Documente Academic
Documente Profesional
Documente Cultură
Servicios IP
Versin 5.1
CCNA, CCNP, CCDA, CCDP, CCIP, CCVP, CCSP, CCIE, CCDE, Cisco, Cisco IOS, Aironet, BPX, Catalyst, Cisco Press,
Cisco Unity, EtherChannel, EtherFast, EtherSwitch, Fat Step, GigaDrive, GigaStack, HomeLink, IP/TV, LightStream,
Linksys, MGX, Networking Academy, Network Registrar, Packet, PIX, SMARTnet, StackWise, CallManager, CallManager
Express, CCA, CNA, Cisco Systems, el logo de Cisco Systems, son marcas registradas o marcas de Cisco Systems Inc. y/o
sus afiliados en los Estados Unidos y otros pases. Toda otra marca mencionada en este documento es propiedad de sus
respectivos dueos.
Pg. 2
Introduccin
Estimado lector, una vez ms, y luego de una nueva revisin de los materiales que
componen esta Gua, es un gusto darte la bienvenida a estas pginas.
Tienes en tus manos una seccin de la que ser a futuro la Gua de Preparacin
para el Examen de Certificacin CCNA Routing & Switching. Como su nombre lo
indica, este no es un texto con objetivos primariamente tcnicos, sino una
herramienta de estudio pensada, diseada y escrita para ayudarte a preparar tu
examen de certificacin. Es un texto desarrollado especficamente para quienes
desean preparar su examen CCNA R&S 200-120 y buscan una herramienta de
estudio, consulta y trabajo que les permita cubrir con un solo elemento todos los
objetivos de la certificacin.
Como texto de estudio es fruto de mi larga experiencia docente, y de haber guiado
en su preparacin a la certificacin a miles de tcnicos certificados en los ltimos
15 aos. Como versin actualizada, he volcado en ella los comentarios y
experiencias recogidos el ltimo ao, durante el cual cientos de personas han
certificado con el actual examen CCNA R&S 200-120.
Esta no es la Gua completa, sino una seccin parcial de la misma que abarca
solamente uno de los siete ncleos temticos que he propuesto para el estudio de
esta certificacin. A partir de aqu puedes adquirir el ncleo temtico siguiente y los
ya publicados para completar el temario del examen, o adquirir la Gua de
Preparacin completa (cuando est disponible en poco tiempo ms).
Como desde su versin inicial, hace ya casi 10 aos, la Gua completa tiene 3
secciones principales: Una dedicada a brindar informacin sobre el examen mismo
y su metodologa; otra orientada a brindar sugerencias que considero de suma
importancia al momento de abordar la preparacin y el estudio personal, y
finalmente una tercera seccin para abordar especficamente el estudio de los
contenidos tcnicos considerados en el examen de certificacin. Este cuadernillo
desarrolla de modo completo solamente uno de los siete ejes temticos de la
tercera seccin.
Los ejes temticos que he definido para el estudio de esta certificacin son los
siguientes:
Principios de redes TCP/IP Ya publicado.
Direccionamiento IP (IPv4 / IPv6) Ya publicado.
Operacin de dispositivos Cisco IOS Ya publicado.
Conmutacin LAN Ya publicado.
Enrutamiento IP Ya publicado.
Servicios IP.
Tecnologas WAN.
Pg. 3
El Autor
Oscar Antonio Gerometta es CCNA R&S / CCNA Sec / CCNA Wi / CCDA / CCSI /
CCBF.
Con una larga trayectoria docente en esta rea, ha sido el primer Cisco Certified
Academy Instructor (CCAI) de la Regin y responsable durante varios aos del
entrenamiento de la comunidad de Instructores CCNA de Cisco Networking
Academy en Argentina, Bolivia, Paraguay y Uruguay.
Ha liderado numerosos proyectos e iniciativas como desarrollador de e-learning.
Ha sido miembro del Curriculum Review Board de Cisco Networking Academy y
uno de los docentes ms reconocidos dentro del Programa en la Regin
Suramrica Sur.
Desde el ao 2000 brinda cursos de apoyo especialmente diseados por l para
quienes se preparan a rendir su examen de certificacin CCNA, CCNA Sec, CCNA
Wi, CCDA o CCNP, logrando entre sus alumnos un nivel de aprobacin superior al
95%.
Pg. 4
Contenidos
Introduccin ................................................................................................ 3
Contenidos ................................................................................................. 5
2.6. Servicios IP .......................................................................................... 7
A. Mapa Conceptual ................................................................................... 7
B. Notas previas ....................................................................................... 11
C. Desarrollo temtico .............................................................................. 15
D. Prcticas de laboratorio ........................................................................ 59
E. Sntesis ................................................................................................ 65
F. Cuestionario de repaso......................................................................... 73
G. Respuestas del cuestionario de repaso.............................................. 105
ndice ...................................................................................................... 119
Pg. 5
Pg. 6
2.6. Servicios IP
A. Mapa conceptual
Asignacin automtica de direcciones IP.
IPv4.
o
DHCPv4.
IPv6.
o
EUI-64.
Autoconfiguracin stateless.
DHCPv6.
Modalidades.
Procedimiento:
DHCP Relay.
Mensajes.
Mecanismo de consulta.
Usos.
Reglas de funcionamiento.
Pg. 7
La mscara de wildcard.
Casos especiales.
Ejemplo de configuracin.
Tips de aplicacin.
Dispositivos NAT.
Terminologa.
Modalidades.
Procedimiento.
NAT esttico.
NAT dinmico.
PAT.
Comandos adicionales.
Monitoreo.
Seguridad de la red.
Pg. 8
Amenazas.
Requerimientos bsicos.
Best practices.
Implementacin de SSH.
Implementacin de Syslog.
Arquitectura SNMP.
Versiones de SNMP.
NetFlow
Utilidad.
Caractersticas.
Arquitectura.
Configuracin.
Pg. 9
Pg. 10
B. Notas previas
El captulo de servicios IP rene un conjunto de elementos diferentes que tienen
diferente importancia en el desarrollo del examen.
Los temas de mayor importancia y que hay que manejar en detalle, son:
NAT.
Sin embargo, no se pueden descuidar los otros puntos que tienen su lugar propio
dentro del cuestionario que se deber responder. Siempre hay preguntas referidas
a NetFlow, SNMP, NTP o temas de seguridad.
En lo referido a laboratorios de prctica, el examen de certificacin requiere
habilidades de configuracin y diagnstico de fallos en los mismos 2 temas que
acabo de mencionar: ACLs y NAT.
Hay que adquirir un manejo seguro y rpido del mtodo de clculo de las
mscaras de wildcard.
Pg. 11
00001111
.16
00010000
.17
00010001
.18
00010010
.19
00010011
.20
00010100
Si se observa con atencin se puede ver que el grupo que va desde .16 a .19 tiene
un patrn de 6 bits en comn:
.16
00010000
.17
00010001
.18
00010010
.19
00010011
Adicionalmente, cuando uno solo de los bits que componen este patrn comn se
modifica, automticamente se sale del rango sealado.
Pg. 12
Pg. 13
que corresponde a los octetos que estn a la izquierda del octeto crtico y
en 255 la porcin que corresponde a los octetos que estn a la derecha
del octeto crtico.
172 . 16 . 16 . 0
0 . 0 . __ . 255
Octeto crtico
4. En el octeto crtico tome el valor decimal ms alto que integra el grupo y
rstele el valor decimal ms bajo. El resultado que obtiene es el valor del
octeto crtico de la mscara de wildcard:
19 16 = 3
0 . 0 . 3 . 255
Octeto crtico
Este procedimiento es aplicable siempre que se cumplan las dos condiciones
enunciadas en las consideraciones.
Pg. 14
C. Desarrollo temtico
Con el avance de Internet, su implementacin y expansin, el desarrollo original de
la arquitectura IP requiri modificaciones en orden a optimizar su operacin o
agregar nuevas funcionalidades no previstas inicialmente en el diseo original.
La introduccin de la mscara de subred y el posterior procesamiento classless de
los paquetes son una muestra de estas modificaciones que en la actualidad
estudiamos como integradas en el mismo direccionamiento IP.
Pero esto no fue suficiente para los requerimientos crecientes que se desprendan
de la implementacin de IP. As fueron surgiendo otros elementos tales como:
Configuracin esttica.
Pg. 15
Default Gateway.
Nombre de dominio.
Time Servers.
WINS Server.
Duracin de la asignacin.
Pg. 16
Asignacin dinmica.
Realiza una asignacin dinmica de configuracin IP utilizando una
direccin comprendida en un rango definido en el servidor, por un tiempo
determinado.
El cliente deber volver a solicitar una nueva asignacin antes de que
expire el tiempo especificado.
Asignacin automtica.
El servidor realiza una asignacin dinmica de la configuracin IP con una
direccin comprendida en el rango definido en el servidor, de modo
permanente.
El cliente no necesita renovar peridicamente esta asignacin.
Asignacin esttica.
El servidor realiza la asignacin de la configuracin IP tomando
direcciones ya definidas en una tabla que mapea direcciones MAC a
direcciones IP. Slo reciben direccin por este mecanismo los clientes que
estn enlistados en esta tabla.
DHCP Discovery.
El cliente DHCP enva una solicitud de configuracin en formato de
broadcast.
2.
DHCP Offer.
