Servicios IP, Versión 5.1

Biblioteca CCNA
Gua de Preparacin para el

Examen de Certificacin CCNA R&S 200-120
Parte 6
Servicios IP
Versin 5.1
Oscar Antonio Gerometta
Todos los derechos reservados.

Ninguna parte de este libro puede reproducirse o transmitirse
bajo ninguna forma o por ningn medio impreso, electrnico o
mecnico, ni por ningn sistema de almacenamiento y
recuperacin de informacin sin permiso por escrito del autor.
Derechos reservados 2014.
ISBN 978-987-45432-5-7
CCNA, CCNP, CCDA, CCDP, CCIP, CCVP, CCSP, CCIE, CCDE, Cisco, Cisco IOS, Aironet, BPX, Catalyst, Cisco Press,
Cisco Unity, EtherChannel, EtherFast, EtherSwitch, Fat Step, GigaDrive, GigaStack, HomeLink, IP/TV, LightStream,
Linksys, MGX, Networking Academy, Network Registrar, Packet, PIX, SMARTnet, StackWise, CallManager, CallManager
Express, CCA, CNA, Cisco Systems, el logo de Cisco Systems, son marcas registradas o marcas de Cisco Systems Inc. y/o
sus afiliados en los Estados Unidos y otros pases. Toda otra marca mencionada en este documento es propiedad de sus
respectivos dueos.
Pg. 2
APUNTE RPIDO CCNA VERSIN 5.0
Introduccin
Estimado lector, una vez ms, y luego de una nueva revisin de los materiales que
componen esta Gua, es un gusto darte la bienvenida a estas pginas.
Tienes en tus manos una seccin de la que ser a futuro la Gua de Preparacin
para el Examen de Certificacin CCNA Routing & Switching. Como su nombre lo
indica, este no es un texto con objetivos primariamente tcnicos, sino una
herramienta de estudio pensada, diseada y escrita para ayudarte a preparar tu
examen de certificacin. Es un texto desarrollado especficamente para quienes
desean preparar su examen CCNA R&S 200-120 y buscan una herramienta de
estudio, consulta y trabajo que les permita cubrir con un solo elemento todos los
objetivos de la certificacin.
Como texto de estudio es fruto de mi larga experiencia docente, y de haber guiado
en su preparacin a la certificacin a miles de tcnicos certificados en los ltimos
15 aos. Como versin actualizada, he volcado en ella los comentarios y
experiencias recogidos el ltimo ao, durante el cual cientos de personas han
certificado con el actual examen CCNA R&S 200-120.
Esta no es la Gua completa, sino una seccin parcial de la misma que abarca
solamente uno de los siete ncleos temticos que he propuesto para el estudio de
esta certificacin. A partir de aqu puedes adquirir el ncleo temtico siguiente y los
ya publicados para completar el temario del examen, o adquirir la Gua de
Preparacin completa (cuando est disponible en poco tiempo ms).
Como desde su versin inicial, hace ya casi 10 aos, la Gua completa tiene 3
secciones principales: Una dedicada a brindar informacin sobre el examen mismo
y su metodologa; otra orientada a brindar sugerencias que considero de suma
importancia al momento de abordar la preparacin y el estudio personal, y
finalmente una tercera seccin para abordar especficamente el estudio de los
contenidos tcnicos considerados en el examen de certificacin. Este cuadernillo
desarrolla de modo completo solamente uno de los siete ejes temticos de la
tercera seccin.
Los ejes temticos que he definido para el estudio de esta certificacin son los
siguientes:
Principios de redes TCP/IP Ya publicado.
Direccionamiento IP (IPv4 / IPv6) Ya publicado.
Operacin de dispositivos Cisco IOS Ya publicado.
Conmutacin LAN Ya publicado.
Enrutamiento IP Ya publicado.
Servicios IP.
Tecnologas WAN.
Pg. 3
Este cuadernillo desarrolla de modo ntegro el eje de Servicios IP que concentro

un conjunto de temas relacionados a la operacin de las redes IP, y lo hace junto
con las herramientas didcticas que he considerado adecuadas para el desarrollo
del tema. Otras publicaciones semejantes desarrollan cada uno de los dems ejes
temticos.
Deseo sinceramente que este manual sea una ayuda eficaz en tu preparacin para
el examen de certificacin, y espero que se convierta en un elemento de consulta
que te sea de utilidad en el futuro. Cualquier sugerencia, comentario o aporte que
quieras hacer ser bienvenido y de gran importancia para evaluar el camino que
tomar en el desarrollo de este conjunto de publicaciones y de la futura Gua de
Preparacin para el Examen de Certificacin CCNA Routing & Switching.
Como siempre aclaro en todas mis publicaciones, el mbito del networking y el de
las certificaciones en particular es una realidad cambiante, en permanente
actualizacin. Es por esto que desde el blog Mis Libros de Networking me ocupo
de brindar permanentemente informacin sobre cualquier novedad que surja sobre
estos temas. Te invito a que visites el blog, te asocies a los grupos que operan en
las diferentes redes sociales (Facebook y Google+) y me hagas llegar cualquier
comentario o sugerencia que consideres conveniente.
Blog Mis Libros de Networking

http://librosnetworking.blogspot.com
Correo electrnico: libros.networking@gmail.com
El Autor
Oscar Antonio Gerometta es CCNA R&S / CCNA Sec / CCNA Wi / CCDA / CCSI /
CCBF.
Con una larga trayectoria docente en esta rea, ha sido el primer Cisco Certified
Academy Instructor (CCAI) de la Regin y responsable durante varios aos del
entrenamiento de la comunidad de Instructores CCNA de Cisco Networking
Academy en Argentina, Bolivia, Paraguay y Uruguay.
Ha liderado numerosos proyectos e iniciativas como desarrollador de e-learning.
Ha sido miembro del Curriculum Review Board de Cisco Networking Academy y
uno de los docentes ms reconocidos dentro del Programa en la Regin
Suramrica Sur.
Desde el ao 2000 brinda cursos de apoyo especialmente diseados por l para
quienes se preparan a rendir su examen de certificacin CCNA, CCNA Sec, CCNA
Wi, CCDA o CCNP, logrando entre sus alumnos un nivel de aprobacin superior al
95%.
Pg. 4
Contenidos
Introduccin ................................................................................................ 3
Contenidos ................................................................................................. 5
2.6. Servicios IP .......................................................................................... 7
A. Mapa Conceptual ................................................................................... 7
B. Notas previas ....................................................................................... 11
C. Desarrollo temtico .............................................................................. 15
D. Prcticas de laboratorio ........................................................................ 59
E. Sntesis ................................................................................................ 65
F. Cuestionario de repaso......................................................................... 73
G. Respuestas del cuestionario de repaso.............................................. 105
ndice ...................................................................................................... 119
Pg. 5
Pg. 6
2.6. Servicios IP
A. Mapa conceptual
Asignacin automtica de direcciones IP.
IPv4.
o
DHCPv4.
IPv6.
o
EUI-64.
Autoconfiguracin stateless.
DHCPv6.
DHCPv4 (Dynamic Host Configuration Protocol versin 4).

o
Modalidades.
Procedimiento:
Configuracin del servicio en IOS.
DHCP Relay.
Configuracin de DHCP Relay en IOS.
Configuracin de DHCP client en IOS.
ICMP (Internet Control Message Protocol).
Mensajes.
DNS (Domain Name System).
Estructura de los nombres.
Estructura jerrquica de dominios.
Mecanismo de consulta.
Configuracin del servicio de nombre en IOS.
Listas de control de acceso.
Usos.
Reglas de funcionamiento.
Pg. 7
Tipos de listas de acceso.
ID de las listas de acceso numeradas.
La mscara de wildcard.
Reglas prcticas de clculo de la mscara de wildcard.
Casos especiales.
Listas de acceso en IOS.

o
Configuracin de listas de acceso.
Edicin de listas de acceso.
Aplicacin de listas de acceso a lneas virtuales.
Monitoreo de listas de acceso.
Ejemplo de configuracin.
Tips de aplicacin.
NAT (Network Address Translation).
Dispositivos NAT.
Terminologa.
Modalidades.
Configuracin de NAT en IOS.

o
Procedimiento.
NAT esttico.
NAT dinmico.
PAT.
Comandos adicionales.
Monitoreo.
Seguridad de la red.
Pg. 8
Amenazas.
Requerimientos bsicos.
Cisco Network Foundation Protection.
Seguridad en dispositivos Cisco IOS.

o
Best practices.
Configuracin de claves de acceso.
Implementacin de SSH.
Administracin de mltiples sesiones de terminal virtual.
Implementacin de Syslog.
Configuracin de un cliente NTP.
SNMP (Simple Network Management Protocol).
Arquitectura SNMP.
Versiones de SNMP.
Tipos de mensajes SNMP.
Configuracin de SNMP v2c.
NetFlow
Utilidad.
Caractersticas.
Arquitectura.
Configuracin.
Pg. 9
Pg. 10
B. Notas previas
El captulo de servicios IP rene un conjunto de elementos diferentes que tienen
diferente importancia en el desarrollo del examen.
Los temas de mayor importancia y que hay que manejar en detalle, son:
Listas de control de acceso.
NAT.
Sin embargo, no se pueden descuidar los otros puntos que tienen su lugar propio
dentro del cuestionario que se deber responder. Siempre hay preguntas referidas
a NetFlow, SNMP, NTP o temas de seguridad.
En lo referido a laboratorios de prctica, el examen de certificacin requiere
habilidades de configuracin y diagnstico de fallos en los mismos 2 temas que
acabo de mencionar: ACLs y NAT.
En lo que se refiere al tema de las listas de control de acceso, y particularmente el

clculo de las mscaras de wildcard, es uno de los temas que generalmente
preocupan y agrega tensin durante la preparacin del examen. Sin embargo, si se
estudia adecuadamente y sobre todo si se realizan ejercicios de prctica, no tiene
mayores dificultades y no debe generar inquietud.
Se trata solamente de algunos conceptos y reglas de aplicacin que se deben
conocer y manejar adecuadamente. Y sobre todo, se requiere la adquisicin de un
conjunto de reglas simples de clculo que permitirn responder las preguntas con
rapidez y seguridad.
En el tema de las mscaras de wildcard, es importante tener presente que hay
mtodos de clculo que se trabajan bsicamente sobre la nomenclatura binaria y
que son los ms apropiados para tener una visin amplia y abarcativa del tema.
Sin embargo, estos mtodos de clculo resultan complicados, requieren tiempo y
su revisin es ms difcil. Es por esto que a lo largo del captulo incluir varias
reglas prcticas para realizar un clculo rpido que, si bien tienen limitaciones, son
enteramente adecuadas para responder a las preguntas que se pueden plantear
en el examen de certificacin.
Entre los temas que merecen especial atencin destaco:
Es importante tener claros los tips de configuracin al momento de tener

que evaluar algunas preguntas. Esto permitir ahorrar tiempo.
Es importante tener claro el concepto de filtrado de trfico entrante o

saliente. Este es un punto que suele generar confusiones.
Hay que adquirir un manejo seguro y rpido del mtodo de clculo de las
mscaras de wildcard.
Pg. 11
Una clave indudable de la seccin listas de acceso es la

prctica.
Solo la ejercitacin da velocidad para percibir el objetivo y
realizar los clculos; y seguridad para alcanzar una
respuesta satisfactoria.
Para ganar tiempo

Como ya comentara en otros captulos de esta Gua, el manejo del tiempo en el
desarrollo del examen es fundamental para asegurar el xito. Y el clculo de las
mscaras de wildcard es un tema que suele generar inquietudes e inseguridades,
por lo que demanda tiempo y complica el desarrollo del examen.
Mtodo rpido de clculo

La estructura binaria de las direcciones IPv4 (en el examen CCNA R&S 200-120 el
tema ACLs est reducido a su aplicacin en redes IPv4 solamente) permite
establecer criterios de agrupamiento que se basan en el valor de cada uno de los
bits.
Tomemos un ejemplo, considerando solamente el ltimo octeto de una direccin IP
para facilitar la comprensin. Supongamos una serie de nodos que utilizan desde
el ID .15 al .20, por ejemplo, un conjunto de direcciones IP que va de la
192.168.1.15 a la 192.168.1.20.
.15
00001111
.16
00010000
.17
00010001
.18
00010010
.19
00010011
.20
00010100
Si se observa con atencin se puede ver que el grupo que va desde .16 a .19 tiene
un patrn de 6 bits en comn:
.16
00010000
.17
00010001
.18
00010010
.19
00010011
Adicionalmente, cuando uno solo de los bits que componen este patrn comn se
modifica, automticamente se sale del rango sealado.
Pg. 12
En consecuencia, un grupo de IDs puede ser identificado por un patrn comn de

bits expresados en notacin binaria que siguen dos reglas bsicas a considerar:
1. La cantidad de IDs que integran el grupo, es decir el tamao del

grupo o rango de direcciones, es siempre una potencia de 2.
2
En nuestro caso, 4=2 .
2. El ID inicial del grupo es siempre un mltiplo de tamao del grupo.
En nuestro caso, 16 es mltiplo de 4. 16 = 4x4.
Aplicacin al clculo de la mscara de wildcard

Como hicimos en el caso del clculo de subredes, analicemos un ejemplo para
facilitar la comprensin del procedimiento.
Supongamos que a usted se le ha solicitado que filtre las subredes 172.16.16.0/24
a la 172.16.19.0/24 utilizando una nica sentencia de lista de acceso. Cul es la
mscara de wildcard que le permitir realizar la tarea?
1. Identifique el octeto crtico sobre el que deber trabajar.
172 . 16 . 16 . 0
172 . 16 . 17 . 0
172 . 16 . 18 . 0
172 . 16 . 19 . 0
Octeto crtico
2. Verifique que el conjunto de valores decimales del octeto crtico cumpla las
dos condiciones que enunci antes:
o
La cantidad de IDs que integran el grupo, es decir el tamao del

grupo, debe ser una potencia de 2.
2
En nuestro caso es 4 = 2 .
Se cumple.
El valor decimal del primer ID del grupo, debe ser un mltiplo de la

amplitud del grupo.
En nuestro ejemplo es 16 = 4x4.
Se cumple.
Si una de las dos condiciones no se cumple, no se puede

aplicar ninguna regla rpida de clculo, y se debe trabajar
sobre los dgitos en formato binarios.
Los casos que se presentan en el examen de certificacin,

en trminos generales, cumplen con estas dos condiciones.
3. Si se cumplen las dos condiciones, pasemos entonces a conformar la
mscara de wildcard. Coloque en 0 la porcin de la mscara de wildcard
Pg. 13
que corresponde a los octetos que estn a la izquierda del octeto crtico y
en 255 la porcin que corresponde a los octetos que estn a la derecha
del octeto crtico.
172 . 16 . 16 . 0
0 . 0 . __ . 255
Octeto crtico
4. En el octeto crtico tome el valor decimal ms alto que integra el grupo y
rstele el valor decimal ms bajo. El resultado que obtiene es el valor del
octeto crtico de la mscara de wildcard:
19 16 = 3
0 . 0 . 3 . 255
Octeto crtico
Este procedimiento es aplicable siempre que se cumplan las dos condiciones
enunciadas en las consideraciones.
Hechas estas consideraciones, vamos al desarrollo del tema.
Pg. 14
C. Desarrollo temtico
Con el avance de Internet, su implementacin y expansin, el desarrollo original de
la arquitectura IP requiri modificaciones en orden a optimizar su operacin o
agregar nuevas funcionalidades no previstas inicialmente en el diseo original.
La introduccin de la mscara de subred y el posterior procesamiento classless de
los paquetes son una muestra de estas modificaciones que en la actualidad
estudiamos como integradas en el mismo direccionamiento IP.
Pero esto no fue suficiente para los requerimientos crecientes que se desprendan
de la implementacin de IP. As fueron surgiendo otros elementos tales como:
Los sistemas de asignacin dinmica de configuracin IP de los

dispositivos terminales. Primero fue BootP, y luego DHCP que es el
protocolo en uso.
El protocolo de traduccin de direcciones IP, inicialmente diseado para

permitir que redes privadas que utilizan direccionamiento RFC 1918
establezcan comunicaciones sobre Internet.
Vamos ahora a revisar entonces algunos servicios IP adicionales y otras

tecnologas relacionadas, tales como la utilizacin de listas de acceso IP.
Asignacin automtica de direcciones IP

Todo dispositivo que opera en una red IP necesita contar con una configuracin IP
bsica (direccin IP, mscara de subred, default gateway, servidor DNS, etc.). Esta
configuracin puede lograrse a partir de diferentes mecanismos.
Los dispositivos IPv4 prevn en la actualidad varios mecanismos para asignar la
configuracin IP, los ms frecuentemente utilizados son:
Configuracin esttica.
Asignacin automtica utilizando DHCP.
IPv6, por su parte, introduce junto a estos mecanismos ya en uso, nuevas

modalidades de realizar esta tarea:
Asignacin esttica definiendo manualmente el ID de interfaz.
Asignacin esttica definiendo el ID de interfaz por EUI-64.
Asignacin dinmica utilizando autoconfiguracin stateless.
Asignacin dinmica utilizando DHCPv6.
La amplitud del espacio de direccionamiento ofrecido por IPv6 ha permitido la

implementacin de sistemas de auto-asignacin automtica de la porcin del ID
del puerto tales como EUI-64 y la configuracin stateless.
Pg. 15
Dynamic Host Configuration Protocol DHCPv4

Servicio de asignacin dinmica de la configuracin IPv4 que permite realizar de
modo automatizado y dinmico la configuracin IP de los dispositivos de la red.
Opera sobre los puertos UDP 67 y 68 (los mismos que utiliza BootP) tanto sobre
TCP como UDP.
Asigna una configuracin IP a los nodos conectados a la red para su uso temporal.
Requiere la presencia de un servidor DHCP en la red, usualmente redundante en
dos o ms dispositivos fsicos para asegurar confiabilidad. El servidor DHCP puede
estar localmente en cada subred o en un sitio central. Cisco IOS permite utilizar
tambin a los dispositivos IOS como servidores DHCP.
Los parmetros de configuracin que pueden ser suministrados a travs de DHCP
son:
Direccin IP / Mscara de Subred.
Default Gateway.
Nombre de dominio.
Servidor de nombres de dominio (DNS).
Time Servers.
WINS Server.
Duracin de la asignacin.
Otros parmetros opcionales (options).
Hay 3 modalidades de asignacin de las direcciones IP utilizando este protocolo:
Pg. 16
Asignacin dinmica.
Realiza una asignacin dinmica de configuracin IP utilizando una
direccin comprendida en un rango definido en el servidor, por un tiempo
determinado.
El cliente deber volver a solicitar una nueva asignacin antes de que
expire el tiempo especificado.
Asignacin automtica.
El servidor realiza una asignacin dinmica de la configuracin IP con una
direccin comprendida en el rango definido en el servidor, de modo
permanente.
El cliente no necesita renovar peridicamente esta asignacin.
Asignacin esttica.
El servidor realiza la asignacin de la configuracin IP tomando
direcciones ya definidas en una tabla que mapea direcciones MAC a
direcciones IP. Slo reciben direccin por este mecanismo los clientes que
estn enlistados en esta tabla.
El procedimiento para obtener la configuracin IP es el siguiente:

1.
DHCP Discovery.
El cliente DHCP enva una solicitud de configuracin en formato de
broadcast.
2.
DHCP Offer.
El servidor DHCP que recibe la solicitud reserva una direccin IP para el
cliente y responde enviando una propuesta de configuracin en formato de
broadcast.
3.
DHCP Request.
El cliente responde en formato broadcast realizando una solicitud explcita
de la configuracin ofrecida por el servidor.
El cliente puede recibir mltiples ofertas, pero slo una es aceptada.
Cuando deba renovar su configuracin enviar un nuevo request pero esta
vez en formato unicast al servidor.
4.
DHCP Acknowledgement.
Se enva un paquete en formato broadcast al cliente, incluyendo la
informacin de configuracin que el cliente ha aceptado.
Esto completa y cierra el proceso.
DHCPDiscover
DHCPOffer
DHCPRequest
DHCPAck
Cuando se trabaja con un nico servicio de DHCP centralizado para mltiples

redes o subredes, y por lo tanto es necesario enrutar los paquetes DHCP, se
deben activar los routers como agentes DHCP relay para que reciban las
solicitudes DHCP y las enven en formato unicast al servidor central.
Cisco IOS 12.01(T) y siguientes incluyen software de

servidor DHCP.
Pg. 17
Sintetizando:
RARP
BOOTP
DHCP
Capa modelo OSI
Protocolo capa transporte
---
UDP
UDP / TCP
Requiere un servidor
Si
Si
Si
Fija
Fija
Fija / Dinmica
Mscara de subred
---
Si
Si
Default gateway
---
Si
Si
Servidor DNS
---
Si
Si
Servidor WINS
---
---
Si
Nombre de dominio
---
---
Si
Suministra
Direccin IP
Configuracin de servicios DHCP en dispositivos IOS

El procedimiento para configurar un dispositivo IOS como servidor DHCP es el
siguiente:
Definicin del pool de direcciones a asignar.
Definicin de los parmetros opcionales de la configuracin IP (direccin

del servidor DNS, WINS, etc.)
Definicin del perodo de asignacin.
Router#configure terminal
Router(config)#service dhcp
Habilita el servicio DHCP en el dispositivo.
El servicio DHCP se encuentra habilitado por defecto
en Cisco IOS, por lo que este comando no es
requerido.
Router(config)#ip dhcp excluded-address 172.16.1.1 172.16.1.3
Permite excluir del conjunto de direcciones IP que se
definirn para el pool las direcciones IP que se desean
administrar manualmente o no asignar por otros
motivos.
Router(config)#ip dhcp pool DHCP_LAN
Crea un servicio DHCP identificado por el nombre que
se especifica. Al mismo tiempo accede al modo de
configuracin del pool DHCP.
Pg. 18
Router(dhcp-config)#network 172.16.1.0 255.255.255.0

