del estndar IEEE
802.1Q en routers
REDES
Repaso de conceptos fundamentales
Dominio de difusin o dominio de broadcast:

Es el conjunto de dispositivos pertenecientes a una red que comparten el mismo
espacio de difusin o broadcast, es decir, es un conjunto de dispositivos en el que si
uno de ellos genera un mensaje de difusin (e.g. IP de destino de un paquete IP
255.255.255.255) todos los dems equipos de dicho dominio reciben y procesan el
mensaje.
Este tipo de trfico es utilizando muchas ocasiones para facilitar las tareas de
comunicacin entre equipos:
Peticiones ARP, peticiones DHCP,
Un dominio de difusin o de broadcast se define habitualmente como red lgica por lo
que habitualmente se asocia una direccin IP de red/subred lgica a cada dominio de
difusin o broadcast.
Los equipos que pertenecen a un mismo dominio de difusin, y por lo tanto
pertenecen a la misma red lgica, pueden comunicarse directamente entre s
Los equipos que pertenecen a distintos dominios de difusin necesitan los
servicios de las pasarelas o puertas de enlace (que habitualmente son routers)
para intercambiar informacin entre distintos dominios de difusin
REDES
En una red de rea local, formada por hubs, switches y dispositivos finales, nicamente
existe un dominio de difusin, por lo que todos los equipos estarn adems configurados en
la misma red IP
Inconvenientes:
Saturacin de trfico de difusin en la red
Falta de control interno en las comunicaciones
Qu se puede hacer para segmentar un dominio difusin en varios ms pequeos, con el
trfico de difusin de cada uno aislado?
Utilizacin de routers
Creacin de VLAN
REDES
Qu es una VLAN?
Es una agrupacin lgica de dispositivos que se basa en la configuracin de switches,
de tal modo que se pueden crear en un switch (o conjunto de switches) diferentes
dominios de difusin, asignando los puertos del switch a una VLAN concreta
Los criterios que permiten determinar a que VLAN est asignado un puerto pueden ser
muy diferentes:
Configuracin esttica del puerto (que es la opcin con la que se va a trabajar en
esta prctica)
En funcin de la direccin IP del dispositivo conectado al puerto
En funcin de la direccin MAC del dispositivo conectado al puerto
En funcin del usuario conectado al puerto (IEEE 802.1x)

REDES
Configuracin de Switches Cisco Catalyst
La arquitectura y configuracin de los switches Cisco Catalyst es anloga a la de los

routers, vistas en la prctica 1, debido a que utilizan un sistema operativo similar,
denominado tambin Cisco IOS
Los elementos que se citan a continuacin son muy similares a los vistos para la
configuracin de routers:
Mtodos de acceso al sistema operativo del router: lnea de consola y linea vty
Archivos de configuracin del router: startup-configuration, running-configuration
Modos de trabajo: El switch tiene un conjunto de modos ms limitado.
Usuario, privilegiado, configuracin global, configuracin de interfaces,
Carece de modo de enrutamiento, puesto que el switch no tiene esta capacidad
Configuracin bsica de un switch: Es muy similar a la explicada en la prctica 1 para
el router, excepto en el caso de las interfaces:
Un switch es un dispositivo de capa 2 con lo que (por lo menos en un principio) no
trabaja con direcciones IP y por lo tanto las interfaces del switch no necesitan tener
este tipo de direcciones
Debido a ello, no pueden asignarse direcciones IP a las interfaces los switches
convencionales
REDES
Configuracin de VLAN por defecto en Switches Cisco.

El switch dispone de 5 VLANs creadas por defecto:
VLAN 1 (VLAN por defecto): No puede eliminarse
VLAN 1002, 1003, 1004 y 1005 (estas VLAN son de administracin, no tienen
utilidad prctica, pero no pueden eliminarse)
Todos los puertos del switch estn asignados a la VLAN 1, debido a esto estn en el
mismo dominio de difusin
Las VLAN se identifican mediante un n entre 1 y 4096, aunque en estas prcticas
solamente se van a utilizar valores entre 1 y 1024
Adems, con propsitos legibilidad, cada VLAN puede recibir un nombre
REDES
Configuracin de VLANs adicionales:

