Félix es el socio de María y no le gusta nada la Tecnología, es de la antigua escuela y cree que todo lo que no esté en papel carece de valor. No le gusta saber que toda la información está circulando por la red local y, aunque reconoce que agiliza el trabajo también supone un importante riesgo en cuanto a poner en juego la confidencialidad de la información. El caso es que María le ha convencido para reformar el sistema de trabajo pero él no hace más que buscar defectos en la nueva organización y defiende la necesidad de que cada trabajador de la empresa solo pueda acceder a los datos y documentos para los que está autorizado, algo que ha visto que está comprometido con el trabajo en red.
Juan le explica que ese tipo de situaciones ya han sido resueltas y que los routers que van a utilizar son totalmente configurables y le asegura que la empresa ganará en seguridad y confidencialidad de los datos. BK Sistemas Informáticos es una empresa que cumple y hace cumplir la ley de protección de datos, como no podía ser de otro modo.
Los routers son dispositivos que operan en los niveles 1, 2, y 3 de la arquitectura OSI . La característica principal del router es que es capaz de comunicar redes que son totalmente diferentes a nivel 3, es decir, son capaces de comunicar dos redes cuyas direcciones IP sean totalmente diferentes y además encaminar los paquetes por la ruta más óptima en ese momento. Tienen otra característica que los hace muy útiles en redes de tipo LAN, permiten la comunicación de varias IP de tipo privado a través de una única dirección IP pública, por lo que permiten que varios usuarios utilicen una sola dirección de conexión a Internet, esto se conoce como enmascaramiento de las direcciones privadas (NAT).
Cuando Félix estudia el presupuesto que BK Sistemas Informáticos ha hecho para la instalación de la nueva red de ordenadores de su empresa con la creación de diferentes subredes, se pregunta el motivo por el que aparecen tantos dispositivos y algunos idénticos. No es que desconfíe de Juan, pero quiere conocer los detalles de la reforma y entender que el gasto que supone para la empresa está debidamente justificado.
Al comentarlo con María, esta le dice que no tiene dudas, y que tras informarse debidamente quiere crear una gran red local dividida en subredes y que además contemple la prevención de fallos y errores de cualquiera de los dispositivos, sin olvidar la seguridad informática de los datos. Ella tiene claro que salir a Internet desde cualquier puesto de la empresa es algo imprescindible para todos los empleados y eso implica cierto riesgo que solo pueden combatir con una adecuada configuración e instalación de la red.
En la actualidad se identifica con la palabra router a un dispositivo que es capaz de enlazarnos con Internet ( router-ADSL), aunque esta acepción no es estrictamente correcta. El dispositivo capaz de “engancharnos” a Internet es aquel capaz de modular y demodular la información para que pueda ser transmitida por el canal de comunicaciones (red telefónica), el MODEM. Para expresarnos correctamente diríamos que tenemos un router-modem cuando es router (es decir, tiene puertos LAN y WAN) y además es capaz de modular o demodular (se puede conectar directamente a la red telefónica).
Además, un router puede incluir la funcionalidad de un punto de acceso inalámbrico (AP), con lo que nuestro router sería un router-modem-punto de acceso. Los ISP nos instalan un router-ADSL con todas esta funcionalidades y nosotros lo llamamos router.
Un router básico tiene puertos de conexión LAN y un puerto de conexión WAN, además de un pulsador que permite devolver al router a su configuración de fábrica (reset).
Un router es un dispositivo capaz de encontrar la mejor ruta en una red. Es capaz de establecer el camino adecuado para que el paquete de información pueda pasar de una red a otra red.
En las redes LAN la función más recurrida es la de unirse a redes de forma colectiva, por ejemplo, una LAN a una WAN, o una red LAN a otra LAN y esta a una WAN.
Aunque no tengamos la intención de conectar nuestra red LAN a Internet, podemos utilizar el router como dispositivo para dividir nuestra red en diferentes dominios de difusión.
Alfonso Bonillo-Elab.Propia(Dominio público)
En la imagen anterior se puede ver como al introducir un router la red pasa de tener 3 dominios de colisión a tener 4, disminuimos el tamaño de los dominios de colisión, y como pasamos de tener un solo dominio de difusión a tener 2 dominios de difusión. Esto nos permite gestionar nuestra red como si fueran dos redes diferentes conectadas entre sí, con ello conseguiremos tener menos colisiones, y localizar los problemas será una tarea más sencilla.
Existen routers capaces de gestionar más de un tipo de dirección IP privada con lo que son capaces de dar servicio a dos redes LAN totalmente diferentes.
Alfonso Bonillo-Elab.Propia.(Dominio público)
En la imagen anterior se puede ver como el router tiene configurados los puertos de manera que los PC con dirección de red 192.168.1.0 y los que tienen dirección de red 10.0.0.0 acceden a Internet. Esta cualidad no la tienen todos los routers, solamente los de gama alta.
Los routers en las redes WAN tienen como principal función enrutar los paquetes en la capa 3 del modelo OSI, y proporcionar los estándares necesarios de conexión a nivel físico y enlace en una red WAN. Los protocolos con los que trabaja un router en una WAN difieren bastante de los protocolos con los que trabaja en una LAN. Mientras que una LAN los routers se comunican con otros dispositivos como ordenadores, hubs o conmutadores siguiendo el estándar Ethernet, en una red WAN se comunican básicamente con otros routers y los estándares seguidos son muy variados.
Los protocolos y estándares utilizados en la red WAN son diversos y determinan los tipos de conexiones que deben tener los routers empleados en dicha red.
