entrar sin contrasena: http://www.cisco.

com/c/en/us/support/docs/routers/800-ser
ies-routers/12732-pswdrec-800.html
Capitulo 1.-The TCP/IP and OSI N
etworking Models
Modelo TCP/IP.- Aplicacion - Transporte(segment) - red(paqt) - enlace de datos(t
rama) - fisico
Modelo OSI.- Aplicacion(L7PDU) - Presentacion (L6PDU) - sesion(L5PDU) - transpor
te(L4PDU) - red(L3PDU) - enlace de datos(L2PDU) - fisico(L1PDU)
Protocolo.-Conjunto de reglas logicas que los dispositivos deben seguir para com
unicarse.
ISO atraves de OSI estandarizo los protocolos de redes de datos para permitir co
municacion entre todas las pcs del planeta.
HTTP.-define como el web browser trae el contenido desde el servidor web: 1.-Htt
p Request 2.-Http Reply.
En la cabecera de reply del HTTP se puede enviar un codigo 200=OK o tbn 404=not
found.
Protocolos de la capa de transport proporcionan servicios a los protocolos de ca
pas superiores.
Recuperacion de errores de TCP.-Uso de numero de secuencia (SEQ) dentro de la ca
becera tcp en cada mensaje.
Interaccion de capas adyacentes.-EJ:Proceso x el cual HTTP solicita a TCP enviar
datos y asegurar que sean recibidos correctamente
Interaccion en la misma capa.-EJ:TCP en el host transmisor marca un segment marc
ado con 1 y el host receptor recibe ese segmt TCP marcado con 1
Capa de enlace.-Ethernet Header se coloca al inicio y el ethernet trailer al fin
al de la trama. esta capa tiene 2 funciones
1.-Funcion relacionada a la transmision fisica de los datos.
2.-protocolos y reglas que controlan el uso del medio fisico.
El proceso por el cual un Host envia datos puede ser visto como 5 pasos: 4 encap
sulaciones mas la transmision fisica.
Capitulo 2.-Fundamentals of Ethernet LAN
s
Ethernet solo define LANs con cables. Wireless Lan estan definidas en 802.11. El
estandar ethernet nace de la IEEE en el 802.3
Hasta 100m (utp): 10 Base-t, 100 Base-t,1000 Base-t, 10GBase-t.
Mas de 100m (fibra): 1000 Base-LX
10 Base-t y 100 Base-t requieren 2 pares de cables.
1000 Base-t requiere 4 pares de cables.
En el RJ 45: Pines Transmisores 1y2 ;; Pines Receptores 3y6
10Base-t y 100Base-t: PC NIC, Routers, AP: transmiten en los pines 1-2
; SW, Hubs transmiten en los pines 3-6
1000Base-t: 4 Pares: 1,2 - 3,6 - 4,5 - 7,8.
Trama Ethernet (bytes): Header[Preamble(7)-StartFrameDelimiter(1)-DESTINATION(6)
-SOURCE(6)-TYPE(2)]- DATO y PAD (46-1500) -[FCS(4)]Trailer
FCS.- solo determina si la trama ha experimentado errores de transmision.Ubicado
en el trailer.en caso de error se discard la trama.
Data y PAD.-Pad es el relleno, es agregado para lograr el minimo requerido 46 by
tes.
IEEE802.3.- limita la trama a minimo 46 y maximo 1500bytes.El MTU define la logt
d maxima del paquete L3 entoncs 1500es el maximo IP MTU aceptado sobre 1red ethe
rnet.
Direcciones Ethernet tbn llamadas direcciones Media Access Control(MAC): 6bytes:
3 primeros bytes son OUI.
Hubs.- L1.Half Duplex.No tiene conceptos de tramas ethernet ni direcciones. broa
dcastea x todo sus puertos, excepto x el pto q recibio la trama.
Capitulo 3.- Fundametals of WANs
Tecnologias WAN: Leased Line-DSL-CABLE
Service Providers es una compaia que proporciona alguna conectividad WAN, incluye
ndo servicios de Internet.Servicio de L1.
T1=1,544Mbps
CPE (Customer Premises Equipment).-Incluye la tarjeta de interfaz serial y el CS
U/DSU (Channel Service Unit/Data Service Unit)
El cable de 4 hilos de la Leased Line se conecta al CSU/DSU.
DCE(Data comunication equipment).- Conector femenino.Clock rate(suele ser hecho
por el CSU/DSU).Este cable hace la conexion cruzada Tx-Rx y Rx-Tx en su interior
.
DTE(Data Terminal equipment).- Conector macho.
Todos los protocolos de enlace de datos controlan la entrega correcta de datos s
obre un enlace fisico.
Trama HDLC(bytes):Flag(1)-Address(1)-Control(1)-Type(2)-DATA-Fcs(2); Flag_indica
si una nueva trama ha llegado. Address_destination. Type_tipo de paquete L3.
HDLC nace de ISO pero sin field 'TYPE' asiq no conoce el tipo de paqute dentro d
e su trama.Routers Cisco hicieron una variante que agrega el campo 'TYPE'.
El estandar Ethernet 1000BASE-LX soporta hasta 5km de longitud.
El estandar Ethernet 1000BASE-ZX soporta hasta 70km de longitud.
El unico servicio WAN tratado en CCENT y CCNA es: Ethernet Emulation tbn llamado
Ethernet over MPLS (EoMPLS),significa que la nube MPLS actua como 1enlace Ehter
net
Este servicio provee: Una coneccion PtP entre 2 dispositivos clientes.
Comportamiento como un enlace de Ethernet de fibra entre
2 dispositivos.
WAN EoMPLS.- este enlace WAN usa los mismos protocolo Ethernet como si fuera un
enlace Ethernet en una LAN.
DSL(Digital Suscriber Line).-Todas las lineas tellefonicas llegan a un SW de voz
y luego esta e reenviada a la Public Switched Telephone Network (PSTN).
DSL ademas soporta velocidades asimetricas.El DSLAM separa los de voz hacia PSTN
y datos hacia Internet.
Cable internet.-Velocidades Asimetricas.ofrece mayores velocidades que DSL.
Capitulo 4.-Fundamentals of IPv4 Address
ing and Routing
Enrutamiento logico de la capa de red.Forwarding.
Address Resolution Protocol (ARP).- Aprende dinamicamente la MAC de un Host a pa
rtir de su IP.Cabecera IP es de 20Bytes.
Las direcciones IP usualmente estan escritas en dotted-decimal notation (DDN).
0 Reservado
1-126 Clase A (Unicast)
127 Reservado
128-191 Clase B (Unicast)
192-223 Clase C (Unicast)
224-239 Clase D (Multicast)
240-255 Clase E (Experimantal)
La direccion de red tbn es llamado: numero de red o network ID.
Cuando llega una trama al router este usa la sigt logica en la trama de enlace d
e datos:
Paso1.-Usa el campo Frame Check Sequence (FCS) para asegurarse que la trama no t
iene errores, si los tiene decarta el paquete.
Paso2.-Si no fue descartado. Descartara la vieja header y trailer, dejando el pa
quete IP.
Paso3.-Compara la direccion IP destino del paquete con la routing table y encuen
tra la ruta que mejor se adapte a ese destino.Esta ruta identifica
la interfza de salida y posiblemente la IP del router de sigt. salto.
Paso4.-Encapsulara el paquete IP dentro de una nueva header y trailer, apropiada
para la nueva interfaz de salida. y reenvia la trama.
Pasos generales de aprendizaje de rutas de los routing protocols:
Step1.-Cada router indep del rout prot. agrega una ruta a la routing table por c
ada subred coenctada directamente.
Step2.-Cada router le dice a sus vecinos las rutas en sus routing tables, incluy
end las coenctadas directamente y las aprendidas por otros routers.