El servidor DHCP que recibe la solicitud reserva una direccin IP para el
cliente y responde enviando una propuesta de configuracin en formato de
broadcast.
3.
DHCP Request.
El cliente responde en formato broadcast realizando una solicitud explcita
de la configuracin ofrecida por el servidor.
El cliente puede recibir mltiples ofertas, pero slo una es aceptada.
Cuando deba renovar su configuracin enviar un nuevo request pero esta
vez en formato unicast al servidor.
4.
DHCP Acknowledgement.
Se enva un paquete en formato broadcast al cliente, incluyendo la
informacin de configuracin que el cliente ha aceptado.
Esto completa y cierra el proceso.
DHCPDiscover
DHCPOffer
DHCPRequest
DHCPAck
Pg. 17
Sintetizando:
RARP
BOOTP
DHCP
---
UDP
UDP / TCP
Requiere un servidor
Si
Si
Si
Fija
Fija
Fija / Dinmica
Mscara de subred
---
Si
Si
Default gateway
---
Si
Si
Servidor DNS
---
Si
Si
Servidor WINS
---
---
Si
Nombre de dominio
---
---
Si
Suministra
Direccin IP
Router#configure terminal
Router(config)#service dhcp
Habilita el servicio DHCP en el dispositivo.
El servicio DHCP se encuentra habilitado por defecto
en Cisco IOS, por lo que este comando no es
requerido.
Router(config)#ip dhcp excluded-address 172.16.1.1 172.16.1.3
Permite excluir del conjunto de direcciones IP que se
definirn para el pool las direcciones IP que se desean
administrar manualmente o no asignar por otros
motivos.
Router(config)#ip dhcp pool DHCP_LAN
Crea un servicio DHCP identificado por el nombre que
se especifica. Al mismo tiempo accede al modo de
configuracin del pool DHCP.
Pg. 18
ip
ip
ip
ip
dhcp
dhcp
dhcp
dhcp
pool [nombre]
binding
conflict
server statistics
DHCP Relay
Dado que el inicio de la operacin del protocolo se realiza sin contar con una
direccin de origen y utilizando broadcast como destino, las solicitudes DHCP
(discovery) no son de suyo ruteables hacia otras redes o subredes. De aqu que en
principio el protocolo supone que el servidor y el cliente DHCP estn conectados a
la misma red o subred.
Cuando se desea utilizar servidores DHCP que se encuentran alojados en una red
o subred diferente de aquella en la que se encuentran las terminales a las que
debe servir, se puede utilizar un agente DHCP relay. Un DHCP relay es un
dispositivo que recibe las solicitudes de los clientes en formato de broadcast y las
reenva como unicast a la direccin del servidor DHCP.
1.
DHCP Discovery.
El cliente DHCP enva una solicitud en formato de broadcast.
2.
DHCP Relay.
El agente DHCP relay que recibe el broadcast lo retransmite a uno o ms
Pg. 19
DHCP Offer.
El servidor utiliza la direccin de gateway que recibe en la solicitud para
determinar a qu subred pertenece el host solicitante y asigna entonces
una configuracin que corresponda esa red o subred.
El servidor DHCP reserva una direccin IP para el cliente y enva la
respuesta en un paquete unicast a la direccin del gateway, que luego lo
reenva a la red local.
4.
DHCP Request.
El cliente responde en formato broadcast realizando una solicitud explcita
de la configuracin ofrecida por el servidor.
El agente DHCP relay interviene nuevamente reenviando la informacin al
servidor DHCP.
5.
DHCP Acknowledgement.
Se enva un paquete en formato unicast al DHCP relay que luego lo reenva
al cliente, incluyendo la informacin de configuracin que el cliente ha
aceptado.
Esto completa el proceso.
Broadcast
Unicast
DHCPRelay
DHCP Client
DHCP Server
Pg. 20
Router#configure terminal
Router(config)#interface GigabitEthernet 0/0
Router(config-if)#ip helper-address [IP servidor DHCP]
Pg. 21
Pg. 22
Tipo
ICMPv4
Tipo
ICMPv6
129
Mensaje
Funcin
Echo Reply
Error
Destination Unreachable
Error
Source Quench
Control
137
Control
128
Echo Request
Error
134
Router Advertisement
Control
10
Router Selection
Control
11
Time Exceded
Error
12
Parameter Problem
Error
13
Timestamp Request
Control
14
Timestamp Reply
Control
15
Information Request
Control
16
Information Reply
Control
17
Control
18
Control
Error
133
Router Solicitation
Control
135
Neighbor Solicitation
Control
136
Neighbor Advertisement
Control
130
Control
131
Control
132
Control
143
Control
144
Control
145
Control
146
Control
147
Control
Los mensajes de ICMP son la base sobre la que operan programas de diagnstico
bsicos presentes en la mayora de los sistemas operativos, como tracert, ping y
pathping.
ICMPv4 es bloqueado en muchas redes corporativas por polticas de seguridad
para evitar algunos ataques conocidos que se basan en su funcionamiento.
En sentido amplio, ICMPv6 no es diferente de su predecesor pero agrega la
posibilidad de implementar autenticacin y encriptacin, lo que reduce las
posibilidades de que sea aprovechado para un ataque. Esto es importante ya que
en el caso de IPv6 ICMP se utiliza para la determinacin del MTU de la ruta, en el
descubrimiento de vecinos, y reemplaza ARP. Es un protocolo esencial para el
funcionamiento de redes IPv6.
Pg. 23
.es
Dominio Nacional
.ar
.edu
.com
.terra
Dominio Genrico
ftp
www
Pg. 24
Si el servidor DNS local no tiene una entrada para este dominio, reenva la
consulta al servidor raz.
Registros A.
Para mapear nombres a direcciones IPv4.
Registros AAAA.
Para mapear nombres a direcciones IPv6.
Registros MX.
Para mapear direcciones IP de servidores de correo.
Cuando el servidor que recibe una consulta opera tanto con IPv4 como IPv6 y
tiene ambos registros para el nombre requerido, entonces enva ambos registros:
IPv4 e IPv6. Al recibirlo la terminal, por defecto, utiliza el registro IPv6.
Pg. 25
Router#configure terminal
Router(config)# ip domain-lookup
Habilita el servicio de traduccin de nombres (se
encuentra habilitado por defecto). Para apagar el
servicio se niega este comando.
Router(config)#ip name-server [IP servidor DNS]
Define la direccin IP del servidor DNS externo para
realizar consultas de nombre.
Router(config)#ip host [nombre] [IP]
Crea una tabla de nombres local asociando el nombre
referido a una o varias direcciones IP.
Pg. 26
Se puede configurar una sola lista en cada interfaz, por sentido del trfico
(entrante / saliente), por protocolo (IP, IPX, etc.).
Esta regla suele denominarse como la regla de las 3 Ps:
o
Por protocolo.
Por interfaz.
Cada paquete que ingresa o sale a travs de una interfaz que tiene
asociada una lista de acceso es comparado con cada sentencia de la ACL
secuencialmente, en el mismo orden en que fueron ingresadas,
comenzando por la primera.
Pg. 27
Tipos especiales:
Pg. 28
Router(config)#access-list ?
1-99
100-199
700-799
1100-1199
1300 - 1999
2000 2699
IP
IP
48
48
IP
IP
estndar
extendida
bit MAC address standard
bit MAC address extendida
estndar (a partir de IOS 12.0.1)
extendida (a partir de IOS 12.0.1)
La mscara de wildcard
En la definicin de los criterios de filtrado de direcciones IP en las listas de acceso
el Administrador requiere de una herramienta que le permita definir conjuntos de
direcciones IP, subredes o redes completas. Esta herramienta es la mscara de
wildcard.
La mscara de wildcard es una secuencia de 32 bits divididas en 4 octetos de 8
bits cada uno (el mismo formato que una direccin IP o una mscara de subred)
utilizada para generar filtros de direcciones IP. Se utiliza siempre en combinacin
con una direccin IP.
En las mscaras de wildcard los unos y ceros de la mscara indican cmo se
deben considerar los bits de la direccin IP correspondiente. El dgito en 0 (cero)
indica una posicin binaria que debe ser comprobada, mientras que el dgito en 1
(uno) indica una posicin que carece de importancia y por lo tanto no se considera
en el filtro.
Pg. 29
172.16.14.44 0.0.255.255
Realizar el filtrado en funcin de la coincidencia
solamente con los 2 primeros octetos (en cero).
Selecciona todas las direcciones IP de la red
172.16.0.0 comprendidas entre 172.16.0.0 y
172.16.255.255 (no discrimina respecto de los dos
ltimos octetos).