Los routers utilizan el sistema operativo de internetworking (IOS) para ejecutar los archivos de configuración. Los archivos de configuración contienen las instrucciones y los parámetros que controlan el flujo del tráfico entrante y saliente de los routers, de esta forma, junto con los protocolos de enrutamiento, se puede determinar la ruta óptima para los paquetes.
Entre los ejemplos de protocolos de enrutamiento se pueden incluir:
Protocolo de Información de Enrutamiento (RIP).
Protocolo de enrutamiento de gateway interior (IGRP).
Protocolo de enrutamiento de gateway interior mejorado (EIGRP).
Primero la ruta libre más corta (OSPF) e ISIS.
BGP (Protocolo de puerta de enlace fronterizo) y EGP (Protocolo de puerta de enlace externo).
Los protocolos de enrutamiento permiten que los routers conectados creen un mapa de comunicaciones que permite que en cada momento se seleccione la mejor ruta, estos mapas forman parte de las tablas de enrutamiento que manejan cada uno de los routers.
En los routers, es el sistema operativo que gestiona su funcionamiento.
Laro explica a Jana las principales características del router que van a configurar para la red; conexión inalámbrica, varios puertos LAN, puerto WAN y configurable a través del puerto de consola. Después de buscar en la página Web del fabricante las principales características y los modos de configuración, a Jana le ha llamado la atención que hagan referencia al tipo de procesador y la memoria —¡Si parece que están vendiendo un ordenador en lugar de un simple router!
Laro explica que actualmente son muy avanzados y están preparados para alta disponibilidad con un funcionamiento continuo de 24 horas durante los siete días de la semana y para garantizar el permanente funcionamiento de la red sus componentes deben ser de primera calidad, algo que no se puede decir de todos los modelos.
Los componentes básicos de un router son prácticamente los mismos que los de un ordenador personal; CPU, memoria, buses, distintas interfaces de entrada/salida y fuente de alimentación.
CPU: Al igual que en los ordenadores personales, es un microprocesador que ejecuta las instrucciones del sistema operativo, la inicialización del sistema, funciones de enrutamiento y el control de las interfaces de red.
MEMORIA: La memoria está constituida por memoria RAM, flash , ROM y memoria NVRAM que son las responsables de la configuración del equipo. Veamos las diferencias entre unas y otras.
RAM: Esta memoria se utiliza principalmente para gestionar el almacenamiento de las tablas de enrutamiento y la configuración del router.
Flash: Almacena una imagen del software del sistema IOS. En el proceso de arranque, una copia del IOS se transfiere a la memoria RAM.
NVRAM: Es una memoria RAM no volátil. Se utiliza para guardar la configuración de inicio.
ROM: Se utiliza para almacenar el diagnóstico del hardware durante el arranque del router y para cargar el softwareIOS desde la memoria flash hasta la RAM.
BUS: Es el canal que comunica la CPU con los demás componentes del router y transporta los datos y las instrucciones de control.
INTERFACES: De todos los componentes internos, es el único que se puede ver externamente. Son el nexo de conexión del router con los demás dispositivos. Básicamente son tres:
LAN: Para conectar los dispositivos del lado de la red local.
WAN: Para conectar con otra red, la red extensa, Internet u otra red.
Consola: El puerto que se utiliza para acceder a la configuración del router vía línea de comandos.
FUENTE DE ALIMENTACION: Es la parte que se encarga de suministrar la energía eléctrica necesaria para el funcionamiento del router.
En la figura siguiente se pueden apreciar los distintos interfaces así como el interruptor y la conexión de la fuente de alimentación.
Al desembalar los dispositivos de comunicaciones para la nueva red, Jana se dedica a leer las prestaciones que aparecen en la caja de cada router. Cuando encuentra las posibilidades de configuración observa que permiten su uso desde línea de comandos utilizando SSH o Telnet. Ya tiene algo de experiencia con los conmutadores, pero un router parece más complejo, seguro que Laro sabe hacerlo.
Continúa sacando el contenido de cada caja y le llama mucho la atención el tipo de cables y conectores que incluye, solo los ha visto en fotografías al estudiar el tema en el Instituto y le hace mucha ilusión poder utilizarlos.
La configuración es un proceso para el que es necesario unir nuestro ordenador con el dispositivo utilizando los puertos LAN, auxiliares y de consola disponibles en el router y que constituyen las interfaces de administración más comunes. Como se vio anteriormente, de igual forma que en los conmutadores, los routers se pueden configurar vía web o vía línea de comandos. Es esta última la que entraña más dificultades por lo que nos centraremos en ella.
Cuando se opta por el acceso vía línea de comandos utilizando el puerto consola, la conexión física entre el ordenador y el routerse debe llevar a cabo con un cable que utilizará terminales de conexión adecuados a los interfaces de los que disponga el router. Para ello, en la actualidad existen varios adaptadores para los diferentes tipos de puertos, interfaces comunes son los RJ45, DB-9 y DB-25. Existen cables con extremos RJ45 – DB9 que se proporcionan junto con el router en el momento de la compra.
Pries(CC BY-SA)
El cable de la figura anterior se utiliza para conectar a un router por el puerto consola y acceder a la configuración del mismo, el extremo DB-9 se conecta al ordenador y el RJ45 al router.
En la actualidad existen muchos ordenadores que ya no incorporan el puerto DB-9, para solucionar esto se utilizan adaptadores USB-DB9 para poder utilizar este tipo de cable.