Define la red o subred de la que se tomarn las
direcciones IP que se asignarn a travs de este
servicio.
Router(dhcp-config)#dns-server 172.16.1.3
Especifica la direccin IP del servidor DNS disponible
para los clientes de este pool. Requiere al menos una
direccin IP y permite hasta 8.
Router(dhcp-config)#netbios-name-server 172.16.1.3
Especifica la direccin IP del servidor NetBios WINS
disponible para los clientes DHCP de este pool.
Requiere al menos una direccin IP y permite hasta 8.
Router(dhcp-config)#default-router 172.16.1.1
Especifica la direccin IP del gateway disponible para
los clientes de este pool. Requiere al menos una
direccin IP y permite hasta 8.
Router(dhcp-config)#domain-name prueba.com
Especifica el nombre de dominio a entregar.
Router(dhcp-config)#lease 1 8 0
Define la duracin de la cesin de una direccin al
nodo solicitante. Se expresa en das (1) horas (8)
minutos (0).
Valor por defecto: un da (1 0 0).
Para verificar la operacin del servicio:
Router#show
Router#show
Router#show
Router#show
ip
ip
ip
ip
dhcp
dhcp
dhcp
dhcp
pool [nombre]
binding
conflict
server statistics
DHCP Relay
Dado que el inicio de la operacin del protocolo se realiza sin contar con una
direccin de origen y utilizando broadcast como destino, las solicitudes DHCP
(discovery) no son de suyo ruteables hacia otras redes o subredes. De aqu que en
principio el protocolo supone que el servidor y el cliente DHCP estn conectados a
la misma red o subred.
Cuando se desea utilizar servidores DHCP que se encuentran alojados en una red
o subred diferente de aquella en la que se encuentran las terminales a las que
debe servir, se puede utilizar un agente DHCP relay. Un DHCP relay es un
dispositivo que recibe las solicitudes de los clientes en formato de broadcast y las
reenva como unicast a la direccin del servidor DHCP.
1.
DHCP Discovery.
El cliente DHCP enva una solicitud en formato de broadcast.
2.
DHCP Relay.
El agente DHCP relay que recibe el broadcast lo retransmite a uno o ms
Pg. 19
servidores utilizando unicast e incluyendo su direccin como direccin de

gateway.
3
DHCP Offer.
El servidor utiliza la direccin de gateway que recibe en la solicitud para
determinar a qu subred pertenece el host solicitante y asigna entonces
una configuracin que corresponda esa red o subred.
El servidor DHCP reserva una direccin IP para el cliente y enva la
respuesta en un paquete unicast a la direccin del gateway, que luego lo
reenva a la red local.
4.
DHCP Request.
El cliente responde en formato broadcast realizando una solicitud explcita
de la configuracin ofrecida por el servidor.
El agente DHCP relay interviene nuevamente reenviando la informacin al
servidor DHCP.
5.
Se enva un paquete en formato unicast al DHCP relay que luego lo reenva
al cliente, incluyendo la informacin de configuracin que el cliente ha
aceptado.
Esto completa el proceso.
En estos casos el servidor DHCP responde al DHCP relay y este se ocupa de

reenviarlo al cliente DHCP. El servidor DHCP puede estar alojado en cualquier
punto de la red, ya que al convertirse los paquetes a unicast, son completamente
ruteables.
Configuracin de un router como DHCP relay

El servicio de DHCP relay se habilita en la interfaz de capa 3 ms cercana al
cliente DHCP (usualmente, la que opera como default-gateway de la red o subred).
Broadcast
Unicast
DHCPRelay
DHCP Client
DHCP Server
En la configuracin es necesario especificar la direccin IP de uno o ms

servidores DHCP que han de responder las solicitudes. Si hay varios servidores
DHCP en una misma subred se puede especificar directamente la direccin
reservada de broadcast de la subred, de este modo responder cualquiera de los
servidores DHCP de esa subred.
Pg. 20
Router(config)#interface GigabitEthernet 0/0
Router(config-if)#ip helper-address [IP servidor DHCP]
Configuracin de IOS como cliente DHCP

Cisco IOS no solo incluye un servicio de DHCP, sino tambin un cliente DHCP que
puede ser activado en sus interfaces.
La activacin del cliente DHCP se realiza en la interfaz que se desee reciba
configuracin IP de un servidor DHCP a travs de este mecanismo:
Router(config-if)#ip address dhcp
Internet Control Message Protocol (ICMP)

ICMP es un protocolo de la capa de Internet del stack TCP/IP que proporciona un
conjunto de mensajes de control y error que permiten detectar y resolver
problemas en la red de modo automtico. Posibilita el reporte de errores en un
entorno IP ya que el mismo protocolo IP no tiene posibilidad alguna de detectar o
reportar errores a nivel de capa de red.
Atencin, ICMP no soluciona la falla ya que no tiene la

capacidad de reenviar un paquete que se ha descartado;
para esto se descansar en los protocolos de capa de
transporte.
Este protocolo adquiere una especial relevancia en redes IPv6, para las cuales hay
una versin especfica del mismo: ICMPv6.
ICMP genera diferentes tipos de mensajes que cumplen 2 funciones bsicas:
mensajes de error y mensajes de control:
Pg. 21
Pg. 22
Tipo
ICMPv4
Tipo
ICMPv6
129
Mensaje
Funcin
Echo Reply
Error
Destination Unreachable
Error
Source Quench
Control
137
Redirect / Change Request
Control
128
Echo Request
Error
134
Router Advertisement
Control
10
Router Selection
Control
11
Time Exceded
Error
12
Parameter Problem
Error
13
Timestamp Request
Control
14
Timestamp Reply
Control
15
Information Request
Control
16
Information Reply
Control
17
Address Mask Request
Control
18
Address Mask Reply
Control
Packet Too Big
Error
133
Router Solicitation
Control
135
Neighbor Solicitation
Control
136
Neighbor Advertisement
Control
130
Multicast Listener Query
Control
131
MLDv1 Multicast Listener Report
Control
132
MLDv1 Multicast Listener Done
Control
143
MLDv2 Multicast Listener Report
Control
144
Home Agent Address Discovery Request
Control
145
Home Agent Address Discovery Reply
Control
146
Mobile Prefix Solicitation
Control
147
Mobile Prefix Advertisement
Control
Los mensajes de ICMP son la base sobre la que operan programas de diagnstico
bsicos presentes en la mayora de los sistemas operativos, como tracert, ping y
pathping.
ICMPv4 es bloqueado en muchas redes corporativas por polticas de seguridad
para evitar algunos ataques conocidos que se basan en su funcionamiento.
En sentido amplio, ICMPv6 no es diferente de su predecesor pero agrega la
posibilidad de implementar autenticacin y encriptacin, lo que reduce las
posibilidades de que sea aprovechado para un ataque. Esto es importante ya que
en el caso de IPv6 ICMP se utiliza para la determinacin del MTU de la ruta, en el
descubrimiento de vecinos, y reemplaza ARP. Es un protocolo esencial para el
funcionamiento de redes IPv6.
Domain Name System - DNS

El direccionamiento IP es el corazn del funcionamiento actual de Internet y la
mayora de las redes de comunicaciones. Una direccin IP permite identificar y
localizar inequvocamente un nodo cualquier en la red global (Internet).
Sin embargo, diversas circunstancias hacen que en trminos generales no
utilicemos habitualmente las direcciones IP para identificar un nodo de destino. El
usuario final habitualmente no utiliza direcciones IP en su navegador de Internet o
su correo electrnico.
El servicio de DNS permite responder a la necesidad de los usuarios que
habitualmente identifican personas y lugares por su nombre, no por un nmero que
nos suena annimo y difcil de recordar. En este sentido, los servicios DNS nos
permiten definir nuestros destinos en la red utilizando nombres y no direcciones IP.
DNS es el protocolo que nos permite reemplazar el uso por parte del usuario final
de direcciones IP por nombres para identificar los nodos. Habitualmente reciben la
misma denominacin tanto la base de datos de nombres como el protocolo
utilizado para acceder la base de datos.
Se trata de un protocolo de capa de aplicacin que utiliza el puerto 53 tanto TCP
como UDP en la capa de transporte. Las consultas estndar utilizan el puerto 53
de UDP.
DNS utiliza una estructura jerrquica de dominios de red, completamente
independiente de la estructura propia del direccionamiento IP. En esta estructura
existen dominios y subdominios.
Un ejemplo: supondremos que deseamos ingresar al dominio www.google.com.ar,
para lo cual nuestra terminal requerir traducir el nombre google.com.ar por una
direccin IP.
Los nombres compuestos por 3 caracteres en los dominios de alto nivel, se
denominan dominios genticos u organizacionales. Los otros dominios de alto nivel
son los dominios nacionales o geogrficos, que estn definidos por la norma ISO
3166.
Este esquema jerrquico de los dominios se refleja a su vez en la organizacin de
la base de datos, que es una base de datos distribuida. El sistema est dividido en
Pg. 23
zonas de autoridad en las que uno o ms nodos tienen la tarea de mantener la

base de datos correspondiente y responder las consultas de otros nodos.
Todos los servidores se encuentran interconectados a la jerarqua de nombres de
dominio. El comienzo del rbol es la zona . que recibe la denominacin de raz o
root.
ROOT
.es
Dominio Nacional
.ar
.edu
.com
.terra
Dominio Genrico
.google
ftp
www
Cmo se realiza una consulta?
Pg. 24
La terminal que requiere traducir un nombre por una direccin IP realiza

una consulta al servidor DNS que tiene en su configuracin IP.
Supongamos a los fines de este anlisis que deseamos acceder a
www.google.com.ar:
El servidor DNS es ubicado por su direccin IP, que se encuentra en la
configuracin IP de la terminal y que puede haber sido definida esttica o
dinmicamente.
Si el servidor DNS local tiene guardada esta bsqueda en su tabla de

resolucin de nombre (p.e., porque ya se haba realizado una consulta
antes), responder directamente la consulta.
Si el servidor DNS local no tiene una entrada para este dominio, reenva la
consulta al servidor raz.
Si el servidor raz no tiene este dominio en su cach, reenva a su vez la

consulta al servidor que tiene la delegacin .ar
El servidor del domino .ar, si no tiene este dominio en su cach, reenva la

consulta al servidor que tiene la delegacin .com.
El proceso contina de esta manera hasta que el cliente recibe la

respuesta solicitada.
La distribucin de la base de datos conlleva tambin la delegacin de la autoridad

y responsabilidad de crear, modificar y administrar los nombres.
Los nombres DNS estn representados por conjuntos de etiquetas separadas por
puntos. Un nombre es un conjunto de etiquetas compuestas por entre 1 y 63
caracteres alfanumricos, comenzando con un carcter alfabtico. No se
distinguen maysculas y minsculas.
Los servidores DNS mantienen una base de datos que relaciona los nombres de
dominio con las direcciones IP que han de utilizarse para establecer las
comunicaciones. Estas bases de datos estn compuestas por diferentes tipos de
registros:
Registros A.
Para mapear nombres a direcciones IPv4.
Registros AAAA.
Para mapear nombres a direcciones IPv6.
Registros MX.
Para mapear direcciones IP de servidores de correo.
Para dar soporte DNS a implementaciones IPv6 se requiere:
Actualizar cliente y servidor DNS para aceptar registros en formato IPv6.
Actualizar cliente y servidor para operar (transportar) sobre IPv6.
Cuando el servidor que recibe una consulta opera tanto con IPv4 como IPv6 y
tiene ambos registros para el nombre requerido, entonces enva ambos registros:
IPv4 e IPv6. Al recibirlo la terminal, por defecto, utiliza el registro IPv6.
Las aplicaciones que son independientes del protocolo,

realizan la bsqueda de nombre para ambos protocolos
(IPv4 e IPv6) y prefieren la respuesta IPv6.
Configuracin del servicio de nombres en Cisco IOS

IOS, por defecto, interpreta toda cadena alfanumrica ingresada en la lnea de
comandos que no puede interpretar como un comando, como si se tratara de un
nombre y consecuentemente intenta traducirla por una direccin IP.
La consulta para traducir un nombre la realiza en la siguiente secuencia:
En primer lugar verifica si se trata de un nombre definido en la tabla de

nombres local (configurada en el dispositivo).
Si no se encuentra en la tabla local, realiza la consulta al servidor DNS que

se haya configurado para la consulta de nombres.
Pg. 25
Si no hay un DNS configurado genera una consulta DNS a la direccin de

broadcast (255.255.255.255) intentando encontrar un servidor en la red
local que lo resuelva.
Router(config)# ip domain-lookup
Habilita el servicio de traduccin de nombres (se
encuentra habilitado por defecto). Para apagar el
servicio se niega este comando.
Router(config)#ip name-server [IP servidor DNS]
Define la direccin IP del servidor DNS externo para
realizar consultas de nombre.
Router(config)#ip host [nombre] [IP]
Crea una tabla de nombres local asociando el nombre
referido a una o varias direcciones IP.
Listas de Control de Acceso

El funcionamiento de una red suele requerir del Administrador que se establezcan
restricciones de acceso y prioridades en el trfico de la red a fin de hacer ms
eficiente su desempeo y brindar mayor seguridad a los recursos y a la
informacin transmitida.
Cisco IOS proporciona funcionalidades bsicas de filtrado de trfico a partir del uso
de Listas de Control de Acceso (ACL Access Control List). Una lista de control de
acceso es una enumeracin secuencial de indicaciones de permiso y/o prohibicin
para determinadas direcciones, protocolos y/o puertos. De este modo tambin es
posible identificar y clasificar diferentes tipos de trfico en la red.
Una vez identificado un determinado tipo de trfico el Administrador puede
desarrollar diferentes acciones sobre el mismo, acciones tales como filtrarlo,
establecer polticas de enrutamiento, definir qu trfico es el que provocar la
habilitacin de una interfaz bajo demanda, definir condiciones de calidad de
servicio, etc.
Las listas de control de acceso son una herramienta que permiten filtrar trfico en
funcin de la informacin contenida en los diferentes encabezados (capa 2, 3 o 4)
de una trama.
Se suelen utilizar ACLs para:
Pg. 26
Limitar el trfico de la red para mejorar su performance.
Implementar controles para el flujo de trfico.
Brindar un nivel de seguridad bsico.
Especificar que determinado tipo de trfico (aplicacin o protocolo) sea

reenviado o bloqueado en una interfaz de un dispositivo.
Definir el rango de direcciones IP privadas que deben ser traducidas a IP

pblicas por un servicio de NAT.
Definir flujos de trfico a los que se han de aplicas polticas de calidad de

servicio (QoS) o seguridad.
Reglas de funcionamiento de las ACL

En IOS las ACLs estn sometidas a un conjunto de reglas bsicas de operacin:
Se puede configurar una sola lista en cada interfaz, por sentido del trfico
(entrante / saliente), por protocolo (IP, IPX, etc.).
Esta regla suele denominarse como la regla de las 3 Ps:
o
Por protocolo.
Por interfaz.
Por direccin del flujo de trfico.
Cada lista de acceso es identificada por un ID nico (numrico o

alfanumrico).
En el caso de las listas numeradas este ID adems de diferenciar la lista
de otras existentes en el mismo dispositivo, permite identificar el tipo de
lista de acceso.
Cada paquete que ingresa o sale a travs de una interfaz que tiene
asociada una lista de acceso es comparado con cada sentencia de la ACL
secuencialmente, en el mismo orden en que fueron ingresadas,
comenzando por la primera.
Es muy importante el orden en el que se ingresan las

sentencias.
Ese mismo es el orden en que sern revisadas las con cada
paquete.
La comparacin se sigue realizando hasta tanto se encuentre una

coincidencia. Una vez que el paquete cumple la condicin de una
sentencia (la primera coincidencia), se ejecuta la accin indicada y no se
sigue comparando.
Un ejemplo bsico:
access-list 1 permit any

access-list 1 deny any
access-list 1 deny host 172.16.1.1
Dado que en esta lista la primera sentencia permite
que pase todo el trfico, las sentencias deny que
estn luego no tendrn efecto ya que cualquier
paquete cumple la primer sentencia y en
consecuencia es todo paquete es permitido.
Hay un deny any any (denegacin de todo trfico) implcito al final de

cada lista de acceso, que no es visible.
Pg. 27
Por lo tanto, si un paquete no coincide con alguna sentencia que permite

trfico, ser descartado.
Un ejemplo:
access-list 1 deny host 10.1.1.1
access-list 1 deny 192.168.1.0 0.0.0.255
En este caso, esta lista de acceso no permite trfico
de ningn tipo y bloquea la interfaz ya que acta el
deny all implcito al final de la lista.
Los filtros que se aplican sobre el trfico saliente no afectan el trfico

originado en el mismo router.
Las listas de acceso IP al descartar un paquete envan al origen un

mensaje ICMP de nodo de destino inalcanzable.
Tipos de listas de acceso IP
Listas de acceso estndar numeradas.

Permiten utilizar nicamente considerando la direccin IP de origen como
criterio de filtrado de trfico.
Listas de acceso extendidas numeradas.

Verifican mltiples elementos del encabezado: direcciones de origen y
destino, protocolo de capa 3 y puerto de capa 4.
Listas de acceso IP nombradas.

Listas de acceso IP tanto estndar como extendidas que verifican
direcciones de origen y destino, protocolos de capa 3 y puertos de capa 4,
pero identificadas con una cadena de caracteres alfanumricos.
Se configuran en un submodo propio y son editables.
Tipos especiales:
Listas de acceso dinmicas.

Son generadas automticamente en funcin de determinados patrones de
trfico.
Listas de acceso reflexivas.

ACL que se generan automticamente como respuesta a trfico detectado
por otra lista de acceso.
Listas de acceso por tiempo.

Aplican el criterio de filtrado definido en el intervalo de tiempo definido por
configuracin.
El ID de las listas de acceso numeradas

En el caso de las listas de acceso numeradas, el tipo de lista de acceso (estndar
o extendida) y el protocolo de capa 3 que filtra se especifica a partir del nmero
que utiliza como ID de la lista de acceso.
El listado completo de IDs numerados de listas de acceso y su significado se
puede consultar en la misma CLI de IOS a partir del modo configuracin
escribiendo utilizando la ayuda contextual de IOS:
Pg. 28
Router(config)#access-list ?
1-99
100-199
700-799
1100-1199
1300 - 1999
2000 2699
IP
IP
48
48
IP
IP
estndar
extendida
bit MAC address standard
bit MAC address extendida
estndar (a partir de IOS 12.0.1)
extendida (a partir de IOS 12.0.1)
La mscara de wildcard
En la definicin de los criterios de filtrado de direcciones IP en las listas de acceso
el Administrador requiere de una herramienta que le permita definir conjuntos de
direcciones IP, subredes o redes completas. Esta herramienta es la mscara de
wildcard.
La mscara de wildcard es una secuencia de 32 bits divididas en 4 octetos de 8
bits cada uno (el mismo formato que una direccin IP o una mscara de subred)
utilizada para generar filtros de direcciones IP. Se utiliza siempre en combinacin
con una direccin IP.
En las mscaras de wildcard los unos y ceros de la mscara indican cmo se
deben considerar los bits de la direccin IP correspondiente. El dgito en 0 (cero)
indica una posicin binaria que debe ser comprobada, mientras que el dgito en 1
(uno) indica una posicin que carece de importancia y por lo tanto no se considera
en el filtro.
Las mscaras de wildcard no
tienen ninguna relacin

funcional con las mscaras de subred, son dos entidades
absolutamente independientes entre s.
La mscara de wildcard se aplica siempre a una direccin IP especfica contenida

en la declaracin de la ACL junto a la mscara, y a la direccin (origen y/o destino
segn se defina) de los paquetes a evaluar. Si ambos resultados son iguales,
entonces se aplica al paquete el criterio de permiso o denegacin enunciado en la
sentencia correspondiente.
Algunos ejemplos:
172.16.14.33 0.0.0.0
Todos los bits en 0 en la mscara de wildcard, indican
que la direccin IP completa es relevante.
Indica que se debe seleccionar nicamente la
direccin IP declarada.
172.16.14.44 0.0.0.255
En este caso, se consideran relevantes los 3 primeros
octetos, y el cuarto no tiene importancia.
Selecciona todas las direcciones IP comprendidas
entre 172.16.14.0 y 172.16.14.255 (no discrimina
respecto del cuarto octeto).
Pg. 29
172.16.14.44 0.0.255.255
Realizar el filtrado en funcin de la coincidencia
solamente con los 2 primeros octetos (en cero).
Selecciona todas las direcciones IP de la red
172.16.0.0 comprendidas entre 172.16.0.0 y
172.16.255.255 (no discrimina respecto de los dos
ltimos octetos).
Cmo funciona la mscara de wildcard?

La mscara de wildcard siempre opera asociada a una direccin IP de referencia
permitiendo de esta manera obtener un valor de comparacin que opera como
criterio de seleccin para evaluar las direcciones IP de los paquetes que llegan a la
interfaz y determinar si esos paquetes deben ser sometidos al criterio que
establece la sentencia o no.
Tomemos como base un ejemplo para comprender con mayor facilidad.

Supongamos que se ha implementado una lista de acceso que incluye la siguiente
sentencia:
access-list 10 permit 172.16.10.3 0.0.255.255
Cmo se obtiene el valor de comparacin?
Direccin IP de referencia
172
16
10
Direccin binaria
10101100
00010000
00001010
00000011
Mscara de wildcard
00000000
00000000
11111111
11111111
Valor de comparacin
10101100
00010000
XXXXXXXX
XXXXXXXX
Supongamos ahora que ingresa a la interfaz a la que se ha asociado la lista de

acceso anterior, un paquete cuya direccin IP de origen es 172.17.12.10.
Cmo opera la mscara de wildcard?
Direccin IP de origen
172
17
12
10
Direccin binaria
10101100
00010001
00001100
00001010
Mscara de wildcard
00000000
00000000
11111111
11111111
10101100
00010001
xxxxxxxx
xxxxxxxx
10101100
00010000
XXXXXXXX
XXXXXXXX
Valor de comparacin
coincide
no coincide
---
---
Como consecuencia, no se aplica a este paquete el criterio definido en la sentencia

de la lista de acceso propuesta.
Pg. 30
Ingresa ahora a la interfaz un paquete con la direccin IP de origen 172.16.15.31.