172
16
10
Direccin binaria
10101100
00010000
00001010
00000011
Mscara de wildcard
00000000
00000000
11111111
11111111
Valor de comparacin
10101100
00010000
XXXXXXXX
XXXXXXXX
172
17
12
10
Direccin binaria
10101100
00010001
00001100
00001010
Mscara de wildcard
00000000
00000000
11111111
11111111
10101100
00010001
xxxxxxxx
xxxxxxxx
10101100
00010000
XXXXXXXX
XXXXXXXX
Valor de comparacin
coincide
no coincide
---
---
Pg. 30
172
16
15
31
Direccin binaria
10101100
00010000
00001111
00011111
Mscara de wildcard
00000000
00000000
11111111
11111111
10101100
00010000
xxxxxxxx
xxxxxxxx
10101100
00010000
XXXXXXXX
XXXXXXXX
Valor de comparacin
coincide
coincide
---
---
255.255.224.000
255.255.255.255
000.000.031.255
172.016.000.000 /16
255.255.000.000
000.000.255.255
172.016.030.000 /24
255.255.255.000
000.000.000.255
Direccin de subred:
Mscara de subred:
Mscara de wildcard:
172.016.032.000 /20
255.255.240.000
000.000.015.255
Pg. 31
Un ejemplo:
Casos especiales
En algunos casos especiales, un comando puede reemplazar una mscara de
wildcard, con el mismo efecto:
xxx.xxx.xxx.xxx 0.0.0.0 =
host xxx.xxx.xxx.xxx
El trmino host reemplaza a una mscara de
wildcard que tiene todos sus bits en cero y que por lo
tanto indica un host especfico.
0.0.0.0 255.255.255.255 =
any
E trmino any reemplaza a una mscara de wildcard
que tiene todos sus bits en uno, de modo que refiere a
toda direccin IP posible (cualquier IP).
remark [comentario]
Utilizado en lugar de la opcin permit/deny, permite
insertar comentarios entre las sentencias de una lista
de acceso para facilitar su comprensin.
Permite un mximo de 100 caracteres.
Si no se especifica una mscara de wildcard el sistema operativo asume la
mscara por defecto que es 0.0.0.0. En consecuencia, las siguientes formas son
equivalentes:
Router(config)#access-list 10 permit 172.16.10.3 0.0.0.0
Router(config)#access-list 10 permit host 172.16.10.3
Router(config)#access-list 10 permit 172.16.10.3
Pg. 32
Pg. 33
Pg. 34
Pg. 35
Pg. 36
ACL
Interfaz
show access-list
Si
No
show ip interfaces
No
Si
show running-config
Si
Si
Tips de aplicacin
Una misma lista de acceso puede ser asignada a varias interfaces distintas
en el mismo dispositivo, tanto en modo entrante como saliente.
Pg. 37
Pg. 38
Un router Cisco.
Un firewall ASA.
Un sistema UNIX.
Un servidor Windows.
Una red stub es una red con una nica puerta de entrada y
de salida.
Pg. 39
Terminologa NAT
Al implementar y analizar NAT es fundamental tener presente una terminologa
que es propia de esta implementacin. El punto de referencia es primariamente el
mismo NAT server.
NAT
IP Inside Global
IP Outside Global
IP Outside Local
IP Inside Local
Red Inside
Red Outside
Red inside.
Red que se encuentra del lado interno del dispositivo NAT, y cuyas
direcciones requieren traduccin.
Habitualmente coincide con la red LAN.
Red outside.
Red del lado externo del dispositivo NAT que requiere direcciones IP
vlidas.
Habitualmente coincide con la red WAN o Internet.
NAT Box
205.15.15.1/24
Gi0/0
192.168.100.1/24
Inside
Outside
192.168.100.18/28
Inside Local
192.168.100.18
Pg. 40
Inside Global
205.15.15.2
Outside Local
10.0.0.14
Outside Global
67.96.15.128
NAT esttico.
La traduccin se define manualmente de IP local a IP global.
Se asegura de este modo que un nodo de la red Inside est siempre
representado por la misma direccin global en la red Outside.
Generalmente utilizado para habilitar el acceso desde la red Global a un
servidor alojado en la red Inside.
NAT dinmico.
No hay una asignacin uno a uno de IP local a IP global, sino que se
define un conjunto de direcciones locales de origen que se traducen
dinmicamente utilizando un conjunto de direcciones globales.
Se asigna dinmicamente una IP global para cada IP local que atraviesa el
dispositivo NAT.
Pg. 41
NAT esttico para identificar dispositivos que deben ser accedidos desde
la red pblica como servidores.
Configuracin de NAT:
Procedimiento para la configuracin de NAT en IOS:
1. Identificacin de la interfaz que conecta a la red Inside para NAT.
2. Identificacin de la interfaz que conecta a la red Outside de NAT.
3. Definicin de los parmetros de traduccin.
Router#configure terminal
Router(config)#interface GigabitEthernet 0/0
Router(config-if)#ip nat inside
Define la interfaz que conecta a la red Inside.
Router(config-if)#interface serial 0/0/0
Router(config-if)#ip nat outside
Define la interfaz que conecta a la red Outside.
Router(config-if)#exit
Router(config)#ip nat inside source static [ip local] [ip global]
Define la traduccin esttica de una direccin IP local
a una direccin IP pblica.
Router(config)#access-list [1-99] permit [ip local]
Para definir una implementacin de NAT dinmico, en
primer lugar es necesario definir el conjunto de
direcciones locales que se han de traducir.
Con este propsito se utiliza una lista de acceso IP
estndar para definir el conjunto de direcciones IP
locales.
Router(config)#ip nat pool [name] [ip inicial] [ip final] netmask
X.X.X.X
En segundo lugar, debemos definir el pool (conjunto)
de direcciones globales a utilizar en el proceso de
traduccin. Con este propsito definimos la direccin
Pg. 42
Comandos adicionales
Router#clear ip nat translation *
Borra todas las entradas almacenadas en la tabla de
traduccin de direcciones IP.
Router(config)#ip nat translation timeout [segundos]
Define el tiempo en segundos que mantiene una
entrada de NAT dinmico en la tabla de traducciones.
Valor por defecto 86400 (24 horas).
Pg. 43
Seguridad de la red
Los riesgos potenciales a los que estn sometidas las redes de datos han
experimentado en los ltimos aos una complejidad y sofisticacin crecientes. La
red est expuesta no slo a amenazas externas (un atacante ajeno a la propia
empresa u organizacin), sino tambin internas. Por esto la preocupacin por la
seguridad debe estar presente an en el caso de redes que no tienen conexin
con redes externas o con Internet.
Amenazas Internas.
Amenazas a la seguridad de la red originadas al interior de la
organizacin. Son las ms serias.
La principal contramedida para responder a este tipo de amenazas son las
polticas de seguridad.
Son particularmente importantes porque:
o
Amenazas Externas.
Son ataques de naturaleza ms tcnica, que se inician con menor
conocimiento del interior de la red.
A estas amenazas se responde principalmente implementando defensas
tcnicas.
Pg. 44
Confidencialidad.
Permite garantizar que solamente usuarios autorizados pueden acceder a
informacin sensible.
Implica restringir y controlar el acceso a la informacin. Algunos de los
mecanismos que apuntan a este objetivo son:
o
Encriptacin de trfico.
Integridad.
Garantiza que solamente personas autorizadas pueden cambiar la
informacin sensible.
Disponibilidad.
Garantiza el acceso ininterrumpido de los usuarios autorizados a los
recursos de cmputo y a los datos.
Previene las interrupciones de servicio accidentales o intencionales (tales
como ataques DoS).
Es quizs el aspecto ms difcil de garantizar.
Plano de Control.
Refiere a la capacidad del dispositivo para mantener una estructura de
informacin referida a la red.
Plano de Management.
Refiere a la capacidad de administrar o gestionar el dispositivo.
Plano de Datos.
Refiere a la capacidad del dispositivo de reenviar trfico.
Amenazas fsicas.
Hay diferentes tipos de amenazas fsicas en primer lugar estn aquellas
que pueden producir dao fsico al hardware de los dispositivos; tambin
hay amenazas de tipo ambiental que pueden afectar el desempeo del
hardware; amenazas que se generan a partir del suministro elctrico
indispensable para el funcionamiento de los equipos; y situaciones
generadas en torno a las tareas de mantenimiento que estn asociadas a
la manipulacin inapropiada de dispositivos y conectorizado.
Ataques de reconocimiento.
Es la recopilacin no autorizada de informacin de la red, que luego puede
ser utilizada para ejecutar otros tipos de ataques, como DoS.
Ataques de acceso.
Son intentos de explotar vulnerabilidades conocidas en los servicios de
autenticacin u otros, de modo de ganar acceso a informacin.
Pg. 45
Ataques de claves.
Password attacks es la denominacin que se da comnmente a los
intentos repetidos de descubrimiento de credenciales de autenticacin.
Tambin se los denomina ataques de fuerza bruta.
Cisco IOS provee un conjunto de prestaciones que permiten asegurar los planos
de control y management de los routers.
Algunas best practices a implementar en dispositivos nuevos son:
Pg. 46
Pg. 47
Implementacin de SSH
Tanto Telnet como SSH son protocolos de terminal virtual (VTPs) que son parte
del stack TCP/IP. Permiten iniciar sesiones de consola de modo remoto.
Si bien estos protocolos son sumamente importantes para facilitar el acceso a la
gestin de los dispositivos, es preciso trabajar de modo seguro ya que a travs de
ellos se maneja informacin sensible de la red que puede ser aprovechada con
propsitos maliciosos; por este motivo es recomendable utilizar siempre SSH y no
Telnet.
En este sentido, la implementacin de SSH proporciona un mecanismo seguro
para reemplazar el uso de Telnet en el management de dispositivos ya que
autentica y encripta la comunicacin entre cliente y servidor (terminal de
management y dispositivo de red).
Para implementar SSH en el management se requiere:
Pg. 48
Router(config)#hostname LAB_A
LAB_A(config)#username cisco password cisco123
Define un usuario y clave en una base de datos local,
para ser luego utilizado en el proceso de
autenticacin.