El esquema de cableado entre los interfaces DB-9 y RJ45 es el que se puede apreciar en la siguiente figura.
Alfonso Bonillo-Elab.Propia(Dominio público)
En el caso de que optemos por la configuración vía web, la conexión entre el ordenador y el router se realiza a través de uno del los puertos LAN y el cable utilizado es un cable de red Ethernet con interfaz RJ45.
Las tres formas más comunes para acceder al intérprete de comandos del IOS del router son por el puerto de consola, por el auxiliar o por un puerto LANcon una sesión Telnet. Si es la primera vez que se accede, es fácil acceder por el puerto consola. Para poder hacerlo, debemos utilizar un programa para emular el terminal puerto serie (Hyperterminal, TeraTerm, CRT, PuTTY, Reflection, minicom...) junto con un cable de administración como el descrito en el punto anterior.
La forma de conectar los dispositivos se hace mediante un puerto serie del ordenador al puerto consola del router con el cable de administración.
La configuración de PuTTY para poder acceder al puerto consola del router sería la siguiente.
Alfonso Bonillo-Elab.Propia(Dominio público)
En la imagen anterior se puede observar como aparece el nombre COM1 que identifica al puerto serie por el que se puede acceder y que la velocidad es 9600, es conveniente guardar con un nombre la configuración de acceso de cada modo, en este caso la hemos guardado con el nombre Acceso_Consola.
Al ejecutar la pantalla anterior nos llevaría a la línea de comandos donde nos pedirían un usuario y una contraseña para acceder a la línea de comandos del IOS del router.
Tomás Fernández Escudero-Elab.Propia.(Uso Educativo no comercial.)
Podemos acceder al router vía línea de comandos con los protocolos Telnet o SSH utilizando las interfaces LAN.
En la figura anterior se puede ver un ejemplo de uso de router junto a cablemodem, el PC se conecta al router a través de uno de los puertos LAN (cable amarillo), el router a su vez está conectado al cablemodem mediante el puerto WAN (cable gris), este tipo de instalación permite que varios usuarios utilicen una única conexión a Internet. En esta situación podemos acceder a la configuración del router mediante SSH o Telnet, desde la línea de comandos o utilizando una aplicación como PuTTY.
Si utilizamos la línea de comandos, tecleamos “telnet” en el prompt y nos aparece una pantalla como la de la imagen, en la que se nos requiere un nombre de usuario y una contraseña.
Una vez autentificados la pantalla de bienvenida puede variar con el fabricante del router pero en líneas generales es como en la figura siguiente.
Tomás Fernández Escudero.(Uso Educativo no comercial. )
En la imagen anterior se puede ver la secuencia de conexión con el usuario MSO (es un usuario por defecto en este fabricante) y la transformación del prompt de la línea de comandos, adoptando el nombre del router al que estamos intentando acceder (en este caso CG3100D). No todos los usuarios tienen privilegios para conectarse mediante línea de comandos y esto depende de cada fabricante, por lo que hay que consultar la documentación de cada dispositivo para conocer estos datos.
En la imagen siguiente se muestra el mismo proceso desde la shell de Linux empleando el protocolo SSH.
Tomás Fernández Escudero.(Uso Educativo no comercial.)
Dispositivo que nos proporciona acceso a Internet, lo proporcionan los ISP.
Son los caracteres que aparecen en la línea de comandos y que nos indican que podemos introducir órdenes para ser ejecutadas en la misma.
La conexión al router a través de una página web es la más fácil de llevar a cabo por lo intuitivo y amigable del interfaz con el usuario. Para utilizar esta opción es necesario conectar nuestro PC con el router, así como conocer su IP y disponer de un navegador en nuestro sistema.
En la barra de direcciones de nuestro navegador se escribe la IP del router y si existe la conexión, aparece un cuadro de texto donde se pide un usuario y una contraseña, tal como se muestra en la figura siguiente.
Tomás Fernández Escudero.(Uso educativo no comercial. )
Una vez introducidos el usuario y la contraseña, accedemos a la página de configuración del router.
Tomás Fernández Escudero.(Uso educativo no comercial. )
En la imagen anterior se aprecia cómo se puede navegar a través de menús (parte izquierda) para configurar los distintos parámetros del router. Cada fabricante ofrece una vista diferente pero en todos los casos se pueden configurar prácticamente los mismos parámetros.
El acceso vía web, como otros, se puede realizar de manera inalámbrica si el router soporta esta funcionalidad. Esto implica la conveniencia de configurar el usuario y la contraseña del administrador del router de manera que sean diferentes a los valores de fábrica ya que de lo contrario cualquier persona en el radio de acción del router podría acceder a su configuración.
Los usuarios y sus claves junto con sus privilegios, son parámetros de gran importancia en la configuración de un router. Además, también debemos conocer que muchos routers poseen otros usuarios con los que se puede acceder a su configuración, diferentes a los usuarios que se nombran en las instrucciones de manejo que acompañan al dispositivo cuando lo adquirimos. Un ejemplo de esto, lo constituyen los routers NETGEAR, que poseen los usuarios NETGEAR_SE, superuser, MSO, además del usuario admin (no en todas sus versiones de firmware).
Es curioso que el usuario MSO permite algunas funcionalidades que no tiene el usuario admin, con este usuario podemos habilitar la administración remota de nuestro enrutador y si no cambiamos la contraseña de este usuario estamos dejando una puerta abierta que hará más débil a nuestro sistema.