Trabajar de la siguiente forma:
Direccin IP de origen
172
16
15
31
Direccin binaria
10101100
00010000
00001111
00011111
Mscara de wildcard
00000000
00000000
11111111
11111111
10101100
00010000
xxxxxxxx
xxxxxxxx
10101100
00010000
XXXXXXXX
XXXXXXXX
Valor de comparacin
coincide
coincide
---
---
En consecuencia, esta direccin IP de origen coincide con la direccin IP de

referencia y por lo tanto se le aplica el criterio establecido en la sentencia, para el
caso, lo permite.
Algunas reglas prcticas de clculo

Cuando contamos con una mscara de subred como punto de partida (porque
deseamos filtrar una red o subred completa), la mscara de wildcard es el
complemento de esa mscara de subred. Al decir complemento me refiero al
valor necesario para obtener una direccin IP de broadcast:
Mscara de subred:
IP de Broadcast:
Mscara de wildcard:
255.255.224.000
255.255.255.255
000.000.031.255
Cuando se desea filtrar una red completa, la mscara de wildcard es el

complemento de la mscara de subred por defecto:
Direccin de red:
Mscara de subred:
Mscara de wildcard:
172.016.000.000 /16
255.255.000.000
000.000.255.255
Cuando se desea filtrar una subred completa, la mscara de wildcard es el

complemento de la mscara de subred que se est aplicando:
Direccin de subred:
Mscara de subred:
Mscara de wildcard:
172.016.030.000 /24
255.255.255.000
000.000.000.255
Direccin de subred:
Mscara de subred:
Mscara de wildcard:
172.016.032.000 /20
255.255.240.000
000.000.015.255
Cuando se desea filtrar un conjunto de direcciones de nodo o subredes, tenga en

cuenta las siguientes pautas:
La amplitud del rango de direcciones a filtrar, expresado en valores

decimales, es siempre una potencia de 2.
Pg. 31
El valor inicial del rango decimal a filtrar es un mltiplo de la potencia de 2

utilizada como amplitud del rango.
En este caso el valor del octeto crtico de la mscara de wildcard ser

igual a la amplitud del rango menos uno.
Un ejemplo:
Filtrar las direcciones de nodo desde la 192.168.1.32 a la 192.168.1.47

Se trata de un grupo de 16 direcciones IP de la red 192.168.1.0/24
Amplitud del rango: 16 = 2
Valor del inicio del rango: 32 = 2 x 16
Valor del octeto crtico de la mscara de wildcard: 16 1 = 15
Solucin: 192.168.1.32 0.0.0.15
Casos especiales
En algunos casos especiales, un comando puede reemplazar una mscara de
wildcard, con el mismo efecto:
xxx.xxx.xxx.xxx 0.0.0.0 =
host xxx.xxx.xxx.xxx
El trmino host reemplaza a una mscara de
wildcard que tiene todos sus bits en cero y que por lo
tanto indica un host especfico.
0.0.0.0 255.255.255.255 =
any
E trmino any reemplaza a una mscara de wildcard
que tiene todos sus bits en uno, de modo que refiere a
toda direccin IP posible (cualquier IP).
remark [comentario]
Utilizado en lugar de la opcin permit/deny, permite
insertar comentarios entre las sentencias de una lista
de acceso para facilitar su comprensin.
Permite un mximo de 100 caracteres.
Si no se especifica una mscara de wildcard el sistema operativo asume la
mscara por defecto que es 0.0.0.0. En consecuencia, las siguientes formas son
equivalentes:
Router(config)#access-list 10 permit 172.16.10.3 0.0.0.0
Router(config)#access-list 10 permit host 172.16.10.3
Router(config)#access-list 10 permit 172.16.10.3
Configuracin de las listas de acceso

En el proceso de configuracin de las listas de acceso se distinguen 2 etapas:
Pg. 32
La creacin de la lista de acceso en modo configuracin global.
La asignacin de la lista de acceso a una o ms interfaces para que filtre

trfico entrante o saliente, en modo configuracin de la interfaz
correspondiente.
Listas de acceso IP estndar numeradas.

Router(config)#access-list [ID] [permit/deny] [IP origen]
El ID que identifica listas de acceso IP estndar tiene
un valor decimal entero entre 1 y 99 o entre 1300 y
1999.
En el rea de permiso o denegacin se puede utilizar
la opcin remark para ingresar un comentario.
Router(config)#no access-list [ID]
Borra todas las sentencias correspondientes a la lista
de acceso cuyo nmero se especifica.
Las listas de acceso numeradas no pueden ser editadas o

borradas parcialmente.
Router(config)#interface serial 0/0/1
Router(config-if)#ip access-group [ID] [in/out]
Asocia la lista de acceso cuyo nmero se especifica, a
la interfaz para que filtre trfico entrante (in) o saliente
(out) respecto del router a travs de esa interfaz.
Una lista de acceso ya configurada no es operativa hasta

tanto sea aplicada a una interfaz.
Listas de acceso IP extendida numeradas.

Router(config)#access-list [ID] [permit/deny] [protocolo] [IP
origen] [pto. origen] [IP destino] [pto. destino] [log]
El ID para las listas de acceso IP extendidas debe ser
un nmero entero entre 100 y 199 o entre 2000 y
2699.
En el rea de permiso o denegacin se puede utilizar
la opcin remark para ingresar un comentario.
En el parmetro protocolo se ingresa el protocolo que
se desea revisar: ip, tcp, udp, eigrp, icmp, ospf.
En las reas IP origen e IP destino se ingresa la
direccin IP correspondiente con su mscara de
wildcard o equivalente. El puerto de origen y el de
destino son opcionales, si no se especifican se
considera la direccin IP completa.
Pg. 33
La opcin log no es obligatoria. Genera mensajes de

informacin respecto de los paquetes que coinciden
con el criterio de seleccin, en la terminal de consola.
Router(config)#no access-list [ID]
Router(config-if)#ip access-group [ID] [in/out]
Listas de acceso IP nombradas.
Router(config)#ip access-list [standard/extended] [nombre]
Las listas de acceso nombradas se configuran en un
submodo especfico. Este comando crea la lista de
acceso nombrada y habilita el submodo de
configuracin correspondiente. En ese submodo se
ingresan o editan cada una de las sentencias que
compondrn la ACL.
Tenga en cuenta que si en un dispositivo hay listas de
acceso nombradas estndar y extendidas, no pueden
tener el mismo nombre.
En el nombre no se pueden utilizar espacios. S
caracteres alfanumricos.
Router(config-std-nacl)#[permit/deny] [IP origen]
Submodo de configuracin de listas de acceso
estndar nombradas.
Router(config-ext-nacl)#[permit/deny] [protocolo][IP origen] [pto.
origen] [IP destino] [pto. destino]
Submodo de configuracin de listas de acceso
extendidas nombradas.
Router(config-if)#ip access-group [nombre] [in/out]
Edicin de listas de acceso

Es posible editar las listas de acceso utilizando el sub-modo de configuracin de
las mismas.
Un elemento que facilita la edicin de las ACLs es la inclusin de un nmero de
secuencia que permite reordenar el orden en el que se ejecutan las diferentes
sentencias que componen la lista, independientemente del orden en el que se han
ingresado en la lnea de comando.
Las listas de acceso numeradas pueden ser editadas si se

tratan como nombradas, es decir, considerando su ID como
un nombre.
Sobre este modelo desarrollo el ejemplo a continuacin.
Router#show ip access-lists
El comando nos permite verificar la configuracin,
nmero de secuencia y orden de cada una de las
Pg. 34
sentencias que componen las ACLs (o una ACL en

particular) configuradas en el dispositivo.
Extended IP access list 110
10 permit tcp any host 172.16.1.14 eq www
20 permit tcp any host 172.16.1.15 eq ftp
30 deny tcp any 172.16.1.0 0.0.0.255 eq www
40 deny tcp any 172.16.1.0 0.0.0.255 eq ftp
50 permit ip any any
Cada sentencia se muestra precedida por un nmero
de secuencia, an cuando no se haya definido durante
la configuracin.
IOS asigna por defecto los nmeros de secuencia de
10 en 10.
Enter configuration commands, one per line.
Router(config)#ip access-list extended 110
End with CNTL/Z.
Ingresa al submodo de configuracin de la ACL cuyo

ID se indica.
Router(config-ext-nacl)#45 deny icmp any 172.16.1.0 0.0.0.255 echo
Inserta una sentencia entre las identificadas con el
nmero de secuencia 40 y 50 de la ACL original.
Router(config-ext-nacl)#^Z
10 permit tcp any host 172.16.1.14 eq www
45 deny icmp any 172.16.1.0 0.0.0.255 echo
Router#_
Aplicacin de filtros de trfico a lneas virtuales

Para mejorar la seguridad en el acceso a las terminales virtuales (utilizando Telnet
y SSH) se pueden utilizar ACLs a fin de restringir el conjunto de direcciones IP que
tiene permitido este tipo de accesos.
Con este propsito se crea una lista de acceso estndar y luego se la asocia a las
lneas de terminal virtual.
Router(config)#access-list 10 permit host 172.16.10.3
Atencin!: Slo se pueden utilizar listas de acceso

numeradas.
Router(config)#line vty 0 4
Router(config-line)#access-class 10 in
Asocia la lista de acceso que se ha creado a las
terminales virtuales.
Pg. 35
Monitoreo de las listas de acceso.

Router#show access-list [#]
Muestra las listas y el contenido de todas las ACL
configuradas en el dispositivo o una en particular.
No permite verificar a qu interfaz estn aplicadas.

Muestra solamente la configuracin de ACLs IP.
10 permit tcp any host 172.16.1.14 eq www (20 matches)
Indica que hay configurada una lista de acceso IP
extendida identificada con el nmero 110
A continuacin se detallan una a una las premisas que
componen esa lista de acceso encabezadas por un
nmero de secuencia.
La secuenciacin de las sentencias permite la borrar
una sentencia en particular o insertar sentencias
nuevas entre las existentes.
Las cifras entre parntesis indican que 20 paquetes
han coincidido con el criterio de esa sentencia y en
consecuencia han sido permitidos.
Router#show ip interfaces serial 0/0/0
Muestra los puertos que tienen aplicadas ACLs IP.
Serial0/0/0 is up, line protocol is up
Internet address is 172.16.10.2
Broadcast address is 255.255.255.255
Address determined by non-volatile memory
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is 110
Indica la presencia o no de una ACL asociada a la
interfaz como entrante o saliente, y cuando hay una
ACL asociada, el ID de la misma.
Proxy ARP is enabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
Pg. 36
IP fast switching is enabled

IP fast switching on the same interface is disabled
IP Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast
Router Discovery is disabled
IP output packet accounting is disabled
IP access violation accounting is disabled
TCP/IP header compression is disabled
RTP/IP header compression is disabled
Probe proxy name replies are disabled
Policy routing is disabled
Network address translation is disabled
Web Cache Redirect is disabled
BGP Policy Mapping is disabled
Router#show running-config
Muestra tanto las listas de acceso configuradas, como
las interfaces a las que se encuentran asociadas.
ACL
Interfaz
show access-list
Si
No
show ip interfaces
No
Si
show running-config
Si
Si
Tips de aplicacin
Cada vez que agrega una lnea a la lista de acceso, si no se le asigna un

nmero de secuencia, la lnea nueva se ubicar a continuacin de las
lneas existentes, al final.
Organice su lista de acceso de modo que los criterios ms especficos

estn al comienzo de la misma, y en segundo lugar las premisas ms
generales.
Coloque primero los permisos y luego las denegaciones.
Toda lista debe incluir al menos una sentencia permit.

Si no es as, el efecto de la aplicacin de esa ACL es el bloqueo en esa
interfaz del trfico en el sentido en que haya sido aplicada la ACL debido a
la presencia del deny any any implcito al final de la misma.
Las listas de acceso aplicadas sobre interfaces para filtrar el trfico

saliente a travs de las mismas no filtran el trfico originado en el mismo
dispositivo en el que estn aplicadas.
Una misma lista de acceso puede ser asignada a varias interfaces distintas
en el mismo dispositivo, tanto en modo entrante como saliente.
Pg. 37
Antes de comenzar a trabajar sobre una lista de acceso existente,

desvinclela preventivamente de todas las interfaces a las que se
encuentre asociada. Terminada la tarea, vuelva a vincularla.
Las listas de acceso estndar deben colocarse lo ms cerca posible del

destino del flujo de trfico que se desea filtrar.
Las listas de acceso extendidas deben colocarse lo ms cerca posible del

origen del flujo de trfico que desea denegar.
Un ejemplo de configuracin de ACL

1. Creacin de Listas de Acceso IP.
LAB_A#config t
Enter configuration commands, one per line. End with CNTL/Z.
LAB_A(config)#access-list 101 permit tcp any host 205.7.5.10 eq 21
Crea un filtro que permite el trfico de solicitudes de
servicios FTP (puerto destino 21) de cualquier
dispositivo que quiera acceder al servidor cuya
direccin IP es 205.7.5.10.
En IOS muchos servicios pueden ser identificados

indistintamente por el nmero de puerto o por la sigla que los
identifica. En este caso, puerto 21 o ftp.
LAB_A(config)#access-list 101 permit tcp any host 205.7.5.10 eq 80
Crea un filtro que permite el trfico de solicitudes de
servicios HTTP de cualquier dispositivo que quiera
acceder al servidor ubicado en la direccin IP
205.7.5.10.
LAB_A(config)#access-list 101 deny ip any 205.7.5.0 0.0.0.255
Crea un filtro que deniega todo el trfico IP que est
dirigido especficamente a la red 205.7.5.0, cualquiera
sea su direccin IP de origen.
De este modo y hasta este punto, se ha generado un
filtro que slo permite el acceso a un nodo de la red
205.7.5.0, que acta como servidor web y FTP, y filtra
todo otro trfico IP hacia esa red.
LAB_A(config)#access-list 101 deny tcp any any eq 23
Crea un filtro que deniega todo el trfico de paquetes
Telnet, cualquiera sea su origen o destino.
LAB_A(config)#access-list 101 deny icmp any any echo
Crea un filtro que deniega todo el trfico de ping
(ICMP / echo) cualquiera sea su origen o destino.
LAB_A(config)#access-list 101 permit ip any any
Crea un filtro que permite todo otro trfico IP que no
est especificado en las sentencias precedentes.
Pg. 38
2. Asignacin de la Lista de Acceso a un puerto.

LAB_A(config)#interface GigabitEthernet 0/0
LAB_A(config-if)#ip access-group 101 in
Asigna la lista de acceso 101 a la interfaz
GigabitEthernet 0/0, de modo que filtre todo trfico
entrante al router a travs de esa interfaz.
Network Address Translation (NAT)

Procedimiento estndar que modifica la direccin IP de origen de los paquetes IP,
traducindola por otra direccin IP compatible con la red de destino. Se
encuentra definido, entre otros, en el RFC 2633.
En la prctica se utiliza para habilitar terminales configuradas con direcciones IP
privadas de modo que puedan establecer comunicaciones sobre Internet, o para
reducir la cantidad de direcciones IP pblicas que es necesario disponer para
establecer comunicaciones a travs de la red pblica (Internet).
En su implementacin, Cisco IOS utiliza algunos conceptos y terminologa que es
preciso conocer antes de abordar el proceso de configuracin propiamente dicho
En primer lugar, esta traduccin se realiza en un dispositivo NAT, tambin
denominado NAT box, que opera tpicamente en el borde de un rea stub y es el
responsable de traducir las direcciones IP y mantener las tablas respectivas. Un
dispositivo NAT puede ser:
Un router Cisco.
Un firewall ASA.
Un sistema UNIX.
Un servidor Windows.
Otro tipo de dispositivo.
Generalmente el dispositivo NAT est ubicado en la puerta

de salida de la red hacia Internet.
Una red stub es una red con una nica puerta de entrada y
de salida.
Pg. 39
Terminologa NAT
Al implementar y analizar NAT es fundamental tener presente una terminologa
que es propia de esta implementacin. El punto de referencia es primariamente el
mismo NAT server.
NAT
IP Inside Global
IP Outside Global
IP Outside Local
IP Inside Local
Red Inside
Red Outside
Red inside.
Red que se encuentra del lado interno del dispositivo NAT, y cuyas
direcciones requieren traduccin.
Habitualmente coincide con la red LAN.
Red outside.
Red del lado externo del dispositivo NAT que requiere direcciones IP
vlidas.
Habitualmente coincide con la red WAN o Internet.
NAT Box
205.15.15.1/24
Gi0/0
192.168.100.1/24
Inside
Outside
192.168.100.18/28
Inside Local
192.168.100.18
Pg. 40
Inside Global
205.15.15.2
Outside Local
10.0.0.14
Outside Global
67.96.15.128
A partir de esta divisin en red inside y red outside, se distinguen 4 diferentes

direcciones IP vinculadas al proceso:
Inside Local Address.

Direcciones que tienen configuradas los dispositivos que se encuentran
conectados a la red Inside y que utilizan para sus comunicaciones locales.
Tpicamente, es una direccin IP privada.
Inside Global Address.

Direcciones vlidas en la red Outside que han de utilizar los dispositivos de
la red Inside para establecer comunicaciones con dispositivos que se
encuentran en la red Outside.
Es la direccin que representa a una terminal de la red Inside en la red
Outside.
Tpicamente es la direccin IP pblica que se asigna a la terminal de la red
Inside.
Outside Local Address.

Direccin configurada en los dispositivos que se encuentran conectados a
la red Outside.
Outside Global Address.

Direccin que representa a un dispositivo de la red Outside en la red
Inside.
Tpicamente es la direccin IP pblica del dispositivo destino.
Si el dispositivo de la red Outside tambin atraviesa un sistema NAT,
entonces la direccin Outside Global y la Outside Local sern diferentes,
aunque el dispositivo de la red Inside no podr diferenciarlo.
Adems, hay diferentes modalidades de NAT:
NAT esttico.
La traduccin se define manualmente de IP local a IP global.
Se asegura de este modo que un nodo de la red Inside est siempre
representado por la misma direccin global en la red Outside.
Generalmente utilizado para habilitar el acceso desde la red Global a un
servidor alojado en la red Inside.
NAT dinmico.
No hay una asignacin uno a uno de IP local a IP global, sino que se
define un conjunto de direcciones locales de origen que se traducen
dinmicamente utilizando un conjunto de direcciones globales.
Se asigna dinmicamente una IP global para cada IP local que atraviesa el
dispositivo NAT.
NAT overload o PAT.

La asignacin dinmica se realiza ahora por conversacin (sesin TCP o
UDP), no por IP. El origen de cada conversacin generada en la red Inside
(IP local : puerto origen) se traduce por una IP y puerto aptos para ser
enrutados en la red Outside (IP global : puerto).
Pg. 41
NAT: Traduccin de una IP privada a una IP pblica.

PAT: Traduccin de varias IP privadas a una IP pblica.
En la configuracin de un dispositivo NAT se pueden aplicar una o ms de estas
modalidades simultneamente.
En la prctica se suele implementar una solucin mixta:
NAT esttico para identificar dispositivos que deben ser accedidos desde
la red pblica como servidores.
PAT para las terminales que necesitan acceder a Internet.
Configuracin de NAT:
Procedimiento para la configuracin de NAT en IOS:
1. Identificacin de la interfaz que conecta a la red Inside para NAT.
2. Identificacin de la interfaz que conecta a la red Outside de NAT.
3. Definicin de los parmetros de traduccin.
Router(config-if)#ip nat inside
Define la interfaz que conecta a la red Inside.
Router(config-if)#interface serial 0/0/0
Router(config-if)#ip nat outside
Define la interfaz que conecta a la red Outside.
Router(config-if)#exit
Router(config)#ip nat inside source static [ip local] [ip global]
Define la traduccin esttica de una direccin IP local
a una direccin IP pblica.
Router(config)#access-list [1-99] permit [ip local]
Para definir una implementacin de NAT dinmico, en
primer lugar es necesario definir el conjunto de
direcciones locales que se han de traducir.
Con este propsito se utiliza una lista de acceso IP
estndar para definir el conjunto de direcciones IP
locales.
Router(config)#ip nat pool [name] [ip inicial] [ip final] netmask
X.X.X.X
En segundo lugar, debemos definir el pool (conjunto)
de direcciones globales a utilizar en el proceso de
traduccin. Con este propsito definimos la direccin
Pg. 42
inicial del pool, la direccin final y la mscara de

subred que le corresponde.
Router(config)#ip nat inside source list [X] pool [name]
Finalmente se define el mecanismo de traduccin. En
este caso definimos un mecanismo de traduccin tipo
NAT dinmico una a una.
El comando asocia la lista de acceso creada antes
para definir las direcciones locales a traducir con el
pool de direcciones pblicas que se debe utilizar.
Router(config)#ip nat inside source list [X] interface [int]
overload
Otra posibilidad es definir el uso de PAT o NAT
overload sobre una nica direccin IP global.
Para esto se requiere este comando, asociando ahora
las direcciones inside definidas en la lista de acceso
con la interfaz outside (se usar como direccin global
la de la interfaz).
La keyword overload indica que se realizar una
traduccin tipo PAT: IP-puerto a IP-puerto.
Router(config)#ip nat inside source list [X] pool [name] overload
Finalmente, otra opcin es traducir un conjunto de
direcciones IP locales utilizando un conjunto de
direcciones IP globales, pero en modo PAT. Con este
propsito utilizamos el mismo comando que ya
conocemos para hacer NAT dinmico, pero
agregando el keyword overload.
Comandos adicionales
Router#clear ip nat translation *
Borra todas las entradas almacenadas en la tabla de
traduccin de direcciones IP.
Router(config)#ip nat translation timeout [segundos]
Define el tiempo en segundos que mantiene una
entrada de NAT dinmico en la tabla de traducciones.
Valor por defecto 86400 (24 horas).
Comandos de monitoreo de NAT

Router#show ip nat translation
Muestra la tabla de traduccin de direcciones IP.
Router#show ip nat statistics
Muestra informacin de configuracin (interfaz inside y
outside) y estadsticas de traduccin
Router#debug ip nat
Muestra los eventos de traduccin.
Pg. 43
Seguridad de la red
Los riesgos potenciales a los que estn sometidas las redes de datos han
experimentado en los ltimos aos una complejidad y sofisticacin crecientes. La
red est expuesta no slo a amenazas externas (un atacante ajeno a la propia
empresa u organizacin), sino tambin internas. Por esto la preocupacin por la
seguridad debe estar presente an en el caso de redes que no tienen conexin
con redes externas o con Internet.
Amenazas Internas.
Amenazas a la seguridad de la red originadas al interior de la
organizacin. Son las ms serias.
La principal contramedida para responder a este tipo de amenazas son las
polticas de seguridad.
Son particularmente importantes porque:
o
El usuario de la red tiene conocimientos de la red y los recursos

disponibles.
El usuario tpicamente tiene algn nivel de acceso relacionado con

la naturaleza de su tarea.
Los mecanismos de seguridad tradicionales suelen no ser

efectivos contra el potencial uso abusivo de un permiso de acceso
legtimo.
Amenazas Externas.
Son ataques de naturaleza ms tcnica, que se inician con menor
conocimiento del interior de la red.
A estas amenazas se responde principalmente implementando defensas
tcnicas.
Requerimientos de seguridad bsicos