Comandos de configuracin:
Switch(config)#vlan <n vlan>
Switch(config-vlan)#name <nombre>
Ejemplo:
Switch(config)#vlan 10
Switch(config-vlan)#name TIC
Cambio de VLAN a la que est asignada un puerto de un switch:

Comandos de configuracin:
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan <n vlan>
Ejemplo:
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
REDES
Nota: Para aplicar la misma configuracin a varias interfaces puede utilizarse el comando
interface range
Ejemplo: Si se desea que desde el puerto 13 al 24 pertenezcan a la VLAN 20 se podr
utilizar el comando
Comando de Configuracin:
Switch(config)#interface range <Tipo Int> <slot>/<puerto inicial> - <puerto final>
Ejemplo Bsico:
Switch(config)#vlan 20
Switch(config-vlan)#name test
Switch(config)#interface range fastEthernet 0/12 24
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 2
Comandos de diagnstico:
Show vlan
Show interfaces switchport
REDES
Comentarios acerca de la eliminacin de VLANs en un switch

Para eliminar una VLAN creada en un switch se utilizar el comando:
Switch(config)#no vlan <n vlan>
Switch(config)#no vlan 2
Comentario: Si algn puerto permanece asignado a una VLAN que no existe en el

switch, sta no ser usable. Si se desea utilizar dicha interfaz deber reasignarse a una
VLAN existente en el switch
Los switches Catalyst almacenan la configuracin persistente de VLAN en un fichero
diferente a startup-configuration. Se almacena en un fichero denominado vlan.dat
ubicado en la memoria flash
Para comprobar la existencia de dicho fichero se puede utilizar el comando: show flash
Para borrar dicho fichero se debe utilizar el comando: delete vlan.dat
Por lo tanto, para eliminar completamente la configuracin de un switch deben
utilizarse los siguientes comandos:
Erase startup-configuration
Delete vlan.dat
A continuacin, se debe reiniciar el switch
REDES
Cmo extender la configuracin de VLANs a ms de un switch?
REDES
Cmo extender la configuracin de VLANs a ms de un switch?

En el ejemplo los puertos del 1 al 12 de cada switch estn asignados a la VLAN 10,
mientras que los puertos desde el 13 al 24 estn asignados a la VLAN 20.
Conectando el puerto 3 de Switch 0 con el puerto 3 de Switch 1, se permite la
comunicacin entre los equipos que pertenecen a la VLAN 1 en los dos switches.
Conectando el puerto 15 de Switch 0 con el puerto 15 de Switch 1, se permite la
comunicacin entre los equipos de la VLAN 2
REDES
La solucin anterior plantea un problema de escalabilidad. Qu sucedera si fuese

necesario dar servicio a 100 VLANs?
Solucin: Utilizar un solo enlace para transportar informacin de varias VLAN.
Los puertos de un switch pueden clasificarse en dos tipos:

Puertos de acceso: Puertos que estn asignados nica y exclusivamente a una VLAN
No etiquetan las tramas cuando las envan
Puertos troncales: Puertos que pueden transmitir y recibir informacin de varias VLANs
simultneamente
Problema: Si un switch puede enviar por el mismo puerto tramas de varias VLAN,
como sabe el switch del otro extremo del enlace a qu VLAN pertenece una trama
cuando la recibe?
Etiquetando las tramas antes de transmitirlas por un enlace troncal
El estndar IEEE 802.1Q permite aadir una etiqueta de 4 bytes a la
cabecera de las tramas Ethernet, en donde se incluye el n de VLAN al que
pertenece dicha trama
Por defecto, un puerto troncal transmite tramas de todas las VLANs creadas en el
switch, aunque este comportamiento puede limitarse
REDES
Configuracin de puertos de acceso y troncales en Switches Cisco:

Para establecer que un puerto sea de acceso, se utiliza el comando:
Switch(config)#switchport mode access
Ejemplo de configuracin de puerto de acceso asignado a la VLAN 10:
Switch(config)#switchport mode access
Switch(config)#switchport access vlan 10
Para establecer un puerto troncal, se utiliza el comando:
Switch(config-if)#switchport mode trunk
Ejemplo de configuracin:
Switch(config)#switchport mode trunk
Por defecto, los puertos de muchos switches (en concreto los que se utilizan en las
prcticas) se encuentran en modo dinmico. Esto quiere decir que cuando se conecta
un dispositivo a un puerto, se lleva a cabo un proceso de negociacin (Dynamic
Trunking Protocol) que provoca que el puerto se comporte como troncal si al otro lado
del enlace hay un switch o como puerto de acceso, en caso contrario
REDES
Ejemplo:
Switch(config)#interface Gigabit1/1
REDES
Enrutamiento entre VLANs
Despus de haber abordado el concepto y la configuracin de VLANs en switches, se