Step3.-Luego de aprender 1 nueva ruta se la agrega a la routing table con su Nex
t-Hop que es usualmente el vecino por quien aprendio esa ruta
Domain Name System (DNS).-Step1.- PC envia un DNS Query al servidor DNS.
Step2.-El servidor DNS envia un DNS Reply con las list
a de las direcciones IP
Step3.- La pc puede ahora enviar un paquete IP a una d
ireccion IP de destino.
Address Resoluiton Protocol (ARP).-Metodo por el cual cualkier host i/o router e
n una LAN pueden dinamicamente aprender la MAC de otros Host en la misma LAN par
tiendo de la IP.
ARP Request es 1 mensaj algo asi: Si tu IP es esta, dame tu MAC
ARP Reply que ennumera la IP con la MAC coincidente
ARP almacena los resultados en una ARP Cache o ARP Table.en el cmd se observa es
ta tabla con: arp-a
Ping (Packet Internet Groper) usa ICMPs, enviando ICMp echo request a otra direc
cion IP, la PC con la IP respondera con un ICMP echo reply.si funciona,
hay conectividad. Se testea capa1,2y3.
Capitulo 5.- Fundamentals of TCP
/IP Transporte y Aplicaciones
Muchos de los protocolos L2 tienen 'error detection' y solo descartan la trama a
l verificar el error, TCP provee retransmicion 'error recovery'.
A demas provee flow control->windows
Caracteristicas de los protocolos L4:
Multiplexacion de Puertos(TCP y UDP).-
Error Recovery (reliability)(TCP).-
Flow control using windowing(TCP).-
Connection establisment and termination(TCP).-
Ordered data transfer and data segmentation(TCP).-
Transmision Control Protocol (TCP) /RFC 793.-
Multiplexacion usando Numero de Puertos TCP.-Sirve para q la pc receptora sepa a
que aplicacion entregar el dato recibido.basado en el field 'Source port' y 'De
stination Port', ambos
en la hedaer L4. Multiplexing confia en el concepto de 'socket', el cual consist
e de 3 cosas:
@ Una direccio IP
@ Un protocolo de transporte //ej: 10.1.1.1,TCP,1030
@ Un numero de puerto.
1-1023 Puertos bien conocidos. 1024-65535 Puertos dinamicos.
ej. de conexion entre sockets: 10.1.1.1,UDP.1028 ---> 10.1.1.2,TCP,80 ojo//Los p
uertos bien conocidos son usados por los servers,los puertos dinamicos por los c
lientes.
En la maquina del cliente donde se origina la solicitud cualquier puertos dispon
ible es usado.Asi cada cliente en el mismo host usa diferentes numeros de puerto
s pero el server
100pre usara el mismo.
20 TCP FTP data
21 TCP FTP control
22 TCP SSH
23 TCP Telnet
25 TCP SMTP
53 TCP,UDP DNS
67,68 UDP DHCP
80 TCP HTTP(www)
110 TCP POP3
Primero se debe establecer una sesion TCP, se realiza atraves de una 3way handsh
ake.Para este proceso se usa las banderas SYN y ACK que estan dentro
del Header L4.
SYN.-Sincroniza el # de secuencia.
Step1.- Host A envia un SYN
Step2.- Host B envia un SYN y ACK
Step3.- Host A envia ACK
Finalizacion de conexion TCP es un proceso 4way q usa la bandera FIN(finished).
Step1.- Host A envia un ACK y FIN
Step2.- Host B envia un ACK ;Se avisa a la aplicacion q sta recibien
d el dato q la conexion c cerrara,lueg la apli respond y seguira el Step3
Step3.- Host B envia un ACK y FIN ;Si la apli no responde Host B se quedar
a en el Step2 y el Host A reenviara ACK y FIN (Step3)
Step4.- Host A envia un ACK
Header TCP (20Bytes):Source Port(2Bytes) - Destination Port(2Bytes) - Sequence N
umber(4Bytes) - ACKnowledgment Number(4Bytes) - Offset - Reserved - Flag bits -
Window - Checksum - Urgent
TCP establece conexion entre los dispositivos extremos, UDP no.
User Datagram Protocol.- Connectionless,No reliability, no reordena los datos re
cibidos,no recupera datos perdidos y no segmenta tamanos grandes de datos
en tamanios adecuados para la transmision. Al igual a TCP hacen multiplexacion b
asado en numeros de puertos.Menor overhead que TCP y menos procesamiento.
Las aplicaciones que usan UDP son tolerante a la Perdida de datos, o tiene otra
forma para recuperar datos.ej; VoIP, DNS
Header UDP (8Bytes): Source Port(2Bytes) - Destination Port(2Bytes) - Length(2By
tes) - Checksum(2Bytes)
Qos define la calidad de los servicios entre 2 aplicaciones en una red asi:
Bandwidth.-Volumen de bits por segundo necesitados para q la aplicacion trabaje
bien.
Delay.-Tiempo que le toma a un paquete IP pasar del TX al Rx.
Jitter.-La variacion en retardo.
Loss.- El porcentaje de paquetes descartados.
Para QoS existen 3 tipos de aplicaciones:Batch, Interactiva, Real-time
Interactiva-Hay una persona al otro extremo, el paquete IP fluye en ambsa direcc
iones.
Batch.-Se enfocan mas en el BW entre 2 procesos.Usualmente no hay un humano en e
l proceso.ej:hacer un backup de mi PC en la nube, se necesita cierto BW.
Real Time.-Telefonos IP.
World Wide Web(www) son todos los servers del mundo conectados mas todos los hos
t con los web browsers.
Uniform Resource Locator (URL).- a menudo llamado direccion web puede ser vista
en 3 partes: http://www.certskills.com/ICND1
El protocolo es listado antes del //
El Hostname es listado entre el // y el /
El nombre de la pagina web es listado despues del /
Para obtener un archivo d un web server el cliente envia 1 HTTP GET Request con
el nombr dl archivo q solicita.Luego el server envia 1 HTTP GET Response.
Capitulo 6.-Building Ethernet LA
Ns with Switches
Cuando un HUB recibia una senal elctrica en un puerto, este repite a todos los p
uerto. Si 2 o mas dispositivos transmitian al mismo tiempo se producian colision
es.Es Half-Duplex
Luego los dispositivos usaron CSMA/CD para compartir el ancho de banda.
Las tramas de Broadcast enviados por 1 dispositivo son escuchadas y procesadas p
or todos los dispositivos en la LAN.
Las tramas Unicast son solo escuchadas por todos los dispositivos en la LAN.
Luego vinieron los transparent bridges o bridges quienes separaron los dispositi
vos en dominios de colision.asi se redujo el # de colisiones ocurridas en la red
.
Tbn incrementaron el BW dando a cada dominio de colision su propio bw. con un tr
ansmisor a la vez por dominio de colision.
Los SW tienen las mismas ventajas q los Bridges mas ciertas caracteristicas aume
ntadas.Cada Puerto del SW es un Dominio de Colision.
Cuando una trama entra al SW este revisa su Destination MAC adress y la compara
con la MAC address table (switching table,bridging table, Content Addressable Me
mory(CAM) table
3 acciones principales de los SW:
1.-Decision de forwarding basado en la MAC address
2.-Aprender las MAC adrres. Forwarding table.
3.-Crear un ambiente libre de lazos. Spanning Tree Protocolo. STP.
La eleccion de reenvio q toma un SW es llamado formalmente 'Forward versus Filte
r' decision. xq el sw decide a quien no reenviar (filtrar).
El aprendizaje del SW de las MAC siempre ocurre viendo el SW la MAC de origen en
la trama que le llega.