Para asegurar una proteccin adecuada de los recursos de red, se deben
garantizar 3 aspectos.
Pg. 44
Confidencialidad.
Permite garantizar que solamente usuarios autorizados pueden acceder a
informacin sensible.
Implica restringir y controlar el acceso a la informacin. Algunos de los
mecanismos que apuntan a este objetivo son:
o
Mecanismos para evitar el acceso no autorizado a los recursos de

red.
Necesidad de la presentacin de credenciales para obtener

acceso.
Encriptacin de trfico.
Integridad.
Garantiza que solamente personas autorizadas pueden cambiar la
informacin sensible.
Disponibilidad.
Garantiza el acceso ininterrumpido de los usuarios autorizados a los
recursos de cmputo y a los datos.
Previene las interrupciones de servicio accidentales o intencionales (tales
como ataques DoS).
Es quizs el aspecto ms difcil de garantizar.
Cisco Network Foundation Protection

Es la estrategia de proteccin de la infraestructura de red utilizada por Cisco IOS,
que permite responder a ataques de complejidad creciente para asegurar la
disponibilidad de los dispositivos de red en cualquier circunstancia.
Para su desarrollo considera el dispositivo en 3 planos diferentes:
Plano de Control.
Refiere a la capacidad del dispositivo para mantener una estructura de
informacin referida a la red.
Plano de Management.
Refiere a la capacidad de administrar o gestionar el dispositivo.
Plano de Datos.
Refiere a la capacidad del dispositivo de reenviar trfico.
Seguridad de dispositivos Cisco IOS

Al momento de asegurar un dispositivo es necesario tener presente una visin
amplia y completa de los riesgos existentes para no reducirse exclusivamente a
algunos puntos de configuracin.
Hay mltiples amenazas de seguridad que deben ser consideradas:
Amenazas fsicas.
Hay diferentes tipos de amenazas fsicas en primer lugar estn aquellas
que pueden producir dao fsico al hardware de los dispositivos; tambin
hay amenazas de tipo ambiental que pueden afectar el desempeo del
hardware; amenazas que se generan a partir del suministro elctrico
indispensable para el funcionamiento de los equipos; y situaciones
generadas en torno a las tareas de mantenimiento que estn asociadas a
la manipulacin inapropiada de dispositivos y conectorizado.
Ataques de reconocimiento.
Es la recopilacin no autorizada de informacin de la red, que luego puede
ser utilizada para ejecutar otros tipos de ataques, como DoS.
Ataques de acceso.
Son intentos de explotar vulnerabilidades conocidas en los servicios de
autenticacin u otros, de modo de ganar acceso a informacin.
Pg. 45
Ataques de claves.
Password attacks es la denominacin que se da comnmente a los
intentos repetidos de descubrimiento de credenciales de autenticacin.
Tambin se los denomina ataques de fuerza bruta.
Cisco IOS provee un conjunto de prestaciones que permiten asegurar los planos
de control y management de los routers.
Algunas best practices a implementar en dispositivos nuevos son:
El management out-band es ms difcil de vulnerar por parte de un

atacante.
Utilice protocolos de management encriptados (SSH y HTTPS).
Implemente mltiples cuentas de usuarios con diferentes niveles de

privilegio para asignar al staff tcnico solamente los privilegios que son
necesarios para cumplir su tarea.
La administracin centralizada de los usuarios facilita la tarea.
Almacenar los registros de eventos (logs) en servidores remotos para

poder analizar los eventos en caso de incidentes de seguridad en la red.
Utilizar claves protegidas por hash incrementa significativamente el tiempo

necesario para romperlas por fuerza bruta.
La implementacin de SNMPv3 con cuentas de usuario y autenticacin

HMAC mejora significativamente la seguridad.
Al implementar switches LAN considere apagar todos los puertos que no

estn en uso y asignarlos como puertos de acceso en una VLAN que no
sea utilizada.
Cambie la VLAN nativa por defecto (VLAN 1) a una utilizada

exclusivamente con ese propsito.
Configuracin de claves de acceso

IOS permite configurar claves de acceso y niveles de privilegios de acuerdo al
modo de conexin.
Pg. 46
Clave de acceso por terminal virtual.

Se trata de los puertos a travs de los cuales se establecen sesiones
Telnet o SSH.
Es requerida por defecto y si no est configurada no se podr acceder al
router por Telnet o SSH.
No hay claves definidas por defecto.
Clave de acceso por consola.

No hay clave definida por defecto.
Adicionalmente, Cisco IOS permite configurar una clave de acceso al modo

privilegiado.
Router(config)#service password-encryption
Encripta las claves que se guardan por defecto en
texto plano en el archivo de configuracin.
Esta encriptacin es reversible.
Ingresa al submodo de configuracin del acceso por
terminal virtual.
Router(config-line)#password cisco
Define una clave de acceso.
Router(config-line)#login
Habilita el requerimiento de clave para el acceso por
terminal virtual.
El orden de ejecucin de los comandos password y login es

indiferente a los fines operativos. El que se presenta aqu es
el sugerido por las best practices de Cisco.
Router(config-line)#exec-timeout 5 0
Define un umbral de tiempo de inactividad en las
lneas de terminal virtual, tras el cual la sesin se
cerrar automticamente. En este caso es de 5
minutos 0 segundos.
Router(config-line)#exit
Router(config)#line con 0
Ingresa al submodo de configuracin del acceso por
puerto consola.
Router(config-line)#password cisco
Router(config-line)#login
Router(config-line)#exec-timeout 5 0
Router(config-line)#logging synchronous
Fuerza la sincronizacin de los mensajes de actividad
del sistema operativo con los comandos ingresados
por el operador, en la consola.
Router(config-line)#exit
Router(config)#enable secret cisco123
Establece una clave de acceso a modo privilegiado.
Esta clave se guarda encriptada con MD5 en el
archivo de configuracin.
Cuando se desea utilizar un esquema de usuario y clave para autenticar el acceso
a travs de las terminales virtuales, puede utilizarse el siguiente formato:
Pg. 47
Router(config)#username xxxxx password 0 xxxxx

Define una base de datos de usuario y clave en el
dispositivo. La clave puede ingresarse en texto plano
(0) o ya encriptada utilizando MD5 (5).
Router(config-line)#login local
Indica que se desea utilizar la base de datos local de
credenciales de autenticacin para autenticar usuarios
en el acceso.
Tambin es posible definir un mensaje que se mostrar en la pantalla de la
terminal de acceso al momento de ingresar al dispositivo.
Router(config)#banner motd # ATENCION. RED DE USO PRIVADO.
Ingrese sus credenciales de autenticacion. #
Este mensaje se muestra en todas las terminales que
se conectan antes del prompt que requiere las
credenciales de acceso.
Implementacin de SSH
Tanto Telnet como SSH son protocolos de terminal virtual (VTPs) que son parte
del stack TCP/IP. Permiten iniciar sesiones de consola de modo remoto.
Si bien estos protocolos son sumamente importantes para facilitar el acceso a la
gestin de los dispositivos, es preciso trabajar de modo seguro ya que a travs de
ellos se maneja informacin sensible de la red que puede ser aprovechada con
propsitos maliciosos; por este motivo es recomendable utilizar siempre SSH y no
Telnet.
En este sentido, la implementacin de SSH proporciona un mecanismo seguro
para reemplazar el uso de Telnet en el management de dispositivos ya que
autentica y encripta la comunicacin entre cliente y servidor (terminal de
management y dispositivo de red).
Para implementar SSH en el management se requiere:
Contar la posibilidad de habilitar el dispositivo como servidor SSH.

Para esto IOS soporta tanto SSHv1 como SSHv2.
Utilizar un programa emulador de terminal con soporte SSH.

La mayora de los programas de este tipo disponibles en la actualidad
(Putty, Teraterm, etc.); cuentan con esta posibilidad.
Cisco IOS tambin incluye un cliente SSH.
Para implementar SSH es necesario, previamente, generar una llave de cifrado

RSA en el dispositivo. Esto requiere que se cuente con un hostname (ya se tiene
uno por defecto) y un dominio IP asignado al router.
La configuracin del servicio en los dispositivos es relativamente simple:
Pg. 48
Router(config)#hostname LAB_A
LAB_A(config)#username cisco password cisco123
Define un usuario y clave en una base de datos local,
para ser luego utilizado en el proceso de
autenticacin.
LAB_A(config)#ip domain-name mydomain.com
Define un nombre de dominio que se utilizar en el
dispositivo.
LAB_A(config)#crypto key generate rsa
Genera la clave RSA que se requiere para operar con
SSH.
El sistema operativo le requerir que ingrese la
longitud de la clave de cifrado que desea utilizar.
Puede tener entre 360 y 2048 bits de longitud. La
longitud por defecto es 512 bits. La longitud mnima
recomendada es 1024 bits.
LAB_A(config)#ip ssh version 2
Establece el uso de SSH versin 2.
LAB_A(config)#line vty 0 4
LAB_A(config-line)#login local
Indica que se utilizar las credenciales de la base de
datos de usuarios local para la autenticacin.
LAB_A(config-line)#transport input ssh
Establece SSH como el protocolo para establecer
sesiones de terminal virtual hacia el dispositivo.
Para iniciar una sesin SSH desde un dispositivo Cisco, se puede utilizar el cliente
SSH incluido con el sistema operativo ya que IOS incluye tambin un cliente SSH
que puede ser utilizado para establecer sesiones hacia otros dispositivos:
LAB_A#ssh l user 172.16.100.25
Para verificar la configuracin de SSH

LAB_A#show ip ssh
Muestra la versin y configuracin de SSH en el
dispositivo que acta como SSH server.
LAB_A#show ssh
Permite monitorear las conexiones SSH que se han
establecido hacia ese dispositivo.
Administracin de mltiples sesiones de terminal virtual

Cisco IOS tambin ofrecen varias posibilidades para administrar mltiples sesiones
vty abiertas desde un dispositivo.
Para suspender una sesin en curso y retornar al sistema local: Ctrl +
Shift + 6 y luego x.
Pg. 49
Para volver a una sesin suspendida:
Enter.
resume + nmero de sesin.
Para cerrar una sesin:
En el dispositivo remoto: exit, logout o clear line.
En el dispositivo local: disconnect.
Router#telnet Router_B
Router_B#Ctrl+shift+6 luego x
Router#_
Router#[Enter]
Router_B#_
Router_B#exit
Router#_
Router#resume #
Router_B#_
Router_B#logout
Router#_
Router#disconnect [IP/Nombre]
Router#clear line #
Implementacin de un registro de eventos

Syslog es un sistema de mensajes que permite que mltiples dispositivos en la red
generen mensajes de estado con una estructura comn y los almacenen en un
dispositivo (servidor) centralizado para su posterior revisin por el Administrador.
En los dispositivos Cisco el sistema de mensajes de estado y eventos que genera
puede ser enviado a distintas posiciones:
A la pantalla de la consola (console).
A una sesin telnet o SSH (monitor).
A un servidor Syslog alojado en la red.
A un buffer de memoria local (buffered).
Los mensajes tienen un formato establecido por el estndar:

*Dec 18 17:10:15.079: %LINEPROTO-5-UPDOWN: Line protocol on
Interface FastEthernet0/0, changed state to down
Pg. 50
Un registro de tiempo (fecha y hora).

Dec 18 17:10:15.079
La porcin del dispositivo que genera el mensaje.

%LINEPROTO
Nivel de severidad del mensaje:

5
Clave memotcnica.
UPDOWN
Descripcin del mensaje.

Line protocol on Interface FastEthernet0/0...
Los mensajes de logging tienen 8 niveles de severidad diferentes:

0
Emergency
Alert
Critical
Error
Warning
Notification
Informational
Debugging
Los niveles 0 a 4 representan eventos que pueden tener serio impacto en la

operacin del dispositivo.
El Administrador tiene la posibilidad de definir hasta qu nivel de severidad desea
recibir mensajes en cada una de las diferentes posiciones (servidor, consola, etc.).
Por ejemplo, almacenar hasta nivel 5 en el servidor de Syslog y recibir hasta nivel
7 en la terminal de consola.
Por defecto se envan todos los mensajes hasta nivel 7 al puerto de consola.
Configuracin de los registros:
Router(config)#service timestamps
Habilita la inclusin de fecha y hora en el encabezado
de los mensajes.
Router(config)#service sequence-numbers
Habilita la inclusin de un nmero de secuencia en el
encabezado de los mensajes.
Router(config)#logging on
Activa el proceso de logging.
Pg. 51
Router(config)#logging buffered 200000

Determina el tamao del buffer de memoria que ha de
dedicarse a los mensajes de syslog. Los mensajes
almacenados en este buffer se pueden revisar con el
comando show logging.
El tamao del buffer se establece en bytes. Por
defecto, el tamao es 4096 bytes y el nivel de
severidad es debugging.
Router(config)#logging 172.16.1.2
Indica un servidor de syslog como destino para
almacenar los mensajes.
Router(config)#logging trap warnings
Limita los mensajes enviados al servidor de syslog en
base al nivel de severidad.
El nivel de severidad tambin puede expresarse en
forma numrica, en este caso: 4.
Router(config)#logging monitor notifications
Limita los mensajes que se enviar a las terminales
virtuales, en base al nivel de severidad.
Router(config)#logging console
Habilita los mensajes de syslog en la terminal de
consola. Estos mensajes estn habilitados por
defecto.
Configuracin del cliente NTP

La implementacin del registro de eventos necesita la activacin del servicio que
incluye fecha y hora (timestamp) en cada uno de los registros. Cuando se trata de
comparar los registros de mltiples dispositivos resulta de suma importante que el
registro de fecha y hora de los dispositivos est debidamente sincronizado.
Para lograr la sincrona de los relojes de mltiples dispositivos, la solucin es
utilizar el protocolo NTP (Network Time Protocol). Este protocolo permite que
mltiples dispositivos utilicen un nico reloj (servidor NTP) como fuente de
sincrona. De esta forma los relojes de todos los dispositivos (y sus registros de
fecha y hora), se encontrarn sincronizados.
Cisco IOS incluye un cliente NTP que permite que la configuracin de fecha y hora
de cada dispositivo se aprenda dinmicamente a partir de un servidor NTP. Para
configurar un dispositivo IOS como cliente NTP, siga este procedimiento:
Router(config)#ntp server 172.16.1.100
Indica la direccin IP del servidor NTP del cual ha de
tomarse sincrona.
Para verificar la operacin del protocolo en el cliente:
Router#show ntp associations
Pg. 52
Simple Network Management Protocol (SNMP)

Protocolo de capa de aplicacin que proporciona un servicio de mensajera entre
dispositivos (agentes SNMP) y una consola de gestin (SNMP Manager). SNMP
permite desarrollar una estructura de administracin (NMF) basada en estndares
elaborados a partir de mltiples RFCs.
SNMP Manager.
Aplicacin de gestin de red que proporciona funcionalidades de
monitoreo y gestin al Administrador.
Tambin denominado NMS (Network Management Station).
Agente SNMP.
Software que opera en un dispositivo de red que se desea gestionar.
Recoge informacin en una base de datos (MIB Management
Information Base) que contienen variables de estadstica y configuracin
del dispositivo.
Dispositivo con
Agente SNMP
SNMP Manager
MIB
El SNMP Manager peridicamente consulta al Agente SNMP para recolectar

informacin sobre la que luego realiza anlisis; tambin puede realizar
modificaciones en la configuracin a travs del Agente SNMP, si esto se permite.
Se utilizan 3 tipos de mensajes bsicos:
Mensajes GET.
Get Request y Get Response.
Permiten que el SNMP Manager requiera y obtenga informacin que los
Agentes SNMP almacenan en su base de datos para luego poder
analizarla o consultarla.
La mayora de las consolas SNMP permiten que el Administrador configure
intervalos de tiempo para que la consulta se realice de modo automtico y
tambin a demanda del operador.
Mensajes SET.
Mensajes SNMP que envan modificaciones en los parmetros de
configuracin que se almacenan en la MIB para que luego se modifique la
configuracin del dispositivo.
Mensajes Trap.
Notificaciones generadas por el mismo Agente SMNP que se envan al
NMS sin que haya consulta previa para informar algn evento en
particular.
Estos mensajes pueden desencadenar algn proceso conexo tal como
mostrar una alarma en pantalla o disparar la notificacin por SMS del
evento al Administrador de la red.
Pg. 53
Hay 3 versiones principales de SNMP disponibles:
SNMPv1 con control de acceso basado en el concepto de comunidad

(conjunto de dispositivos que conforman un mismo dominio de gestin).
SNMPv2c.
Mejor el sistema de mensajes, lo que permite obtener mayor cantidad de
informacin del dispositivo de modo ms eficiente.
Utiliza el mismo sistema de autenticacin basado en el nombre de
comunidad que la versin 1: el nombre de comunidad opera como una
clave de autenticacin que viaja en texto plano, por lo que su nivel de
seguridad es bajo y lo hace susceptible de ataque tipo man-in-the-middle
Hay 2 tipos de comunidades:
- Read-only (RO) Permite solamente el monitoreo del dispositivo.
- Read-write (RW) Permite acceso de lectura y escritura.
SNMPv3 incorpora autenticacin de usuario y encriptacin.

De esta manera, agrega prestaciones de seguridad: Integridad,
autenticacin y encriptacin.
El protocolo versin 3 permite 3 variantes de seguridad:

Nivel
Keyword
Autenticacin
Encriptacin
NoAuthNoPriv
noaut
Username
---
AuthNoPriv
auth
MD5 o SHA
---
AuthPriv
pri
MD5 o SHA
DES o AES
Configuracin de SNMP v2c

Dada la vulnerabilidad de la versin 2c de SNMP, generalmente es implementado
exclusivamente en modalidad read-only.
Router(config)# ip access-list standard SNMP
Router(config-std-nacl)# permit host 172.16.10.101
Router(config-std-nacl)# exit
Router(config)# ip access-list standard SNMP2
Router(config-std-nacl)# permit host 172.16.20.54
Router(config-std-nacl)# exit
Router(config)# snmp-server community LabCisco RO SNMP2
Define un nombre de comunidad read-only, y limita el
acceso al host permitido en la lista de acceso.
Router(config)# snmp-server location BuenosAires
Router(config)# snmp-server contact Oscar Gerometta
Router(config)# snmp-server community LabCisco2 RW SNMP2
Define un nombre de comunidad read-write, y limita el
acceso al host permitido en la lista de acceso.
Router(config)# end
Pg. 54
NetFlow
Aplicacin diseada por Cisco y embebida en IOS que permite relevar informacin
estadstica de trfico en la red.
Responde a 2 premisas bsicas:
Es completamente transparente a las aplicaciones y dispositivos que

operan en la red.
No es necesario que sea soportado en todos los dispositivos de la red.
Su implementacin tiene mltiples aplicaciones posibles, las ms frecuentes son:
Registro estadstico de trfico para realizar un anlisis de lnea base.
Facturacin de servicios de red a usuarios.
Diseo o rediseo de redes, para analizar el trfico y aplicaciones que

estn corriendo sobre la red.
Diseo general de seguridad de la red.
Deteccin y prevencin de ataques DoS o DDoS.
Monitoreo de la red.
Para esto, Netflow releva estadstica de comunicaciones utilizando el concepto de

flujo (flow): Stream unidireccional de paquetes entre un sistema de origen y un
sistema destino especficos.
Esta definicin de flujo se hace en base a 7 parmetros especficos:
Direccin IP origen.
Direccin ID destino.
Puerto de origen.
Puerto de destino.
Tipo de protocolo (campo del encabezado IP).
Tipo de servicio (campo del encabezado IP).
Interfaz lgica de ingreso.
La implementacin de NetFlow supone una arquitectura especfica:
Un dispositivo que tiene NetFlow habilitado.
Pg. 55
Un NetFlow Collector, que es la consola que concentra y permite

concentrar la informacin.
Dispositivo con
NetFlow habilitado
MIB
NetFlow
Collector
Configuracin de NetFlow
El procedimiento de configuracin en dispositivos Cisco IOS para utilizar funciones
de NetFlow requiere 2 tareas:
Definir el punto (interfaz) de captura de informacin.
Definir la ubicacin del NetFlow Collector.
Router(config)#interface GigabitEthernet0/0
Router(config-if)#ip flow ingress
Define la captura de datos correspondientes al trfico
que ingresa a travs de la interfaz.
Router(config-if)#ip flow egress
Define la captura de datos correspondientes al trfico
que egresa a travs de la interfaz.
Router(config-if)#exit
Router(config)#ip flow-export destination 10.1.10.100 99
Configura la direccin IP y puerto a la cual se debe
dirigir la informacin de NetFlow que surja de la
captura en la interfaz.
Router(config)#ip flow-export version 9
Define la versin de NetFlow a utilizar en el dilogo
con el collector.
Router(config)#ip flow-export source loopback 0
Define la interfaz cuya direccin IP se utilizar como
direccin de origen para enviar la informacin hacia el
collector.
Pg. 56
Router(config)#end
Comandos para verificar y acceder a la informacin de NetFlow:
Router#show ip cache flow
Permite verificar la operacin de NetFlow en el
dispositivo, la cantidad de paquetes analizados y las
estadsticas correspondientes a cada uno de los flujos
capturados.
Router#show ip flow interface
Verifica la configuracin de NetFlow en las interfaces.
Router#show ip flow export
Permite verificar la configuracin de los parmetros de
exportacin de la informacin y las estadsticas
correspondientes.
Pg. 57
Pg. 58
D. Prcticas de laboratorio
Los siguientes ejercicios permitirn revisar aspectos prcticos cuya base terica ha
sido desarrollada en este captulo, y que son considerados en el examen de
certificacin.
Tenga presente que se trata de una Gua de Preparacin

para un Examen de Certificacin. Por este motivo los
laboratorios no agotan la totalidad de los features
desarrollados tericamente, ni tampoco lo hacen en toda su
profundidad.
Los laboratorios y su grado de detalle han sido definidos en
funcin de los objetivos del examen de certificacin
Topologa bsica de los ejercicios de prctica

Para estos ejercicios tomaremos como punto de partida una topologa bsica,
semejante a la considerada en el eje temtico de Operacin de dispositivos Cisco
IOS:
Router_1 Se0/0/0
201.17.15.1/30
Se0/0/0
201.17.15.2/30
Gi0/0
172.16.1.1/24
Router_2
Gi0/0
176.24.15.1/24
172.16.1.10/24
El desarrollo de los ejercicios se centrar exclusivamente en la configuracin de

listas de acceso y NAT, suponiendo que ya se ha realizado la configuracin bsica
de cada uno de los dispositivos siguiendo las indicaciones del apartado de
prcticas de laboratorio del eje temtico Operacin de dispositivos Cisco IOS
pero ahora incluyendo enrutamiento utilizando EIGRP.
Esta red bsica est compuesta por 2 routers 2911 corriendo IOS 15.0 conectados
entre s a travs de un enlace serial sincrnico. En ese enlace serial el Router_2
asume las funciones de DCE, mientras que el Router_1 asume las funciones
clsicas de DTE.
Para que los puertos GigabitEthernet alcancen el estado operativo, es necesario
darles seal elctrica. Para esto puede conectarse cada uno de ellos a un hub, a
un switch. Al hub o switch conectado a la interfaz Gi0/0 del Router_1 hay
conectada una terminal con su correspondiente configuracin IP completa.
Pg. 59
Para los fines de estos ejercicios, el laboratorio puede montarse utilizando

dispositivos reales, un emulador de dispositivos como Dynamips o GNS3, o un
simulador como Packet Tracer.
Router 1
Hostname:
Router_1
Clave de acceso por consola:
c1sc0_con
Clave de acceso por Telnet:
c1sc0_tel
Clave de acceso a modo privilegiado:
c1sc0
Sincronice los mensajes de eventos en la consola.