Software que actúa al nivel más bajo y gobierna el funcionamiento de dispositivos, generalmente grabado de fábrica. Software más cercano al hardware.
El router puede funcionar en diferentes modos de operación. En cada uno de ellos se tienen privilegios diferentes. Aunque podría cambiar de un fabricante a otro, en general nos podremos encontrar con:
Router> Estamos en el modo EXEC usuario. Router# Estamos en el modo EXEC privilegiado. Router(config)# Estamos en el modo de configuración global. Router(config-X)# Estamos en el modo de configuración específico X.
Al conectarnos al router lo hacemos en modo EXEC usuario, para pasar al modo privilegiado emplearemos el comando enable. En cualquiera de los dos modos podremos consultar parámetros, si queremos cambiar la configuración tendremos que pasar al modo de CONFIGURACION tecleando la orden config. Para acceder a la configuración de un parámetro específico del router teclearemos una orden relacionada con ese parámetro desde el modo de CONFIGURACION (interface para pasar al modo config-if y poder configurar parámetros de las interfaces de red).
El siguiente gráfico representa el paso de un modo a otro y las órdenes más comunes que se emplean para ello.
Tomás Fernández Escudero. (Uso educativo no comercial.)
En la imagen anterior se observa como a medida que cambiamos de modo de operación, cambia la apariencia del prompt de la línea de comandos. En este caso se ha llegado al modo de configuración específico de la interfaz de red (cuadro de color verde).
Para retroceder al modo anterior o incluso salir de un modo se utilizan órdenes como:
Una vez que, con la ayuda de Jana, Laro ha instalado y conectado el router en el despacho que comparten María y Felix, procede a realizar la configuración correcta para que puedan acceder a cualquier de las subredes y puedan gestionar correctamente la concesión de permisos y accesos, porque una de las principales tareas que tendrán que asumir será la de incorporar usuarios de la red con las credenciales apropiadas para su trabajo dentro de la empresa.
Es un trabajo que Laro ya ha realizado en otras ocasiones, pero nunca había utilizado este tipo de routers y está algo nervioso ante este nuevo reto. Juan le ha recomendado el uso de la línea de comandos para la llevar a cabo la configuración porque le va a resultar más fácil seguir sus indicaciones, aunque desconozca las órdenes exactas.
El primer paso para conocer los comandos de configuración del router es saber que parámetros queremos o podemos cambiar. Los parámetros configurables dependen del tipo de router, al igual que en el caso de los conmutadores, se hará referencia a los parámetros más comunes.
En cualquiera de los casos también se tiene la ayuda de la línea de comandos, tecleando <b>? </b>o <b>help</b>, se nos ofrece un listado de todos los comandos disponibles.
Los parámetros configurables más comunes de un router son:
El parámetro más sencillo de cambiar puede ser el nombre del router. Para ello seguiremos la siguiente secuencia de órdenes partiendo del modo EXEC usuario:
En este caso no ha sido necesario el acceder al modo de configuración específico porque el comando hostname se puede ejecutar desde el modo de configuración global. Se puede observar como después de cambiar el nombre del router el prompt cambia y muestra el nuevo nombre.
Las contraseñas que se pueden establecer en un router permiten restringir el acceso a la línea de comandos y así impedir la modificación de parámetros al personal no autorizado. Según el tipo de acceso al router se pueden distinguir los siguientes tipos de contraseñas:
Establecer una contraseña de acceso a consola significa establecer una contraseña de inicio de sesión para el terminal de la consola. Para ello utilizaremos la siguiente secuencia de órdenes:
Con las órdenes anteriores se ha establecido la contraseña par04 para poder iniciar una sesión de consola, se utiliza el 0 para designar la conexión de consola del router y la palabra login para que se pida la contraseña al usuario antes de permitir la conexión.
De manera análoga podemos repetir el proceso para establecer la contraseña en el inicio de sesión de Telnet, variando algún comando:
Se utilizan los valores 0 y 4 porque el router admite hasta cinco sesiones telnet simultáneas.
Para el acceso al modo privilegiado podemos utilizar dos tipos de contraseñas enable password y enable secret. Es conveniente utilizar siempre enable secret, ya que a diferencia de enable password, la contraseña estará siempre cifrada. Para establecer la contraseña de acceso al modo privilegiado se utiliza:
Las interfaces más comunes son las de tipo Ethernet y serie, aunque como se ha visto existen más tipos. Una interfaz se puede configurar desde la consola o a través de una línea de terminal virtual.
A cada interfaz activa se le debe asignar una dirección IP y la correspondiente máscara de subred.
Los routers utilizan números para distinguir entre los diferentes interfaces del mismo tipo. Los números de interfaz pueden ser uno, dos o tres separados por barras inclinadas.
Las tres órdenes anteriores son ejemplos de las distintas formas de identificar a los interfaces con números. El que se utilice más de un número para identificar a las interfaces, está justificado porque algunos routers tienen tarjetas que tienen una o dos ranuras para los adaptadores de puerto, cada adaptador puede tener una o más interfaces (slot/adaptador/puerto).
En el ejemplo anterior (interfaz serie 1/0/1) se estaría identificando a la interfaz tipo serie que está en la ranura 1, el adaptador 0 y el puerto 1.
Existen comandos que nos permiten listar las interfaces de un router.
Ranura disponible en las placas donde se puede insertar un dispositivo.
Con la primera orden se muestran las características de todas las interfaces, con la segunda orden solamente las estadísticas de la interfaz tipo serie definida con 0/1 (número de puerto/ ranura de interfaz).