puede ver una VLAN como un switch virtual que da servicio a un conjunto de puertos
determinados.
El siguiente paso a abordar es:

cmo se pueden intercambiar paquetes entre diferentes VLANs, si cada una de ellas es un
dominio de difusin diferente?
1. Utilizando un dispositivo de enrutamiento
2. Asignando a cada VLAN un red/subred lgica diferente.
REDES
Ejemplo:
Los dispositivos de la VLAN 1 pertenecen a la red 192.168.10.0/24
Los dispositivos de la VLAN 2 pertenecen a la red 192.168.20.0/24
REDES
Al observar el ejemplo anterior se nos plantea una pregunta: cmo se interconectan varias
VLAN a travs de un router?
1. Dado que cada VLAN es una red (virtual) diferente, la primera opcin que parece
evidente es conectar un puerto de acceso de cada VLAN a una interfaz del router
De este modo cada interfaz del router da servicio a una VLAN
La interfaz del router deber tener una direccin IP que pertenezca a la misma
red/subre lgica que tenga asignada la VLAN
Problema qu suceder en un entorno en el que existan 20 VLANs?
Se precisaran 20 interfaces
Pero si se incrementa el nmero de VLANs a 100?
Este modelo no es escalable por lo que no se utiliza prcticamente NUNCA
en entornos reales
REDES

Router(config)#int f0/0
Router(config-if)#ip address 192.168.10.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#int f0/1
Router(config-if)#ip address 192.168.20.1 255.255.255.0
Router(config-if)#no shut
REDES

2. Solucin: Hacer uso de los enlaces troncales para enviar el trfico de todas las VLANs
al router a travs de una sola interfaz.
Problema: cmo una sola interfaz fsica del router puede dar servicio a varias
redes lgicas o VLANs a la vez?
Cada VLAN necesita una pasarela por defecto o puerta de enlace
Por ello, sera necesario asignar una direccin para cada VLAN en una sola
interfaz fsica del router
Adems, cmo sabra el router que direccin IP debera utilizar para dar
servicio a cada paquete que recibe?
Solucin: Subinterfaces, que son una interfaces lgicas que se crean dentro de
una interfaz fsica.
Es necesario indicar a que VLAN va a proporcionar sus servicios
Cada subinterfaz o interaz lgica tendr una direccin IP diferente, que
pertenecer a la red lgica asignada a la VLAN a la que da servicio
REDES
Cmo se crea una subinterfaz?

Con el comando interfaz <tipo> <slot>/<tarjeta> aadiendo un . y el nmero de
subinterfaz a continuacin
Aunque no es obligatorio se suele utilizar el n de VLAN para
identificar a la subinterfaz
REDES
Configuracin en el switch
Switch(config)#int f0/24
Configuracin del router:

Router(config-if)#interface fastethernet 0/0.1
Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip address 192.168.10.1 255.255.255.0
Router(config-subif)#interface fastethernet 0/0.2
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip address 192.168.20.1 255.255.255.0
REDES
Filtrado de Paquetes - ACLs
REDES
Objetivo
Conocer las principales caractersticas de filtros de seguridad en redes de comunicaciones,