LAB_A(config)#ip domain-name mydomain.com
Define un nombre de dominio que se utilizar en el
dispositivo.
LAB_A(config)#crypto key generate rsa
Genera la clave RSA que se requiere para operar con
SSH.
El sistema operativo le requerir que ingrese la
longitud de la clave de cifrado que desea utilizar.
Puede tener entre 360 y 2048 bits de longitud. La
longitud por defecto es 512 bits. La longitud mnima
recomendada es 1024 bits.
LAB_A(config)#ip ssh version 2
Establece el uso de SSH versin 2.
LAB_A(config)#line vty 0 4
LAB_A(config-line)#login local
Indica que se utilizar las credenciales de la base de
datos de usuarios local para la autenticacin.
LAB_A(config-line)#transport input ssh
Establece SSH como el protocolo para establecer
sesiones de terminal virtual hacia el dispositivo.
Para iniciar una sesin SSH desde un dispositivo Cisco, se puede utilizar el cliente
SSH incluido con el sistema operativo ya que IOS incluye tambin un cliente SSH
que puede ser utilizado para establecer sesiones hacia otros dispositivos:
LAB_A#ssh l user 172.16.100.25
Pg. 49
Enter.
Router#telnet Router_B
Router_B#Ctrl+shift+6 luego x
Router#_
Router#[Enter]
Router_B#_
Router_B#exit
Router#_
Router#resume #
Router_B#_
Router_B#logout
Router#_
Router#disconnect [IP/Nombre]
Router#clear line #
Pg. 50
Clave memotcnica.
UPDOWN
Emergency
Alert
Critical
Error
Warning
Notification
Informational
Debugging
Pg. 51
Pg. 52
SNMP Manager.
Aplicacin de gestin de red que proporciona funcionalidades de
monitoreo y gestin al Administrador.
Tambin denominado NMS (Network Management Station).
Agente SNMP.
Software que opera en un dispositivo de red que se desea gestionar.
Recoge informacin en una base de datos (MIB Management
Information Base) que contienen variables de estadstica y configuracin
del dispositivo.
Dispositivo con
Agente SNMP
SNMP Manager
MIB
Mensajes GET.
Get Request y Get Response.
Permiten que el SNMP Manager requiera y obtenga informacin que los
Agentes SNMP almacenan en su base de datos para luego poder
analizarla o consultarla.
La mayora de las consolas SNMP permiten que el Administrador configure
intervalos de tiempo para que la consulta se realice de modo automtico y
tambin a demanda del operador.
Mensajes SET.
Mensajes SNMP que envan modificaciones en los parmetros de
configuracin que se almacenan en la MIB para que luego se modifique la
configuracin del dispositivo.
Mensajes Trap.
Notificaciones generadas por el mismo Agente SMNP que se envan al
NMS sin que haya consulta previa para informar algn evento en
particular.
Estos mensajes pueden desencadenar algn proceso conexo tal como
mostrar una alarma en pantalla o disparar la notificacin por SMS del
evento al Administrador de la red.
Pg. 53
SNMPv2c.
Mejor el sistema de mensajes, lo que permite obtener mayor cantidad de
informacin del dispositivo de modo ms eficiente.
Utiliza el mismo sistema de autenticacin basado en el nombre de
comunidad que la versin 1: el nombre de comunidad opera como una
clave de autenticacin que viaja en texto plano, por lo que su nivel de
seguridad es bajo y lo hace susceptible de ataque tipo man-in-the-middle
Hay 2 tipos de comunidades:
- Read-only (RO) Permite solamente el monitoreo del dispositivo.
- Read-write (RW) Permite acceso de lectura y escritura.
Keyword
Autenticacin
Encriptacin
NoAuthNoPriv
noaut
Username
---
AuthNoPriv
auth
MD5 o SHA
---
AuthPriv
pri
MD5 o SHA
DES o AES
Pg. 54
NetFlow
Aplicacin diseada por Cisco y embebida en IOS que permite relevar informacin
estadstica de trfico en la red.
Responde a 2 premisas bsicas:
Monitoreo de la red.
Direccin IP origen.
Direccin ID destino.
Puerto de origen.
Puerto de destino.
Pg. 55
MIB
NetFlow
Collector
Configuracin de NetFlow
El procedimiento de configuracin en dispositivos Cisco IOS para utilizar funciones
de NetFlow requiere 2 tareas:
Router(config)#interface GigabitEthernet0/0
Router(config-if)#ip flow ingress
Define la captura de datos correspondientes al trfico
que ingresa a travs de la interfaz.
Router(config-if)#ip flow egress
Define la captura de datos correspondientes al trfico
que egresa a travs de la interfaz.
Router(config-if)#exit
Router(config)#ip flow-export destination 10.1.10.100 99
Configura la direccin IP y puerto a la cual se debe
dirigir la informacin de NetFlow que surja de la
captura en la interfaz.
Router(config)#ip flow-export version 9
Define la versin de NetFlow a utilizar en el dilogo
con el collector.
Router(config)#ip flow-export source loopback 0
Define la interfaz cuya direccin IP se utilizar como
direccin de origen para enviar la informacin hacia el
collector.
Pg. 56
Router(config)#end
Comandos para verificar y acceder a la informacin de NetFlow:
Router#show ip cache flow
Permite verificar la operacin de NetFlow en el
dispositivo, la cantidad de paquetes analizados y las
estadsticas correspondientes a cada uno de los flujos
capturados.
Router#show ip flow interface
Verifica la configuracin de NetFlow en las interfaces.
Router#show ip flow export
Permite verificar la configuracin de los parmetros de
exportacin de la informacin y las estadsticas
correspondientes.
Pg. 57
Pg. 58
D. Prcticas de laboratorio
Los siguientes ejercicios permitirn revisar aspectos prcticos cuya base terica ha
sido desarrollada en este captulo, y que son considerados en el examen de
certificacin.
Gi0/0
172.16.1.1/24
Router_2
Gi0/0
176.24.15.1/24
172.16.1.10/24
Pg. 59
Router_1
c1sc0_con
c1sc0_tel
c1sc0
8.8.8.8
Interfaz LAN:
Autonegociacin de velocidad
Autonegociacin de dplex
172.16.1.1/24
Interfaz WAN:
201.17.15.1/30
Enrutamiento:
EIGRP AS 10
Router 2
Hostname:
Router_2
c1sc0_con
c1sc0_tel
c1sc0
8.8.8.8
Interfaz LAN:
Autonegociacin de velocidad
Autonegociacin de dplex
176.24.15.1/24
Interfaz WAN:
201.17.15.2/30
Enrutamiento:
EIGRP AS 10
Enlace de conexin:
Pg. 60
HDLC
1 Mbps
Pg. 61
Por otra parte, el Router 1, a travs de su puerto Se0/0/0 slo debe admitir
trfico que sea respuesta a las solicitudes de servicios realizadas desde la
red LAN 172.16.1.0/24. No debe responder las solicitudes de ping que
reciba, pero si permitir todo otro trfico ICMP.
Pg. 62
access-list
access-list
access-list
access-list
access-list
access-list
!
101
101
102
102
102
102
Pg. 63
Pg. 64
E. Sntesis
Asignacin de configuracin IP de terminales:
DHCPv4.
3 formas diferentes:
o
Asignacin dinmica.
Asignacin automtica.
Asignacin esttica.
Procedimiento de asignacin:
o
DHCP Discovery.
DHCP Offer.
DHCP Request.
DHCP Acknowledgement.
DHCP Relay.
IOS permite que los dispositivos de red operen como DHCP Relay.
Pg. 65
Mensajes de error.
Mensajes de control.
ping
trace route
Pg. 66
Reglas de funcionamiento:
o
Estndar Numeradas.
1 99
1300 1999
Extendidas Numeradas.
100 199
2000 2699
Nombradas.
Tipos especiales:
Mscara de wildcard.
o
Casos especiales:
o
host = 0.0.0.0
any = 255.255.255.255
Procedimiento de configuracin:
o
Pg. 67
Tips
o
Terminologa:
Red inside.
Red outside.
Modalidades de NAT:
o
NAT esttico.
NAT dinmico.
Configuracin de NAT:
o
Pg. 68
Amenazas internas.
Amenazas externas.
Confidencialidad.
o
Autenticacin.
Cifrado.
Integridad.
Disponibilidad.
Utilizar SNMPv3.
Su implementacin requiere:
SSH.
Registro de eventos.
Consola.
Pg. 69
Servidor de Syslog.
Buffer de memoria.
0 - Emergency
1- Alert
2 - Critical
3 - Error
4 - Warning
5 - Notification
6 - Informational
7 - Debugging
Pg. 70
Arquitectura:
o
SNMP Manager.
SNMP Agent.
MIB.
Tipos de mensajes:
o
GET.
SET.
Trap.
Versiones:
o
SNMPv1.
SNMPv2c.
SNMPv3
NetFlow.
Arquitectura:
NetFlow collector.
Pg. 71
Pg. 72
F. Cuestionario de repaso
Estos cuestionarios han sido diseados teniendo en cuenta dos objetivos
prioritarios: permitir un repaso del tema desarrollado en el captulo, a la vez que
adentrar al candidato en la metodologa de las preguntas del examen de
certificacin.
Por este motivo los cuestionarios tienen una metodologa propia. Adems de estar
agrupados segn ejes temticos, los he graduado segn su dificultad de acuerdo a
tres categoras bsicas de preguntas:
DHCP
1.