A parte de números, los routers también emplean otros códigos para identificar a las interfaces. Uno de ellos es la combinación de letras y números.
La configuración de direcciones en los puertos de un router implica que antes se haya identificado ese puerto y a continuación se emplee el comando que permite la asignación de direcciones.
Las órdenes anteriores asignan una dirección al puerto serie 1/1 utilizando el comando “<span lang="en">ip address</span>”. Se emplea el comando “<span lang="en">no shutdown</span>” para asegurar que el interfaz no está en estado down.
Para comprobar la configuración se emplea el comando show.
Si el router que se está configurando forma parte de una red donde existe un servidor DHCP, se pueden configurar las interfaces de manera que obtengan la dirección IP de forma automática.
La configuración DHCP no es recomendable para los interfaces del router que se conectan a redes locales. Es mejor poner una IP fija o estática con su máscara. Pero sí puede ser útil en un interfaz que esté conectado a Internet para recibir una IP dinámica por parte del ISP.
Sería equivalente a los "routers domésticos" que en los puertos LAN tienen normalmente por defecto una IP estática, y en el puerto WAN por defecto tienen IP dinámica para recibirla por DHCP.
Si se utiliza este tipo de configuración de IP dinámica por DHCP, es posible elegir qué tipo de parámetros se deben configurar de manera automática y cuales no como en el siguiente ejemplo:
Las interfaces de un router pueden soportar diferentes velocidades. Las velocidades más comunes son 10 Mbps (Ethernet), 100 Mbps (Fast Ethernet) o 1 Gbps (Gigabit Ethernet).
Por defecto, todos los dispositivos pueden negociar automáticamente la configuración dúplex y la velocidad con el dispositivo conectado. Por otra parte se pueden escoger diferentes combinaciones entre las velocidades y los modos de comunicación dúplex y establecerlos de manera manual.
Un ejemplo de configuración automática para la velocidad y el modo dúplex es:
Si por necesidades de la instalación se desea configurar la velocidad y el modo dúplex con valores distintos a los de autonegociación se puede hacer de la manera siguiente:
Con los comandos anteriores se especifica la velocidad 100 y el modo dúplex para la interfaz 0/18. Las combinaciones entre el modo dúplex y la velocidad están limitadas para los routers y las instalaciones en las que estos convivan con más dispositivos.
Configuraciones.
MODO DUPLEX
VELOCIDAD
RESULTADO
Duplex auto
Speed auto
Negocia automáticamente la velocidad y los modos dúplex
Duplex half
Speed 10
10 Mbps y half dúplex
Duplex full
Speed 10
10 Mbps y dúplex completo
Duplex half
Speed 100
100 Mbps y half dúplex
Duplex full
Speed 100
100 Mbps y dúplex completo
Estas combinaciones pueden cambiar dependiendo del firmware del router por lo que será conveniente leer las especificaciones técnicas de cada router antes de intentar configurar este tipo de parámetros.
Jana está entusiasmada con la configuración de router. Le parece increíble la destreza de Laro ante la terminal de línea de comandos y le comenta lo bien que domina el sistema linux. Laro la mira sorprendido y le explica que está trabajando sobre el sistema operativo propio del router, que desde luego no domina porque es la primera vez que está utilizando. No obstante le comenta que ya ha utilizado otros similares y las diferencias son pocas, básicamente hay que conocer los comandos de comunicaciones, los de gestión de usuarios, y unos pocos de configuración.
Finalmente sonríe y confiesa que todos los pasos los tiene preparados en la documentación que le ha facilitado Juan para la configuración que debe realizar, según las necesidades de los clientes y cómo van a utilizar la red, porque todo se reduce a eso, a ser capaces de conseguir que todo funcione como debe.
La diferencia entre configurar y administrar es débil en muchas ocasiones y esta es una de ellas. Cuando se habla de configurar un router se hace referencia a todo tipo de comandos sin distinguir si es una labor de configuración o de administración. En el punto 4 se han expuesto los comandos utilizados para la configuración de los parámetros más básicos del router, algunos de estos comandos se incluyen en la parte de administración en muchas publicaciones. Se puede decir que configurar un dispositivo es dotarle de las características básicas para poder arrancarle y administrar el dispositivo es todo lo demás (como se hace con los sistemas operativos), se hace casi imposible establecer diferencias relevantes.
Puesto que en los puntos posteriores se tratarán comandos relativos al enrutamiento y al diagnóstico de incidencias, en este punto se tratará algún comando diferente a los vistos en el punto 4 y a los que se verán en los puntos 6 y posteriores de esta unidad.
Es importante que repases bien la unidad relativa a la configuración de los conmutadores puesto que los comandos utilizados en los conmutadores se utilizan también en la CLI de los routers con muy pocas variaciones.
Interfaz de Línea de Comandos de un sistema opertativo. La shell de Unix/Linux, intérprete MSDOS en Microsoft Windows.
El comando <span lang="en">show</span> se emplea en la detección de fallos de funcionamiento pero también tiene su utilidad para poder ver la configuración actual del router:
Si se quiere hacer una copia de seguridad de la configuración actual del router para que se ejecute en el siguiente reinicio del dispositivo se emplea:
Como ya has visto, las interfaces Ethernet utilizan una velocidad o varias (número determinado) que puede autonegociarse.
Los enlaces con la red WAN tipo serie pueden funcionar también a varias velocidades (rango muy amplio). Para poder trabajar con un abanico mayor de velocidades los routers utilizan un proceso denominado clocking o temporización. Este proceso hace que la velocidad del router se sincronice con la velocidad del CSU/DSU.