basndose en Listas de Control de Acceso estticas
REDES
Filtrado de Paquetes: Listas de Control de Acceso
Los administradores de red utilizan firewalls para proteger sus redes contra el uso no
autorizado.
Los firewalls son soluciones de hardware o software que hacen cumplir las polticas de
seguridad de la red.
En un router, se puede configurar un firewall simple (firewall de filtrado de paquetes)
que proporciona capacidades bsicas de seguridad utilizando ACLs.
Las Listas de Control de Acceso (Access Control List, ACL) constituyen un mecanismo
que permite filtrar el trfico de red, deteniendo o permitiendo slo trfico especfico
Una ACL es una lista secuencial de sentencias de permiso o denegacin que se aplican a
una interfaz de un router en un determinado sentido (de entrada o de salida) para cada
protocolo de red configurado, en la mayora de casos, IPv4.
Criterios de filtrado de paquete:
Campos de la cabecera IP:
Direcciones IP Origen y Destino, Tipo de Protocolo, etc.
Campos de la cabecera del protocolo de capa superior: TCP, UDP,
N de puerto, sealizadores de la cabecera TCP (SYN, ACK, )
REDES
Funcionamiento:
Cuando un paquete llega al router (o va a salir del router) a travs de una interfaz con
una ACL asociada, la ACL se examina de arriba a abajo, lnea a lnea, buscando un
patrn que coincida entre el criterio de filtrado establecido en cada lnea con las
caractersticas del paquete entrante.
Si se produce dicha coincidencia se aplica la accin asociada a la sentencia
(permitir / denegar)
De manera predeterminada, un router no tiene ninguna ACL configurada y, por lo tanto,
no filtra el trfico. El trfico que entra en el router es enrutado segn la tabla de
enrutamiento.
Lugares tpicos de aplicacin de ACLs:
Routers firewall entre la red interna y la red externa (e.g. Internet)
Routers situados entre dos partes de la red para controlar el trfico que entra o
sale de una parte especfica de su red interna.
REDES
Funcionamiento de una ACL de entrada en una interfaz
REDES
Ejecucin de las ACLs en el proceso general de enrutamiento de un paquete IP en un

router
REDES
Hay dos tipos bsicos de ACL en los routers Cisco:

ACL estndar: Filtra el trfico utilizando como criterio la direccin IP de origen del paquete.
Ejemplo:
Router(config)#access-list 1 permit 192.168.3.0 0.0.0.255
Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255
Router(config)#access-list 1 remark Comentario
ACL extendidas
Las ACL extendidas filtran los paquetes IP en funcin de diferentes valores de las
cabeceras de capa 3 y capa 4: tipo de protocolo, direcciones IP de origen, direcciones IP
de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e informacin
opcional de tipo de protocolo.
Ejemplo:
Router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255
193.144.49.10 0.0.0.0 eq 80
193.144.49.10 0.0.0.0 eq 443
182.168.1.0 0.0.0.255 established
REDES
Configuracin de ACLs:
1. Creacin de al lista de control de acceso
Cada comando de ACL se introduce de forma individual, por lo que es necesario
indicar en cada sentencia el nmero de ACL al que pertenece dicha sentencia
access-list 10 permit 172.28.0.0 0.0.0.255
Por defecto, todas las ACLs finalizan con un comando de denegacin total del
trfico implcito, por lo que si un paquete no coincide con ninguna sentencia de
permiso, dicho paquete es denegado
ACLs estndar: 1 99 (1300 1999)
ACLs extendidas: 100 199 (2000 2699)
2. Aplicacin de la ACL a la interfaz:
ip access-group 10 in
REDES
Sintaxis de las ACL estndar:

access-list <n de ACL> {deny|permit|remark} <origen> <wildcard-origen> <log>
<n de ACL>: Identifica la lista de acceso (1-99; 1300 y 1999)

<origen> <wildcard-origen>: Especifica el patrn de bits a comprobar en la direccin IP
de origen del paquete
<log>: Paquetes que han activado la sentencia durante los ltimos 5 minutos
REDES
Sintaxis de las ACL estndar: Mscaras Wildcard

Sirven para indicar qu bits del patrn especificado en la sentencia de la ACL deben
coincidir con los de la direccin IP (origen o destino), para que se considere que se ha
producido una coincidencia vlida
REDES

Ejemplos:
Como especificar, concretamente, la direccin IP 192.168.1.1
192.168.1.1 0.0.0.0
Como especificar una direccin cualquiera IP de la red 192.168.1.0/24
192.168.1.0 0.0.0.255
Como especificar una direccin cualquiera IP de la red 192.168.0.0/16
192.168.0.0 0.0.255.255
Como especificar los equipos cuya direccin IP est entre la 192.168.1.128 y la
192.168.1.191 de la red 192.168.1.0/24
192.168.1.128 0.0.0.63
REDES

Utilizacin de abreviaturas:
any = 0.0.0.0 255.255.255.255
host 192.168.10.10 = 192.168.10.10 0.0.0.0
Ejemplo1:
Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255
Router(config)#access-list 1 permit any
Ejemplo 2:
Router(config)# access-list 1 permit 192.168.100.100 0.0.0.0
Router(config)#access-list 1 permit host 192.168.100.100
REDES
Sintaxis de las ACL estndar: Aplicar una ACL en una Interfaz:

IMPORTANTE: Las ACL pueden aplicarse tanto a interfaces fsicas como a
subinterfaces, de hecho en los enlaces troncales de los routers DEBEN aplicarse en las
subinterfaces
1. Creacin de la ACL.
Ejemplo:
2. Seleccin de la interfaz adecuada:
Ejemplo:
Router(config)# interface fastethernet 0/1
3. Asignacin de la ACL a la interfaz, indicando en que sentido se va a aplicar dicho filtro
Ejemplo:
Router(config-if)# ip access-group 1 out
REDES
Sintaxis de las ACL estndar: Aplicar una ACL en una Interfaz. Ejemplo 1.
Router(config)#access-list 1
permit 192.168.3.0 0.0.0.255
Router(config)#access-list 1
permit host 10.1.1.2
Router(config)#interface Serial0/0/0
Router(config-if)#ip access-group 1 in
REDES
Sintaxis de las ACL extendidas:

access-list <n de ACL> {deny|permit|remark} <protocolo>
<origen> <wildcard-origen> [operador <operando>] [port puerto]
<destino> <wildcard-destino> [operador <operando>] [port puerto]
[established]
<n de ACL>: Identifica la lista de acceso (100-199; 2000 y 2699)
<protocolo>: Contenido del campo protocolo de la cabecera IP. Si no se desea especificar

ningn protocolo concreto ha de especificarse la opcin IP
<origen> <wildcard-origen>: Especifica el patrn de bits a comprobar en la direccin IP de

origen del paquete
<destino> <wildcard-destino>: Especifica el patrn de bits a comprobar en la direccin IP de

destino del paquete
<operador operando>: Permite especificar un conjunto de puertos o un puerto especfico,

tanto de origen como de destino
Established: Esta opcin solamente est disponible para trfico TCP e indica el paquete
debe pertenecer a una conexin ya establecida (bit ack = 1)
REDES
Sintaxis de las ACL extendidas: Especificacin de puertos

Ejemplo de utilizacin del nmero de puerto:
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 23
Ejemplo de utilizacin del nmero de puerto:

access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq telnet
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp
access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp-data
REDES

Ubicacin de las ACL: Buenas prcticas.
Ubicar las ACL extendidas lo
ms cerca posible del origen
del trfico denegado. De
esta manera, el trfico no
deseado se filtra sin
atravesar la infraestructura
de red.
Como las ACL estndar no
especifican las direcciones
de destino, deben colocarse
lo ms cerca del destino
posible, para no eliminar ms
trfico del necesario.
REDES
Buenas prcticas para el diseo de ACLs:

1. Fundamentar las decisiones en la poltica de seguridad de la organizacin
2. Preparar una descripcin de lo que se desea realizar (tal y como se ha visto en la
parte de teora). Deben especificarse primero los flujos de trfico ms especficos
3. Determinar la ubicacin de la ACL, as como el sentido de aplicacin
4. Utilizar un editor de textos externo para crear, editar y almacenar las ACL
5. Probar las ACLs en una red de pruebas, antes de implantarlas en produccin
Escenario Base del

Ejemplo 2
REDES
Ejemplo 2A: Debe evitarse que desde las redes de la Facultad de Informtica pueda
accederse a las direcciones IP de la red de backbone (192.168.3.0/24), excepto cuando el
trfico va dirigido al servidor Web y al servidor DNS ubicados en el equipo 192.168.3.10
1. Este enunciado es el equivalente a la poltica de la organizacin
2. Descripcin de cmo se va a procesar el trfico en el router Informtica:
El trfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el
servicio Web y hacia el servicio DNS de 192.168.3.10 debe ser permitido
El trfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/ 24 hacia el resto
de dispositivos de la red 192.168.3.0 debe ser prohibido
El trfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el resto
de las redes debe ser permitido
3. Ubicacin de la ACL: Interface f1/0. Sentido, saliente.
4. Utilizacin de un editor externo para construir la ACL:
access-list
access-list
access-list
access-list
access-list
100
100
100
100
100
permit tcp any host 192.168.1.10 eq 80