Los SW tienen un timer para cada entrada en el MAC, cada vez q el SW recibe una
trama de una MAC existente en la forwarding table este timer se pone en 0. el ti
mer (inactivity timer) crece
cuando no recibe trama luego se puede remover esas entradas al ser muy viejas o
cuando no hay mas espacio para nuevas entradas.
STP evita los lazos bloqueando algunos puertos de los SW para uqe haya un unico
camino entre segmentos LAN. Tiene aspectos negativos porque provoca un trabajo e
xtra para balancear carga
atraves de enlaces redundantes. STP pone a los puertos del SW en estado de block
ing(no envia ni recibe tramas) o en estado forwarding(envia y recibe tramas).
Procesamiento Store and Forwarding:aqui el SW debe recibir la trama entera antes
de reenviarla. La mac address de destino es chequeada rapidamente x su ubicacio
n en la header L2.
Existen otros 2 metodos de procesamiento interno en los SW cisco:Cut-through y F
ragment-free, ambos permiten reenviar la trama antes dq la trama entera sea reci
bida reduciendo delay/latencia.
Procesamiento Cut-through.- el sw empieza a aenviar la trama lo mas rapido posib
le, aunq esto reduc latencia tbn incrementa los errores xq la FCS esta en la hea
der (al final) d modo q el sw
no pude determinar si la trama tiene errores antes de empezar a enviar la trama.
Procesamiento Fragment-free similar al cut-through pero trata de reducir el nume
ro de errores.un hecho intersant de CSMA/CD sq las colisiones deben ser detectad
as dentro de los
primeros 64 bytes de la trama, asi q aki se espera por los primeros 64 bytes de
la trama antes de reenviarla.
Hoy en dia se usa store and forward xq la mejora de latencia de los otros 2 meto
dos es insignificante a las velocidades de procesamiento actuales.
Al momento de forwardear: Si la interfaz de salida es la misma q la interfaz x d
ond se recibio la trama el paqt es ignorados y no se reenvia.
Cuando agrega una MAC a la tabla junt a la interfza x dond recibio la trama lo p
one con inactivity timer 0, si ya existe en la tabla resetea a 0 ese valor.
Dominios de Colision.-Es 1 concepto ethernet que indica q los puertos q transmit
en pueden causar colisiones entre si en el dominio de colision.
Solo el Hub permit q se propag el dominio q colision.Roter,Bridges y SWs cada un
o de sus puertos es un dominio de colision separado.
Solo los Routers separan las LAN en dominios de broadcast.
Una LAN son todos los dispositivos dentro de un dominio de broadcast.Sin VLANs t
odos los dispositivos conectados al SW estarian en el mismo dominio de broadcast
, en la misma LAN. Los SW
Cisco logran eso poniendo todas las interfaces por defecto en la VLAN1.
Capa de acceso.- SW conectados directamnt a los usuarios finales.
Capa de distribucion.- SW q permitren enviar trafico entre SWs de acceso.
10Base-T permite categoria 3 hacia arriba
100Bast-T permite cat5 hacia arriba //hast 100m las 3.
1000Base-T permite cat5e o cat6
En fibra: Multimodo (hasta 550m) soporta meores distancia pero es gralmnt mas ba
rato y funciona bien con LEDs baratos.
Monomodo(hasta 5km) soporta mayores distancias pero es mas cara.
IEEE autonegotiation 802.3u. Si un lado del enlace tiene autonegotitation y el o
tro no, pasa lo sigt:
Speed: La tecnologia cisco puede sensar la velocidad en el medio, asi q se ajust
a.
Duplex: Si la velocidad queda en 10 o 100 sera Half-duplex. si queda en 1000 ser
a Full-Duplex.esta eleccion de duplex queda en el dispositiv
q no tenia fija est parametro.aki pueden nacer duplex missmatch. quien
tiene Full duplex no usara CSMA/CD elq queda con Half duples si,
de modo que detectara colisiones.su performance sera pobre.
Los hubs en sus puertos usan CSMA/CD para evitar colisiones, asi q sus piertos q
uedaran Half-Duplex.
Capitulo 7.- Installing
and Operating Cisco LAN Switches
Cisco usa el Comand Line Interface (CLI) que es una interfaz de texto hacia el u
suario. El sw Tbn puede proporcionar una interfaz web, q es aierta mediant un na
vegador web.tbn hay SOftwrs.
Sw 29060 catalyst son para acceso, bajo costo.LEDs del SW:
SYST.-Estado general del sistema. Off sin energizar. GREEN encendido y el IOS ca
rgado. Ambar encendido pero sin funcionar correctamente(apagar y prender).
Boton MODE cambia la funcionalidad de los LEDs de cada puerto segun: Status, Dup
lex o velocidad. en la part frontal se ubica en el LED q esta seleccionado:STAT,
DUPLX,SPEED.
Cisco llama al su software del Hardware: Internetwork Operating System (IOS).
Se puede acceder al CLI por 3 maneras: Consola, Telnet , SSH.
Telnet envia todos los datos incluyendo el usuario y contrasena de logeo como te
xto plano, sin encriptar.Puerto 23
SSH envia todos los datos incluyendo el usurio y contrasena de logeo encriptado.
Puerto 22
Configuraciones de Passwords:
line console 0 //Password para acceso via consola. 0 significa el puert
o 0.
login
password gatito
line vty 0 15 //Password para acceso via telnet/ssh. permite 16 conexi
ones
login
password perrito
Conexiones SSH solicitan nombre de usuario y contrasena. Entrando al sw x cualqu
ier via entramos al 'EXEC mode', tbn llamado 'User mode' aqui luego de ingresar
un comando el sw muestra
un resultado. El IOS soporta un mas poderoso EXEC mode llamado 'Enable mode' o '
modo privilegiado' o 'modo EXEC privilegiado'. Con el comado 'Enable' te mueves
desde el User mode
hacia el Enable mode. y con 'Disable' lo contrario.
Si el signo q sigue al nombre del SW es > estamos en user mode; si es # estamos
en Enable mode. Cuando se igresa '?' el IOS de cisco reacciona inmediatamente,no
se necesita presionar ENTER.
La respuesta de un comando show solo lo puede ver el usuario q lo ingreso.
Las respuestasq da el comando debugg lo puede ver cada usuario que ingresa al SW
en enable-mode. Un reload del equipo apaga los debugg q esten corriendo.
show process// show system cpu el debbug consume muchos recurso de cpu. se recom
einda q antes de activar ingresar el comando: no debug all 'o' undebug all y lu
ego loq queremos insertar,
de modo q si el rendimient del equipo cae rapidament solo tecleamos 2 vcs la fle
cha hcaia arriba y tendremos listos la desactivacion.
Configuration mode nace desde el Enable-mode gracias al comando 'configure term
inal', aqui se permite comandos de configuracion q cambian las configuraciones d
el SW.
Tipos de memoria de un SW cisco.
RAM.-funciona al igualq en una pc, es temporal.el running config (activo) esta
aqui.//Working memory and Running Config
ROM.-Almacena un bootstrap q es cargado al encender el SW, este encuentra al Cis
co IOS Image y maneja los proceso de cargado en la RAM. //Bootstrap
Flash Memory.-Memory card removible, almacena una Imagen del IOS de Cisco, es el
lugar x defect de dond se carga el IOS al momento del booteo. //Cisco IOS soft
ware
NVRAM.-Almacena la configuracion inicial q es usada cuand es encendido el SW.
//Startup cpnfig.