Con este mecanismo los routers pueden utilizar los enlaces sin que sea necesaria una autonegociación para detectar la velocidad. La CSU/DSU es la que conoce la velocidad y le envía las órdenes al router para que este modifique su velocidad de comunicación.
Los routers utilizan dos comandos para configurar la velocidad del enlace WAN conectado a una interfaz serie clock rate y bandwidth:
El comando clock rate establece la velocidad en bps, bandwidth indica al router la velocidad del enlace en Kbps pero no cambia la velocidad. El router utiliza este parámetro en cálculos relacionados con los protocolos de enrutamiento como OSPF, para establecer la métrica y así poder encontrar la mejor ruta hasta el destino.
Cada interfaz del router tiene una configuración predeterminada del comando bandwidth que coincide con la velocidad por defecto de la línea conectada a Internet, por ejemplo, 1555 Kbps para las líneas T1.
Estos dos parámetros solamente se deben configurar en los routers que hagan de DCE (DCE es un modem o CSU/DSU que convierte los datos de usuario del DTE en una forma para transmitir vía WAN).
Si en la red existiera más de un router hay que determinar quién es el DCE (equipo de comunicaciones) y quien el DTE, la razón está en que el que actúe como DCE es el encargado de establecer el sincronismo de la comunicación y es en este en el que se configurará la velocidad del enlace con el comando clock rate.
Protocolo que utilizan los routers para diseñar las rutas más rentables entre routers.
Protocolo que utilizan los routers para diseñar las rutas más rentables entre routers.
T1 es una línea de transmisión de datos de alta velocidad, que proporciona una velocidad constante y fiable de 1.544 Mbps.
Los routers almacenan copias del IOS en una memoria de tipo flash que permite que se puedan conservar los archivos cuando el router está apagado.
El comando que permite que se puedan copiar los archivos que componen el IOS es <span lang="en">copy</span>. Todos los routers deben tener almacenada en un servidor o en otro tipo de soporte una imagen de esta IOS. Para copiar esta imagen en la memoria flash se utiliza...
Con este comando se copian los archivos de un servidor TFTP accesible desde el router. Una vez hecha esta copia se puede ver el contenido de la memoria flash utilizando el comando show.
Tomás Fernández Escudero. (Uso educativo no comercial. )
En la imagen anterior se puede observar como el router copia el IOS de un servidor tftp cuya dirección es 192.168.119.20. El archivo que se va a copiar es el C2600-js-l_121-3.bin, se ve como antes de copiar el archivo a la memoria flash, esta, se borra y que toda la operación se hace a través de una interfaz de tipo FastEthernet.
Una vez actualizada la memoria flash se puede ejecutar el comando show para verificar el estado de la memoria, así como el archivo IOS almacenado.
El modo setup permite la configuración básica del router de manera interactiva, respondiendo a preguntas sencillas desde la línea de comandos. Para entrar en el modo setup:
Tomás Fernández Escudero. (Uso educativo no comercial. )
En la imagen se puede ver lo que sucede cuando se ejecuta el comando setup.
Se aprecia el estado del prompt de la línea de comandos antes y después de ejecutar el comando.
También se pueden ver las preguntas que el sistema formula y que el usuario contesta. Todas ellas son relativas a la configuración de parámetros básicos del router.
Cuando Juan se presenta, Laro y Jana, ya han terminado con la configuración que les había pedido hacer y comienza a realizar una serie de comprobaciones que le van a permitir detectar posibles fallos. Pero todo está en orden y el análisis es todo un éxito, por lo que les felicita y anima a seguir realizando el trabajo con seriedad.
Jana es consciente de la cantidad de cosas que se pueden hacer en el router utilizando los comandos de configuración y administración. Juan le explica que eso requiere estudiar cada router, eso es precisamente lo que él ha estado haciendo mientras ellos instalaban y hacían una primera configuración del router. Le explica que ahora es su turno, que debe configurar el que debe ser el enrutamiento y le pide que le acompañe para ver cómo configura las tablas de enrutamiento.
El objetivo principal del router es encontrar la mejor ruta para los paquetes que los atraviesan. Para conseguir esto se ayudan de las tablas de enrutamiento IP.
Las tablas de enrutamiento se construyen por dos métodos:
Para que el enrutamiento sea correcto, un router tendrá en su tabla, como mínimo, tantos registros como redes a las que esté conectado directamente a través de sus interfaces. Después de la configuración, ya sea por aprendizaje (dinámica) o por inserción manual de registros, la tabla tendrá tantos registros como redes quieran ser accesibles desde el router, aunque no tengan conexión directa con sus interfaces y lo tengan que hacer a través de otros routers.
Se puede decir que para llegar a New York desde Santander tenemos que ir a Madrid si especificamos el aeropuerto de Madrid como interfaz, pero también podemos decir que el interfaz de comunicación es Vigo si utilizamos su puerto marítimo. Y también podríamos decir que New York está directamente conectado con Santander si utilizamos el puerto marítimo de Santander. Por lo tanto, si nos encontramos en Santander y queremos establecer una tabla de comunicaciones, primero tendríamos que tener claro qué destinos queremos y después trazar las mejores rutas valorando todos los parámetros.
En los routers, el comando show ip route, muestra las redes a las que el router está conectado.
Se puede observar como la información proporcionada está constituida por la dirección de red accesible, o con la que el router está conectado y la interfaz a través de la que se tiene esa conexión.