Tiempo de inactividad para los accesos: 10 minutos.
Servidor DNS:
8.8.8.8
Interfaz LAN:
Autonegociacin de velocidad
Autonegociacin de dplex
172.16.1.1/24
Interfaz WAN:
201.17.15.1/30
Enrutamiento:
EIGRP AS 10
Router 2
Hostname:
Router_2
Clave de acceso por consola:
c1sc0_con
Clave de acceso por telnet:
c1sc0_tel
Clave de acceso a modo privilegiado:
c1sc0
Sincronice los mensajes de eventos en la consola.

Tiempo de inactividad para los accesos: 10 minutos.
Servidor DNS:
8.8.8.8
Interfaz LAN:
Autonegociacin de velocidad
Autonegociacin de dplex
176.24.15.1/24
Interfaz WAN:
201.17.15.2/30
Enrutamiento:
EIGRP AS 10
Enlace de conexin:
Pg. 60
HDLC
1 Mbps
Laboratorio 1. Configuracin de NAT

Premisa
La red LAN conectada a la interfaz Gi0/0/0 del Router 1 utiliza un direccionamiento
RFC 1918 (direccionamiento privado). Se requiere que las terminales ubicadas en
esa red LAN puedan acceder a Internet.
Con este propsito se le ha solicitado que configure NAT en el Router 1 para
permitir la conexin a la red pblica, teniendo presentes las siguientes premisas:
Se debe traducir toda la red LAN 172.16.1.0/24.
Se utilizar la direccin IP de la interfaz Serial 0/0/0 201.17.15.1
Configuraciones finales del Laboratorio 1

Router 1
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router_1
!
enable secret 5 $1$mERr$fUHfKnbAzwSaPfCLSoNMr1
!
ip name-server 8.8.8.8
!
interface GigabitEthernet0/0
ip address 172.16.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface Serial0/0/0
ip address 201.17.15.1 255.255.255.252
ip nat outside
!
ip nat inside source list 100 interface Serial0/0/0 overload
ip classless
!
access-list 100 permit ip 172.16.1.0 0.0.0.255 any
!
line con 0
password c1sc0_con
logging synchronous
line vty 0 4
password c1sc0_tel
logging synchronous
login
!
end
Pg. 61
Laboratorio 2. Diseo y configuracin de listas de acceso y NAT

Premisa
De acuerdo a las polticas de seguridad de la organizacin se ha requerido
configurar en el Router 1 listas de acceso que permitan implementar los siguientes
criterios:
Los dispositivos que estn en la red LAN (172.16.1.0/24) necesitan

acceder a servicios en Internet como clientes a travs del Router 1; para
esto requieren contar con direcciones pblicas. No deben acceder por
Telnet o SSH a ninguno de los routers.
La terminal con la direccin IP 172.16.1.10 debe ser la nica que tiene

permitido acceder por Telnet a los routers utilizando para esta tarea la
direccin IP de los puertos LAN de cada uno de los routers.
Por otra parte, el Router 1, a travs de su puerto Se0/0/0 slo debe admitir
trfico que sea respuesta a las solicitudes de servicios realizadas desde la
red LAN 172.16.1.0/24. No debe responder las solicitudes de ping que
reciba, pero si permitir todo otro trfico ICMP.
Debe asegurarse que el enrutamiento EIGRP entre Router 1 y Router 2,

que est operativo, siga operando adecuadamente.
Configuraciones finales del Laboratorio 2

Router 1
!
interface GigabitEthernet0/0
ip address 172.16.1.1 255.255.255.0
ip access-group 101 in
ip nat inside
duplex auto
speed auto
!
ip address 201.17.15.1 255.255.255.252
ip nat outside
!
router eigrp 10
passive-interface FastEthernet0/0
network 172.16.1.0 0.0.0.255
network 201.17.15.0 0.0.0.3
no auto-summary
!
ip nat inside source list 100 interface Serial0/0/0 overload
!
access-list 100 permit ip 172.16.1.0 0.0.0.255 any
access-list 101 permit tcp host 172.16.1.10 host 172.16.1.1 eq 23
access-list 101 permit tcp host 172.16.1.10 host 176.24.15.1 eq 23
access-list 101 deny tcp any any eq 22
Pg. 62
access-list
access-list
access-list
access-list
access-list
access-list
!
101
101
102
102
102
102
deny tcp any any eq 23

permit ip any any
permit tcp any 172.16.1.0 0.0.0.255 established
deny icmp any any echo
permit icmp any any
permit eigrp any any
Pg. 63
Pg. 64
E. Sntesis
Asignacin de configuracin IP de terminales:
Configuracin esttica (IPv4/IPv6).
Configuracin esttica utilizando EUI-64 (IPv6).
Configuracin automtica utilizando autoconfiguracin stateless (IPv6).
Configuracin automtica utilizando DHCP(IPv4/IPv6).
DHCPv4.
3 formas diferentes:
o
Asignacin dinmica.
Asignacin automtica.
Asignacin esttica.
Procedimiento de asignacin:
o
DHCP Discovery.
DHCP Offer.
DHCP Request.
Configuracin del servicio DHCPv4 en IOS:

o
Definicin del pool de direcciones a asignar.
Definicin de parmetros opcionales de la configuracin.
Definicin del perodo de asignacin.
DHCP Relay.
Permite acceder a servidores DHCP que residen en redes o subredes

diferentes a la del cliente.
IOS permite que los dispositivos de red operen como DHCP Relay.
Se define utilizando el comando ip helper-address.
ICMP - Internet Control Message Protocol.
Protocolo de la capa de Internet de TCP/IP.
Pg. 65
Permite el reporte de errores o limitaciones en las comunicaciones IP.
En redes IPv6 se utiliza ICMPv6.
Hay 2 tipos de mensajes:
Mensajes de error.
Mensajes de control.
Programas que utilizan ICMP:

o
ping
trace route
DNS - Domain Name System.
Protocolo de capa de aplicacin.
Utiliza TCP y UDP puerto 53.
Utiliza una estructura jerrquica de dominios de red independiente de la

propia del direccionamiento IP.
o
El nivel ms alto de la jerarqua es el de los dominios nacionales o

geogrficos (.ar, .cl, etc.).
Nombres DNS: conjunto de etiquetas alfanumricas separadas por puntos.
Implementacin de DNS en IPv6 requiere:

o
Actualizar clientes y servidor DNS.
Actualizar cliente y servidor para operar sobre IPv6.
Listas de Control de Acceso.
Pg. 66
Es una enumeracin secuencial de indicaciones de permiso y/o prohibicin

para determinadas direcciones y/o protocolos de capa superior.
Reglas de funcionamiento:
o
Una sola ACL por interfaz, por sentido, por protocolo.
Cada lista se identifica con un ID.

Si es numrico adems indica el tipo de lista de acceso.
Los paquetes son comparados secuencialmente con cada

sentencia de la lista de acceso.
Si cumplen con una, se ejecuta la sentencia y no contina el
anlisis.
Hay un deny any implcito al final de toda lista de acceso.
Los filtros de trfico saliente no afectan el trfico originado en el

mismo router.
Tipos de listas de acceso IP:
Estndar Numeradas.
1 99
1300 1999
Extendidas Numeradas.
100 199
2000 2699
Nombradas.
Tipos especiales:
Listas de acceso dinmicas.
Listas de accesos reflexivas.
Listas de acceso por tiempo.
Mscara de wildcard.
o
El dgito en 0 indica una posicin que debe ser comprobada.
El dgito en 1 indica una posicin que no debe ser comprobada.
Siempre est asociada a una direccin IP de referencia.
Casos especiales:
o
Cuando se desea filtrar una red o subred completa, la mscara

de wildcard es el complemento de la mscara de subred.
host = 0.0.0.0
any = 255.255.255.255
Procedimiento de configuracin:
o
Crear la lista de acceso.
Asociar la lista de acceso a una interfaz.
Aplicacin a los puertos virtuales:
Solo se utilizan listas de acceso numeradas.
Se aplican al puerto virtual con el comando access-class.
Pg. 67
Tips
o
Cuando se agrega una sentencia, si no se indica nmero de

secuencia, se agrega al final de la lista.
Toda lista de acceso debe incluir al menos una sentencia permit.
Las listas de acceso estndar se aplican lo ms cerca posible del

destino.
Las listas de acceso extendidas se aplican lo ms cerca posible

del origen.
NAT - Network Address Translation.
Procedimiento estndar que modifica la direccin IP de origen

traducindola por una direccin IP compatible con la red de destino.
Terminologa:
Red inside.
Red outside.
Direccin inside local.
Direccin inside global.
Direccin outside local.
Direccin outside global.
Modalidades de NAT:
o
NAT esttico.
NAT dinmico.
NAT overload o PAT.
Configuracin de NAT:
o
Identificacin de la interfaz conectada a la red inside.
Identificacin de la interfaz conectada a la red outside.
Definicin de los parmetros de traduccin.
Amenazas a la seguridad de la red.
Pg. 68
Amenazas internas.
Amenazas externas.
Requerimientos bsicos de seguridad:
Confidencialidad.
o
Autenticacin.
Cifrado.
Integridad.
Disponibilidad.
Best practices de seguridad:
Implementar management out of band.
Utilizar protocolos encriptados (SSH y HTTPS).
Implementar cuentas de usuario con diferentes niveles de privilegio.
Implementar gestin centralizada de usuarios.
Resguardar el registro de eventos en servidores dedicados.
Utilizar claves cifradas.
Utilizar SNMPv3.
Apagar los puertos del switch que no estn en uso.
Cambiar la VLAN nativa por defecto en los enlaces troncales.
Brinda un servicio de acceso a la CLI de los dispositivos asegurado

con autenticacin y cifrado.
Su implementacin requiere:
SSH.
Habilitar los dispositivos de red como servidores SSH.
Programas emuladores de terminal con soporte SSH.
Registro de eventos.
Syslog es un protocolo de capa de aplicacin.
Los mensajes pueden enviarse a:
Consola.
Sesiones Telnet o SSH.
Pg. 69
Servidor de Syslog.
Buffer de memoria.
Diferentes niveles de severidad:

o
0 - Emergency
1- Alert
2 - Critical
3 - Error
4 - Warning
5 - Notification
6 - Informational
7 - Debugging
NTP - Network Time Protocol.
Permite que mltiples dispositivos utilicen un nico reloj como fuente

de sincrona.
SNMP - Simple Network Management Protocol.
Pg. 70
Arquitectura:
o
SNMP Manager.
SNMP Agent.
MIB.
Tipos de mensajes:
o
GET.
SET.
Trap.
Versiones:
o
SNMPv1.
SNMPv2c.
SNMPv3
NetFlow.
Aplicacin embebida en IOS para relevar estadsticas de trfico en la

red.
Releva estadstica de comunicaciones utilizando el concepto de flujo

(flow).
Flujo: Stream unidireccional de paquetes entre un sistema de origen y

un sistema destino especficos.
Arquitectura:
Interfaz de un dispositivo con NetFlow habilitado.
NetFlow collector.
Pg. 71
Pg. 72
F. Cuestionario de repaso
Estos cuestionarios han sido diseados teniendo en cuenta dos objetivos
prioritarios: permitir un repaso del tema desarrollado en el captulo, a la vez que
adentrar al candidato en la metodologa de las preguntas del examen de
certificacin.
Por este motivo los cuestionarios tienen una metodologa propia. Adems de estar
agrupados segn ejes temticos, los he graduado segn su dificultad de acuerdo a
tres categoras bsicas de preguntas:
Preguntas de respuesta directa.
Preguntas de tipo reflexivo.
Preguntas basadas en la resolucin de situaciones problemticas.
Estas preguntas son una herramienta de repaso, no se trata de preguntas del

examen de certificacin, sino de una herramienta que le permite revisar los
conocimientos adquiridos. Por favor, tenga en cuenta que:
Los cuestionarios son una excelente herramienta para

realizar un repaso y verificar los conocimientos adquiridos.
Los cuestionarios NO son una herramienta de estudio. No es

aconsejable utilizar estos cuestionarios si an no ha
estudiado y comprendido el contenido del captulo, no han
sido concebidos con ese objetivo.
Las respuestas a este cuestionario las encuentra en la

seccin siguiente: Respuestas del cuestionario de repaso.
DHCP
1.
Cuando se configura un servidor DHCP, Cules son las 2 direcciones IP que no son
asignables a hosts? (Elija 2)
A. La direccin IP de red o subred.
B. La direccin de broadcast de la red.
C. La direccin IP cedida a la LAN.
D. Las direcciones IP utilizada por las interfaces.
E. Las direcciones IP asignadas manualmente a los clientes.
F. La direccin IP asignada al servidor DHCP.
Pg. 73
2.
Cul de las siguientes afirmaciones describe correctamente el proceso de asignacin

dinmica de direcciones IP utilizando un servidor DHCP?
A. Las direcciones son asignadas luego de una negociacin entre el servidor y el
host para determinar el perodo de duracin del acuerdo.
B. Las direcciones son asignadas permanentemente, de modo que los terminales
utilicen la misma direccin en todo momento.
C. Las direcciones son asignadas por perodos de tiempo fijos, al final de ese
perodo el servidor debe realizar una nueva asignacin de direccin.
D. Las direcciones son cedidas a las terminales, las que peridicamente contactan
el servidor DHCP para renovar la cesin.
3.
Cules de las siguientes son 2 tareas que realiza Dynamic Host Configuration Protocol? (elija
2)
A. Configura la IP de gateway que utilizar la red.
B. Realiza un descubrimiento de terminales utilizando mensajes DHCPDISCOVER.
C. Configura parmetros de direccionamiento IP desde un servidor DHCP a una
terminal.
D. Facilita la gestin de dispositivos de capa 3.
E. Monitorea la performance IP utilizando el servidor DHCP.
F. Asigna y renueva direcciones IP tomadas de un pool de direcciones.
4.
Considere la siguiente informacin:

Router#show ip dhcp conflict
IP address
Detection method
172.16.1.32
Ping
172.16.1.64
Gratuitous ARP
Detection time
Feb 16 2005 12:40 PM
Feb 25 2005 08:30 AM
Qu regla aplicar el servidor DHCP cuando se verifica un conflict de direcciones IP?

A. Las direcciones en conflicto sern removidas del pool de direcciones hasta que
el conflicto sea resuelto.
B. La direccin permanece en el pool hasta que el conflicto sea resuelto.
C. Solamente la direccin IP detectada a travs de gratuitous ARP es removida del
pool de direcciones.
D. Solamente la direccin IP detectada a travs del ping es removida del pool de
direcciones.
E. La direccin IP se mostrar an despus de que el conflicto sea resuelto.
Pg. 74
5.
Cul de las siguientes afirmaciones es correcta respecto de la operacin de DHCP?

A. Los clientes DHCP utilizan un ping para detectar conflictos de direcciones.
B. Un servidor DHCP utiliza gratuitous ARP para detectar clientes DHCP.
C. Los clientes DHCP utilizan gratuitous ARP para detectar un servidor DHCP.
D. Si se detecta un conflicto de direcciones, la direccin es removida del pool de
direcciones a asignar y el administrador deber resolver el conflicto.
E. Si se detecta un conflicto de direcciones, a direccin es removida del pool de
direcciones a asignar por un perodo de tiempo configurable por el
administrador.
F. Si se detecta un conflicto de direcciones, la direccin es removida del pool de
direcciones a asignar y no ser reutilizada hasta que el servidor sea reiniciado.
ICMP
6.
El Host 1 est intentando comunicarse con el Host 2. La interfaz Gi0/0 del RouterC est cada
(down):
RouterA
RouterB
RouterC
Gi0/0
Host1
Gi0/0
Host2
Cules de las siguientes afirmaciones son verdaderas? (Elija 2)

A. El RouterC utilizar ICMP para informar al Host1 que el Host2 no puede ser
alcanzado.
B. El RouterC utilizar ICMP para informar al RouterB que el Host2 no puede ser
alcanzado.
C. El RouterC utilizar ICMP para informar al Host1, al RouterA y al RouterB que el
Host2 no puede ser alcanzado.
D. El RouterC enviar un mensaje tipo Destination Unreachable.
E. El RouterC enviar un mensaje tipo Router Selection.
F. El RouterC enviar un mensaje tipo Source Quench.
Pg. 75
7.
Qu comando se puede utilizar para aprovechar el protocolo ICMP para verificar la

conectividad entre hosts que estn conectados a travs de un switch en la misma LAN?
A. ping address
B. tracert address
C. traceroute address
D. arp address
SNMP
8.
Cuando se implementa SNMP para gestionar una red corporativa, Cules son los 3
elementos que componen el sistema SNMP? (Elija 3)
A. Algoritmo SNMP.
B. MIB.
C. Agente SNMP.
D. Collector.
E. Servidor Syslog.
F. NMS.
9.
Cules de los siguientes son mensajes SNMP? (Elija 3)

A. Discovery.
B. Get.
C. Alert.
D. Trap.
E. Set.
F. Hello.
Pg. 76
Syslog
10. Por defecto, Para qu nivel de severidad Cisco IOS enva mensajes de eventos (logs)?
A. 0 Emergency.
B. 5 Notification.
C. Todos los niveles de severidad.
D. 4 Warning.
E. 1 Alert.
NetFlow
11.Cul es el comando Cisco IOS que nos permite verificar las estadsticas recolectadas de cada
flujo o conversacin por el dispositivo?
A. show ip flow export
B. show ip cache flow
C. show ip flow interface
D. show ip flow statistics
ACLs - Conceptos Generales

