Divisin de Ingeniera de Sistemas y Automtica Departamento de Ingeniera

CURSO PRCTICO DE REDES

PRCTICA 4: Conexin de una red local a Internet mediante ADSL
Objetivos Conocimiento del problema y diseo de las configuraciones de los Routers ADSL Configuracin de un router ADSL para acceso a Internet mediante NAT. Configuracin DHCP en el router ADSL Configuracin de un router ADSL para activar un servidor HTTP y FTP mediante redireccin de puertos NAPT. Instalacin y configuracin de un servidor Web Apache v2.0 con PHP4.2 (Win32) Instalacin y configuracin de un servidor FTP sobre Win32 Conexin de los Routers y pruebas de funcionamiento.

Materiales 1 Router ADSL Nokia D50e Cables UTP con conectores RJ45 1 Switch 10/100 1 Ordenador Personal con emulacin de terminal y conexin RS-232 1 Lnea ADSL sobre RDSI Software Apache v1.3, PHPv4.2, FTPServU.

Desarrollo de la prctica 1) Conexio nado del router ADSL a la red ATM. Creacin y conexionado de un red local privada mediante el switch conectado al router ADSL. 2) Programacin del router Nokia D50e. Configuracin del mismo utilizando emulacin de terminal en un PC. Se discutirn tambin la equivalencia con el router 3COM 812. 3) Pruebas de conexionado: pruebas de acceso desde la red pblica, pruebas de acceso desde la red local. 4) Instalacin y configuracin del un servidor Web Apache y un servidor FTP en dos equipos de la red privada. Pruebas de acceso desde Internet al servidor Web y FTP

Pgina 1 de 16

Divisin de Ingeniera de Sistemas y Automtica Departamento de Ingeniera

1. Conexin del router

Se proceder a configurar la red descrita en la figura 2. La red local (Instituto) se implementar mediante un Switch al cual conectaremos 4 PCs y el router Nokia D 50e mediante una de los conectores 10BaseT (figura 1). Conectaremos tambin el router Nokia D50e mediante la boca ADSL al splitter. Las direcciones IP de los PCs de la red local se configurarn dinmicamente mediante el servidor DHCP del propio router, excepto los dos equipos que actuarn como servidores (Web, FTP) a los que asignaremos una IP fija (192.168.1.2) (192.168.1.3) respectivamente. La segunda red (Elche) simular la red Infocampus y la imp lementaremos utilizando el rack de conmutadores presentes en el aula.

Consola RS232 (CLI)

Puertos RJ45 10BaseT

Puerto ADSL

Figura 1 Router ADSL Nokia D50e

Pgina 2 de 16

Divisin de Ingeniera de Sistemas y Automtica Departamento de Ingeniera

Figura 2 Esquema de la red a implementar

Pgina 3 de 16

Divisin de Ingeniera de Sistemas y Automtica Departamento de Ingeniera

2. Configuracin del router ADSL

En este apartado describiremos los comandos de configuracin tanto del router utilizado Nokia D50e, como del router 3COM812. Para la configuracin utilizaremos un PC conectado por puerto serie a la entrada consola del router. (Se necesita el cable conversor DB-9 RJ45). Utilizaremos el programa de emulacin de terminal HyperTerminal de Windows. Tareas: 1) Conectar el PC al router mediante el cable serie RS-232. 2) Ejecutar el programa Hypertermina l en Windows. a) Pulsar: Inicio / Programas / Accesorios / Hyperterminal b) Aparecer una ventana, buscaremos el icono Hyperterminal.exe y lo pulsaremos. c) Crear una conexin con nombre: Nokia en el puerto Com1 d) Configurar la conexin: 9600 bps, 8 bits de datos, Sin Paridad, 1 bit de parada, XON/XOFF e) En la ventana del terminal pulsar Intro. El router debera contestar mostrando un prompt con su nombre A continuacin se describen los comandos de configuracin tanto del router Nokia D50e como del router 3COM812. Nota: el router dispone de un servidor Web para administracin mediante mens grficos. Basta con acceder mediante un cliente Web a la direccin IP del equipo Desde la red local interna suele ve nir preconfigurada la direccin 192.168.200.254 pero puede variar segn la configuracin del equipo. En todo caso para la configuracin inicial es conveniente utilizar la consola para conocer estos detalles