El concepto de ruta estática se utiliza para señalar que el registro que se ha introducido en la tabla de enrutamiento se ha establecido de manera manual, que no lo ha adquirido la tabla por aprendizaje utilizando un protocolo de enrutamiento dinámico.
Para poder crear una ruta estática se emplea el comando ip route.
Con las órdenes anteriores se ha establecido la ruta para llegar a las redes 192.168.4.0 y 192.168.3.0 por las interfaces 192.168.1.40 y 192.168.1.30.
Tomás Fernández Escudero.(Uso educativo no comercial.)
Para realizar el enrutamiento de una red utilizando rutas estáticas, se deben configurar las rutas en todos los routers que intervienen en la red. Por esta razón, cuando las redes son muy grandes se deben emplear protocolos de enrutamiento dinámico.
En el ejemplo anterior, al crear la ruta estática hacia la red 192.168.3.0, es imprescindible que el router que está directamente conectado a esa red tengo en su tabla de enrutamiento definida la esa ruta porque de lo contrario el paquete se perdería. La solución pasaría por configurar un protocolo de enrutamiento dinámico y esperar a que los routers aprendieran el entorno que les rodea y crearan todas las tablas de enrutamiento con todas las rutas o crear en R3 una nueva ruta estática.
Una ruta predeterminada es una ruta que se asigna a un paquete cuando no se conoce la dirección IP de destino y no podemos establecer la ruta adecuada.
En un router se puede hacer básicamente tres tipos de configuraciones para establecer las rutas de los paquetes:
El mecanismo que emplean los routers para saber el destino de un paquete de datos es comparar la IP destino del paquete con las direcciones de la tabla de enrutamiento. Si se encuentra alguna coincidencia se envía el paquete por el interfaz que determina la tabla, si no se encuentra ninguna coincidencia se puede llegar a descartar el paquete y perderse.
Una solución al problema anterior es la configuración de rutas predeterminadas. Esto se consigue haciendo que todos los paquetes que deban salir del router utilicen la misma interfaz, por supuesto, lo que pase a partir de esa interfaz es un problema diferente; generalmente se conoce de antemano que esa interfaz es capaz de proporcionar el servicio que le estamos requiriendo.
Se podría realizar un símil con las vías del tren, de una estación salen varias vías pero todas se reúnen al final en la vía principal que es la que sale de la ciudad, a las afueras de la ciudad habrá más intersecciones pero nuestra labor (sacar el tren de la estación y de la ciudad) ya está hecha.
Para crear una ruta predeterminada emplearemos el comando ip route de la manera siguiente:
Con esto se consigue que el router envíe todos los paquetes por la interfaz 192.168.1.20. Si utilizamos el comando show ip route recibiremos en pantalla:
Este mensaje significa que nuestro router está conectado directamente con la red 192.168.1.0 y que los paquetes que lleven una dirección de destino que no coincida con ningún registro de la tabla se enviaran a la interfaz 192.168.1.20.
Parece que todo funciona correctamente, pero Jana ve que Juan no deja de hacer pruebas y comprobaciones utilizando herramientas informáticas que ella desconoce, aunque alguna de ellas ya vio manejarla a Vindio, pero Juan las utiliza principalmente mediante comandos muy extraños.
Juan sabe lo que hace y le va explicando cada paso que da para descubrir posibles fallos de funcionamiento, pero la que más le gusta es la que permite enviar un paquete y devuelve todos los nodos recorridos, de ese modo asegura Juan, que podemos saber qué equipo está dando problemas.
Para resolver las incidencias que se pueden dar en un router podemos recurrir a las herramientas vistas en la unidad relativa a los switchs y emplear el mismo método, un análisis por capas, empezando en la capa física para terminar en la capa aplicación. En cada una de las capas se analizarán diferentes características, las capas en las que más se dan las incidencias son:
Desde la línea de comandos del router se pueden utilizar varias órdenes que nos permiten descubrir posibles fallos de configuración o funcionamiento. El comando más utilizado es el comando show.
La primera línea de órdenes permite ver las estadísticas de las interfaces de nuestro router y así poder analizar si los valores son los adecuados, la segunda línea muestra la tabla arp, de donde se puede extraer la relación entre las direcciones IP, MAC y las interfaces correspondientes.
Si se pretende analizar la continuidad de ruta seguida por el paquete se puede utilizar el comando traceroute.
Muestra todos los nodos que se atraviesan hasta llegar a la dirección destino. Si la ruta está interrumpida, se muestra el último nodo al que se ha podido llegar.
Juan explica a Jana la necesidad de restringir el acceso a la red limitando el tráfico de datos y para eso lo mejor es utilizar las listas de control de acceso de las que ahora disponen todos los enrutadores. Es algo así como una lista de todo cuanto se permite o impide ante cualquier objeto de la red y no solo se refiere a los diferentes tipos de usuarios, también puede ser configuradas esas listas para controlar los procesos y qué operaciones están permitidas en los diferentes componentes de la red.
Jana sabe que esa es una de las principales medidas de seguridad que debe tener la red local y está esperando que Juan le cuente cómo lo va a hacer, aunque seguramente no conseguirá recordar después ninguno de los comandos.