Cuando se configura un servidor DHCP, Cules son las 2 direcciones IP que no son
asignables a hosts? (Elija 2)
A. La direccin IP de red o subred.
B. La direccin de broadcast de la red.
C. La direccin IP cedida a la LAN.
D. Las direcciones IP utilizada por las interfaces.
E. Las direcciones IP asignadas manualmente a los clientes.
F. La direccin IP asignada al servidor DHCP.
Pg. 73
2.
3.
Cules de las siguientes son 2 tareas que realiza Dynamic Host Configuration Protocol? (elija
2)
A. Configura la IP de gateway que utilizar la red.
B. Realiza un descubrimiento de terminales utilizando mensajes DHCPDISCOVER.
C. Configura parmetros de direccionamiento IP desde un servidor DHCP a una
terminal.
D. Facilita la gestin de dispositivos de capa 3.
E. Monitorea la performance IP utilizando el servidor DHCP.
F. Asigna y renueva direcciones IP tomadas de un pool de direcciones.
4.
Detection time
Feb 16 2005 12:40 PM
Feb 25 2005 08:30 AM
Pg. 74
5.
ICMP
6.
El Host 1 est intentando comunicarse con el Host 2. La interfaz Gi0/0 del RouterC est cada
(down):
RouterA
RouterB
RouterC
Gi0/0
Host1
Gi0/0
Host2
Pg. 75
7.
SNMP
8.
Cuando se implementa SNMP para gestionar una red corporativa, Cules son los 3
elementos que componen el sistema SNMP? (Elija 3)
A. Algoritmo SNMP.
B. MIB.
C. Agente SNMP.
D. Collector.
E. Servidor Syslog.
F. NMS.
9.
Pg. 76
Syslog
10. Por defecto, Para qu nivel de severidad Cisco IOS enva mensajes de eventos (logs)?
A. 0 Emergency.
B. 5 Notification.
C. Todos los niveles de severidad.
D. 4 Warning.
E. 1 Alert.
NetFlow
11.Cul es el comando Cisco IOS que nos permite verificar las estadsticas recolectadas de cada
flujo o conversacin por el dispositivo?
A. show ip flow export
B. show ip cache flow
C. show ip flow interface
D. show ip flow statistics
Pg. 77
13. Dnde debera colocar las listas de acceso estndar en una red?
A. En el switch ms cercano.
B. Lo ms cercano posible al origen.
C. Lo ms cercano posible al destino.
D. En la Internet.
14. Cul de los siguientes elementos es utilizado por las listas de acceso IP extendidas como
base para permitir o denegar paquetes?
A. Direccin de origen.
B. Direccin de destino.
C. Protocolo.
D. Puerto.
E. Todas las anteriores.
15. Luego de estar revisando una serie de publicaciones de tecnologa, su gerente le pregunta
acerca de la utilidad de las listas de control de acceso.
Cules seran respuestas posibles? (Elija 3)
A. Proteger los nodos de virus.
B. Detectar escaneo masivo de puertos.
C. Asegurar alta disponibilidad de los recursos de la red.
D. Identificar trfico interesante para DDR.
E. Filtrar trfico por direccin IP.
F. Monitorear el nmero de bytes y paquetes que atraviesan una interfaz.
16. Para especificar todos los nodos en la red IP Clase B 172.16.0.0, qu mscara de wildcard
utilizara?
A. 255.255.0.0
B. 255.255.255.0
C. 0.0.255.255
D. 0.255.255.255
E. 0.0.0.255
Pg. 78
17. Qu wildcard utilizara para filtrar las redes 172.16.16.0 / 24 a 172.16.23.0 / 24?
A. 172.16.16.0 0.0.0.255
B. 172.16.255.255 255.255.0.0
C. 172.16.0.0 0.0.255.255
D. 172.16.16.0 0.0.8.255
E. 172.16.16.0 0.0.7.255
F. 172.16.16.0 0.0.15.255
18. Qu wildcard utilizara para filtrar el siguiente conjunto de redes? 172.16.32.0 a 172.16.63.0
A. 172.16.0.0 0.0.0.255
B. 172.16.255.255 0.0.0.0
C. 0.0.0.0 255.255.255.255
D. 172.16.32.0 0.0.0.255
E. 172.16.32.0 0.0.0.31
F. 172.16.32.0 0.0.31.255
G. 172.16.32.0 0.31.255.255
H. 172.16.32.0 0.0.63.255
19. La red corporativa de su empresa ha sido dividida en subredes utilizando una mscara de
subred de 29 bits. Qu mscara de wildcard deber utilizar para configurar una lista de
acceso extendida para permitir o denegar acceso a una subred entera?
A. 255.255.255.224
B. 255.255.255.248
C. 0.0.0.224
D. 0.0.0.8
E. 0.0.0.7
F. 0.0.0.3
Pg. 79
20. Cules de las afirmaciones que se presentan a continuacin son caractersticas propias de
las listas de acceso nombradas? (Elija 3)
A. Se pueden borrar sentencias individuales en una lista de acceso nombrada.
B. Las listas de acceso nombradas requieren un rango de numeracin entre 1000 y
1099.
C. Las listas de acceso nombradas deben ser definidas como estndar o
extendidas.
D. Se utiliza el comando ip access-list para crear listas de acceso nombradas.
E. No se pueden borrar sentencias individuales en una lista de acceso nombrada.
F. Se utiliza el comando ip name-group para aplicar las listas de acceso
nombradas.
21. Sobre la interfaz serial de un router se ha configurado una lista de acceso para denegar
especficamente el trfico entrante dirigido a los puertos UDP y TCP 21, 23 y 25.
Basados en esta informacin, qu trfico del que se menciona ms abajo estar permitido en
esta interfaz? (Elija 3)
A. SMTP.
B. DNS.
C. FTP.
D. Telnet.
E. HTTP.
F. POP3.
Pg. 80
Prog1
.2
Prog2
.3
.7
RR.HH.
Prog3
.4
Adm1
.5
Adm2
.6
I+D
Tec1
.8
Tec2
.9
A. Listas de acceso.
B. Passwords encriptadas en el router.
C. STP.
D. VLANs.
E. VTP.
F. LANs inalmbricas.
23. Considere la siguiente lista de acceso:
access-list 10 permit 172.29.16.0 0.0.0.255
access-list 10 permit 172.29.17.0 0.0.0.255
access-list 10 permit 172.29.18.0 0.0.0.255
access-list 10 permit 172.29.19.0 0.0.0.255
Una lista de acceso ha sido creada escribiendo las cuatro sentencias que se muestran arriba.
Cul sera el modo de sintetizar esta lista de acceso en una nica sentencia que combine las
cuatro que se muestran, obteniendo exactamente el mismo efecto?
A. access-list 10 permit 172.29.16.0 0.0.0.255
B. access-list 10 permit 172.29.16.0 0.0.1.255
C. access-list 10 permit 172.29.16.0 0.0.3.255
D. access-list 10 permit 172.29.16.0 0.0.15.255
E. access-list 10 permit 172.29.0.0 0.0.255.255
Pg. 81
24.
S0/0/0
192.168.160.0/24
Internet
192.168.175.0/24
Sucursal
S0/0/0
F0/0
S0/0/1
192.168.191.0/24
Central
192.168.195.0/24
Server
Usted necesita colocar una lista de acceso en la interfaz F0/0 del router Central para que
deniegue el acceso a todos los nodos que provengan de cualquiera de las redes que estn
dentro del rango 192.168.160.0 a 192.168.191.0. Los nodos de la red 192.168.195.0 deben
tener acceso pleno.
Cul de las siguientes sentencias cubre completamente estas necesidades?
A. access-list 1 deny 192.168.163.0 0.0.0.255
B. access-list 1 deny 192.168.128.0 0.0.127.255
C. access-list 1 deny 192.168.160.0 0.0.255.255
D. access-list 1 deny 192.168.160.0 0.0.31.255
Pg. 82
26. Cul de los siguientes comandos es vlido para crear una lista de acceso IP extendida que
filtre el trfico ftp?
A. access-list 101 permit ip host 172.16.30.0 any eq 21
B. access-list 101 permit tcp host 172.16.30.0 any eq 21 log
C. access-list 101 permit icmp host 172.16.30.0 any ftp log
D. access-list 101 permit ip any eq 172.16.30.0 21 log
27. Ud. tiene una lista de acceso con una nica consigna que se muestra a continuacin, qu
significa la palabra any que aparece en la consigna?
access-list 131 permit ip any 131.107.7.0 0.0.0.255 eq tcp
A. Verifica cualquiera de los bits en la direccin de origen.
B. Permite cualquier mscara de wildcard para la direccin.
C. Acepta cualquier direccin de origen.
D. Verifica cualquier bit en la direccin de destino.
E. permit 255.255.255 0.0.0.0
F. Acepta cualquier direccin de destino.
28. Cul de los siguientes comandos le permite implementar una lista de acceso en la lnea de
terminal virtual de un router?