12. Cul de los siguientes es el rango de nmeros que identifican una lista de acceso IP
extendida? (Elija 2)
A. 1-99.
B. 200-299.
C. 1000-1999.
D. 100-199.
E. 1300 1999.
F. 2000 2699.
Pg. 77
13. Dnde debera colocar las listas de acceso estndar en una red?
A. En el switch ms cercano.
B. Lo ms cercano posible al origen.
C. Lo ms cercano posible al destino.
D. En la Internet.
14. Cul de los siguientes elementos es utilizado por las listas de acceso IP extendidas como
base para permitir o denegar paquetes?
A. Direccin de origen.
B. Direccin de destino.
C. Protocolo.
D. Puerto.
E. Todas las anteriores.
15. Luego de estar revisando una serie de publicaciones de tecnologa, su gerente le pregunta
acerca de la utilidad de las listas de control de acceso.
Cules seran respuestas posibles? (Elija 3)
A. Proteger los nodos de virus.
B. Detectar escaneo masivo de puertos.
C. Asegurar alta disponibilidad de los recursos de la red.
D. Identificar trfico interesante para DDR.
E. Filtrar trfico por direccin IP.
F. Monitorear el nmero de bytes y paquetes que atraviesan una interfaz.
16. Para especificar todos los nodos en la red IP Clase B 172.16.0.0, qu mscara de wildcard
utilizara?
A. 255.255.0.0
B. 255.255.255.0
C. 0.0.255.255
D. 0.255.255.255
E. 0.0.0.255
Pg. 78
17. Qu wildcard utilizara para filtrar las redes 172.16.16.0 / 24 a 172.16.23.0 / 24?
A. 172.16.16.0 0.0.0.255
B. 172.16.255.255 255.255.0.0
C. 172.16.0.0 0.0.255.255
D. 172.16.16.0 0.0.8.255
E. 172.16.16.0 0.0.7.255
F. 172.16.16.0 0.0.15.255
18. Qu wildcard utilizara para filtrar el siguiente conjunto de redes? 172.16.32.0 a 172.16.63.0
A. 172.16.0.0 0.0.0.255
B. 172.16.255.255 0.0.0.0
C. 0.0.0.0 255.255.255.255
D. 172.16.32.0 0.0.0.255
E. 172.16.32.0 0.0.0.31
F. 172.16.32.0 0.0.31.255
G. 172.16.32.0 0.31.255.255
H. 172.16.32.0 0.0.63.255
19. La red corporativa de su empresa ha sido dividida en subredes utilizando una mscara de
subred de 29 bits. Qu mscara de wildcard deber utilizar para configurar una lista de
acceso extendida para permitir o denegar acceso a una subred entera?
A. 255.255.255.224
B. 255.255.255.248
C. 0.0.0.224
D. 0.0.0.8
E. 0.0.0.7
F. 0.0.0.3
Pg. 79
20. Cules de las afirmaciones que se presentan a continuacin son caractersticas propias de
las listas de acceso nombradas? (Elija 3)
A. Se pueden borrar sentencias individuales en una lista de acceso nombrada.
B. Las listas de acceso nombradas requieren un rango de numeracin entre 1000 y
1099.
C. Las listas de acceso nombradas deben ser definidas como estndar o
extendidas.
D. Se utiliza el comando ip access-list para crear listas de acceso nombradas.
E. No se pueden borrar sentencias individuales en una lista de acceso nombrada.
F. Se utiliza el comando ip name-group para aplicar las listas de acceso
nombradas.
21. Sobre la interfaz serial de un router se ha configurado una lista de acceso para denegar
especficamente el trfico entrante dirigido a los puertos UDP y TCP 21, 23 y 25.
Basados en esta informacin, qu trfico del que se menciona ms abajo estar permitido en
esta interfaz? (Elija 3)
A. SMTP.
B. DNS.
C. FTP.
D. Telnet.
E. HTTP.
F. POP3.
Pg. 80
22. En el diagrama de la imagen se muestra la red de una empresa. La Administracin est

preocupada por un posible acceso no autorizado al servidor de Personal. Los nicos Hosts
que deberan tener acceso, son Adm1, Adm2, Prog1 y Tec1. Qu dos tecnologas deberan
implementarse para prevenir el acceso no autorizado al servidor? (Elija 2)
Router
ISP
Personal
.1
192.168.12.0/24
Sistemas
Prog1
.2
Prog2
.3
.7
RR.HH.
Prog3
.4
Adm1
.5
Adm2
.6
I+D
Tec1
.8
Tec2
.9
A. Listas de acceso.
B. Passwords encriptadas en el router.
C. STP.
D. VLANs.
E. VTP.
F. LANs inalmbricas.
23. Considere la siguiente lista de acceso:
Una lista de acceso ha sido creada escribiendo las cuatro sentencias que se muestran arriba.
Cul sera el modo de sintetizar esta lista de acceso en una nica sentencia que combine las
cuatro que se muestran, obteniendo exactamente el mismo efecto?
A. access-list 10 permit 172.29.16.0 0.0.0.255
B. access-list 10 permit 172.29.16.0 0.0.1.255
C. access-list 10 permit 172.29.16.0 0.0.3.255
D. access-list 10 permit 172.29.16.0 0.0.15.255
E. access-list 10 permit 172.29.0.0 0.0.255.255
Pg. 81
24.
S0/0/0
192.168.160.0/24
Internet
192.168.175.0/24
Sucursal
S0/0/0
F0/0
S0/0/1
192.168.191.0/24
Central
192.168.195.0/24
Server
Usted necesita colocar una lista de acceso en la interfaz F0/0 del router Central para que
deniegue el acceso a todos los nodos que provengan de cualquiera de las redes que estn
dentro del rango 192.168.160.0 a 192.168.191.0. Los nodos de la red 192.168.195.0 deben
tener acceso pleno.
Cul de las siguientes sentencias cubre completamente estas necesidades?
A. access-list 1 deny 192.168.163.0 0.0.0.255
B. access-list 1 deny 192.168.128.0 0.0.127.255
C. access-list 1 deny 192.168.160.0 0.0.255.255
D. access-list 1 deny 192.168.160.0 0.0.31.255
Configuracin de listas de acceso

25. Cules de las siguientes son formas vlidas de referirse slo al nodo 172.16.30.55 en la lista
de acceso IP 119? (Elija 2).
A. 172.16.30.55 0.0.0.255
B. 172.16.30.55 0.0.0.0
C. any 172.16.30.55
D. host 172.16.30.55
E. 0.0.0.0 172.16.30.55
F. ip any 172.16.30.55
Pg. 82
26. Cul de los siguientes comandos es vlido para crear una lista de acceso IP extendida que
filtre el trfico ftp?
A. access-list 101 permit ip host 172.16.30.0 any eq 21
B. access-list 101 permit tcp host 172.16.30.0 any eq 21 log
C. access-list 101 permit icmp host 172.16.30.0 any ftp log
D. access-list 101 permit ip any eq 172.16.30.0 21 log
27. Ud. tiene una lista de acceso con una nica consigna que se muestra a continuacin, qu
significa la palabra any que aparece en la consigna?
access-list 131 permit ip any 131.107.7.0 0.0.0.255 eq tcp
A. Verifica cualquiera de los bits en la direccin de origen.
B. Permite cualquier mscara de wildcard para la direccin.
C. Acepta cualquier direccin de origen.
D. Verifica cualquier bit en la direccin de destino.
E. permit 255.255.255 0.0.0.0
F. Acepta cualquier direccin de destino.
28. Cul de los siguientes comandos le permite implementar una lista de acceso en la lnea de
terminal virtual de un router?
A. Router_1(config-line)#access-class 10 in
B. Router_1(config-if)#ip access-class 23 out
C. Router_1(config-line)#access-list 150 in
D. Router_1(config-if)#ip access-list 128 out
E. Router_1(config-line)#access-group 15 out
F. Router_1(config-if)#ip access-group 110 in
29. Qu significa el siguiente comando?
access-list 110 permit ip any 0.0.0.0 255.255.255.255
A. Es una lista de acceso IP estndar que permite slo la red 0.0.0.0.
B. Es una lista de acceso IP extendida que permite slo la red 0.0.0.0.
C. Es una lista de acceso IP extendida que permite a cualquier nodo o red.
D. Es invlido.
Pg. 83
30. Cul de los comandos que se proponen a continuacin, deber seguir a esta lnea de
comandos?
access-list 110 deny tcp any any eq ftp
A. access-list 110 deny ip any any
B. access-list 110 deny tcp any any
C. access-list 110 permit ip any
D. access-list 110 permit ip any any
31. access-list 122 permit ip 131.107.30.0 0.0.0.255 any

Si Ud. aplica esta lista de acceso. Cul es el efecto?
A. Permite todos los paquetes cuyos 3 primeros octetos de la direccin de origen
coinciden, sin importar cul es el destinatario.
B. Permite todos los paquetes cuyo final de la direccin de destino coincide, y
acepta todas las direcciones de origen.
C. Permite todos los paquetes que se originan en la tercera subred de la direccin
de red, a todos los destinatarios.
D. Permite todos los paquetes cuyos bits de nodo de la direccin de origen
coinciden, a todos los destinatarios.
E. Permite todos los paquetes cuyos 3 primeros octetos de la direccin de destino
coinciden.
32. Cul de las siguientes listas de acceso permitir slo trfico http a la red 196.15.7.0?
A. access-list 100 permit tcp any 196.15.7.0 0.0.0.255 eq www
B. access-list 10 deny tcp any 196.15.7.0 eq www
C. access-list 100 permit 196.15.7.0 0.0.0.255 eq www
D. access-list 110 permit ip any 196.15.7.0 0.0.0.255
E. access-list 110 permit www 196.15.7.0 0.0.0.255
Pg. 84
33. Qu configuracin utilizando listas de acceso permite que slo el trfico proveniente de la red
172.16.0.0 entre al router a travs de la interfaz serial 0/0/0?
A. access-list 10 permit 172.16.0.0 0.0.255.255
interface serial 0/0/0
ip access-list 10 in
B. access-group 10 permit 172.16.0.0 0.0.255.255
ip access-list 10 out
C. access-list 10 permit 172.16.0.0 0.0.255.255
D. access-list 10 permit 172.16.0.0 0.0.255.255
ip access-group 10 out
34. Su Gerente est preocupado respecto de la seguridad de la subred 10.0.1.0/24 que contiene
al servidor de contadura. Desea estar seguro de que los usuarios no podrn conectarse
utilizando telnet a ese servidor, y le ha consultado en orden a incorporar una sentencia a la
lista de acceso existente para prevenir que los usuarios puedan acceder a la subred utilizando
telnet. Cul de las siguientes sentencias debera Ud. agregar?
A. access-list 15 deny tcp 10.0.1.0 255.255.255.0 eq telnet
B. access-list 115 deny tcp any 10.0.1.0 255.255.255.0 eq telnet
C. access-list 115 deny udp any 10.0.1.0 eq 23
D. access-list 115 deny tcp any 10.0.1.0 0.0.0.255 eq 23
E. access-list 15 deny telnet any 10.0.1.0 0.0.0.255 eq 23
35. Teniendo en cuenta los siguientes criterios para permitir el acceso desde sitios remotos a su
LAN:
Restringir el acceso en la interfaz FastEthernet 0/1
FastEthernet 0/1 = 207.87.81.173
Denegar el acceso a telnet, ftp, snmp
Permitir todo otro tipo de operaciones.
Cul de las siguientes debiera ser la ltima sentencia en ingresar en su lista de acceso?
A. access-list 101
B. access-list 101 deny e0 telnet ftp
C. access-list 101 allow all except ftp telnet
D. access-list 101 permit ip 0.0.0.0 255.255.255.255 any
E. access-list 101 deny ip 207.87.81.173 tcp eq 20 21 23
Pg. 85
36. Usted es el Administrador de la red corporativa que se muestra en el grfico.

Crdoba
Mendoza
S0/0/0
F0/0
S0/0/1
F0/0
F0/1
Las direcciones IP de las interfaces son:

Crdoba
F0/0 192.168.35.17/28
S0/0/0 192.168.35.33/28
Mendoza F0/0 192.168.35.49/28
F0/1 192.168.35.65/28
S0/0/1 192.168.35.34/28
La direccin del servidor de Contadura es: 192.168.35.66
A partir de esta informacin, ordene en la tabla de ms abajo los comandos necesarios para
cumplir los objetivos de diseo que se enuncian en la columna de la derecha.
deny ip 192.168.35.55 0.0.0.0

host 192.168.35.66
deny ip 192.168.35.16 0.0.0.15
host 192.168.35.66
Bloquear solamente el acceso al servidor

de Contadura de los usuarios conectados a
la interfaz F0/0 de Crdoba.
permit ip any any

permit ip 192.168.35.0 0.0.0.255
host 192.168.35.66
deny ip host 192.168.35.66
192.168.35.55 0.0.0.0
deny ip 192.168.35.16 0.0.0.31
host 192.168.35.66
Bloquear un usuario conectado a la F0/0 de

Mendoza hacia el servidor de Contadura.
Prevenir cualquier acceso al servidor de

Contadura de usuarios de fuera de la red
corporativa.
deny ip host 192.168.35.66

192.168.35.16 0.0.0.31
Pg. 86
37. Ud. es el Administrador de la red que se muestra a continuacin. Se ha escrito una lista de
acceso nombrada research_block para prevenir que usuarios de la red de Investigacin y
otros que accedan desde Internet puedan acceder al servidor de Soporte. Todos los dems
usuarios de la empresa pueden tener acceso a este servidor.
Internet
Router2
Router1
Router3
S0/0/0
S0/0/0
S0/0/0
S0/0/1
S0/0/1
F0/0
F0/0
Investigacin
172.16.102.0/24
Servidor de Ventas
172.16.102.252/24
Servidor de Soporte
172.16.104.252/24
La lista de acceso contiene las siguientes sentencias:

deny 172.16.102.0 0.0.0.255 172.16.104.252 0.0.0.0
permit 172.16.0.0 0.0.255.255 172.16.104.252 0.0.0.0
Cul de las siguientes secuencias de comandos permitirn colocar esta lista de modo tal que
se cumplan los requerimientos enunciados?
A. Router_1(config)#interface F0/0
Router_1(config-if)#ip access-group research_block in
B. Router_1(config)#interface S0/0/0
Router_1(config-if)#ip access-group research_block out
C. Router_2(config)#interface S0/0/0
D. Router_2(config)#interface S0/0/1
E. Router_3(config)#interface S0/0/1
F. Router_3(config)#interface F0/0
Pg. 87
38. En orden a prevenir que el web server de la empresa reciba solicitudes de trfico telnet desde
usuarios del Departamento Grfico, se ha creado una lista de acceso denegando este trfico.
RouterB
RouterA
S0/0/0
S0/0/0
S0/0/1
F0/0
RouterC
S0/0/0
F0/0
Dept. Grfico
192.168.16.0/24
Web Server
192.168.18.252/24
Sobre qu router, en qu interfaz y en qu direccin deber usted instalar la lista de acceso

para tener la mayor eficiencia? (Elija 3)
A. RouterA
B. RouterC
C. Serial 0/0/0
D. FastEthernet 0/0
E. In
F. Out
Pg. 88
39. El que se exhibe es el esquema de la red corporativa de la empresa en la que Ud. se

desempea como Administrador de la red.
Internet
Capital
SantaFe
Rosario
S0/0/1
S0/0/1
S0/0/1
S0/0/0
S0/0/0
F0/0
F0/0
Departamento de
Produccin
Web Server
172.17.18.252/24
Servidor de RR.HH.
172.17.17.252/24
Se ha requerido la instalacin sobre el router Capital de una lista de acceso que cumpla con
las siguientes premisas:
1. Permitir una conexin telnet al Servidor de Recursos Humanos a travs de Internet.
2. Permitir que se acceda al web server desde Internet.
3. Bloquear cualquier otro trfico desde Internet a cualquier punto de la red.
Cules de las siguientes sentencias de lista de acceso permitiran cumplir con estos tres
objetivos? (Elija 2)
A. access-list 101 permit tcp any 172.17.18.252 0.0.0.0 eq 80
B. access-list 1 permit tcp any 172.17.17.252 0.0.0.0 eq 23
C. access-list 101 permit tcp 172.17.17.252 0.0.0.0 any eq 23
D. access-list 101 deny tcp any 172.17.17.252 0.0.0.0 eq 23
E. access-list 101 deny tcp any 172.17.18.252 0.0.0.0 eq 80
F. access-list 101 permit tcp any 172.17.17.252 0.0.0.0 eq 23
Pg. 89
40.
RouterA
5.1.1.8/24
5.1.1.10/24
RouterB
5.1.2.10/24
5.1.2.20/24
RouterC
5.1.3.8/24
5.1.3.10/24
Usted es el administrador de sistemas de la red corporativa y ha creado la siguiente lista de

control de acceso:
access-list 101 deny tcp 5.1.1.10 0.0.0.0 5.1.3.0 0.0.0.255 eq telnet
access-list 101 permit ip any any
A continuacin se ingres el comando ip access-group 101 in para aplicar la ACL en la interfaz
F0/0 del Router_A.
Cul de las siguientes sesiones telnet estar bloqueada como consecuencia de la lista de
acceso? (Elija 2)
A. Sesin telnet desde 5.1.3.8 a 5.1.1.10
B. Sesin telnet desde 5.1.1.8 a 5.1.3.10
C. Sesin telnet desde 5.1.1.10 a 5.1.2.10
D. Sesin telnet desde 5.1.1.10 a 5.1.3.8
E. Sesin telnet desde 5.1.3.10 a 5.1.1.10
F. Sesin telnet desde 5.1.1.10 a 5.1.3.10
Pg. 90
41.
RouterA
RouterB
S0/0/0
F0/1
S0/0/1
F0/0
172.16.1.0/24
F0/0
172.16.5.0/24
172.16.4.0/24
access-list 10 permit host 172.16.1.5

access-list 10 deny 172.16.1.0 0.0.0.255
La lista de acceso que se muestra debe denegar el trfico originado en todos los nodos de la
red 172.16.1.0 excepto el que genera el nodo 172.16.1.5 cuando intentan acceder a la red
172.16.4.0.
Todas las dems redes deben permanecer accesibles.
Qu secuencia de comandos le permitir aplicar correctamente esta lista de acceso?
A. Router_A(config)#interface F0/0
Router_A(config-if)#ip access-group 10 in
B. Router_A(config)#interface S0/0/0
Router_A(config-if)#ip access-group 10 out
C. Router_B(config)#interface F0/1
Router_B(config-if)#ip access-group 10 out
D. Router_B(config)#interface F0/0
E. Router_B(config)#interface S0/0/1
Pg. 91
42
El Administrador de la red que se muestra arriba desea prevenir que las terminales
conectadas a la red 192.168.23.64/26 puedan acceder a la subred 192.168.23.128/26 a travs
de FTP.
F0/0
F0/1
192.168.23.64/26
192.168.23.128/26
Debe permitirse el acceso de todos los dems nodos. Qu comando deber ingresar en el
router para realizar esta tarea?
A. Rtr(config)#access-list 101 deny tcp 192.168.23.64 0.0.0.63 192.168.23.128 0.0.0.63 eq ftp
Rtr(config)#access-list 101 permit ip any any
Rtr(config)#interface fastethernet 0/0
Rtr(config-if)#ip access-group 101 in
B. Rtr(config)#access-list 101 deny tcp 192.168.23.64 0.0.0.63 192.168.23.128 0.0.0.63 eq ftp
Rtr(config-if)#ip access-group 101 out
C. Rtr(config)#access-list 101 deny tcp 192.168.23.64 0.0.0.255 192.168.23.128 0.0.0.255 eq ftp
Rtr (config-if)#ip access-group 101 in
D. Rtr(config)#access-list 101 deny tcp 192.168.23.64 0.0.0.63 192.168.23.128 0.0.0.63 eq ftp
E. Rtr(config)#access-list 101 deny tcp 192.168.23.64 0.0.0.255 192.168.23.128 0.0.0.255 eq ftp
43. Se le ha solicitado que incremente la seguridad en el acceso a todos los routers de la

empresa.
Qu puede hacer para asegurar las interfaces de acceso por Terminal virtual en los routers?
(Elija 2)
A. Desactivar administrativamente la interfaz.
B. Asegurar fsicamente la interfaz.
C. Crear una lista de acceso y aplicarla a la interfaz de terminal virtual con el
comando access-group.
D. Configurar un proceso de logueo y una clave a la terminal virtual.
E. Crear una lista de acceso y aplicarla a la interfaz de terminal virtual con el
comando access-class.
Pg. 92
44. Teniendo en cuenta la red del diagrama, se ha configurado una access-list de salida en la
interfaz Serial0/0/1 del Router2. Qu paquetes enrutados a travs de dicha interfaz sern
denegados? (Elija 2)
Router1 S0/0/0
192.168.0.9/30
S0/0/1
192.168.0.10/3
0
Router2
Fa0/1
192.168.0.25
Fa0/0
192.168.0.17
Fa0/0
192.168.0.51
Servidor
Telnet
192.168.0.16/29
192.168.0.24/29
access-list 101 deny tcp 192.168.0.16 0.0.0.15 any eq telnet

A. Direccin IP origen: 192.168.0.30; puerto destino 23.

B. Direccin IP origen: 192.168.0.32; puerto destino 23.
C. Direccin IP origen: 192.168.0.18; puerto destino 23.
D. Direccin IP origen: 192.168.0.41; puerto destino 21.
E. Direccin IP origen: 192.168.0.5; puerto destino 21.
F. Direccin IP origen: 192.168.0.28; puerto destino 21.
45. Se ha diseado una lista de acceso para evitar que el trfico HTTP del Departamento de
Cuentas, llegue al Servidor HR conectado al Router2. Cul de las siguientes listas de acceso
es la ms adecuada para realizar la tarea descrita, si es aplicada a la interfaz Fa0/0 del
Router1?
Router2
Router1
S0/0
Fa0/0
Departamento de
Cuentas 172.16.16.0/24
Router3
S0/0
S0/1
Fa0/0.
Servidor HR
172.17.17.252/24
S0/1
Fa0/0.
Servidor web
172.17.18.252/24
Pg. 93
A. permit ip any any

deny tcp 172.16.16.0 0.0.0.255 172.17.17.252 0.0.0.0 eq 80
B. permit ip any any
deny tcp 172.17.17.252 0.0.0.0 172.16.16.0 0.0.0.255 eq 80
C. deny tcp 172.17.17.252 0.0.0.0 172.16.16.0 0.0.0.255 eq 80
permit ip any any
D. deny tcp 172.16.16.0 0.0.0.255 172.17.17.252 0.0.0.0 eq 80
permit ip any any
Comandos de monitoreo de listas de acceso

46. Cul de los siguientes comandos mostrarn las interfaces que tienen aplicadas listas de
acceso IP? (Elija 2).
A. show ip port
B. show access-lists
C. show ip interfaces
D. show access-lists interface
E. show running-config
47. Cul de los siguientes comandos mostrar la lista de acceso extendida 187? (Elija 2).
A. show ip interfaces
B. show ip access-lists
C. show access-lists 187
D. show access-lists 187 extended
48. El Administrador de la red ha configurado la lista de acceso 172 para prevenir el trfico telnet
e ICMP que intente alcanzar el servidor cuya direccin es 192.168.13.26.
Qu comandos permitirn al administrador verificar que la lista de acceso est trabajando
adecuadamente? (Elija 2)
A. Router#ping 192.168.13.26
B. Router#debug access-list 172
C. Router#show open ports 192.168.13.26
D. Router#show access-list
E. Router#show ip interfaces
Pg. 94
49. Router#show access-lists

deny tcp any 131.107.0.0 0.0.255.255 eq 25
deny tcp any any eq telnet
Router#show ip interface FastEthernet0/0
FastEthernet0/0 is up, line protocol is up
Internet address is 172.17.9.60/24
Broad address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is enabled
Outgoing access list is 135
Inbound access list is not set
Proxy ARP is enabled
Security level is default
Split horizon is enabled
Rest of configuration omitted.
Ud. ha creado una lista de acceso IP extendida. Ahora ha aplicado la lista de acceso a la
interfaz FastEthernet0/0.
Cul es el resultado de esta accin?
A. Solo se permite la salida por FastEthernet 0/0 al correo electrnico y los
accesos va telnet.
B. Todos los nodos en la red 172.30.24.64 tendrn permitido el correo electrnico y
el acceso por telnet.
C. Todos los protocolos TCP tienen permitido salir por FastEthernet 0/0 excepto el
correo electrnico y telnet.
D. Todo el trfico IP que quiera salir por FastEthernet 0/0 ser denegado.
E. La lista de acceso est numerada incorrectamente y fallar.
NAT
50. En un sistema que est implementando NAT (Network Address Translation), Cul es la
direccin IP global inside?
A. La direccin sumarizada de todas las direcciones de subred internas.
B. Una direccin IP privada asignada a un nodo en el interior de la red.
C. Una direccin registrada que representa un nodo interior en la red externa.
D. Una nica direccin IP utilizada en una red interna.
Pg. 95
51. Cul de las siguientes variedades de NAT utiliza diferentes puertos para mapear mltiples
direcciones IP internas a una nica direccin IP global registrada?
A. NAT esttico.
B. Port loading.
C. NAT overloading.
D. NAT dinmico.
52.
Un router Cisco ha sido configurado con el siguiente comando:

ip nat pool nat-test 192.168.6.16 192.168.6.31 netmask 255.255.255.0
Qu tipo de NAT requiere la definicin de un pool de direcciones como el que se presenta en
el ejemplo?
A. NAT esttico.
B. NAT dinmico.
C. PAT sobre una nica direccin IP.
D. NAT global.
E. Ninguna de las anteriores.
53. Como Administrador a cargo de la red que se muestra en el esquema, usted debe
implementar NAT.
Router2
Router1
Internet
Router3
Para permitir que los nodos que estn conectados a las redes LAN utilicen direccionamiento
privado. Dnde deber configurar NAT?
A. En el Router 1.
B. En el Router 2.
C. En el Router 3.
D. En todos los routers.
E. En todos los routers y switches de la red.
Pg. 96
54. Se ha decidido implementar NAT en la red corporativa que se muestra en el esquema.