permit udp any host 192.168.1.10 eq 53
deny ip any 192.168.1.0 0.0.0.255
permit ip any any
REDES
Ejemplo 2B: Debe evitarse que desde la red 192.168.1.0/24 pueda accederse a las
direcciones IP de la red de backbone (192.168.3.0/24), excepto cuando el trfico va dirigido
al servidor Web y al servidor DNS ubicados en el equipo 192.168.3.10. Desde la red
192.168.2.0/24, el nico trfico permitido ser el dirigido hacia el servidor Web y el servidor
DNS ubicados en el equipo 192.168.3.10. El trfico entre las redes 192.168.1.0/24 y
192.168.2.0/24 estar permitido.
1. Este enunciado es el equivalente a la poltica de la organizacin
2. Descripcin de cmo se va a procesar el trfico en el router Informtica:
El trfico dirigido desde las redes 192.168.1.0/24 y 192.168.2.0/24 hacia el
servicio Web y hacia el servicio DNS de 192.168.3.10 debe ser permitido
El trfico dirigido desde la red 192.168.1.0/24 al resto de dispositivos de la red
192.168.3.0 debe ser prohibido, pero el trfico a las dems redes debe ser
permitido
El trfico dirigido desde la red 192.168.2.0/24 hacia el resto de redes debe ser
prohibido
REDES

3. Ubicacin de la ACL: Interface f1/0. Sentido, saliente.
4. Utilizacin de un editor externo para construir la ACL:
access-list
access-list
access-list
access-list
access-list
100
100
100
100
100

permit udp any host 192.168.3.10 eq 53
deny ip any 192.168.3.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any
REDES
Edicin de ACLs:
Las ACLs identificadas por nmeros (las que hemos estudiado) no son editables, es
decir, cada vez que se aade una nueva sentencia, sta se coloca a continuacin de
las sentencias ya existentes.
Para introducir sentencias intermedias, debe borrarse la ACL completa y volver a
escribirse (por ese se ha recomendado la utilizacin de editores de texto externos para
crear y mantener las ACLs)
Eliminacin de la configuracin de una ACL:

Debe realizarse de manera especialmente cuidadosa:
1. Eliminarse la asignacin de la ACL a la interfaz:
Router(config-if)# no ip access-group 101 out
2. Borrar la ACL:
Router(config)# no access-list 101
REDES
Traduccin de Direcciones
REDES
Objetivos
Comprender la necesidad del direccionamiento privado
Discernir entre los diferentes tipos de configuraciones NAT: Esttico vs. Dinmico
Entender la necesidad de la existencia de NAT sobrecargado (NATP). Traduccin de

direcciones y puertos
REDES
Base Terica
Base terica vista en clase

La traduccin de direcciones de red (Network Address Translation) consiste en sustituir
la direccin IP de origen (habitualmente), la direccin IP de destino (muy rara vez) o
ambas cuando una paquete que cumple unas determinadas caractersticas es enviado
a travs de un dispositivo NAT como puede ser un router
Este mecanismo permite dispositivos de red configurados con IPs puedan acceder a
redes pblicas como Internet
Rango de direcciones IP privadas (RFC 1918):
Clase A: 10.0.0.0 a 10.255.255.255 (1 red)
Clase B: 172.16.0.0 a 172.31.255.255 (16 redes)
Clase C: 192.168.0.0 192.168.255.255 (255 redes)
REDES
Base Terica
Tipos de NAT
NAT Esttico: A cada direccin IP privada se le asigna una IP pblica de forma
administrativa
NAT Dinmico (sin sobrecarga): Existe un pool de direcciones privadas y un pool de
direcciones pblicas. Cuando un dispositivo con una IP privada necesita acceder a una
red pblica, solicita una direccin IP pblica, si hay disponibles.
NAT Dinmico con Sobrecarga (Overloading) / Port Address Translation: En este caso
una sola IP pblica puede ser utilizada por mltiples IPs privadas, debido a que se
traducen, adems de las direcciones IP, los nmeros de puerto de los protocolos de
capa superior como TCP o UDP
Port Mapping / Port Forwarding: Es una asignacin esttica de IP + Puerto privados
con una IP + Puerto pblico, lo que permite acceder desde la red pblica (Internet) a
determinados puertos de la red privada
REDES
Traduccin de Direcciones: Configuracin
Ejemplo
REDES
Configuracin de NAT esttico
Mapeo de direcciones IP
Sintaxis:
Router(config)#ip nat inside source static <ip-local> <ip-global>
! Interfaz interna. Direccionamiento Privado
Router(config)#interface <tipo-int n-int>
Router(config-if)#ip nat inside
! Interfaz externa. Direccionamiento Pblico
Router(config-if)#ip nat outside
REDES
Configuracin de NAT (sin sobrecarga) esttico:
Mapeo de direcciones IP
Ejemplo:
Router(config)#ip nat inside source static 192.168.1.10 193.147.3.200
! Interfaz interna.
! Direccionamiento Privado
Router(config)#interface f0/0
! Interfaz externa.
! Direccionamiento Pblico
REDES
Configuracin de NAT (sin sobrecarga) dinmico: Sintaxis