Notas especficas del router 3COM 812 Podemos recuperar la configuracin por defecto con el comando delete configuration Para almacenar los cambios en memoria Flash debemos ejecutar el comando: save all

Pgina 4 de 16

Divisin de Ingeniera de Sistemas y Automtica Departamento de Ingeniera

CONFIGURACIN ROUTER ADSL NOKIA D50E (CLI)

Pgina 5 de 16

Divisin de Ingeniera de Sistemas y Automtica Departamento de Ingeniera

CONFIGURACIN ROUTER ADSL 3COM 812 (CLI)

Conexin mediante el Puerto serie CLI OCR-DSL> Password: Si est configurado dicho control, nos puede pedir un password para acceder en modo privilegiado y poder configurar el router Al acceder a travs de telnet nos solicitar nombre de usuario y password. El administrador suele estar configurado como root o adminttd El password depende del equipo, pero el valor por defecto de 3COM es !root o adminttd OCR-DSL>show configuration Comando global para mostrar la configuracin actual. El comando show permite mostrar los detalles mediante parmetros especficos. Antes de cambiar ningn parmetro apuntaremos los valores preconfigurados por el proveedor. Datos que no debemos cambiar nunca: VCI, VPI, IP interfaz WAN, tipo de encapsulado, parmetros de autentificacin

Configuracin de la informacin del equipo y control de acceso OCR-DSL>set system name "instituto" OCR-DSL>set system location "alicante" OCR-DSL>set system contact "jc" OCR-DSL>set command login_required yes OCR-DSL>set command password password OCR-DSL>add snmp community public address 0.0.0.0 access RW OCR-DSL>enable security_option remote_user administration OCR-DSL>add user "root" password "!root" Configuracin de la interfaz Ethernet Local (1) OCR-DSL> list ip networks OCR-DSL> disable ip network test OCR-DSL> delete ip network test OCR-DSL>add ip network test interface eth:1 address 192.168.1.1/C frame ethernet_ii enable no Obtiene los redes configuradas Si ya existe la red test la desactiva para poder borrarla. Informacin de identificacin del router y del administrador. Es informacin opcional

Control de acceso para administrar el equipo a travs de la consola

Permite la administracin mediante SNMP desde cualquier IP (0.0.0.0). Convendra restringirlo a un mquina de la red interna Permite la administracin mediante Telnet. Configura una cuenta de administrador para el comando telnet

(2)

Crearemos una nueva configuracin de red IP. Nota: si la IP existente fuera correcta no es necesaria borrarla y crearla de nuevo bastar con desactivarla para poder configurarla.

Pgina 6 de 16

Divisin de Ingeniera de Sistemas y Automtica Departamento de Ingeniera

OCR-DSL>set dhcp mode server OCR-DSL>set dhcp server start 192.168.1.4 end 192.168.1.40 router 192.168.1.1 dnsl 192.168.1.1 dns2 0.0.0.0 wins1 0.0.0. wins2 0.0.0.0 mask 255.255.255.0 OCR-DSL> list dns host OCR-DSL>add dns host <nombre_servidor_dns> addr 192.168.1.1 OCR-DSL>enable dns OCR-DSL>list tftp clients OCR-DSL> add tftp client 0.0.0.0

Configuracin DHCP Dir inicial: 192.168.1.4 Dir. Final: 192.168.1.40 Gateway: 192.168.1.1 (router 3COM) DNS: 192.168.1.1 (router 3COM) Datos actuales. Podemos borrarlos con delete dns host name Configuracin del DNS. Conviene dejar configurado el indicado por el proveedor de la lnea ADSL. (podemos utilizar el de la empresa 3COM ocrdsl-3com.com) Visualiza las IPs permitidas para clientes TFPT Activa servidor TFTP para transferencia de ficheros al router desde cualquier IP. Esta opcin es poco recomendable, conviene restringir el acceso a una nica IP privada. Para borrar un permiso de conexin: delete tfpt client <addres> Activa el enrutamiento IP Activa la red IP