Router 1
S0/0/1
200.2.2.18/30
F0/0
10.10.0.1/24
10.10.0.0/24
Cules de los siguientes conjuntos de comandos se deber utilizar para aplicar NAT en la
interfaz adecuada? (Elija 2)
A. Router_1(config)#interface serial0/0/1
Router_1(config-if)#ip nat inside
B. Router_1(config)#interface serial0/0/1
Router_1(config-if)#ip nat outside
C. Router_1(config)#interface fastethernet0/0
Router_1(config-if)#ip nat inside
D. Router_1(config)#interface fastethernet0/0
Router_1(config-if)#ip nat outside
E. Router_1(config)#interface serial0/0/1
Router_1(config-if)#ip nat outside source pool 200.2.2.18 255.255.255.252
F. Router_1(config)#interface serial0/0/1
Router_1(config-if)#ip nat inside source pool 10.10.0.0 255.255.255.0
Pg. 97
55. En referencia a la configuracin mostrada a continuacin, la cual contiene el resultado de

ejecutar el comando "show running-config", Que debera hacer el Administrador de la red
para permitir que los Hosts conectados a la interfaz Fa0/0 obtengan una direccin IP?
Router1#show running-config
Current configuration
!
version 12.3
hostname Router1
!
ip subnet-zero
ip name-server 192.168.0.1
ip dhcp excluded-address 10.0.12.1
!
ip dhcp pool DHCP
network 10.0.12.0 255.255.255.0
default-router 10.0.12.1
dns-server 192.15.0.150
!
interface FastEthernet0/0
no ip directed-broadcast
ip nat inside
!
description Enlace WAN
ip address 192.15.0.201 255.255.255.252
ip nat outside
!
ip nat inside source list 12 interface serial 0/0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 192.15.0.202
!
!
A. Configurar la direccin IP de la interfaz Fa0/0 como 10.0.12.1.
B. Aadir la lnea "access-list 12 permit any any" a la configuracin de la lista de
acceso.
C. Aplicar el access-group 12 a la interfaz Fa0/0.
D. Aadir una descripcin a la configuracin de la interfaz Fa0/0.
Pg. 98
56. Considere la topologa y la configuracin que se muestra parcialmente ms abajo.

Router 1
S0/0/1
200.2.2.18/30
F0/0
10.10.0.1/24
10.10.0.0/24
interface serial0/0/1
ip address 200.2.2.18 255.255.255.252
ip nat outside
!
interface fastethernet0/0
ip address 10.10.0.1 255.255.255.0
ip nat inside
speed auto
!
ip nat pool test 199.99.9.40 199.99.9.62 netmask 255.255.255.224
ip nat inside source list 1 pool test
!
ip route 0.0.0.0 0.0.0.0 200.2.2.17
!
access-list 1 10.10.0.0 0.0.0.255
!
Tenga en cuenta tambin que se ha utilizado tambin el comando ip subnet-zero. Despus de
que el router realiza la traduccin de direcciones, Cul es una direccin inside global
address vlida?
A. 10.10.0.1
B. 10.10.0.17
C. 200.2.2.17
D. 200.2.2.18
E. 199.99.9.33
F. 199.99.9.57
Pg. 99
57. Considere la siguiente informacin:

Internal
Router
Fa0/0
172.16.1.254
172.16.1.0/24
S0/0/0
128.107.1.1
Fa0/1
172.16.2.254
172.16.2.0/24
External
Router
Internet
hostname InternalRouter
!
ip address 172.16.1.254 255.255.255.0
ip nat inside
!
ip address 172.16.2.254 255.255.255.0
ip nat inside
!
interface serial0/0/0
ip address 128.107.1.1 255.255.255.252
ip nat outside
!
ip nat inside source list 1 interface
Serial0/0/0 overload
!
ip route 0.0.0.0 0.0.0.0 Serial0/0/0
!
Cul de las siguientes afirmaciones es verdadera respecto de la configuracin de la red?

A. La configuracin que se muestra proporciona un espacio de direccionamiento
outside inadecuado para la cantidad de direcciones inside a las que se da
servicio.
B. Debido a la direccin de la interfaz FastEthernet0/1, la direccin de la interfaz
Serial 0/0/0 no soportar una configuracin de NAT como la que se propone.
C. El nmero 1 incluido en el comando ip nat inside source hace referencia a la
lista de acceso 1.
D. El router External debe ser configurado con rutas estticas hacia la red
172.16.1.0/24 y la 172.16.2.0/24.
Seguridad de la red
58. Cul de los siguientes es un conjunto de protocolos estndar abiertos comnmente utilizado
en VPNs para proveer comunicaciones seguras end-to-end?
A. RSA.
B. L2TP.
C. IPsec.
D. PPTP.
Pg. 100
59. Qu es posible hacer para asegurar las interfaces de terminal virtual de un router Cisco IOS?
(Elija 2)
A. Inhabilitar administrativamente las interfaces.
B. Asegurar fsicamente las interfaces.
C. Crear una lista de acceso y aplicarla a las interfaces de terminal virtual
utilizando el comando ip access-group.
D. Configurar una clave de terminal virtual y habilitar el procedimiento de login.
E. Incorporar una lista de acceso y aplicarla a las interfaces de terminal virtual con
el comando access-class.
60. Considere la informacin que se muestra a continuacin:
line vty 0 4
password 7 0300725638522
login
transport input ssh
Cul es el efecto de esta configuracin?
A. Configura globalmente SSH para todos los accesos.
B. Le indica al router o switch que debe intentar establecer una conexin SSH
primero, y si el intento falla utilizar Telnet.
C. Configura las lneas de interfaz virtual con la clave 0300725638522.
D. Configura un dispositivo de red Cisco para utilizar el protocolo SSH en las
comunicaciones entrantes a travs de los puertos de terminal virtual.
E. Permite hasta 7 intentos fallidos de conexin antes de que las lneas VTY sean
temporalmente desactivadas.
61. Asocie los features de seguridad que se enumeran en la columna de la izquierda al riesgo de
seguridad especfico sobre el que ofrece proteccin ese feature, que se mencionan en la
columna de la derecha. (No todas las opciones de la izquierda tienen coincidencias)
Access-group
Acceso remoto a la consola del dispositivo
Clave de consola
Acceso a travs del puerto consola
Enable secret
Acceso a las redes o recursos conectados
Autenticacin CHAP
Passwords visible en texto plano
Clave de VTY
Acceso al modo privilegiado
Service password-encryption
Pg. 101
62. Cmo el uso del comando service password-encryption en un router proporciona seguridad
adicional?
A. Encriptando todas las claves que atraviesen el router.
B. Encriptando las claves que se encuentran en texto plano en el archivo de
configuracin.
C. Requiriendo el ingreso de una clave encriptada para el acceso al dispositivo.
D. Configurando una clave encriptada con MD5 que es utilizada por los protocolos
de enrutamiento para validar el intercambio de informacin de enrutamiento.
E. Para sugerir automticamente claves encriptadas para utilizar en la
configuracin del router.
63. Cul es el efecto de utilizar el comando service password-encryption?
A. Solamente la clave de acceso a modo privilegiado ser encriptada.
B. Solamente la enable secret ser encriptada.
C. Solamente las claves configuradas despus de ingresar el comando sern
encriptadas.
D. Encriptar la secret password y remover la clave enable secret de la
configuracin.
E. Encriptar todas las claves actuales y futuras.
64. Un administrador de red necesita permitir nicamente una conexin Telnet a un router.
Adicionalmente es necesario que si alguien revisa la configuracin utilizando el comando show
run, la clave del acceso por Telnet est cifrado. Cul de los siguientes conjuntos de
comandos cubre estos requerimientos?
A. service password-encryption
line vty 0 4
login
password cisco
access-class 1
B. enable password secret
line vty 0
login
password cisco
C. service password-encryption
line vty 1
login
password cisco
D. service password-encryption
line vty 0 4
login
password cisco
Pg. 102
65. Qu feature de los switches Cisco Catalyst automticamente inhabilita un puerto que est
operando con PortFast luego de recibir un BPDU?
A. BackboneFast.
B. UplinkFast.
C. UplinkFast.
C. Root Guard.
D. BPDU Guard.
E. BPDU Filter.
66. Cul ser el resultado de implementar los siguientes comandos de configuracin en un switch
Cisco?
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky
A. Una direccin MAC aprendida dinmicamente se guarda en el archivo de
configuracin de respaldo (startup-config).
B. Una direccin MAC aprendida dinmicamente se guarda en el archivo de
configuracin activo (running-config).
C. Una direccin MAC aprendida dinmicamente se guarda en la base de datos de
VLANs.
D. Una direccin MAC configurada estticamente se guarda en el archivo de
configuracin de respaldo (startup-config) si se recibe una trama desde esa
direccin.
E. Una direccin MAC configurada estticamente se guarda en el archivo de
configuracin activo (running-config) si se recibe una trama desde esa
direccin.
67. Cul de los siguientes conjuntos de comandos es recomendado para prevenir el uso de un
hub en la capa de acceso de la red?
A. Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport port-security maximum 1
B. Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport port-security mac-address 1
C. Switch(config-if)#switchport mode access
D. Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security mac-address 1
Pg. 103
68. Cules de los siguientes son 2 comandos que les permiten verificar si port security ha sido
configurado en el puerto FastEthernet0/12 de un switch? (elija 2)
A. Switch1#show port-secure interface FastEthernet0/12
B. Switch1#show switchport port-secure interface
FastEthernet0/12
C. Switch1#show running-config
D. Switch1#show port-security interface FastEthernet0/12
E. Switch1#show switchport port-security interface
FastEthernet0/12
69. Considere lo que se muestra a continuacin:
MAC Address Table
Fa0/2
0000.00bb.bbbb
Fa0/3
0000.00cc.cccc
Fa0/1
Fa0/2
A
Fa0/3
B
0000.00bb.bbbb
0000.00aa.aaaa
Ethernet frame
Destination MAC Source MAC
ffff.ffff.ffff
0000.00aa.aaaa
Data
0000.00cc.cccc
Los siguientes comandos se ejecutan en la interfaz Fa0/4 del switch Catalyst 2960:
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky
La trama Ethernet que se muestra en el grfico llega a la interfaz Fa0/1. Qu dos acciones
de las que se mencionan a continuacin se ejecutarn como consecuencia de que esta trama
sea recibida en la interfaz del switch? (elija 2)
A. La tabla de direcciones MAC tendra ahora una entrada adicional: FA0/1
ffff.ffff.ffff.
B. Solamente el host A podr enviar tramas a travs del puerto Fa0/1.
C. La trama en cuestin ser descartada cuando sea recibida por el switch.
D. Todas las tramas que lleguen al switch y tengan como destino a direccin MAC
0000.00aa.aaaa sern reenviadas a travs de la interfaz Fa0/1.
E. Los hosts B y C pueden enviar tramas a travs de la interfaz Fa0/1 pero las
tramas que lleguen de otros switches no sern reenviadas a travs de esa
interfaz Fa0/1.
F. Solamente las tramas con MAC de origen 0000.00bb.bbbb, la primera MAC
aprendida por el switch, sern reenviadas a travs de la interfaz Fa0/1.
Pg. 104
G. Respuestas del cuestionario de repaso

DHCP
Pregunta 1
A y B Las direcciones reservadas de red (o subred) y las de broadcast

no se deben utilizar en host ya que son direcciones reservadas.
Pregunta 2
D Si bien es posible asignar direcciones de modo permanente a un host

utilizando DHCP, no es esa la implementacin tpica. En general una
asignacin permanente se hace utilizando configuracin esttica. Por lo
tanto, la definicin primaria de DHCP hace referencia a la cesin por un
perodo de tiempo de una direccin IP.
Por otra parte, esta sesin de la direccin no es renovada
automticamente por el servidor, sino que se renueva a solicitud del host.
Pregunta 3
C y F El protocolo DHCP utiliza un servidor DHCP para asignar

configuracin IP a las terminales que lo requieran. Para esto, utiliza
direcciones IP que toma a partir de un pool de direcciones previamente
definido por el administrador.
Pregunta 4
A Mientras dure el conflicto de direcciones IP, el servidor DHCP excluye

del pool de direcciones disponibles para asignar a las direcciones en
conflicto.
Pregunta 5
D Cuando se detecta un conflicto de direcciones, la direccin en cuestin

es removida del pool de direcciones disponibles hasta que se resuelva el
problema.
Respecto de los mecanismos para detectar ese conflicto, el servidor DHCP
utiliza ping antes de proponer una direccin para verificar su disponibilidad.
Gratuitous ARP es generado por las terminales cuando se modifica su
configuracin IP a fin de actualizar las tablas ARP de los dispositivos
conectados en el dominio de broadcast.
ICMP
Pregunta 6
A y D TCP/IP utiliza ICMP (entre otras cosas) para notificar al origen

sobre problemas durante el proceso de entrega de un paquete. De aqu
que al descartar un paquete el RouterC enviar la notificacin del evento al
origen del paquete, es decir, el Host1.
Adicionalmente, en este caso, se trata de un mensaje de Destination
Pg. 105
Unreachable ya que al estar cada la interfaz no habr ruta en la tabla de

enrutamiento para reenviar el paquete.
Pregunta 7
A Tanto ping como tracert utilizan ICMP para realizar el diagnstico de

conectividad desde terminales. Sin embargo, si consideramos que ambas
terminales estn conectadas a un switch en la misma LAN, el uso de
tracert no tiene utilidad real.
Tenga presente que el criterio para responder, cuando hay

ms de una respuesta que parece la correcta, es indicar la
respuesta que ms se ajusta o es ms precisa.
SNMP
Pregunta 8
B, C y F La arquitectura SNMP supone 3 elementos bsicos: un agente

SNMP en el que residen las MIBs que colectan la informacin, y una
consola SNMP o Network Management System (NMS) que colecta esta
informacin y la analiza.
Pregunta 9
B, D y E Los tres tipos bsicos de mensajes SNMP son get, set y trap.
Algunos de esos mensajes tienen subtipos tales como get request y get
reply.
Syslog
Pregunta 10
Cisco IOS, por defecto, enva al puerto consola los mensajes de evento
hasta nivel 7, que es lo mismo que decir que enva todos los niveles.
NetFlow
Pregunta 11
Show ip cache flow permite ver la informacin estadstica sobre flujos o

comunicaciones recogida por el dispositivo y almacenada en la memoria
RAM del mismo.
ACLs - Conceptos Generales

Pregunta 12
Pg. 106
D y F Las listas IP numeradas se identifican por el ID de lista.

Las listas de acceso IP extendidas utilizan 2 rangos de IDs numerales: de
100 a 199 y de 2000 a 2699.
Es importante que memorice los principales rangos de ID de

listas de acceso numeradas.
Pregunta 13
C La regla emprica de Cisco establece que las listas IP estndar deben

colocarse lo ms cerca posible del destino, y las listas de acceso IP
extendidas deben colocarse lo ms cerca posible del origen.
Pregunta 14
E Las listas de acceso IP extendidas utilizan como criterio base para el

anlisis de los paquetes tanto direcciones IP de origen y destino, como el
protocolo de la capa de red o de capa de transporte, y el campo de puerto
de origen y destino del encabezado de capa de transporte.
Pregunta 15
C, D y E Las listas de control de acceso permiten realizar filtrado de

paquetes en base a una variedad de criterios diferentes, definidos por el
Administrador.
El objetivo de este filtrado puede ser prevenir trfico no deseado en la red
por motivos de seguridad o de optimizacin de recursos disponibles.
Tambin pueden ser utilizadas para filtrar actualizaciones de enrutamiento,
priorizar trfico e implementar facilidades de calidad de servicio.
Otra implementacin que requiere listas de acceso es DDR, es decir, la
activacin de enlaces bajo demanda en funcin de la deteccin de
determinado tipo de trfico.
Pregunta 16
C La mscara 0.0.255.255 indica al router que haga coincidir los

primeros dos octetos y que los dos ltimos octetos pueden tener cualquier
valor.
Pregunta 17
E Las redes 172.16.16.0 a 172.16.23.0 constituyen un bloque de 8

redes. Este bloque de direcciones cumple con los requisitos de aplicacin
del mtodo de clculo rpido. Por lo tanto, el wildcard es siempre uno
menos que el tamao del bloque; en este ejemplo, 7.
Tenga presente que esta regla de clculo slo funciona con

algunos bloques de direcciones muy especficos, no lo use
indiscriminadamente para cualquier clculo.
Verifique las reglas de aplicacin en las notas preliminares

del captulo.
Pg. 107
Pregunta 18
F El bloque que comprende las redes 172.16.32.0 a 172.16.63.0

comprende un total de 32 dgitos decimales en el octeto crtico, y cumple
con las condiciones para realizar un clculo rpido. Por lo tanto, la
mscara de wildcard es 0.0.31.255.
Pregunta 19
E Si la subred es /29, la mscara en notacin decimal es

255.255.255.248. La mscara de wildcard es el complemento: 0.0.0.7
En este caso es evidente que la mscara de wildcard depende
bsicamente de la mscara de subred, independientemente de la red que
se trate.
Pregunta 20
A, C y D Una de las ventajas tradicionales de las listas de acceso

nombradas es que permiten borrar una sentencia individual sin necesidad
de borrar la lista de acceso completa. Esto tambin puede hacerse hoy
aprovechando el nmero de secuencia de las listas de acceso para
identificar cada sentencia por separado.
Las ACL nombradas se crean con el comando ip access-list, especificando
si se trata de una lista de acceso estndar o extendida.
Pregunta 21
B, E y F Partiendo de la premisa de que se est denegando trfico

especfico, todo el trfico que no est denegado est permitido. En
consecuencia los nicos protocolos denegados son los que corresponden
a los puertos enunciados:
SMTP
FTP
Telnet
puerto 25.
puerto 21.
puerto 23.
Pregunta 22
A y D Cuando es necesario segmentar el trfico y restringir acceso en

redes conmutadas, un recurso simple es la divisin de la red conmutada
en diferentes VLANs que puedan rutearse a travs de un dispositivo de
capa 3; y ACL en el dispositivo de capa 3 para definir permisos y
restricciones de acceso.
Pregunta 23
Pg. 108
C Las 4 subredes que se quieren filtrar son consecutivas, por lo que

puede utilizarse una nica sentencia con una mscara de wildcard ms
amplia.
Teniendo presente el mtodo de clculo rpido que se describi en las
notas previas observamos que entre el inicio y el fin del grupo, hay 4
dgitos decimales en el octeto crtico: 16, 17, 18 y 19.
Estos 4 dgitos decimales cumplen con todas las condiciones para la
aplicacin del mtodo rpido. En consecuencia, si son 4 dgitos, el valor de
la mscara de wildcard para el octeto crtico es 4 1 = 3.

Una sola de las respuestas propuestas tiene un valor 3 para el octeto
crtico de la mscara de wildcard.
Pregunta 24
D Aqu se trata de calcular una mscara de wildcard que permita agrupar

el conjunto de subredes que en el tercer octeto tiene un valor decimal de
160 a 191.
Tomando como base que es posible filtrar slo un grupo, y que lo dems
quede permitido, si se filtra solamente ese rango de valores la subred
192.168.195.0 quedar permitida.
El rango de valores decimales a filtrar cumple con los requisitos del
mtodo de clculo rpido, en consecuencia son 32 dgitos decimales y
esto requiere una mscara de wildcard con valor 31 ( 32 1 = 31 ) en el
octeto crtico, el tercero.
Configuracin de listas de acceso

Pregunta 25
B, D Para identificar un nodo especfico, se requiere que la ACL verifique

los 32 bits de la direccin IP.
Para lograr esto se puede utilizar la mscara de wildcard 0.0.0.0 que le
indica al router que busque una coincidencia completa de los bits de los
cuatro octetos de la direccin IP. Esta mscara wildcard puede
reemplazarse por el comando host.
Pregunta 26
B Ante una pregunta de este tipo, verifique en primer lugar los nmeros
de lista de acceso. En este caso todas las listas de acceso utilizan el 101,
por lo que estn todas configuradas como listas de acceso IP extendidas.
En segundo lugar verifique el protocolo. Para filtrar ftp se requiere que la
ACL filtre trfico TCP. Slo una sentencia de las propuestas est filtrando
TCP.
Pregunta 27
C La palabra permit, indica que permite trfico.