1. Definir el conjunto de direcciones pblicas que van a ser utilizadas:
Router(config)# ip nat pool <nombre> <ip-inicial> <ip-final> {netmask
<mscara>|prefix-length <longitud-prefijo>}
2. Definir que direcciones IP privadas pueden ser traducidas, mediante una ACL
Router(config)#access-list <n> permit <origen> <wildcard-origen>
3. Relacionar el conjunto de direcciones IP privadas con el de direcciones IP pblicas:

Router(config)#ip nat inside source list <n de ACL que define las Ips
privadas> pool <nombre del pool de direcciones IP pblicas>
4. Identificar la interfaz interna:

5. Identificar la interfaz externa:

REDES
Configuracin de NAT (sin sobrecarga) dinmico: Ejemplo

Router(config)# ip nat pool Infor1 193.147.3.200 193.147.3.250 netmask
255.255.255.0

Router(config)#ip nat inside source list 1 pool Infor1


REDES
Configuracin de NAT (con sobrecarga) dinmico o PAT
Sintaxis. Opcin 1: Sobrecargar un conjunto de direcciones IP pblicas (grandes

organizaciones)
Router(config)# ip nat pool <nombre> <ip-inicial> <ip-final> {netmask
<mscara>|prefix-length <longitud-prefijo>}

privadas> pool <nombre del pool de direcciones IP pblicas> OVERLOAD


REDES
Ejemplo
Router(config)# ip nat pool Infor1 193.147.3.200 193.147.3.250 netmask
255.255.255.0

Router(config)#ip nat inside source list 1 pool Infor1 OVERLOAD


REDES
Sintaxis. Opcin 2: Sobrecargar la direccin IP de la Interfaz Pblica (PYME - Domstica)


privadas> interface <tipo nmero> OVERLOAD


REDES
Traduccin de Direcciones: Configuracin
Configuracin de NAT (con sobrecarga) dinmico o PAT: Ejemplo


Router(config)#ip nat inside source list 1 interface f1/0 overload


REDES
Configuracin de Port-Mapping:
Sintaxis.
1. Relacionar la IP y puerto privado con la IP y puerto pblico:
Router(config)# ip nat inside source static [tcp|udp] <ip-local-interna>
<puerto-local-interno> <ip-global-interna> <puerto-global-interno>


REDES
Configuracin de Port-Mapping:
Ejemplo:
Router(config)# ip nat inside source static tcp 172.28.10.100 80 193.147.41.1
80
REDES
Desactivacin de la Traduccin de Direcciones

1. Eliminar el rol de interfaz interna y externa de aquellas en las que se haya configurado:
Router(config)# interface fastethernet 0/0
Router(config-if)# no ip nat inside
Router(config-if)# interface fastethernet 0/1
Router(config-if)# no ip nat outside
2. Limpiar la tabla de traducciones NAT
Router(config)# cliear ip nat translations *
3. Eliminar los comandos especficos de traduccin y sus ACLs correspondientes:
Router(config)#no ip nat inside source list pool Infor1 overload
Router(config)#no ip nat pool Infor1 200.1.1.1 200.1.1.4 netmask
255.255.255.248
Router(config)#no access-list 1
REDES
Comandos de Diagnstico:
Router# show ip nat translations
Router# show ip nat statistics
Router# debug ip nat
REDES
Terminologa NAT
Direcciones Inside Local:
Son las direcciones asignadas administrativamente a los equipos de la red privada o