Running config.-Almacena la config actual, se carga automaticamente cuado ingres
amos un comando. ubicado en RAM
Starup Config.-Almacena la configuracion inicial, usada al reload el sw. ubicado
en NVRAM
Copiar archivos:
de la RAM a la NVRAM: copy running-config startup-config
de la NVRAM a la RAM: copy startup-config running-config
de TFTP a RAM: copy tftp running-config
de RAM a TFTP: copy running-config tftp
de TFTP a NVRAM: copy tftp startup-config
de NVRAM a TFTP: copy startup-config tftp
Borrar el contenido de la NVRAM:
write erase - erase startup-config - erase nvram// si luego de este comando sew
reinicia el sw, no habra config inicial. No hay coamndo para borrar el running-c
onfig, para borrarlo se debe
borrar la nvram y rebootear el sw.
Modo Setup.-Initial Configuration Dialogue. soporta pocas configuracions.Aqui se
debe esponder 'NO'. para evitar las pregnts de programacion.
Capitulo 8.- Configurando un SW
ethernet
Por defecto el sw/router no permite sesiones Telnet/ssh, se debe primero asignar
una IP mas la seguridad..
Para ingresar al enable-mode primer se debe habilitar la seguridad del enable-mo
de.
Switch# configure terminal
Switch(config)# enable secret cisco //Habilita contrasena para el en
able-mode.la password sale encriptada al hacer un show running-config
Emma(config)# line console 0 //Config para consola, numerado
con 0 al haber un unico puerto de consola.
Emma(config-line)# password faith
Emma(config-line)# login //login le dice al IOS q se usar
a una seguridad simple.
Emma(config-line)# exit
Emma(config)# line vty 0 15 //Config para telnet, se pueden
aceptar hasta 16 conexiones vty simultaneas.
Emma(config-line)# password love
Emma(config-line)# login //login le dice al IOS q se usar
a una seguridad simple.
Autenticacion por useranme.1ero se debe crear el usuario en modo de configuracio
n global, 2do Habilitar en line console i/o line vty.
Emma(config)#username jose password 1989 //Crear el username y su passwor
d
Emma(config)# line console 0
Emma(config-line)#login logical //Habilita esa forma de ingreso.
Para q un SW soporte SSH se deben crear usernames con passwords y aplicarlos ya
sea en line-console o en line-vty.luego c suma 2 comandos para habilitar SSh,
es opcional para mejorar la seguridad.
Emma(config)# ip domain-name example.com //1ero se debe configurar un dom
inio DNS.
Emma(config)# crypto key generate rsa //Luego se crea el encriptado.
Emma(config)# ip ssh version 2 //SSH 2 es opcional. Mejora la s
eguridad y tiene opcion de mensaje banner.
2 comandos pueden ayudar con info acerca del status de SSH. .show ip ssh.sho
w ssh.
SW pueden controlar si dan acceso en vty-line solo a telnet o ssh, ninguno o amb
os, asi:';';/.,
Switch(config-line)#'transport input all / tranport input telnet ssh ;soporta
ambos
Switch(config-line)#'transport input none
;no soporta ninguno
Switch(config-line)#'transport input telnet
;soporta solo telnet
Switch(config-line)#'transport input ssh
;transporta solo ssh.
AL habilitar 'service password-encryption':
>el IOS encripta todas las passwords existentes (console-vty)
>al deshabilitarlo, las password igual quedan encriptadas ya que el IOS no le ha
ce nada a las passwords existentes.
Para acceder al enable-mode se puede usar:
>enable secret. Si se habilita los 2, prevalece enable secret, d
ejando encriptada la contrasena.Si solo se deja enable password, la contrasena n
o se encriptara
>enable password. se puede encriptar esta con 'service password-
encryption'
Switch3# show running-config | begin line vty //Empieza el show desde
line vty
Switch3# show running-config | section vty //Muestra el running-con
fig de solo esa seccion
Switch3# show running-config | include enable secret //Muestra solo las linea
s tienen 'enable secret'
Existen 3 metodos de banner:MOTD- Login - Exec. La t y la h son limitadores de i
nicio y fin.
show history.- lista los comandos ingresados ultimament.
history size x.- Numero de comandos almacenados en el historial.
terminal history size x.-Historial de comandos para el usuario que lo define.
no logging console.- //para evitar q se muestren los mensaje del router.
exec-time out x x //Minuts q durara la sesion puede ser aplicada dentro de
line console o de line vty. 0 significara q nunca se desconecte.
login synchronous //Se mostraran los mensajes pero sin interrmpir loq se e
scribe
Los sw cisco x defecto tienen: todas sus interfaces habilitadas(no shutdown) y c
on autonegotiation(duplex auto y speed auto).Todas las interfaces forman parte d
e la VLAN1.
Emma(config)# interface vlan 1 //
Emma(config-if)# ip address 192.168.1.200 255.255.255.0 //Esta direccion
IP es de management,puede estar en la subred q uno decida.
Emma(config-if)# no shutdown
Emma(config)# ip default-gateway 192.168.1.1 //show ip defaul
t-gateway 192.168.1.1. en modo de config global.
Emma(config)# interface vlan 1 //
Emma(config-if)# ip address dhcp //IP de manageme
nt aprendida via dhcp,puede estar en la subred q uno decida.
Emma(config-if)# no shutdown //show dhcp leas
e
Variaciones en los puertos de seguridad:
>Definir el numero maximo de MAC de origen para los cuales se recibiran tramas.
>Ver todas las tramas entrantes y mantener una lista de las MAC de origen, mas u
n contador de MACs de origen diferentes.
>Si se agrega una MAC de origen a la lista y con esta el numero sobrepasa la can
tidad de MAC configuradas el sw apagara la interfaz.
Para configurar seguridad en los puertos, se debe deshablitar la autonegociacion
sea puerto troncal o de acceso.
Luego habilitar la seguridad en los puertos y cantidad max de MAC x puerto.
switchport mode access - switchport mode trunk
Switch(config-if)#switchport mode access // Se de
be dejar al pverto como no dinamico, osea hay q hacerlo access o trvnk.
Switch(config)#switchport port-security //Habili
tar la seguridad del puerto.X defecto se recepta 1 sola MAC.
Switch(config-if)#switchport port-security maximum 10 //
Switch(config-if)#switchport port-security violation shutdown //Accion
a realizar ante una violacion (missmatch de MACs).3 opciones: shutdown-protect-
restrict
Switch(config-if)#switchport port-security mac-address 0001.C97D.BA38 //MACs p
ermitidas.
Switch(config-if)#switchport port-security mac-address sticky //El sw
aprende la MAC automaticamente.
El modo de violacion de seguridad:
Shutdown: descarta paquetes,envia mensajes SNMP y logs, deshabilita la interfaz.
El IOS hara que el puerto quede en estado 'error disabled' no en shutdown.Se rea
ctiv con un shutd-no shutd.
Restrict: descarta paquetes,envia mensajes SNMP y logs.
Protect: descarta paquetes.
Capitulo 9.- Implementing Ethern
et Virtual LANs
Una VLAN es un dominio de broadcast.Ventajas:
Reducir la sobrecarga de procesamiento del cpu, al reducir la cantidad de dispos
itivos q recibiran la trama.
Reduce riesgos de seguridad ya que menos dispositivos recibiran copias de las tr
amas que el sw inunde.
Mayor flexibilidad de diseno al separar grupos de trabajo.
Resolver problemas mas rapidamente.
Reduce la carga de trabjo para STP.
VLAN trunking es una caracteristica requerida al instalar una VLAN en varios SWs
. Trunking hace que los SWs usen un proceso llamdo VLAN tagging,con el cual
el SW transmisor agrega un header(4 Bytes) a la trama antes de enviarla por el e
nlace troncal. Esta cabecera adicionla incluye un VLAN-ID, para que el sw
transmisor pueda asociar la trama con un VLAN-ID especifico y el sw receptor sep
a a que VLAN pertenece la trama.Sin esto se deberia usar un enlace entre SWs par
a cada VLAN.