OCR-DSL>set ip ripv2 OCR-DSL>enable OCR-DSL>enable OCR-DSL>enable

network test routing ip network test ip forwarding ip RIP

Configuracin de la interfaz WAN ATM Estos parmetros no deberemos tocarlos ya que los fija el proveedor de la lnea ADSL. El canal virtual VC almacena la informacin de configuracin del enlace ATM con la red. Segn el router podemos disponer de varios aunque lo normal es disponer de un solo Enlace (VC) Solamente activaremos el protocolo IP (IPX, usado por versiones de windows antiguas, y la funcin de bridge utilizada para interconectar redes corporativas no las activaremos) OCR-DSL> list vcs Da un listado de los VCs configurados con su nombre OCR-DSL> show vc name Muestra la configuracin actual add vc name crea uno nuevo OCR-DSL> disable vc name Desactiva los servicios del VC para poder OCR-DSL>set vc name ip disable ipx configurarlos disable bridging disable OCR-DSL>set vc name network_service Selecciona el encapsulado: ppp PPP: permite autentificacin y obtener la dir IP dinmicamente RFC1483: no tiene autentificacin, gestin de IP esttica RFC1483 Encapsulada: permite configurar el equipo como un puente. OCR-DSL> set vc name send_name Datos de la cuenta con el proveedor usuario send_password clave OCR-DSL>set vc name atm vpi 0 vci 0 Parmetros ATM category_of_service unspecified pcr 0 OCR-DSL>set vc name Configuracin IP del enlace ATM remote_ip_address 0.0.0.0/C Dir IP WAN remota (router de Telefnica o de la OCR-DSL>set vc name local_ip_address red corporativa remota) automtica (0.0.0.0) 0.0.0.0 Dir IP WAN local (IP pblica de nuestro router) OCR-DSL>set vc name ip_routing automtica (0.0.0.0) listen rip ripv2 Activa el enrutamiento de paquetes con la red OCR-DSL>set vc name ip enable LAN

Pgina 7 de 16

Divisin de Ingeniera de Sistemas y Automtica Departamento de Ingeniera

Configuracin NAT: intercambio de direcciones IP privadas y redireccin de puertos (NAPT) OCR-DSL>set vc name nat enable OCR-DSL>set vc name nat_default_address 192.168.100.2 OCR-DSL>add nat tcp vc name public_port 80 private_address 192.168.100.2 private_port 80 OCR-DSL>add nat tcp vc name public_port 21 private_address 192.168.100.3 private_port 21 OCR-DSL>add nat tcp vc name public_port 8080 private_address 192.168.100.1 private_port 80 OCR-DSL>enable vc name Activa NAT Redireccin de todos los puertos por defecto Redirecciona el puerto 80 (HTTP)

Redirecciona el puerto 21 (FTP)

Redirecciona el puerto 8080 al servidor web del router para administracin.

Activa de nuevo el VC

OCR-DSL> save all OCR-DSL> quit PROGRAMACIN AVANZADA DE FILTROS

Almacena la configuracin en Flash Desconecta

Es conveniente establecer al menos el filtrado de paquetes dirigidos a los puertos de administracin del router: telnet (23), Web (8080), de forma que solamente sean accesibles desde la red privada. El router 3COM812 permite establecer filtros para el trfico de entrad y de salida tanto para direcciones IP como protocolos y servicios (puertos) especficos. Permite as miso establecer filtrado mediante sesiones para usuarios especficos. Los filtros se especifican en un fichero de texto que ser descargado mediante TFTP al router. Formato:

<line #> <verb> <keyword> <operator> <value> line # Cada regla va numerada del 1-10. Adicionalmente la lnea 999 indica la regla por defecto (DENY) cuando se usa el verbo ACCEPT Verb valores posibles: ACCEPT Permite el paso del paquete si cumple la condicin. Se com bina en la ltima lnea con el verbo DENY para rechazar cualquier otro paquete REJECT No permite el paso del paquete si cumple la condicin. AND permite combiner lgicamente dos reglas consecutivas Keyword Protocolo, descripcin, campos. Para la clase IP: src-addr, dst-addr, tcp-src-port, tcp-dst-port, udp-src-port, udp-dst-port, protocol, generic Operator Relacin entre la clave y su valor: = Equal != Not equal > Greater than < Less than >= Greater or Equal <= Less or Equal => Generic value valor que debe tomar la clave.