La palabra any, reemplaza a la direccin IP 0.0.0.0 255.255.255.255 que
indica cualquier direccin IP; esto significa que cualquier direccin IP es
permitida.
Pregunta 28
A Para asignar una lista de acceso a una lnea de terminal virtual se

debe encontrar en el modo de configuracin de la lnea de terminal virtual
y utilizar el comando access-class.
Pg. 109
Pregunta 29
C El comando access-list 110 permit ip any any (any es la keyword para

indicar 0.0.0.0 255.255.255.255) es una sentencia que permite cualquier
nodo o red tanto de origen como de destino.
Pregunta 30
D Uno de los tips bsicos de configuracin indica que toda ACL debe
contener al menos una premisa de permiso.
Cuando una lista de acceso tiene solo premisas de denegacin (deny), es
preciso concluir con una clusula permisiva (permit); de lo contrario se
bloquear el puerto debido a la denegacin total que est implcita al final
de cada lista.
Como indicara muchas veces, la pregunta en s misma

puede tener mltiples respuestas diferentes, pero hay solo
una de las respuestas propuestas que le da una respuesta
correcta.
Tenga presente: primero lea la premisa y las respuestas

propuestas, luego detngase a analizar.
Pregunta 31
A Esta es una lista de acceso extendida que permite todos los paquetes
IP cuya direccin de origen coinciden con los 3 primeros octetos de la
direccin 131.107.30.0. Adems, la palabra any indica que se aceptan
todas las direcciones de destino.
Pregunta 32
A Considerando la premisa, se debe tratar de una lista de acceso

extendida ya que se requiere filtrar protocolo y red de destino.
Lo primero a verificar entonces en una pregunta de este tipo es el nmero
de la lista de acceso. Como pide reconocer un protocolo, debe ser una
lista extendida, es decir ID 100 a 199. Inmediatamente se puede ver que la
Respuesta B es incorrecta porque est utilizando un nmero de lista de
acceso IP estndar.
Lo segundo a verificar es el protocolo. Si est filtrando por un protocolo de
capa superior (se pide filtrar http), entonces debe estar utilizando UDP o
TCP. Esto deja solamente la opcin A.
Pregunta 33
Pg. 110
C Para responder a la consigna se requiere una lista de acceso IP

estndar ya que slo requiere filtra direcciones IP de origen.
El rango de IDs para la lista de acceso IP estndar es 1-99.
Para filtrar la red completa, el detalle de direccin IP de origen es
172.16.0.0 0.0.255.255.
El comando para asignar una lista de acceso IP en una interfaz es ip
access-group, esto descarta las opciones A y B.
Puesto que la premisa especificaba trfico entrante, slo es correcta la

Respuesta C.
Pregunta 34
D Para resolver la solicitud se requiere una lista de acceso extendido (la

opcin E no puede ser pues se trata de un ID de ACL estndar), que filtre
trfico TCP (esto descarta la opcin C), cualquiera sea su origen (esto
descarta la opcin A).
Entre la opcin B y la D, la B es descartada pues la mscara que aplica es
una mscara de subred, no de wildcard.
Pregunta 35
D Ud. debe recordar que cuando utiliza listas de acceso, todo lo que no
coincida con los criterios enunciados ser descartado. Eso significa que si
se ingresan solamente restricciones, nada pasar a travs de esa interfaz.
Por lo tanto, si se pone como premisa permitir todo otro tipo de
operaciones salvo las explcitamente prohibidas, esto implica que luego de
las restricciones debemos permitir todo otro trfico.
Como en la premisa se nos requiere la ltima consigna de la lista de
acceso, hemos de suponer que previamente se han cargado las
restricciones, y por lo tanto corresponde que la ltima sentencia sea la que
permite todo el trfico que no est prohibido.
Pregunta 36
El resultado final de la lista segn la secuencia de consignas enunciadas

en la columna de la derecha debe ser entonces.
deny ip 192.168.35.16 0.0.0.15 host 192.168.35.66
deny ip 192.168.35.55 0.0.0.0 host 192.168.35.66
permit ip 192.168.35.0 0.0.0.255 host 192.168.35.66
Pregunta 37
F Para aplicar una lista de acceso ip a una interfaz es preciso utilizar el

comando ip access-group en el modo de configuracin de la interfaz y
especificando si se desea revisar el trfico entrante o saliente.
Al estar filtrando el trfico saliente solo afecta el trfico dirigido a la subred
en la que est el servidor que se desea proteger.
No hace falta una sentencia que filtre el trfico originado en Internet, ya
que la sentencia implcita final es denegar todo otro trfico.
Pregunta 38
A, D y E En este caso no se indica la configuracin de la lista de acceso

y se pregunta directamente por su ubicacin. Por lo tanto, se est
preguntando sobre las recomendaciones de diseo para la aplicacin de
ACL.
En consecuencia, de acuerdo a las recomendaciones de diseo de Cisco
para la aplicacin de ACL, para tener la mejor performance se debe ubicar
lo ms cerca posible del origen del trfico que se desea filtrar.
Pg. 111
Pregunta 39
A y F Las 2 sentencias sealadas como correctas responden

puntualmente a las premisas 1 y 2 del enunciado.
La premisa 3 no requiere de una sentencia adicional ya que se cuenta con
la presencia del deny ip any any implcito al final de la lista de acceso.
Pregunta 40
D y F La lista de acceso presentada filtra especficamente el trfico telnet

originado en un nico nodo (5.1.1.10) hacia una subred completa
(5.1.3.0/24).
Consecuentemente se bloquea toda sesin telnet originada en 5.1.1.10
que tiene como destino cualquier nodo de la subred 5.1.3.0/24.
Pregunta 41
D Dado que el objetivo es denegar nicamente el acceso a la subred

172.16.4.0, y se est usando una lista de acceso estndar, esta lista debe
ser aplicada en la interfaz a la cual est conectada la subred cuyo acceso
desea cuidarse.
Es un ejemplo de la premisa de diseo que indica que las listas de acceso
estndar deben aplicarse lo ms cerca posible del destino.
Pregunta 42
A Hay varios detalles a atender. Primero, la lista se debe colocar en la

interfaz F0/0 (la ms cercana al origen) para filtrar trfico entrante (in).
Esto reduce las elecciones posibles a las opciones A y B.
Segundo, la mscara de wildcard correcta para filtrar esa subred
especfica es 0.0.0.63. En consecuencia, hay una sola opcin posible.
Pregunta 43
D y E Desactivar la interfaz no es una opcin de segurizacin del

acceso, sino simplemente elimina la posibilidad de acceso.
Tanto la implementacin de una lista de acceso como la configuracin de
una clave de acceso, son tcnicas que permiten asegurar un acceso por
terminal virtual.
El comando para aplicar la lista de acceso a la terminal virtual es accessclass.
Pregunta 44
A y C Esta ACL deniega exclusivamente trfico telnet, por lo tanto las

opciones D, E y F estn descartadas.
El rango de direcciones que define la mscara de wildcard utilizada va
desde la 192.168.0.16 a la 192.168.0.31. Eso descarta tambin la opcin
B.
Pregunta 45
Pg. 112
D La lista debe comenzar por denegar lo que est prohibido y luego

permitir. Eso descarta las opciones A y B.
Luego, las tramas a descartar son las que tienen como origen la subred
172.16.16.0/24. Esto nos deja exclusivamente con la opcin D.
Comandos de monitoreo de listas de acceso

Pregunta 46
C y E Slo los comandos show ip interface y show running-config

permiten verificar qu puertos tienen aplicadas listas de acceso.
Atencin:
El comando show access-list slo le muestra las listas de
acceso configuradas en el router, pero no los puertos en los
que estn aplicadas.
El comando show interfaces no permite ver informacin
referida a listas de acceso.
Pregunta 47
B, C Se pueden ver las sentencias que componen las listas de acceso

con los comandos show access-lists, show ip access-lists o ms
especficamente con el comando show access-lists #.
Pregunta 48
A y D El comando ping, verificar si es posible acceder por ICMP hasta

el servidor. En este caso como la poltica es filtrar ese trfico se debera
recibir un mensaje de destino inalcanzable, esto verificara que se cumple
una de las premisas.
Por su parte, el comando show access-list mostrar todas las sentencias
de listas de acceso configuradas, y cuantos paquetes que han pasado por
la interfaz en la que se encuentra aplicada la lista de acceso han
coincidido con cada sentencia.
De este modo podemos verificar que las sentencias estn filtrando el
trfico especificado.
Pregunta 49
D Por lo que se puede ver esta lista de acceso, est compuesta de 2

sentencias de denegacin de paquetes y carece de una consigna de
permiso (permit) al final. Por lo tanto funciona la consigna de denegacin
implcita de todo el trfico.
En consecuencia, al no tener ninguna sentencia de permiso, todo el trfico
que pasa por esta interfaz, en el sentido en que est aplicada la ACL, est
bloqueado.
Aqu estara al menos faltando la consigna access-list 135 permit ip any
any u otro permiso.
Pg. 113
NAT
Pregunta 50
C Cisco define 4 tipos diferentes de direcciones en NAT:

* Direccin Local Interna (local inside): la direccin IP privada asignada a
un nodo en la red interna.
* Direccin Global Interna (global inside): Una direccin IP pblica que
representa una o ms direcciones IP locales internas en la red pblica.
* Direccin Local Externa (local outside): La direccin IP privada que
representa a un nodo externo, tal como la conocen los nodos en la red de
origen.
* Direccin Global Externa (global outside): Direccin IP pblica asignada
a un nodo de la red externa.
Pregunta 51
C NAT overloading tambin es conocido como PAT (Port Address

Translation). Utiliza la informacin de los puertos de capa de transporte
para crear entradas dinmicas de NAT para mltiples direcciones IP
internas sobre una misma direccin IP pblica.
Tambin se suelen referir a esta tcnica como traduccin de una a muchas
direcciones de red.
Pregunta 52
B La sentencia de configuracin del ejemplo es la que define un pool de

direcciones IP cuando se implementa NAT dinmico.
Pregunta 53
A NAT siempre se implementa en el dispositivo de borde que separa la

red privada de la red pblica (Internet en este caso). Puede ser en un
router u otro dispositivo.
Pregunta 54
B y C Los comandos que se muestran son los que definen las interfaces
outside e inside que estn afectadas al proceso de traduccin de
direcciones.
En este caso, la interfaz serial es la outside (conecta a la red pblica), y la
FastEthernet la inside ya que es la que conecta con la red LAN privada.
Pregunta 55
A Si bien se trata de una configuracin compleja, con DHCP y NAT, lo

que est faltando en realidad es lo ms bsico: asignar una direccin IP a
la interfaz.
Pregunta 56
Pg. 114
F Una direccin inside global address o direccin global interior, es

una direccin IP pblica que representa una o ms direcciones IP locales
(privadas) en la red pblica.

En este caso es una direccin IP de las que componen el conjunto de
direcciones definido por el comando ip nat pool.
Pregunta 57
C La configuracin que se muestra corresponde a una implementacin

de NAT overload o PAT.
Teniendo en cuenta esta configuracin, la opcin C es la nica verdadera.
El comando ip nat inside asocia la lista de acceso 1 con la direccin de la
interfaz Serial 0/0/0 para hacer PAT.
Seguridad de la red
Pregunta 58
C IPsec es un framework de trabajo para asegurar comunicaciones IP

end-to-end que utiliza protocolos de seguridad estndar y abiertos tales
como MD5, 3DES, AES, etc.
Pregunta 59
D y E Las interfaces de terminal virtual pueden ser aseguradas de varias

formas diferentes. Entre ellas 2 que se mencionan entre las opciones
propuestas: habilitar el requerimiento de clave de acceso (est habilitado
por defecto) y asignar una clave de acceso; y asociar una lista de acceso
utilizando el comando access-class.
El comando ip access-group asocia la ACL a interfaces de datos, pero no
a las interfaces de terminal virtual.
Preguntan 60
D El comando transport input ssh define que el nico protocolo habilitado

para recibir solicitudes de conexin a travs de los puertos de interfaz
virtual es SSH.
El comando password que se muestra indica que la clave ha sido
encriptada utilizando el service password-encryption (MD5, referencia 7).
Pregunta 61
Access-group
Acceso remoto a la consola del dispositivo
Clave de consola
Acceso a travs del puerto consola
Enable secret
Acceso a las redes o recursos conectados
Autenticacin CHAP
Passwords visible en texto plano
Clave de VTY
Acceso al modo privilegiado
Service password-encryption
Pg. 115
Pregunta 62
B En el archivo de configuracin algunas claves se guardan en forma

cifrada (encriptada); sin embargo, la mayora de las claves (acceso por
consola, autenticacin de protocolos de enrutamiento, etc.) se almacenan
en texto plano. Para encriptar esas claves guardadas en texto plano se
puede activar el servicio de encriptacin de claves (service password.
Como resultado la clave ser reemplazada por una cadena alfanumrica
(utilizando MD5) precedida por el nmero 7.
Pregunta 63
E El comando service password-encryption encriptar todas las claves

en texto plano que se encuentran en el archivo de configuracin al
momento de ingresar el comando, y todas las claves de texto plano que se
ingresen a partir de ese momento y mientras el servicio siga activo.
Pregunta 64
C Para cubrir el requerimiento es necesario, por un lado, activar el

servicio de cifrado de claves (service password-encryption), lo que
descarta la opcin B; y por otro, habilitar una nica lnea de terminal virtual
(line vty 1).
Atencin.
Una pregunta de este tipo exige que consideremos la
metodologa para responder. Hay que leer como una unidad
la consigna y la respuesta posible.
No se pregunta cul es una manera, o la mejor forma de
hacer una tarea; sino cul de las opciones que se muestran
como posibles cumplen la consigna.
Pregunta 65
D BPDU Guard es un feature de seguridad que complementa la

operacin de PortFast. Sin l, cuando un puerto con PortFast configurado
cuando recibe un BPDU vuelve a la operacin de STP estndar, pasa al
estado de bloqueado, negocia el estado del puerto y luego define segn la
lgica del algoritmo de STP.
Si se trata de un puerto de acceso, ese puerto no debiera recibir BPDUs,
por lo tanto BPDU Guard permite asegurar que si ocurre ese evento el
puerto quede inhabilitado y genere un alerta.
Pregunta 66
Pg. 116
B La keyword sticky habilita el feature de aprendizaje dinmico de las

direcciones MAC de origen que ingresan a travs de un puerto. Esas
direcciones aprendidas dinmicamente se convierten automticamente en
un comando de asociacin esttica en el archivo de configuracin activo.
Por este motivo, si el dispositivo es reiniciado el aprendizaje se inicia de
nuevo, a menos que antes de reiniciarlo se haya guardado la configuracin
activa en la NVRAM (copy running-config startup-config).
Pregunta 67
C La introduccin de un hub en la capa de acceso de la red lo que

permitira es que varias terminales puedan conectarse a la red a travs de
un nico puerto del switch. Para evitar esta posibilidad un recurso es
limitar la cantidad de direcciones MAC que pueden ser asociadas a un
puerto.
En consecuencia, la solucin es limitar la cantidad de direcciones MAC
que pueden asociarse a un puerto a 1. Para esto, el puerto debe ser ante
todo un puerto de acceso, y a continuacin se utiliza port-security para
limitar la cantidad de direcciones MAC que se asociarn.
Pregunta 68
C y D En primer lugar, show running-config permite verificar cualquier

cambio de configuracin realizado, incluyendo el que se menciona.
Adems, show port-security interface permite verificar las interfaces en las
que se ha configurado la prestacin.
Pregunta 69
B y D En funcin de la configuracin que se muestra sabemos que esa

interfaz admitir solamente una direccin MAC de origen, que en este caso
ser la del host A.
Como consecuencia de la operacin regular del switch, esa direccin MAC
de origen se incorporar en la tabla de direcciones MAC, que es la que
utiliza el switch para definir a travs de qu puerto reenva el trfico que
recibe segn su direccin MAC de destino.
Pg. 117
Pg. 118
ndice
Introduccin ............................................................................................................... 3
El Autor ..................................................................................................... 4
Contenidos ................................................................................................................ 5
2.6. Servicios IP ........................................................................................................ 7
A. Mapa conceptual................................................................................................... 7
B. Notas previas ...................................................................................................... 11
Para ganar tiempo .................................................................................. 12
Mtodo rpido de clculo ........................................................................ 12
Aplicacin al clculo de la mscara de wildcard ..................................... 13
C. Desarrollo temtico ............................................................................................. 15
Asignacin automtica de direcciones IP ...................................................... 15
Dynamic Host Configuration Protocol DHCPv4 ................................... 16
Configuracin de servicios DHCP en dispositivos IOS .......................... 18
DHCP Relay ............................................................................................ 19
Configuracin de un router como DHCP relay ....................................... 20
Configuracin de IOS como cliente DHCP ............................................. 21
Internet Control Message Protocol (ICMP) ................................................... 21
Domain Name System - DNS ........................................................................ 23
Configuracin del servicio de nombres en Cisco IOS ............................ 25
Listas de Control de Acceso .......................................................................... 26
Reglas de funcionamiento de las ACL .................................................... 27
Tipos de listas de acceso IP ................................................................... 28
El ID de las listas de acceso numeradas ................................................ 28
La mscara de wildcard .......................................................................... 29
Cmo funciona la mscara de wildcard? .............................................. 30
Algunas reglas prcticas de clculo........................................................ 31
Casos especiales .................................................................................... 32
Configuracin de las listas de acceso .................................................... 32
Edicin de listas de acceso ..................................................................... 34
Aplicacin de filtros de trfico a lneas virtuales ..................................... 35
Monitoreo de las listas de acceso. .......................................................... 36
Tips de aplicacin ................................................................................... 37
Un ejemplo de configuracin de ACL ..................................................... 38
Network Address Translation (NAT) .............................................................. 39
Terminologa NAT ................................................................................... 40
Configuracin de NAT: ............................................................................ 42
Comandos adicionales ............................................................................ 43
Comandos de monitoreo de NAT ........................................................... 43
Seguridad de la red ....................................................................................... 44
Requerimientos de seguridad bsicos .................................................... 44
Cisco Network Foundation Protection .................................................... 45
Seguridad de dispositivos Cisco IOS ............................................................ 45
Configuracin de claves de acceso ........................................................ 46
Implementacin de SSH ......................................................................... 48
Para verificar la configuracin de SSH ................................................... 49
Administracin de mltiples sesiones de terminal virtual ....................... 49
Implementacin de un registro de eventos ............................................. 50
Configuracin del cliente NTP ................................................................ 52
Simple Network Management Protocol (SNMP) ........................................... 53
Configuracin de SNMP v2c ................................................................... 54
NetFlow.......................................................................................................... 55
Configuracin de NetFlow ....................................................................... 56
Pg. 119
D. Prcticas de laboratorio ...................................................................................... 59

Topologa bsica de los ejercicios de prctica ....................................... 59
Laboratorio 1. Configuracin de NAT ............................................................ 61
Premisa ................................................................................................... 61
Configuraciones finales del Laboratorio 1 .............................................. 61
Laboratorio 2. Diseo y configuracin de listas de acceso y NAT ................ 62
Premisa ................................................................................................... 62
Configuraciones finales del Laboratorio 2 .............................................. 62
E. Sntesis ............................................................................................................... 65
F. Cuestionario de repaso ....................................................................................... 73
DHCP ...................................................................................................... 73
ICMP ....................................................................................................... 75
SNMP ...................................................................................................... 76
Syslog ..................................................................................................... 77
NetFlow ................................................................................................... 77
ACLs - Conceptos Generales ................................................................. 77
Configuracin de listas de acceso .......................................................... 82
Comandos de monitoreo de listas de acceso ......................................... 94
NAT ......................................................................................................... 95
Seguridad de la red ............................................................................... 100
G. Respuestas del cuestionario de repaso ........................................................... 105
DHCP .................................................................................................... 105
ICMP ..................................................................................................... 105
SNMP .................................................................................................... 106
Syslog ................................................................................................... 106
NetFlow ................................................................................................. 106
ACLs - Conceptos Generales ............................................................... 106
Configuracin de listas de acceso ........................................................ 109
Comandos de monitoreo de listas de acceso ....................................... 113
NAT ....................................................................................................... 114
Seguridad de la red ............................................................................... 115
ndice ..................................................................................................................... 119
Pg. 120
Pg. 121
Pg. 122

Servicios IP, Versión 5.1

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Servicios IP, Versión 5.1

Încărcat de

Drepturi de autor:

Formate disponibile

Biblioteca CCNA

Gua de Preparacin para el

Oscar Antonio Gerometta

Todos los derechos reservados.

APUNTE RPIDO CCNA VERSIN 5.0

APUNTE RPIDO CCNA VERSIN 5.0

Este cuadernillo desarrolla de modo ntegro el eje de Servicios IP que concentro

Blog Mis Libros de Networking

Correo electrnico: libros.networking@gmail.com

APUNTE RPIDO CCNA VERSIN 5.0

APUNTE RPIDO CCNA VERSIN 5.0

APUNTE RPIDO CCNA VERSIN 5.0

DHCPv4 (Dynamic Host Configuration Protocol versin 4).

Configuracin del servicio en IOS.

Configuracin de DHCP Relay en IOS.

Configuracin de DHCP client en IOS.

ICMP (Internet Control Message Protocol).

DNS (Domain Name System).

Estructura de los nombres.

Estructura jerrquica de dominios.

Configuracin del servicio de nombre en IOS.

Listas de control de acceso.

APUNTE RPIDO CCNA VERSIN 5.0

Tipos de listas de acceso.

ID de las listas de acceso numeradas.

Reglas prcticas de clculo de la mscara de wildcard.

Listas de acceso en IOS.

Configuracin de listas de acceso.

Edicin de listas de acceso.

Aplicacin de listas de acceso a lneas virtuales.

Monitoreo de listas de acceso.

NAT (Network Address Translation).

Configuracin de NAT en IOS.

Cisco Network Foundation Protection.

APUNTE RPIDO CCNA VERSIN 5.0

Seguridad en dispositivos Cisco IOS.

Configuracin de claves de acceso.

Administracin de mltiples sesiones de terminal virtual.

Configuracin de un cliente NTP.

SNMP (Simple Network Management Protocol).

Tipos de mensajes SNMP.

Configuracin de SNMP v2c.

APUNTE RPIDO CCNA VERSIN 5.0

APUNTE RPIDO CCNA VERSIN 5.0

Listas de control de acceso.

En lo que se refiere al tema de las listas de control de acceso, y particularmente el

Es importante tener claros los tips de configuracin al momento de tener

Es importante tener claro el concepto de filtrado de trfico entrante o

APUNTE RPIDO CCNA VERSIN 5.0

Una clave indudable de la seccin listas de acceso es la

Para ganar tiempo

Mtodo rpido de clculo

APUNTE RPIDO CCNA VERSIN 5.0

En consecuencia, un grupo de IDs puede ser identificado por un patrn comn de

1. La cantidad de IDs que integran el grupo, es decir el tamao del

Aplicacin al clculo de la mscara de wildcard

La cantidad de IDs que integran el grupo, es decir el tamao del

El valor decimal del primer ID del grupo, debe ser un mltiplo de la

Si una de las dos condiciones no se cumple, no se puede

Los casos que se presentan en el examen de certificacin,

APUNTE RPIDO CCNA VERSIN 5.0

Hechas estas consideraciones, vamos al desarrollo del tema.

APUNTE RPIDO CCNA VERSIN 5.0