CISCO mantiene 2 diferents prtocolos de trunking: Inter-Switch Link (ISL), y lue
go 802.1Q; Ambos agregan una cabecera de 4Bytes, donde el campo
VLAN-ID (12bit) soporta teoricamente hasta 2ala12=4096 VLANs, pero en practica s
e soportan hasta 4094 VLANs; hay 2 reservadas la '0' y la '4095'.
Los sws CISCO rompen las 4094 VLAN disponibles en 2 rangos:
1-1005:Rango Normal.
1006-4094:Rango extendido.
802.1Q tbn defina a la VLAN NATIVA (x defecto la 1), 802.1Q no agrega header adi
cional a la trama de la VLAN nativa,x esta razon cuando otro sw recibe est
tipo de trama sabe q le pertenec a la VLAN-Nativa,Por esta razon ambos SWs deben
tener la misma VLAN-Nativa.Este concepto que maneja la VLAN-Nativa de no
agregar cabecera adicional en L2 permite que un SW que habla 802.1Q pueda hablar
con uno que no lo hace, mediante esta VLAN.
Dispositivos en diferentes VLANs deben estar en diferentes subredes.
Para configurar una VLAN:
>Desde el modo de configuracion: usar el comando 'vlan vlan-id'
>'name nombre' si no se configura sera: VLANzzzz, donde zzzz es un valor decimal
de 4 digitos del VLAN-id
Para hacer una interfaz de acceso:
>Entrar a la configuracion de la interfaz
>'switchport access vlan id-number' para especificar la vlan asociada
>(Opcional)Para deshabilitar trunking en la misma interfaz, de modo q este no ne
gocie se trunk. se usa el comando 'switchport mode access'.
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)# vlan 2
SW1(config-vlan)# name Freds-vlan
SW1(config-vlan)# exit
SW1(config)# interface range fastethernet 0/13 - 14 //grupo de puert
os
SW1(config-if)# switchport access vlan 2 //asocia los pue
rtos a una VLAN
SW1(config-if)#switchport mode access //Establece los
puertos en modo de acceso, evitand negociacion de trunk.
VLAN Trunking Protocol (VTP).- un antiguo protocolo propietario de cisco q anunc
ia las VLAN de un sw hacia otros.
Cada sw puede usar uno de los 3 modos de VTP:Server-Client-Transparent. Server y
Client se usan cuando el SW quiere usar VTP para su proposito de anunciar infor
macion de configuracion de
VLANs.Para algunos IOS no se puede deshabilitar VTP, en su lugar se lo deshabili
ta usando el modo Transparente o apagando VTP con los comandos:
-vtp mode transparent-vtp mode off- Este material no va al examen CCENT ni CCNA.
Se debe configurar el tipo de trunking: 802.1Q o ISl, o negociar cual usar. Esto
lo hace el Dinamic Trunking Protocol (DTP).
Se debe configurar el modo administrativo: Si siempre sera trunk, o nunca lo ser
a, o negociar. SWs 2960 solo soportan 802.1Q.
Al pasar un puerto de modo acceso a truncal y viceversa, el puerto se apaga y pr
ende.
Modos de un puerto:
Acceso.- No trunking
Trunk.- siempre Trunk
Dynamic desirable.-El puerto inicia negociaciones para ser o no trunking.Basta q
1 d las interfacs sea este modo para que ambas interfaces se vuelvan Trunk.
Dynamic auto.- El puerto espera por mensaje de negociacion para ser trunking.
Se recomienda deshabilitar la negociacion de trunk. esto con el comando 'switchp
ort nonegotiate' dentro de la interfaz. yq no este funcionand con Dynamic que vi
ene por default.
Se puede limitar las VLAN que pasan por un trvnk con:SW1(config-if)# switchport
trunk allowed vlan (add|all|except|remove) vlan-list; x defecto pasan todas.
Capitulo 10.- Troublesho
oting Ethernet LANs
Cisco Discovery Protocol (CDP):Propietario de cisco Usado para aprender la topol
ogia y predecir el funcionamiento normal de la red.Los dispositivos que
soportan CDP aprenden informacion de otros escuchando sus anuncios.LLDP es el pr
otocolo no propietario. CDP usa tramas Multicast. CDP descubre lo sgit:
Identificador de dispositivo:Hostname
Address list:Direcciones de red y de enlace de datos
Identificador de puerto:La interfza en el remoto.
Capacidades: Informacion de que tipo de dispositivo es ej: router/sw
Plataforma:Modelo y OS.
>show cdp neighbors //Muestra info de la interfaz de los vec
inos conectados directamente.
>show cdp neighbors detail //Muestra casi 15 lineas de informacion
por cada vecino.
>show cdp entry josela //Muestra la info del 'show cdp neighbor
s' pero para un vecino especifico.
Se puede habilitar o deshabilitar CDP ya sea por interfaz o en modo global.
>no cdp enable - cdp enable //Por interfaz.
>no cdp run - cdp run //En modo de configuracion global.
Comandos para verificar operacion de CDP
>show cdp //Muestra info si cdp fue habilitad en mod de co
nfig global. Lista las actualizaciones y hold timers.
>sho cdp interface fa0/1 //Muestra info si cdp fue habilitad por interfaz
. Lista las actualizaciones y hold timers.
>show cdp traffic //Lista estadisticas globales para el numero de
anuncios enviados y recibidos.
Las interfaces ethernet con velocidades mayores a 1Gbps simepre usan full-duplex
por defecto. menores o igulaes por defecto usan Half-duplex.
Tener presente que al configurar velocidad y duplex en un puerto se deshabilita
automaticamnete el 'autonegotiate'.
Cuando existe un duplex-missmatch el enlace sig arriba (up/up). Aqui la interfaz
trabaja pero puede trabajar con bajo performance y con intermitencia.Esto
debido a q los dispositivos que hacen half-duplex hacen CSMA/CD esperando por e
nviar trama cuando estan recibiendo, pensando q luego ocurriran collisiones
aunq en verdad son fisicament imposibles. En verdad paran de enviar tramas xq pi
ensan q han ocurriod colisiones. Al producirse estas colisiones ciertos
paquetes/datos se danan y eso es notado por el campo FCS de la cabecera Ethernet
., el Rx descarta la trama y aumenta a forma de contador un 'imput errors' y
'CRC', esto sale en el comando 'show interfaces fa0/13'.
Para identificar un duplex-missmatch con el comando 'show interface fa0/1' se de
ben verificar los sigts campos:
Runts: Tramas q no cumplieron la longitud minima (64 Bytes). Puede ser causada p
or colisiones.
Gians: Tramas que excedieron la longitud maxima. (1518 Bytes).
CRC: Tramas recibidas que no pasaron el FCS. Puede ser causada por colisiones.
Frame: Tramas recibidas que tienen un formato ilegal. Puede ser causada por coli
siones.
Output errors: Numero total de paquetes q el puerto del SW ha tratado de transmi
tir.
Collisions: Contador de todas las colisiones que ocurren cuando la interfaz tran
smite una trama.
Late Collision: El subconjunto de todas las colisiones que ocurren despues de lo
s 64Bytes primero (En una red LAN Ethernet la collision suele ocurrir en este ra
ngo). Colisiones tardias
podrian implicar un Duplex-missmatch. OjO las collisiones en una red Half-Duplex
son normales. El problema en este caso serian 'Late Collision'.
Si crece el CRC pero no las colisiones el problema podria ser interferencia en
el cable.
>show mac address-table //Muestra las Mac aprendidas dinamica o estatica
mente(config en port security por ejemplo)
>show mac address-table dynamic //Muestra las mac aprendidas dinamicamente
si al hacer el comando show vlan brief, en el estats aparece: `act/lshut` signif
ica q la VLAN esta apagada.Apagarla solo deshabilitara la VLAN en ese SW.