Las listas de control de acceso (ACL) son listados de restricciones o permisos que se aplican a un router para controlar el tráfico de entrada y de salida del mismo. Para crear una lista de control de acceso se emplea el comando access-list:
Donde Nº representa un número entre 0 y 99 que identifica a la lista, <span lang="en">permit</span> o <span lang="en">deny</span> se emplean para permitir o denegar, “dirección IP” representa a las direcciones que se van a filtrar o no y la “máscara” se utiliza para que el router sepa cuantos bits de la dirección especificada deben coincidir con los de la dirección del paquete analizado. Por ejemplo:
Con la máscara anterior (0.0.0.255) se especifica que se desea una comprobación de los bits correspondientes a los tres primeros bytes, se permiten las direcciones 192.168.1.X. Para asignar la lista de control de acceso a una interfaz determinada:
Se aplica la lista 1 al tráfico de salida, si la lista 1 es como la especificada en líneas atrás, se está permitiendo el tráfico de salida para todas las direcciones de la red 192.168.1.0 a través de la interfaz ethernet 0/1.
Un detalle muy interesante que Juan le propuso a María, fue la posibilidad de poder acceder a la red desde cualquier lugar, por ejemplo desde su casa o desde su teléfono móvil, algo que a María le pareció muy interesante, pero de lo que no tuvo conciencia hasta que hablando con Laro, este le explica que podrá programar el encendido y apagado de todos los equipos de la red a determinadas horas, pero que también puede enviar documentos a imprimir o escanear. En cualquier caso, lo que más le gustó fue la posibilidad de que su equipo de casa pudiese formar parte de la red de la empresa y compartir recursos, porque lleva tiempo dándole vueltas en teletrabajar desde casa algunos días y poder conciliar la vida familiar.
Y le ha llamado profundamente la atención el concepto de "Zona desmilitarizada", le ha parecido algo exagerado.
La zona desmilitarizada de una red, también denominada DMZ, es una zona de seguridad en la que los equipos tienen una relación de comunicación bidireccional con la red WAN pero no con la red LAN. Es decir, un equipo situado en la WAN podrá conectarse con un equipo de la zona DMZ y viceversa, pero un equipo de la zona DMZ no podrá conectarse hacia un equipo de la red LAN y si el paso inverso. Para un intruso que provenga de la zona WAN, entrar a la zona desmilitarizada no le permitirá saltar a la parte LAN.
Las zonas DMZ se emplean para situar los dispositivos que proporcionan alojamientos de páginas Web (servidores Web), servidores de correo o servidores DNS. En la zona DMZ se dejan los equipos que se quiere tener expuestos a la red.
La gran mayoría de los routers tienen una interfaz gráfica que permite la configuración de manera interactiva.
Tomás Fernández Escudero. (Uso educativo no comercial.)
En la imagen se observa como se ha accedido a la configuración de un router Netgear cuya IP local es 192.168.1.1 y se opta por exponer al equipo 192.168.1.115 a la zona DMZ. Se puede ver como en esta ocasión se ofrece la posibilidad de que el equipo que queda en la zona DMZ responda o no a los ping hechos desde la red WAN.
La habilitación de un puerto para que funcione como zona desmilitarizada se puede hacer desde la línea de comandos de manera más laboriosa. En este caso hay que especificar el nivel de seguridad que se le da a cada interfaz, generalmente se califican entre 0 y 100. Para asignar un nombre y un nivel de seguridad a una interfaz se utiliza nameif.
Con la orden anterior hacemos que el equipo 192.168.1.1 de la zona dmzA sea accesible desde la dirección 72.72.72.72. Estamos exponiendo una dirección IP privada (LAN) a una dirección pública (Internet).
Después de utilizar static es necesario crear listas de control de acceso a los diferentes servicios de la dirección que hemos publicado y asociar dichas listas a la interfaz correspondiente.
Para completar la seguridad del sistema María deberían incluir un cortafuegos, porque acaba de estar en las oficinas del banco y se ha interesado por un aparato que el director de la sucursal le ha dicho que es para mejorar la seguridad de la red y filtrar todo lo que entra, eso es lo que le han explicado a él los informáticos de la entidad cuando estuvieron allí instalando el cortafuegos.
Decide llamar a Juan para pedirle explicaciones y preguntar el motivo por el que no ha incluido un cortafuegos en la red, porque ella se ha estado informando y eso es algo básico para garantizar el que la red sea segura. Juan le explica que no le hace falta comprar ningún cortafuegos por uno de los routers que ha presupuestado tienen la posibilidad de configuración como firewall que es la traducción de cortafuegos, y eso es seguramente lo que ha visto en la oficina del banco.
Los conceptos de cortafuegos y router son totalmente diferentes, pero ocurre que muchos routers incorporan un cortafuegos en su software y por ello no es necesario incorporar un cortafuegos adicional.
La configuración del cortafuegos se puede hacer a través del interfaz web del router, accediendo con cualquier navegador que incorpore el sistema operativo.
Tomás Fernández Escudero. (Uso educativo no comercial.)
En la imagen anterior se puede ver como el router cuya dirección IP es 192.168.1.254 tiene un interfaz que nos permite configurar un cortafuegos o firewall sencillo con algunas opciones básicas, esto es lógico puesto que la captura pertenece a un router de uso doméstico. Se puede ver cómo tiene la opción de configurar parámetros para que el router pueda ser atravesado por conexiones VPN.
La palabra que más se repite entre las opciones del firewall es “filtrar”, lo que deja claro cuál es su función.
Materiales desarrollados inicialmente por el Ministerio de Educación, Cultura y Deporte y actualizados por el profesorado de la Junta de Andalucía bajo licencia Creative Commons BY-NC-SA.
Antes de cualquier uso leer detenidamente el siguenteAviso legal
.jpg "Configuración de equipos.")