Pgina 8 de 16

Divisin de Ingeniera de Sistemas y Automtica Departamento de Ingeniera

Configuracin de filtros: fichero filtro.flt #filter IP: 1 REJECT tcp_dst_port = 23; 2 REJECT tcp_dst_port = 8080; 3 REJECT udp_dst_port = 69; Comandos CLI en el router OCR-DSL> add TFTP client <IP address> Habilita la direccin IP del cliente (PC) desde el que transferiremos el fichero Cabecera obligatoria Indica el tipo de filtrado (IP) Rechaza conexiones al puerto Telnet Rechaza conexiones al puerto WEB de administracin Rechaza conexiones al puerto TFTP

Comandos en el PC tftp 192.168.1.1 put filtro.flt Comando a ejecutar en el PC donde hemos creado el filtro para su transferencia al router (192.168.1.1)

Comandos CLI en el router OCR-DSL> add filter filtro.flt

Activa el nuevo filtro asignndole un nombre. Utilizar: delete filter <name> para borrar un filtro previo con el mismo nombre. Antes de activar el filtro debemos verificar su sintaxis. Si hay algn error se indicar en la consola. El siguiente comando muestra el contenido del filtro: show filter <name>

OCR-DSL> verify filter filtro.flt

OCR-DSL> set interface atm:1 filter_access off OCR-DSL> set interface atm:1 input_filter filtro.flt OCR-DSL> set interface atm:1 filter_access on

Desactiva el filtro actual

Carga el nuevo filtro el la conexin ADSL en el trfico de entrada Activa el filtro. Para borrar un filtro:
set interface <interface name> input_filter ""

Pgina 9 de 16

Divisin de Ingeniera de Sistemas y Automtica Departamento de Ingeniera

3. Pruebas de acceso al router

Para comprobar que el router estn funcionado correctamente nos conectaremos desde un PC conectado al mismo switch que el router mediante el protocolo Telnet. (Nos permite el acceso a la configuracin del router cuando las direcciones IP estn correctamente configuradas). Haremos la misma prueba con un navedador web. Tareas: 1) Ejecutar en un PC conectado al concentrador el comando telnet. a. Inicio/ Ejecutar / telnet b. Aparece una ventana en la que seleccionamos el men Conectar /Sistema Remoto c. Seleccionamos la direccin IP del host: 192.100.1.1 ( router ADSL, direccin privada) 213.x.x.x (router ADSL, direccin pblica) d. Puerto Telnet, tipo de terminal VT100. 2) Nos solicitar el nombre y password. 3) En la consola podemos ejecutar cualquier comando de configuracin. Comprobaremos al configuracin actual con el comando: > show configuration Pruebas de acceso desde la red local a Internet 1. Comprobaremos el correcto funcionamiento del router ADSL estableciendo conexiones HTTP desde los PCs de la red local privada (Instituto) con servidores de Internet. 2. Evaluaremos la ruta entre las dos redes implementadas mediante el comando tracert 3. Comprobaremos la conexin desde la red Internet a la direccin pblica de router mediante el comando telnet. 4. Activaremos la redireccin de puertos NAPT para los servicios HTTP (80) y FTP (21) a las estaciones que actuarn de servidor en la red interna. Instalaremos el servidor Apache y FTP tal como se describe en el punto 4. 5. Pruebas de acceso desde Internet al servidor web y ftp 6. Activaremos la redireccin de puertos NAPT para la gestin web del router al puerto 8080 7. Estableceremos una redireccin completa de todos los puertos a un equipo de la red local privada.