Apagar y prender VLAN se puede hacer desd el modo de config global o desde la co
nfig de VLAN asi:
SW2(config)# shutdown vlan 20
SW2(config)# vlan 30
SW2(config-vlan)# shutdown
Si un puerto tiene estado operacional Trunk y el otro extremo tiene access, el estad
o en cada extremo sera up/up o conectado. Solo crusara el trafico
perteneciente a la VLAN Nativa xq esta no tien la cabecera extra de modo q el ot
ro extremo q es acces y funciona asi, si la entendera.
Al poner `show interfaces status` el estado desactivado es lo mismo q 1 estado:
administratv down y operacionalmnt down.osea interfas shutdown.
Capitulo 11. Perspectiva
de sbnetting IPv4
RFC 1918 define el conjnt de direcciones IP privadas. Las q nunca seran asignada
s a 1 organiacion como IP publica. Son usadas para hacer NATEO.y por
redes q jamas saldran a la internet.
Capitulo 12. Analizando
redes classfull IPv4
Clase A: 1-126 //0 y 127 reservado. 127.0.0.1 es direccion de loopback.
Clase B: 128-191 //Unicast. 1era Red:128.0.0.0 Ultima Red: 191.255.0.0
Clase C: 192-223 //Unicast. 1era Red:192.0.0.0 Ultima Red: 223.255.255.0
Clase D: 224-239 //Multicast
Clase E: 240-255 //Experimental
Capitulo 13. Analizando
Mascaras de Subred
dotted-decimal notation (DDN): 255.255.255.240
prefix format: /24; el prefijo incluye parte de Red y Subred.
Classfull.- se rije a las reglas de direccionamineto de las clases ABC
Classless.- significa que el direccionamiento ignora las reglas de las clases AB
C.
Hosts en la subred: 2H 2 ;H es el numero de bits para Hosts
Subredes en la red: 2S ;S es el numero de bits para subred.Se usa si solo hay un
a mascara para toda la red.
Direccionamiento Classless define la direccion IP en 2 partes: Prefijo y Host pa
rt.
Capitulo 14.- An
alizando Subredes existentes
Encontrar una direccion de subred:
para una mascara 255.255.240.0 ; hago una resta a 256-Mask=256-240=16. Luego 16
es el numero de Hosts por Subredes y dando saltos de 16 llego a la subred q
busco.
Capitulo 15.- Op
erando Enrutadores CISCO
SOHO-(Small Office-Home Office)
show ip interface brief.-Lista cada interfaz por linea con info basica, incluyen
do direccion IP y status de la interfaz.
show interfaces.-Lista las interfaces pero con mas detalles.
como respuesta al comando 'show ip interface brief' salen 2 codigos de estado: L
ine Status y Protocol Status.
Line Status.- Se refiere esencialmente a si la Capa1 esta trabajando
Protocol Status.- Refiere generalmente al estado de capa2. Si Line Status is 'up
' y el protocol es 'down' puede ser a causa de mismatch de config.
R1(config-if)# ip address 172.16.1.1 255.255.255.0
Para enlaces Seriales:
Cables DTE son directos Tx-Tx y Rx-Rx
Cables DCE son cruzados Tx-Rx y Rx-Tx este cable debe dar el sincronismo con el
comando: clock rate. ''show controllers serial 0/0/1'' para confirmar que se
aplica el comando.Puerto AUXiliar.-sirve para hacer una llamada telefonica para
conectarse al router y emitir comandos CLI. funciona similar al puerto de
consola de forma remota con linea telefonica.
'line aux 0' comando para habilitar esta linea y tbn se pueden habilitar loggin
passwords y mas.
'show version'//Version de IOS, Ultima vez y razon por la q el equipo fue reload
ed, que archivo es usado para cargar el IOS, interfaces instaladas y
cantidad d memoria instalada.
Capitulo 16: Con
figurando direcciones IPv4 y Rutas
1-El router al recibir la trama L2, procesa asi:
a.-Se revisa la trama L2 no tenga errores, revisando el FCS.
b.-La direccion de destino L2 es la direccion del router.
2-Si se desencapsula la trama en el paso1:
3-Se hace una decision de routing. Se compara la direccion IP destino con la rou
ting table y se encuentra la mejor match. Esta ruta identifica la interfaz
de salida y posiblemente el next-hop router.
4-Encapsula el paquete en una trama apropiada L2 segun la interfaz de salida. AR
P es usado para encontrar la MAC del next device (en ambiente LAN).
5-Trasmitir la trama por la interfaz de salida, segun la IP route.
Si hay un error al revisar el FCS, el router no solicita retransmision, solo des
carta el paquete.
Cisco Expess forwarding (CEF).- Tecnologia de Hardware y Software creado por CIS
CO para aumentar las velocidades en el proceso de routing IP.
Hay 3 motodos para agregar rutas:
Rutas conectadas: Agregadas al configurar una direccion IP en 1 interfaz del rou
ter.
Rutas estaticas: Agregadas por el comando 'ip route'.
Protocolos de routing:
Rutas conectadas: y el comando IP address.
Un router CISCO agrega automaticamente una ruta a su routing table para cada sub
red conectada a una de sus interfacs, asumiendo q:
La interfaz esta en 'working state' es decir up-up
La interfaz tenga asignada una direccion IP.
Enrutar entre VLANs:
Usar un router con una interfaz y cable conectado a el SW por cada VLAN. No reco
mendado
Usar un router con un VLAN-trunking conectado a un sw
Usar un sw de capa 3.
Router on a Stick (ROAS) usa una configuracion de VLAN-trunking que da al router
una interfaz logica conecatada a cada VLAN, usando SUb interfaces.El router
necesita tener una IP/mask asociada a cada VLAN en el trunk. Sin embargo el rout
er usa solo un enlace fisico. Se crean multiples interfaces virtuales
asociadas a cada VLAN o a las q se desee que el trunk soporte.
Pasos para configurar trunking:
1.-Crear una SUBinterfaz por cada VLAN que sera enrutada.
//interface gigabitethernet 0/0.20
2.-Habilitar 802.1Q y asociar una VLAN especifica con la SUb interfaz en modo de
configuracion de la SUB interfaz. //encapsulation dot1q 20
3.-Configurar Ip address y mask. en modo de configuracion de subinterfaz.
//ip address 10.1.20.1 255.255.255.0
AUnq no se se configure se tiene siempre una Vlan Nativa, el cual usara como enl
ace troncal a:
-Interfaz fisica q tenga un comando 'ip address', sera considerada q usara Vlan
nativa
-Sub interfaz que teng el comando 'ip address'
Habilitar routeo entre VLAN en un SW L3:
1.-Habilitar al hardware roteo y luego reseteo:'sdm prefer lanbase-routing' y lu
ego 'reload'
2.-Habilitar IPv4 routing 'ip routing'
3.-Crear una interfaz VLAN para cada VLAN 'interface vlan vlan_id'
4.-Config ip y mask en la interfzas vlan.
5.-Prender la interfaz 'no shutdown'
Direccionamineto IP secundario.-
SI se han usado todos las direcciones IP existen 3 opciones
1Hacer la subred mas grande
2Migrar a una subred mas grande
3Usar una segunda subred en la misma ubicacion, usando direccionamiento secundar
io.Este direccionamiento usa multiples subredes en el mismo enlace.
Algunas versiones de IOS no permiten usar la 1era Subred, xq algunos protocolos
de routing no podrian procesarlo, la 1era subred seria la direccion Classful
con los comandos 'ip subnet-zero' o 'no ip subnet-zero' se permite o no usar la
1era subred. si no esta permitido igual aprendera la subred si es anunciada
por algun protocolo de routing, solo no es aceptada si es ingresada manualment d
e forma local.