A. Router_1(config-line)#access-class 10 in
B. Router_1(config-if)#ip access-class 23 out
C. Router_1(config-line)#access-list 150 in
D. Router_1(config-if)#ip access-list 128 out
E. Router_1(config-line)#access-group 15 out
F. Router_1(config-if)#ip access-group 110 in
29. Qu significa el siguiente comando?
access-list 110 permit ip any 0.0.0.0 255.255.255.255
A. Es una lista de acceso IP estndar que permite slo la red 0.0.0.0.
B. Es una lista de acceso IP extendida que permite slo la red 0.0.0.0.
C. Es una lista de acceso IP extendida que permite a cualquier nodo o red.
D. Es invlido.
Pg. 83
30. Cul de los comandos que se proponen a continuacin, deber seguir a esta lnea de
comandos?
access-list 110 deny tcp any any eq ftp
A. access-list 110 deny ip any any
B. access-list 110 deny tcp any any
C. access-list 110 permit ip any
D. access-list 110 permit ip any any
32. Cul de las siguientes listas de acceso permitir slo trfico http a la red 196.15.7.0?
A. access-list 100 permit tcp any 196.15.7.0 0.0.0.255 eq www
B. access-list 10 deny tcp any 196.15.7.0 eq www
C. access-list 100 permit 196.15.7.0 0.0.0.255 eq www
D. access-list 110 permit ip any 196.15.7.0 0.0.0.255
E. access-list 110 permit www 196.15.7.0 0.0.0.255
Pg. 84
33. Qu configuracin utilizando listas de acceso permite que slo el trfico proveniente de la red
172.16.0.0 entre al router a travs de la interfaz serial 0/0/0?
A. access-list 10 permit 172.16.0.0 0.0.255.255
interface serial 0/0/0
ip access-list 10 in
B. access-group 10 permit 172.16.0.0 0.0.255.255
interface serial 0/0/0
ip access-list 10 out
C. access-list 10 permit 172.16.0.0 0.0.255.255
interface serial 0/0/0
ip access-group 10 in
D. access-list 10 permit 172.16.0.0 0.0.255.255
interface serial 0/0/0
ip access-group 10 out
34. Su Gerente est preocupado respecto de la seguridad de la subred 10.0.1.0/24 que contiene
al servidor de contadura. Desea estar seguro de que los usuarios no podrn conectarse
utilizando telnet a ese servidor, y le ha consultado en orden a incorporar una sentencia a la
lista de acceso existente para prevenir que los usuarios puedan acceder a la subred utilizando
telnet. Cul de las siguientes sentencias debera Ud. agregar?
A. access-list 15 deny tcp 10.0.1.0 255.255.255.0 eq telnet
B. access-list 115 deny tcp any 10.0.1.0 255.255.255.0 eq telnet
C. access-list 115 deny udp any 10.0.1.0 eq 23
D. access-list 115 deny tcp any 10.0.1.0 0.0.0.255 eq 23
E. access-list 15 deny telnet any 10.0.1.0 0.0.0.255 eq 23
35. Teniendo en cuenta los siguientes criterios para permitir el acceso desde sitios remotos a su
LAN:
Restringir el acceso en la interfaz FastEthernet 0/1
FastEthernet 0/1 = 207.87.81.173
Denegar el acceso a telnet, ftp, snmp
Permitir todo otro tipo de operaciones.
Cul de las siguientes debiera ser la ltima sentencia en ingresar en su lista de acceso?
A. access-list 101
B. access-list 101 deny e0 telnet ftp
C. access-list 101 allow all except ftp telnet
D. access-list 101 permit ip 0.0.0.0 255.255.255.255 any
E. access-list 101 deny ip 207.87.81.173 tcp eq 20 21 23
Pg. 85
Mendoza
S0/0/0
F0/0
S0/0/1
F0/0
F0/1
F0/0 192.168.35.17/28
S0/0/0 192.168.35.33/28
Mendoza F0/0 192.168.35.49/28
F0/1 192.168.35.65/28
S0/0/1 192.168.35.34/28
La direccin del servidor de Contadura es: 192.168.35.66
A partir de esta informacin, ordene en la tabla de ms abajo los comandos necesarios para
cumplir los objetivos de diseo que se enuncian en la columna de la derecha.
Pg. 86
37. Ud. es el Administrador de la red que se muestra a continuacin. Se ha escrito una lista de
acceso nombrada research_block para prevenir que usuarios de la red de Investigacin y
otros que accedan desde Internet puedan acceder al servidor de Soporte. Todos los dems
usuarios de la empresa pueden tener acceso a este servidor.
Internet
Router2
Router1
Router3
S0/0/0
S0/0/0
S0/0/0
S0/0/1
S0/0/1
F0/0
F0/0
Investigacin
172.16.102.0/24
Servidor de Ventas
172.16.102.252/24
Servidor de Soporte
172.16.104.252/24
Pg. 87
38. En orden a prevenir que el web server de la empresa reciba solicitudes de trfico telnet desde
usuarios del Departamento Grfico, se ha creado una lista de acceso denegando este trfico.
RouterB
RouterA
S0/0/0
S0/0/0
S0/0/1
F0/0
RouterC
S0/0/0
F0/0
Dept. Grfico
192.168.16.0/24
Web Server
192.168.18.252/24
Pg. 88
Internet
Capital
SantaFe
Rosario
S0/0/1
S0/0/1
S0/0/1
S0/0/0
S0/0/0
F0/0
F0/0
Departamento de
Produccin
Web Server
172.17.18.252/24
Servidor de RR.HH.
172.17.17.252/24
Se ha requerido la instalacin sobre el router Capital de una lista de acceso que cumpla con
las siguientes premisas:
1. Permitir una conexin telnet al Servidor de Recursos Humanos a travs de Internet.
2. Permitir que se acceda al web server desde Internet.
3. Bloquear cualquier otro trfico desde Internet a cualquier punto de la red.
Cules de las siguientes sentencias de lista de acceso permitiran cumplir con estos tres
objetivos? (Elija 2)
A. access-list 101 permit tcp any 172.17.18.252 0.0.0.0 eq 80
B. access-list 1 permit tcp any 172.17.17.252 0.0.0.0 eq 23
C. access-list 101 permit tcp 172.17.17.252 0.0.0.0 any eq 23
D. access-list 101 deny tcp any 172.17.17.252 0.0.0.0 eq 23
E. access-list 101 deny tcp any 172.17.18.252 0.0.0.0 eq 80
F. access-list 101 permit tcp any 172.17.17.252 0.0.0.0 eq 23
Pg. 89
40.
RouterA
5.1.1.8/24
5.1.1.10/24
RouterB
5.1.2.10/24
5.1.2.20/24
RouterC
5.1.3.8/24
5.1.3.10/24
Pg. 90
41.
RouterA
RouterB
S0/0/0
F0/1
S0/0/1
F0/0
172.16.1.0/24
F0/0
172.16.5.0/24
172.16.4.0/24
Pg. 91
42
El Administrador de la red que se muestra arriba desea prevenir que las terminales
conectadas a la red 192.168.23.64/26 puedan acceder a la subred 192.168.23.128/26 a travs
de FTP.
F0/0
F0/1
192.168.23.64/26
192.168.23.128/26
Debe permitirse el acceso de todos los dems nodos. Qu comando deber ingresar en el
router para realizar esta tarea?
A. Rtr(config)#access-list 101 deny tcp 192.168.23.64 0.0.0.63 192.168.23.128 0.0.0.63 eq ftp
Rtr(config)#access-list 101 permit ip any any
Rtr(config)#interface fastethernet 0/0
Rtr(config-if)#ip access-group 101 in
B. Rtr(config)#access-list 101 deny tcp 192.168.23.64 0.0.0.63 192.168.23.128 0.0.0.63 eq ftp
Rtr(config)#access-list 101 permit ip any any
Rtr(config)#interface fastethernet 0/0
Rtr(config-if)#ip access-group 101 out
C. Rtr(config)#access-list 101 deny tcp 192.168.23.64 0.0.0.255 192.168.23.128 0.0.0.255 eq ftp
Rtr(config)#access-list 101 permit ip any any
Rtr(config)#interface fastethernet 0/1
Rtr (config-if)#ip access-group 101 in
D. Rtr(config)#access-list 101 deny tcp 192.168.23.64 0.0.0.63 192.168.23.128 0.0.0.63 eq ftp
Rtr(config)#access-list 101 permit ip any any
Rtr(config)#interface fastethernet 0/1
Rtr(config-if)#ip access-group 101 in
E. Rtr(config)#access-list 101 deny tcp 192.168.23.64 0.0.0.255 192.168.23.128 0.0.0.255 eq ftp
Rtr(config)#access-list 101 permit ip any any
Rtr(config)#interface fastethernet 0/1
Rtr(config-if)#ip access-group 101 in
Pg. 92
44. Teniendo en cuenta la red del diagrama, se ha configurado una access-list de salida en la
interfaz Serial0/0/1 del Router2. Qu paquetes enrutados a travs de dicha interfaz sern
denegados? (Elija 2)
Router1 S0/0/0
192.168.0.9/30
S0/0/1
192.168.0.10/3
0
Router2
Fa0/1
192.168.0.25
Fa0/0
192.168.0.17
Fa0/0
192.168.0.51
Servidor
Telnet
192.168.0.16/29
192.168.0.24/29
45. Se ha diseado una lista de acceso para evitar que el trfico HTTP del Departamento de
Cuentas, llegue al Servidor HR conectado al Router2. Cul de las siguientes listas de acceso
es la ms adecuada para realizar la tarea descrita, si es aplicada a la interfaz Fa0/0 del
Router1?