Pgina 10 de 16

Divisin de Ingeniera de Sistemas y Automtica Departamento de Ingeniera

4. Instalacin de un servidor Web y FTP

A) Instalacin del servidor Web Apache 1.3 en Windows (Win32) 1. Descargaremos en un directorio temporal el programa Apache 1.3.26 para Win32 desde la pgina web del curso. (Nota: en la pgina web se encuentra la versin Apache 2 pero existen ciertas incompatibilidades con el mdulo PHP4.2 que limitan la seguridad, por lo que se recomienda esperar a su actualizacin). 2. Ejecutaremos el programa y procederemos a la instalacin completa. En este proceso nos pedir el E- mail del administrador y nos dar la opcin de ejecutar el programa como un servicio (ejecucin automtica) y ejecucin manual. Al tratarse de una prueba optaremos por la segunda opcin. Como directorio de instalacin usaremos c:\ en lugar del indicado por defecto.

3. Accediendo al men Inicio/Programas habr aparecido una nueva entrada Apache Http Server con varias opciones. Arrancaremos el servidor con la opcin Start server on console. Comprobaremos el funcionamiento del servidor accediendo desde un cliente Web (Nota: identificar previamente la direccin IP del servidor). La pgina mostrada de ejemplo podemos modificarla (est ubicada en el directorio c:\Apache \htdocs, fichero index.html.es), podemos tambin crear una nueva pgina en este directorio con nombre index.html. Nota: si hemos instalado Apache como servicio aparecer una opcin adicional en el men de inicio de Apache (Control Apache Server) con tres opciones (Restart, Start, Stop) para arrancar o para el servidor.

B) Instalacin del mdulo PHP en el servidor Apache 1.3 (Win32) 1. Descargaremos en un directorio temporal el programa PHP 4.2.3 para Win32 desde la pgina web del curso. 2. Descomprimiremos el fichero del programa en el directorio c:\ . Habr creado una carpeta llamada php-4.3.2-Win32. Renombraremos dicha carpeta asignndolo el nombre corto php , esto simplificar la configuracin del servidor apache.

Pgina 11 de 16

Divisin de Ingeniera de Sistemas y Automtica Departamento de Ingeniera

3. Copiaremos el fichero php.ini-dist al directorio de Windows y lo renombraremos a php.ini. Copiaremos tambin al mismo directorio el fichero php4ts.dll. Nota: el directorio de Windows es tpicamente: c:\windows para Windows 95/98 c:\winnt o c:\winnt40 para NT/2000/XP 4. Editaremos y grabaremos el fichero php.ini que hemos copiado cambiando las siguientes sentencias (se encuentran en la mitad del fichero). Se marcan en negrita las lneas modificadas. En la opcin include_path basta con quitar el ; que la precede: Fichero php.ini ;;;;;;;;;;;;;;;;;;;;;;;;; ; Paths and Directories ; ;;;;;;;;;;;;;;;;;;;;;;;;; ; UNIX: "/path1:/path2" ;include_path = ".:/php/includes" ; ; Windows: "\path1;\path2" include_path = ".;c:\php\includes" ; The root of the PHP pages, used only if nonempty. ; if PHP was not compiled with FORCE_REDIRECT, you SHOULD set doc_root ; if you are running php as a CGI under any web server (other than IIS) ; see documentation for security issues. The alternate is to use the ; cgi.force_redirect configuration below doc_root =c:\Apache \htdocs ; The directory under which PHP opens the script using /~usernamem ; used only if nonempty. user_dir = ; Directory in which the loadable extensions (modules) reside. extension_dir = c:\php

Pgina 12 de 16

Divisin de Ingeniera de Sistemas y Automtica Departamento de Ingeniera

5. Editaremos y grabaremos el fichero httpd.conf. Para ello accederemos a la opcin del men de inicio Configure Apache Server/Edit httpd.conf. Nos aparecer un editor de texto (seleccionar el bloc de notas como editor) con el fichero de configuracin de apache. En este fichero se encuentran todas las directivas de configuracin (el fichero est ubicado en el directorio c:\Apache \conf ). Se marcan en negrita las lneas modificadas o aadidas: Fichero httpd.conf .. #AddModule mod_unique_id.c AddModule mod_so.c AddModule mod_setenvif.c LoadModule php4_module c:/php/sapi/php4apache.dll AddModule mod_php4.c AddType application/x-httpd-php .php . . <IfModule mod_dir.c> DirectoryIndex index.php index.html </IfModule>