Rutas estaticas:
ip route 172.16.2.0 255.255.255.0 172.16.4.2
ip route 172.16.3.0 255.255.255.0 S0/0/1 //Si no estan up up, des
aparecen de la routing table, a menos qc use la palabra 'permanent'
ip route 0.0.0.0 0.0.0.0 S0/0/1
Capitulo 17.-Apr
endiendo rutas IPv4 con OSPFv2
Protocolos de Enrutamiento dinamicos:
Los ruters conectan rutas ip usando 3 metodos: rutas conectadas, rutas estaticas
y rutas aprendidas por prtocols d routing.
IGPs.- Protocolos de enrutamiento disenados para usarse dentro de un sistema aut
onomo.
EGPs.- Protocolos de enrutamiento disenados para usarse entre diferentes sistema
s autonomos.
Protocolos classless no sportan VLSM.
Mediante la redistribucion de rutas los ruters pueden tomar rutas aprendidas por
un routing protocol y publicarlas a otro routing protocol.
La mejor metrica gana.
La menor distancia administrativa es la mejor:
Conectadas 0
Statica 1
BGP(rutas externas) 20
EIGRP(rutas internas) 90 //El comando show ip rou
te muestra la D.A. y la metrica
IGRP 100 // Estos valores son por
defecto y pueden ser cambiados
OSPF 110
ISIS 115
RIP 120
ip route 10.1.3.0 255.255.255.0 10.1.130.253 210// Ruta estatica con D.A
.=210 solo seria usada cuando el routing protocol no encuentra una ruta.
Los Link State Advertisements (LSA) es una estructura de datos que contiene info
especifica de la topologia de la red, la Link State Database (LSDB) es el lugar
donde se almacenan
las LSA. El comando 'show ip ospf database' muestra info de la LSDB.
Para que 2 routers se vuelvan vecinos deben enviarse mensajes 'hello'. 'show ip
ospf neighbors'.aqui se aprenden los ROUTER-ID(32 bits) de cada neighbor.esta co
municacion es a traves
de una direccion de Multicast 224.0.0.5 puerto 89.
Configuracion de OSPF:
1.- router ospf process-id //router ospf 1
//Habilitar el proceso OSPF. Valor unico en el router: 1-65535
2.- (Opcional) Configurar OSPF router-id:
A.- router-id id-value //router-id 1.1.
1.1 //Comando
B.- configurar una IP en una interfaz de loopback
3.- network ip-address wildcard-mask area area-id //network 10.0.0
.0 0.255.255.255 area 0 //Indirectmnt habilita OSPf en la interfz
Router-ID: proceso de hasta 3 pasos:
1- Si se ha usado el comando 'router-id'
2- Si ha sido configurada una interfaz de loopback en estado up. Si hay varia se
escoje la mayor.
3- Se escoje la direccion ip con mayor valor entre las interfaces activas.
Se resetea el proceso OSPF con el comando 'clear ip ospf process'.
Interfaces pasivas en OSPF: OSPF no formara vecinos en estas interfaces pero con
tinuara publicando las redes conectadas a esa interfaz.
Hay 2 formas de volver a una interfaz pasiva:
1.- Usando el comando 'passive-interface type number'
2.- Haciendo a todas las interfaces pasivas 'passive-interface default'
Luego habilitando solo las necesarias 'no passive-interface type numb
er'
Para revisar que una interfaz esta en modo pasiva se lo revisa con el show runni
ng-config o con el 'show ip ospf interface' (solo 1 linea indica la pasividad).
'show ip ospf interface brief' no indica esta configuracion.
Se anuncian rutas por defecto con el comando 'default-information originate'
Capitulo 18.- Configuran
do y Verificando conectividad entre Hosts
ip address dhcp //COnfigurad en modo de configuracion de interfa
z. Sirve para que la interfaz del router aprenda IP via DHCP.
Dynamic Host Configuration Protocol (DHCP). La configuracion de las IP-Hosts cae
n sobre un servidor DHCP y el cliente aprende estas configuraciones usando mensa
jes DHCP.
Inicialmente un cliente DHCP(host) no tiene ip,mask,ni dns. pero sabe del protoc
olo DHCP.Gracias a este 'discover' al servidor DHCP y 'request' una direccion IP
.
El proceso de alquiler de una direccion IP se forma por 4 mensajs entre el clien
te y el server.
Discover: Enviado por el cliente para encontra un servidor DHCP.
Offer: Enviado por el server para ofrecer al cliente una IP, tbn inform
a al cliente de sus parametros. Respuesta a 255.255.255.255
Request: Enviado por el cliente para solicitar al server una IP de las qu
e fueron listadas en el mensaje 'OFFER'
Acknowledgment: Enviado por el server para asignar una IP/Mask/DNS/Gateway.
Como el cliente inicialment no tiene IP, estos mensajes son enviados inicialment
por las sigts direcciones:
0.0.0.0 Direccion reservada para usar como IP cuando aun no se tiene Ip.
255.255.255.255 Direccion de destino de los mensajes enviados por el cliente. Es
tos mensajes no inundan otras redes.
El proceso descrito anteriormente funciona si el server esta dentro de la misma
RED, si el servidor esta en otra RED no sirve, xq los routers no reenvian los pa
quetes con destino
255.255.255.255; Para hacer ese trabajo los routers conectados a la LAN remota
necesitan una interfaz con el comando 'ip helper-address server-ip' el cual le
dice al router
hacer los sigt con los mensajes del cliente DHCP:
-Ver los mensajes DHCP entrantes con ip destino 255.255.255.255
-Cambiar la ip de origen por la ip de la interfaz del router por la cual entro e
l mensaje.
-Cambiar el destino del paquete IP por la direccion del servidor DHCP (q se puso
en el comando 'ip helper-address server-ip')
-Enruta el paquete al servidor DHCP.
Este proceso de cambio de ip (de 255.255.255.255 por la ip del servidor) se llam
a 'DHCP RELAY'
Para los mensajes q van en la direccion desd el server hacia el cliente se usa e
l mismo principio yaq el cliente aun no tiene IP.
-Se cambia la IP Destino por la Ip 255.255.255.255, para q ele client la pueda r
ecibir
-La Ip Origen sigue siendo la del server.
La sigt lista muestra el tipo de configuraciones que necesita saber el servidor
para repartir IPs:
-Subnet-ID y mask- El rango de IPs a prestar
-Direcciones reservadas
-Default router.- IP del router en la subred.
-DNS IP Address.- Lista de servidores DNS.
Configurar DHCP en routers CISCO:
1.- Excluir direcciones IP del proceso DHCP: 'ip dhcp excluded-address first las
t'
2.- Crear un pool DHCP e ir a este modo de configuracion: 'ip dhcp pool na
me'
A- Definir la subred: 'network subnet-
ID mask' o 'network subnet-ID prefix-length'
B- Definir el gateway (default router): 'default-router
address1 address2'
C- Definir los servidores DNS: 'dns-server addr
ess1 address2'
D- Definir tiempo de alquiler de IPs: 'lease days hour
s minutes'
- Definir el nombre de dominio DNS: 'domain-name nam
e'
show ip dhcp binding// muestra las IPs prestadas.
SI una IP reservada ya ha sido puesta estaticamente por un cliente:
-El server primero hace un ping a la IP que esta ofertando, si recibe respuesta
significa que ya esta siendo usada. y entrega otra IP.
-El al recibir una oferta de IP envia un ARP para esa direccion, si alguien resp
onde se encontro un conflicto.
show ip dhcp conflict
clear ip dhcp conflict
Name Resolution with DNS
Domain Name System (DNS), no necesita mayor atencion de los router y SWs entre e
l server y el cliente.
en el cmd escribe: 'nslookup' para conocer la ip del servidor y el servidor pred
eterminado.