Router2
Router1
S0/0
Fa0/0
Departamento de
Cuentas 172.16.16.0/24
Router3
S0/0
S0/1
Fa0/0.
Servidor HR
172.17.17.252/24
S0/1
Fa0/0.
Servidor web
172.17.18.252/24
Pg. 93
47. Cul de los siguientes comandos mostrar la lista de acceso extendida 187? (Elija 2).
A. show ip interfaces
B. show ip access-lists
C. show access-lists 187
D. show access-lists 187 extended
48. El Administrador de la red ha configurado la lista de acceso 172 para prevenir el trfico telnet
e ICMP que intente alcanzar el servidor cuya direccin es 192.168.13.26.
Qu comandos permitirn al administrador verificar que la lista de acceso est trabajando
adecuadamente? (Elija 2)
A. Router#ping 192.168.13.26
B. Router#debug access-list 172
C. Router#show open ports 192.168.13.26
D. Router#show access-list
E. Router#show ip interfaces
Pg. 94
NAT
50. En un sistema que est implementando NAT (Network Address Translation), Cul es la
direccin IP global inside?
A. La direccin sumarizada de todas las direcciones de subred internas.
B. Una direccin IP privada asignada a un nodo en el interior de la red.
C. Una direccin registrada que representa un nodo interior en la red externa.
D. Una nica direccin IP utilizada en una red interna.
Pg. 95
51. Cul de las siguientes variedades de NAT utiliza diferentes puertos para mapear mltiples
direcciones IP internas a una nica direccin IP global registrada?
A. NAT esttico.
B. Port loading.
C. NAT overloading.
D. NAT dinmico.
52.
53. Como Administrador a cargo de la red que se muestra en el esquema, usted debe
implementar NAT.
Router2
Router1
Internet
Router3
Para permitir que los nodos que estn conectados a las redes LAN utilicen direccionamiento
privado. Dnde deber configurar NAT?
A. En el Router 1.
B. En el Router 2.
C. En el Router 3.
D. En todos los routers.
E. En todos los routers y switches de la red.
Pg. 96
S0/0/1
200.2.2.18/30
F0/0
10.10.0.1/24
10.10.0.0/24
Cules de los siguientes conjuntos de comandos se deber utilizar para aplicar NAT en la
interfaz adecuada? (Elija 2)
A. Router_1(config)#interface serial0/0/1
Router_1(config-if)#ip nat inside
B. Router_1(config)#interface serial0/0/1
Router_1(config-if)#ip nat outside
C. Router_1(config)#interface fastethernet0/0
Router_1(config-if)#ip nat inside
D. Router_1(config)#interface fastethernet0/0
Router_1(config-if)#ip nat outside
E. Router_1(config)#interface serial0/0/1
Router_1(config-if)#ip nat outside source pool 200.2.2.18 255.255.255.252
F. Router_1(config)#interface serial0/0/1
Router_1(config-if)#ip nat inside source pool 10.10.0.0 255.255.255.0
Pg. 97
Pg. 98
S0/0/1
200.2.2.18/30
F0/0
10.10.0.1/24
10.10.0.0/24
interface serial0/0/1
ip address 200.2.2.18 255.255.255.252
ip nat outside
!
interface fastethernet0/0
ip address 10.10.0.1 255.255.255.0
ip nat inside
speed auto
!
ip nat pool test 199.99.9.40 199.99.9.62 netmask 255.255.255.224
ip nat inside source list 1 pool test
!
ip route 0.0.0.0 0.0.0.0 200.2.2.17
!
access-list 1 10.10.0.0 0.0.0.255
!
Tenga en cuenta tambin que se ha utilizado tambin el comando ip subnet-zero. Despus de
que el router realiza la traduccin de direcciones, Cul es una direccin inside global
address vlida?
A. 10.10.0.1
B. 10.10.0.17
C. 200.2.2.17
D. 200.2.2.18
E. 199.99.9.33
F. 199.99.9.57
Pg. 99
172.16.1.0/24
S0/0/0
128.107.1.1
Fa0/1
172.16.2.254
172.16.2.0/24
External
Router
Internet
hostname InternalRouter
!
interface FastEthernet0/0
ip address 172.16.1.254 255.255.255.0
ip nat inside
!
interface FastEthernet0/1
ip address 172.16.2.254 255.255.255.0
ip nat inside
!
interface serial0/0/0
ip address 128.107.1.1 255.255.255.252
ip nat outside
!
ip nat inside source list 1 interface
Serial0/0/0 overload
!
ip route 0.0.0.0 0.0.0.0 Serial0/0/0
!
access-list 1 permit 172.16.1.0 0.0.0.255
access-list 1 permit 172.16.2.0 0.0.0.255
Seguridad de la red
58. Cul de los siguientes es un conjunto de protocolos estndar abiertos comnmente utilizado
en VPNs para proveer comunicaciones seguras end-to-end?
A. RSA.
B. L2TP.
C. IPsec.
D. PPTP.
Pg. 100
59. Qu es posible hacer para asegurar las interfaces de terminal virtual de un router Cisco IOS?
(Elija 2)
A. Inhabilitar administrativamente las interfaces.
B. Asegurar fsicamente las interfaces.
C. Crear una lista de acceso y aplicarla a las interfaces de terminal virtual
utilizando el comando ip access-group.
D. Configurar una clave de terminal virtual y habilitar el procedimiento de login.
E. Incorporar una lista de acceso y aplicarla a las interfaces de terminal virtual con
el comando access-class.
60. Considere la informacin que se muestra a continuacin:
line vty 0 4
password 7 0300725638522
login
transport input ssh
Cul es el efecto de esta configuracin?
A. Configura globalmente SSH para todos los accesos.
B. Le indica al router o switch que debe intentar establecer una conexin SSH
primero, y si el intento falla utilizar Telnet.
C. Configura las lneas de interfaz virtual con la clave 0300725638522.
D. Configura un dispositivo de red Cisco para utilizar el protocolo SSH en las
comunicaciones entrantes a travs de los puertos de terminal virtual.
E. Permite hasta 7 intentos fallidos de conexin antes de que las lneas VTY sean
temporalmente desactivadas.
61. Asocie los features de seguridad que se enumeran en la columna de la izquierda al riesgo de
seguridad especfico sobre el que ofrece proteccin ese feature, que se mencionan en la
columna de la derecha. (No todas las opciones de la izquierda tienen coincidencias)
Access-group
Clave de consola
Enable secret
Autenticacin CHAP
Clave de VTY
Service password-encryption
Pg. 101
62. Cmo el uso del comando service password-encryption en un router proporciona seguridad
adicional?
A. Encriptando todas las claves que atraviesen el router.
B. Encriptando las claves que se encuentran en texto plano en el archivo de
configuracin.
C. Requiriendo el ingreso de una clave encriptada para el acceso al dispositivo.
D. Configurando una clave encriptada con MD5 que es utilizada por los protocolos
de enrutamiento para validar el intercambio de informacin de enrutamiento.
E. Para sugerir automticamente claves encriptadas para utilizar en la
configuracin del router.
63. Cul es el efecto de utilizar el comando service password-encryption?
A. Solamente la clave de acceso a modo privilegiado ser encriptada.
B. Solamente la enable secret ser encriptada.
C. Solamente las claves configuradas despus de ingresar el comando sern
encriptadas.
D. Encriptar la secret password y remover la clave enable secret de la
configuracin.
E. Encriptar todas las claves actuales y futuras.
64. Un administrador de red necesita permitir nicamente una conexin Telnet a un router.
Adicionalmente es necesario que si alguien revisa la configuracin utilizando el comando show
run, la clave del acceso por Telnet est cifrado. Cul de los siguientes conjuntos de
comandos cubre estos requerimientos?
A. service password-encryption
access-list 1 permit 192.168.1.0 0.0.0.255
line vty 0 4
login
password cisco
access-class 1
B. enable password secret
line vty 0
login
password cisco
C. service password-encryption
line vty 1
login
password cisco
D. service password-encryption
line vty 0 4
login
password cisco
Pg. 102
65. Qu feature de los switches Cisco Catalyst automticamente inhabilita un puerto que est
operando con PortFast luego de recibir un BPDU?
A. BackboneFast.
B. UplinkFast.
C. UplinkFast.
C. Root Guard.
D. BPDU Guard.
E. BPDU Filter.
66. Cul ser el resultado de implementar los siguientes comandos de configuracin en un switch
Cisco?
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky
A. Una direccin MAC aprendida dinmicamente se guarda en el archivo de
configuracin de respaldo (startup-config).
B. Una direccin MAC aprendida dinmicamente se guarda en el archivo de
configuracin activo (running-config).
C. Una direccin MAC aprendida dinmicamente se guarda en la base de datos de
VLANs.
D. Una direccin MAC configurada estticamente se guarda en el archivo de
configuracin de respaldo (startup-config) si se recibe una trama desde esa
direccin.
E. Una direccin MAC configurada estticamente se guarda en el archivo de
configuracin activo (running-config) si se recibe una trama desde esa
direccin.
67. Cul de los siguientes conjuntos de comandos es recomendado para prevenir el uso de un
hub en la capa de acceso de la red?
A. Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport port-security maximum 1
B. Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport port-security mac-address 1
C. Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security maximum 1
D. Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security mac-address 1
Pg. 103
68. Cules de los siguientes son 2 comandos que les permiten verificar si port security ha sido
configurado en el puerto FastEthernet0/12 de un switch? (elija 2)
A. Switch1#show port-secure interface FastEthernet0/12
B. Switch1#show switchport port-secure interface
FastEthernet0/12
C. Switch1#show running-config
D. Switch1#show port-security interface FastEthernet0/12
E. Switch1#show switchport port-security interface
FastEthernet0/12
69. Considere lo que se muestra a continuacin:
MAC Address Table
Fa0/2
0000.00bb.bbbb
Fa0/3
0000.00cc.cccc
Fa0/1
Fa0/2
A
Fa0/3
B
0000.00bb.bbbb
0000.00aa.aaaa
Ethernet frame
Destination MAC Source MAC
ffff.ffff.ffff
0000.00aa.aaaa
Data
0000.00cc.cccc
Los siguientes comandos se ejecutan en la interfaz Fa0/4 del switch Catalyst 2960:
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security maximum 1
La trama Ethernet que se muestra en el grfico llega a la interfaz Fa0/1. Qu dos acciones
de las que se mencionan a continuacin se ejecutarn como consecuencia de que esta trama
sea recibida en la interfaz del switch? (elija 2)
A. La tabla de direcciones MAC tendra ahora una entrada adicional: FA0/1
ffff.ffff.ffff.
B. Solamente el host A podr enviar tramas a travs del puerto Fa0/1.
C. La trama en cuestin ser descartada cuando sea recibida por el switch.
D. Todas las tramas que lleguen al switch y tengan como destino a direccin MAC
0000.00aa.aaaa sern reenviadas a travs de la interfaz Fa0/1.
E. Los hosts B y C pueden enviar tramas a travs de la interfaz Fa0/1 pero las
tramas que lleguen de otros switches no sern reenviadas a travs de esa
interfaz Fa0/1.
F. Solamente las tramas con MAC de origen 0000.00bb.bbbb, la primera MAC
aprendida por el switch, sern reenviadas a travs de la interfaz Fa0/1.
Pg. 104
Pregunta 2
Pregunta 3
Pregunta 4
Pregunta 5
ICMP
Pregunta 6
Pg. 105
SNMP
Pregunta 8
Pregunta 9
B, D y E Los tres tipos bsicos de mensajes SNMP son get, set y trap.
Algunos de esos mensajes tienen subtipos tales como get request y get
reply.
Syslog
Pregunta 10
Cisco IOS, por defecto, enva al puerto consola los mensajes de evento
hasta nivel 7, que es lo mismo que decir que enva todos los niveles.
NetFlow
Pregunta 11
Pg. 106
Pregunta 14
Pregunta 15
Pregunta 16
Pregunta 17
Pg. 107
Pregunta 18
Pregunta 19
Pregunta 20
Pregunta 21
puerto 25.
puerto 21.
puerto 23.
Pregunta 22
Pregunta 23
Pg. 108
Pregunta 26
B Ante una pregunta de este tipo, verifique en primer lugar los nmeros
de lista de acceso. En este caso todas las listas de acceso utilizan el 101,
por lo que estn todas configuradas como listas de acceso IP extendidas.
En segundo lugar verifique el protocolo. Para filtrar ftp se requiere que la
ACL filtre trfico TCP. Slo una sentencia de las propuestas est filtrando
TCP.
Pregunta 27
Pregunta 28
Pg. 109
Pregunta 29
Pregunta 30
D Uno de los tips bsicos de configuracin indica que toda ACL debe
contener al menos una premisa de permiso.
Cuando una lista de acceso tiene solo premisas de denegacin (deny), es
preciso concluir con una clusula permisiva (permit); de lo contrario se
bloquear el puerto debido a la denegacin total que est implcita al final
de cada lista.
A Esta es una lista de acceso extendida que permite todos los paquetes
IP cuya direccin de origen coinciden con los 3 primeros octetos de la
direccin 131.107.30.0. Adems, la palabra any indica que se aceptan
todas las direcciones de destino.
Pregunta 32
Pregunta 33
Pg. 110
Pregunta 35
D Ud. debe recordar que cuando utiliza listas de acceso, todo lo que no
coincida con los criterios enunciados ser descartado. Eso significa que si
se ingresan solamente restricciones, nada pasar a travs de esa interfaz.
Por lo tanto, si se pone como premisa permitir todo otro tipo de
operaciones salvo las explcitamente prohibidas, esto implica que luego de
las restricciones debemos permitir todo otro trfico.
Como en la premisa se nos requiere la ltima consigna de la lista de
acceso, hemos de suponer que previamente se han cargado las
restricciones, y por lo tanto corresponde que la ltima sentencia sea la que
permite todo el trfico que no est prohibido.
Pregunta 36
Pregunta 37
Pregunta 38
Pg. 111
Pregunta 39
Pregunta 40
Pregunta 41
Pregunta 42
Pregunta 43
Pregunta 44
Pregunta 45
Pg. 112
Luego, las tramas a descartar son las que tienen como origen la subred
172.16.16.0/24. Esto nos deja exclusivamente con la opcin D.
Atencin:
El comando show access-list slo le muestra las listas de
acceso configuradas en el router, pero no los puertos en los
que estn aplicadas.
El comando show interfaces no permite ver informacin
referida a listas de acceso.
Pregunta 47
Pregunta 48
Pregunta 49
Pg. 113
NAT
Pregunta 50
Pregunta 51
Pregunta 52
Pregunta 53
Pregunta 54
B y C Los comandos que se muestran son los que definen las interfaces
outside e inside que estn afectadas al proceso de traduccin de
direcciones.
En este caso, la interfaz serial es la outside (conecta a la red pblica), y la
FastEthernet la inside ya que es la que conecta con la red LAN privada.
Pregunta 55
Pregunta 56
Pg. 114
Seguridad de la red
Pregunta 58
Pregunta 59
Preguntan 60
Pregunta 61
Access-group
Clave de consola
Enable secret
Autenticacin CHAP
Clave de VTY
Service password-encryption
Pg. 115
Pregunta 62
Pregunta 63
Pregunta 64
Atencin.
Una pregunta de este tipo exige que consideremos la
metodologa para responder. Hay que leer como una unidad
la consigna y la respuesta posible.
No se pregunta cul es una manera, o la mejor forma de
hacer una tarea; sino cul de las opciones que se muestran
como posibles cumplen la consigna.
Pregunta 65
Pregunta 66
Pg. 116
Pregunta 67
Pregunta 68
Pregunta 69
Pg. 117
Pg. 118
ndice
Introduccin ............................................................................................................... 3
El Autor ..................................................................................................... 4
Contenidos ................................................................................................................ 5
2.6. Servicios IP ........................................................................................................ 7
A. Mapa conceptual................................................................................................... 7
B. Notas previas ...................................................................................................... 11
Para ganar tiempo .................................................................................. 12
Mtodo rpido de clculo ........................................................................ 12
Aplicacin al clculo de la mscara de wildcard ..................................... 13
C. Desarrollo temtico ............................................................................................. 15
Asignacin automtica de direcciones IP ...................................................... 15
Dynamic Host Configuration Protocol DHCPv4 ................................... 16
Configuracin de servicios DHCP en dispositivos IOS .......................... 18
DHCP Relay ............................................................................................ 19
Configuracin de un router como DHCP relay ....................................... 20
Configuracin de IOS como cliente DHCP ............................................. 21
Internet Control Message Protocol (ICMP) ................................................... 21
Domain Name System - DNS ........................................................................ 23
Configuracin del servicio de nombres en Cisco IOS ............................ 25
Listas de Control de Acceso .......................................................................... 26
Reglas de funcionamiento de las ACL .................................................... 27
Tipos de listas de acceso IP ................................................................... 28
El ID de las listas de acceso numeradas ................................................ 28
La mscara de wildcard .......................................................................... 29
Cmo funciona la mscara de wildcard? .............................................. 30
Algunas reglas prcticas de clculo........................................................ 31
Casos especiales .................................................................................... 32
Configuracin de las listas de acceso .................................................... 32
Edicin de listas de acceso ..................................................................... 34
Aplicacin de filtros de trfico a lneas virtuales ..................................... 35
Monitoreo de las listas de acceso. .......................................................... 36
Tips de aplicacin ................................................................................... 37
Un ejemplo de configuracin de ACL ..................................................... 38
Network Address Translation (NAT) .............................................................. 39
Terminologa NAT ................................................................................... 40
Configuracin de NAT: ............................................................................ 42
Comandos adicionales ............................................................................ 43
Comandos de monitoreo de NAT ........................................................... 43
Seguridad de la red ....................................................................................... 44
Requerimientos de seguridad bsicos .................................................... 44
Cisco Network Foundation Protection .................................................... 45
Seguridad de dispositivos Cisco IOS ............................................................ 45
Configuracin de claves de acceso ........................................................ 46
Implementacin de SSH ......................................................................... 48
Para verificar la configuracin de SSH ................................................... 49
Administracin de mltiples sesiones de terminal virtual ....................... 49
Implementacin de un registro de eventos ............................................. 50
Configuracin del cliente NTP ................................................................ 52
Simple Network Management Protocol (SNMP) ........................................... 53
Configuracin de SNMP v2c ................................................................... 54
NetFlow.......................................................................................................... 55
Configuracin de NetFlow ....................................................................... 56
Pg. 119
Pg. 120
Pg. 121
Pg. 122