red interna. Son las direcciones con las que se crean los paquetes desde los equipos
finales internos
Suelen ser direcciones privadas
Direcciones Inside global:
Son direcciones que hacen referencia a equipos de la red privada o interna, pero una
vez que el paquete ha sido procesado por NAT y por lo tanto el paquete est en la red
pblica.
Son las direcciones pblicas asignadas a equipos de la red interna o privada
Direcciones Outside Local:
Son las direcciones de los equipos que estn fuera de la red privada, tal y como se ven
desde la red privada. Suelen ser direcciones pblicas.
Direcciones Outside Global
Son las direcciones de los equipos que estn fuera de la red privada, tal y como se ven
desde la red pblica. Suelen ser direcciones pblicas.
Normalmente, en la mayor parte de configuraciones: Outside Local = Outside Global

Practica 3

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Practica 3

Încărcat de

Drepturi de autor:

Formate disponibile

REDES

Semana del 29 de enero:

Reforzar el concepto de VLAN

Comprender los diferentes protocolos que permiten la expansin de VLANs a travs de la

Entender la relacin existente entre VLAN dominio de difusin red lgica.

Distinguir los diferentes tipos de enrutamiento que se pueden utilizar en un entorno

Repaso de conceptos fundamentales

Dominio de difusin o dominio de broadcast:

Repaso de conceptos fundamentales

Repaso de conceptos fundamentales

Configuracin de Switches Cisco Catalyst

La arquitectura y configuracin de los switches Cisco Catalyst es anloga a la de los

Configuracin de Switches Cisco Catalyst

Configuracin de VLAN por defecto en Switches Cisco.

Configuracin de Switches Cisco Catalyst

Configuracin de VLANs adicionales:

Cambio de VLAN a la que est asignada un puerto de un switch:

Configuracin de Switches Cisco Catalyst

Configuracin de Switches Cisco Catalyst

Comentarios acerca de la eliminacin de VLANs en un switch

Comentario: Si algn puerto permanece asignado a una VLAN que no existe en el

Configuracin de Switches Cisco Catalyst

Cmo extender la configuracin de VLANs a ms de un switch?

Configuracin de Switches Cisco Catalyst

Cmo extender la configuracin de VLANs a ms de un switch?

Configuracin de Switches Cisco Catalyst

La solucin anterior plantea un problema de escalabilidad. Qu sucedera si fuese

Solucin: Utilizar un solo enlace para transportar informacin de varias VLAN.

Los puertos de un switch pueden clasificarse en dos tipos:

Configuracin de Switches Cisco Catalyst

Configuracin de puertos de acceso y troncales en Switches Cisco:

Configuracin de Switches Cisco Catalyst

Enrutamiento entre VLANs

Despus de haber abordado el concepto y la configuracin de VLANs en switches, se

El siguiente paso a abordar es:

Enrutamiento entre VLANs

Enrutamiento entre VLANs

Enrutamiento entre VLANs

Enrutamiento entre VLANs

Enrutamiento entre VLANs

Cmo se crea una subinterfaz?

Enrutamiento entre VLANs

Configuracin del router:

Filtrado de Paquetes - ACLs

Conocer las principales caractersticas de filtros de seguridad en redes de comunicaciones,

Filtrado de Paquetes: Listas de Control de Acceso

Filtrado de Paquetes: Listas de Control de Acceso

Filtrado de Paquetes: Listas de Control de Acceso

Funcionamiento de una ACL de entrada en una interfaz

Filtrado de Paquetes: Listas de Control de Acceso

Ejecucin de las ACLs en el proceso general de enrutamiento de un paquete IP en un

Filtrado de Paquetes: Listas de Control de Acceso

Hay dos tipos bsicos de ACL en los routers Cisco:

Filtrado de Paquetes: Listas de Control de Acceso

Filtrado de Paquetes: Listas de Control de Acceso

Sintaxis de las ACL estndar:

<n de ACL>: Identifica la lista de acceso (1-99; 1300 y 1999)

Filtrado de Paquetes: Listas de Control de Acceso

Sintaxis de las ACL estndar: Mscaras Wildcard

Filtrado de Paquetes: Listas de Control de Acceso

Sintaxis de las ACL estndar: Mscaras Wildcard

Filtrado de Paquetes: Listas de Control de Acceso

Sintaxis de las ACL estndar: Mscaras Wildcard

Filtrado de Paquetes: Listas de Control de Acceso