Pgina 13 de 16

Divisin de Ingeniera de Sistemas y Automtica Departamento de Ingeniera

Otras opciones que podemos modificar para personalizar nuestro servidor son (en nuestro caso dejaremos su valor por defecto): Fichero httpd.conf # directorio raz servido por Apache DocumentRoot "C:/Apache/htdocs" # Control de acceso al directorio raiz <Directory "C:/Apache/htdocs"> AllowOverride None Order allow,deny Allow from all </Directory> # directorio para las pginas web de usuarios (~user) <IfModule mod_userdir.c> UserDir "C:/Apache/users/" </IfModule> <Directory "C:/Apache/users"> </Directory>

Grabaremos el fichero y pararemos y reiniciaremos el servidor Apache para que se activen los cambios. Crearemos el siguiente fichero index.php en el directorio c:\Apache \htdocs : Fichero index.php <?php echo "Bienvenido al servidor Apache ", $_SERVER["SERVER_NAME"], " con php"; phpinfo(); ?> 6. Comprobaremos el funcionamiento del servidor accediendo desde un cliente Web. Debera mostrarnos un mensaje de bienvenida as como la configuracin de PHP y las variables de entorno del servidor.

Pgina 14 de 16

Divisin de Ingeniera de Sistemas y Automtica Departamento de Ingeniera

C) Control de acceso al servidor Web 1. Vamos a restringir el acceso a nuestra pgina a usuarios identificados. Crearemos un ficheros de usuarios y su correspondiente password y un fichero de grupos de usuario. Ejecutaremos el siguiente comando en una ventana MSDOS:
C:\> c:\Apache\bin\htpasswd -c c:\Apache\usuarios prueba

Nos pedir el password y crear el fichero indicado (el password aparece encriptado) Nota: la opcin -c solo se debe poner cuando creamos el primer usuario Crearemos un fichero de texto c:\Apache\grupos con el siguiente contenido: Fichero grupos umh: prueba

2. En el directorio donde estn las pginas web a proteger (c:\Apache \htdocs) crearemos el fichero .htaccess con el contenido siguiente: Fichero .htaccess AuthType Basic AuthName "Usuarios UMH autorizados" AuthUserFile c:\Apache\usuarios AuthGroupFile c:\Apache\grupos Require group umh

3. Editaremos de nuevo el fichero de configuracin httpd.conf cambiando la siguiente opcin. Una vez grabado reiniciaremos el servidor Apache. Fichero httpd.conf <Directory "C:/Apache/htdocs"> . AllowOverride All .. </Directory> De este modo para el acceso al directorio desde el cliente Web, solicitar el usuario y clave, y comprobar que pertenece al grupo umh.

Pgina 15 de 16

Divisin de Ingeniera de Sistemas y Automtica Departamento de Ingeniera

D) Instalacin del servido r FTP Vamos a mostrar la instalacin y configuracin del servidor FTP ServU. (en la pgina web tambin est disponible un servidor ms sencillo gratuito FreeFTP) 1. Como en las instalaciones anteriores comenzaremos con la descarga del programa desde la pgina web del curso en un directorio temporal. Ejecutaremos el programa de instalacin (ServUsetup.exe) siguiendo las instrucciones de instalacin. Al finalizar la instalacin nos permite ejecutar un ayudante para la configuracin. Utilizaremos dicho ayudante para realizar la configuracin bsica creando un dominio y un usuario de prueba. (esta configuracin es opcional y se puede cambiar posteriormente) 2. Accediendo al men Inicio/Programas habr aparecido una nueva entrada ServU FTP Server con varias opciones. Arrancaremos el servidor con la opcin ServU Administrator. Al arrancar nos indica que es una versin de evaluacin por 30 das. Para una instalacin permanente deberemos adquirir la licencia. La primera vez que se arranca (si no hemos ejecutado el ayudante en el punto 1) lanza un ayudante de configuracin automtica. La siguiente figura muestra la ventana principal de administracin del servidor

3. En la parte izquierda de la ventana disponemos un rbol que nos permite acceder rpidamente a la configuracin de los diferentes componentes. En la sesin prctica se describirn en detalle cada uno de ellos. Las etiquetas Settings y Users permiten la configuracin de los permisos y restricciones de acceso a los usuarios.

Pgina 16 de 16