Professional Documents
Culture Documents
TECNICO EN REDES TELEINFORMATICAS ASIGNATURA: REDES I Prof.: Ing. Jairo Gonzlez Moreno
Carazo 19/05/13
Protocolos
Para poder enviar informacin entre dos mquinas, es necesario que ambas estaciones hablen el mismo lenguaje para que se entiendan entre ellas. A este lenguaje se le llamar protocolo. Los protocolos ms representativos que figuran en la capa de Aplicacin del modelo TCP/IP son: - File Transfer Protocol (FTP) - Hypertext Transfer Protocol (HTTP) - Simple Mail Transfer Protocol (SMTP) - Domain Name System (DNS) - Trivial File Transfer Protocol (TFTP) Los protocolos de la capa de Transporte son: - Transport Control Protocol (TCP) - User Datagram Protocol (UDP) El protocolo ms conocido de la capa de Internet es: - Internet Protocol (IP) El protocolo utilizado en la mayora de redes locales en la capa de Acceso es: - Ethernet A continuacin se describirn los protocolos anteriormente comentados y su puerto asociadode la capa de Transporte. Ms adelante se detallarn todos los puertos y su significado.
El protocolo HTTP es para visualizar la mayora de pginas web de Internet. Sus mensajes se distribuyen como los de correo electrnico. El puerto que se utiliza es el 80.
El protocolo SMTP es un servicio de correo que se basa en el modelo de FTP. Transfiere mensajes de correo entre dos sistemas y provee de notificaciones de correo entrante. El puerto que se utiliza es el 25. El protocolo DNS es el que se encarga de reconocer el nombre de la mquina remota con la que se quiere establecer la conexin y traduce el nombre a su direccin IP. El puerto que se utiliza es el 53. El protocolo TFTP tiene las mismas funciones que el protocolo FTP pero funciona sobre UDP, con lo que hay mayor rapidez pero menor seguridad y confiabilidad. El puerto que se utiliza es el 69.
Dentro de la capa de transporte existen dos protocolos que se utilizan para el envo de segmentos de informacin:
- TCP: El protocolo TCP establece una conexin lgica entre puntos finales de la red. Sincroniza y regula el trfico con lo que se conoce como Three Way Handshake. Controla el flujo para que no se pierdan los paquetes y evitar as una congestin en la red. Es un protocolo orientado a conexin.
- UDP: El protocolo UDP es un protocolo de transporte no orientado a conexin que intercambia datagramas sin la utilizacin de ACK ni SYN que se utiliza como acuse de recibo en el caso de TCP. El procesamiento de errores y retransmisiones es soportado por los protocolos de capas superiores
Puertos
Tanto TCP como UDP utilizan puertos para pasarse informacin con las capas superiores. Con la definicin de un puerto, es posible acceder a un mismo destino, un host, y aplicar sobre l distintos servicios. Con la utilizacin de los puertos los servidores son capaces de saber qu tipo de peticin a nivel de aplicacin le estn solicitando, si es http o ftp, y pueden mantener ms de una comunicacin simultnea con diferentes clientes Para poder mantener una coherencia en los nmeros de los puertos la IANA, organismo internacional regulador, establece que los puertos inferiores a 1024 se utilizan para los servicios comunes y el resto de nmeros de puertos es para asignaciones dinmicas de programas o servicios particulares.
Listas de Acceso
Desde la primera ves que realizamos la conexin de una red de rea local pensamos en la necesidad de restringir el acceso a determinadas funciones de la misma. Mediante la utilizacin de las funciones de filtrado de paquetes, el administrador puede restringir el acceso a determinadas funciones de la red.
El filtrado de paquetes permite controlar el movimiento de estos dentro de la red. Este control puede ayudar a limitar el trafico originado por el propio Router. Una lista de acceso IP es un listado secuencial de condiciones de permiso o prohibicin que se aplican a direcciones IP o a protocolos IP de capa superior. Las listas de acceso identifican el trafico que a de ser filtrado al pasar los paquetes en el Router, pero no pueden filtrar el trafico originado por el propio Router. Cuando un paquete llega a la interfaz el Router comprueba si puede ser trasmitido verificando la tabla de enrutamiento, sino existe ninguna ruta de destino el paquete es descartado. Si se encuentra la ruta en la tabla de enrutamiento el Router verifica si esta agrupada alguna lista de acceso, si no es as es enviada al buffer de salida.
Para las listas de acceso saliente un permit significa enviar al buffer de salida, mientras que un deny se traduce en descartar el paquete
Las listas de acceso extendidas comprueban tanto la direccin de origen como la de destino de cada paquete. Tambin pueden verificar protocolos especficos, nmeros de puertos y otros parmetros
Puede ser necesario proar un grupo o rango de direcciones IP o bien para una direccin IP individual. Se utiliza el enmascaramiento wildcard par los bits de direcciones IP utiliza los nmeros 1 y 0 para referirse a los bit de direccin teniendo en cuenta que:
Un bits de mascara wildcard 0 significa comprobar el valor correspondiente Un bits de mascara wildcard 1 significa no comprobar el valor del bits correspondiente
Las ACL numeradas llevan un numero identificativo que las identifica segn las caractersticas. La siguiente tabla muestra los rangos de listas de acceso
ZZ: nmero de listado (de 1 a 99) X.X.X.X: direccin IP Y.Y.Y.Y: mscara comodn (wildcard mask) Si queremos que dos declaraciones pertenezcan al mismo ACL tenemos que asignarles el mismo nmero de listado
hostname RouterC ! interface serial0 ip accessgroup 130 in ! accesslist 130 deny icmp any any accesslist 130 permit ip any any
OTRAS POSIBILIDADES DE LAS LISTAS DE ACCESO Un uso muy interesante es el de la instruccin log, si ponemos accesslist 130 deny icmp any any log accesslist 130 permit ip any any Quedarn registrados en el log del router (show logg) todos los origenes y destinos de los paquetes que encajan con la condicin. Podemos convertir el router en un analizador de trfico con un par de instrucciones:
hostname RouterB ! interface serial0 ip accessgroup 140 in ip accessgroup 150 out ! accesslist 140 permit ip any any log accesslist 150 permit ip any any log
Este era el mecanismo usado en el artculo sobre ping para ver el origen y destino de los paquetes. Ms ejemplos: con listas de acceso horarias podemos controlar el uso de determinados servicios en funcin de la hora time-range bloquear-internet periodic weekdays 8:30 to 17:45 ! accesslist 150 deny any any eq www time-range bloquear-internet accesslist 150 permit any any ! interface ethernet0 ip accessgroup 150 in.
RESUMEN
Las listas de acceso son el mecanismo por excelencia para seleccionar trfico. Una vez que un conjunto de paquetes ha sido seleccionado el router puede realizar diversas tareas sobre ellos. Uno de los usos ms extendidos de las listas de acceso es el de controlar el flujo de trfico entrante y saliente de un router, pero hay otras muchas aplicaciones prcticas. El proceso de configuracin de listas de acceso consta de dos pasos generales: La creacin de la lista de acceso en s. Su aplicacin en la interfaz correspondiente (o, de forma ms general, en el proceso deseado). Hay que tomar unas precauciones generales a la hora de aplicar listas de acceso.