Los comandos para q un R o SW resuelva los nombres son:
'ip name-server server-IP' //Configura la ip de hasta 6 servidores
DNS
'ip host name address' //Estaticamente configura un nombre y ma
tchea su IP. El router usara esta IP si el usuario teclea el nombre
'no ip domain-lookup' //Desactiva la resolucion de nombres.
'netstat -rn' //En la cmd.Para saber el gateway.
'arp -a' //En la cmd. Para saber la ip asociada a
las mac.Necesario para encapsular el paqt IP en la Trama LAN.
'show arp' //En los routers. Cisco pone sus interfa
ces en el cache arp.
'clear ip arp'
Comados para probar conectividad: Ping, Traceroute y Telnet
PING- usa Internet Control Message Protocol (ICMP), especificamente los mensajes
: -ICMP Echo Request- y -ICMP Echo Reply-. No necesita de ningun protocolo de la
capa de aplicacion.
en un router 'ping y luego enter' se desplegaran la opcions para el ping una por
una.
Se puede configurar cuanto tiempo se debe esperar por el -echo reply- o la longi
tud del paquete.
TRACEROUTE- Tracert confia en un mensaje ICMP llamado: Time-To-Live Exceeded (TT
L Exceeded) message. Cuando el TTL llega a '0' el paquete se descarta y el route
r envia un mensaje
'ICMP TTL Exceeded' al host indicando que el paquete fue dropeado.
'tracert' o 'pathping' en el cmd.
Un traceroute habitualmente envia 3 paquetes con TTL=1, asi al paquete llegar al
sigt router este bajara el TTL=0 y enviara un mensaje ICMP TTL Exceeded tbn env
iara su IP en ese paqt.
Los router tiene varias IP para enviar xq tienn varias interfacs, pero enviara d
e vuelta en el paqt 'ICMP TTL Exceeded' la IP de la interfaz de donde le llego e
l paqt Traceroute.
Luego el traceroute enviara en su paqt un TTL=2 y luego TTL=3 hasta llegar al de
stino.cada vez q este valor se haga 0 el router respondera con el mensaje 'ICMP
TTL exceeded' donde pondra
la IP por donde le llego el paqt traceroute como Origen.
Telnet y Suspend.-
show users// muestra los usuarios conectados
show sessions = where // muestran las conexiones activas. pone un asterisco en l
a ultima.
resume id // Nos mueve hacia la conexion, si no se especifica id, nos llev
a a la aultima.
disconnect id //desconecta telnet o ssh
Capitulo 19- Diseno de Subred
Para encontrar los saltos(numeros de Hosts) en una subred mas facilmente, usamos
el llamdo 'numero magico' ej:
255.255.240.0 ====> 256-240=16 ====>Los saltos seran de 16 en 16
255.255.224.0 ====> 256-224=32 ====>Los saltos seran de 32 en 32
Capitulo 20.- Variable-Length Subnet Mas
ks
Protocolos de enrutamiento classless anuncian la mascara en cada ruta publicada.
Encontrar Overlaps con VLSM.-
1-Calcular el subnet-ID con sus direcciones de broadcast respectivos. Asi tendre
mos el rango de cada subred.
2-Listar los subnet-IDs en orden
3-Buscar en la lista de arriba hacia abaj y verifciar si hay direcciones IP que
se superponen.
Para el examen se debe evitar la subred-0 si la pregunta implica el uso de proto
colo de enrutamiento classfull o si los routers estan configurados con el
comando 'no ip subnet-zero'. En cualkier otro caso la subred-0 puede ser usada.
Capitulo 21.- Sumarizaci
on de Rutas
Capitulo 22.- Lista de C
ontrol de Acceso (ACL) basado en IPv4
ACL lista los valores que un router puede ver en sus cabeceras: IP-TCP-UDP.
Routers pueden aplicar el filtrado en la interfaz por la cual ingresa el paquete
IP o en la interfaz por la cual sale. Para filtrar un paquete se debe
habilitar un ACL en una interfaz que procese el paquete. Cuando se habilita el r
outer luego procesa cada paquete entrante o saliente usando la ACL.
Los ACL-ID pueden ser nombre o numeros.
Un comando usualmente usa la sigt la logica: 'Revisar estos valores en la cabece
ra, si lo encuentras descarta/permite el paquete'
Tipos de IP-ACL:
Standard Numbered ACL (1-99) // Matching: Sou
rce IP;
Extended Numbered ACL (100-199) // Matching: Sou
rce and destination IP; Source and destination Port; Otros
Additional ACL Numbers (1300-1999 standar; 2000-2699 extended)
Proceder de las ACL:
ACL usa una logica de first-match, es decir una vez q el paquete coincide con un
a linea de la ACL el router toma la accion listada en esa linea y detien la
busqueda. Si el paquete no tiene coincidencia con ninguna linea de la ACL el pqu
ete sera descartado. Esto sucede xq cada ACL tiene un 'deny all' implicito
al final, asi si un router mantiene la busqueda, encontrara al final una coincid
encia con la accion 'deny'.
access-list {1-99 | 1300-1999} {permit | deny} matching-parameters
access-list 1 permit 10.1.1.1 //Matching de una IP esp
ecifica como origen.
access-list 1 permit host 10.1.1.1 //Tbn matchea una Ip esp
ecifica, usado para viejos IOS, aceptado en las nuevas,
pero el IOS quitara la
palabra 'host'
Para hacer coincidencias con una subred se debe usar wildcards
access-list 1 permit 172.16.8.0 0.0.3.255 //Mtaching con esa subre
d como origen.
Para hacer coincidencias a todas las direcciones:
access-list 1 permit any //Permite que pase todo
trafico sin importar la IP-source, usado al final del ACL para q no entre
a funcior el 'deny all
'
Los paquetes dropeados x la sentencia por defecto del router (deny all) no son m
ostrados en su contador.si se desea observar los pquetes q ha sido dropeados
se debe usar el comando:
access-list 1 deny all
Capitulo 23.- Advanced I
Pv4-ACL y seguridad de dispositivos.
Matching: Protocolo-IP ORIGEN-IP DESTINO.- El ACL-extendido necesita de esos 3 p
arametros.
access-list 101 permit ip/tcp/udp/icmp/otros souce_ip dest_ip //ACL ex
tendidas estan en el rango 100-199 y 2000-2699
Cuando se hace el match con una direccion IP especifica el ACL necesita la palab
ra 'host'. ejemplos:
access-list 101 deny tcp/udp/icmp any any //Negar cualkier
paquete IP que tenga cabecera:TCP/UDP/ICMP
access-list 101 deny ip host 1.1.1.1 host 2.2.2.2 //Negar todo paq
uete IP con host origen 10.1.1.1 y host destino 2.2.2.2
access-list 101 deny udp 1.1.1.0 0.0.0.255 any //Negar paquetes
IP con cabeceras UDP desde la red origen 1.1.1.0/24 hacia cualkier destino.
Matching: Numeros de puertos TCP y UDP
access-list 101 permit tcp 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255 eq
21 //permitir paqts IP con header TCP desde 172.16.1.0/24 hacia
172.16.3.0/24 y puerto destino=21
access-list 101 permit tcp 172.16.1.0 0.0.0.255 eq 21 172.16.3.0 0.0.0.2
55 //permitir paqts IP con header TCP desde 172.16.1.0/24 y puerto
origen=21 hacia 172.16.3.0/24
access-list 101 deny tcp any gt 1023 host 10.1.1.1 eq 23 //Paqts con cabe
cera TCP desde cualkier IP-origen con puertoOrigen mayor a 1023 y host destino 1
0.1.1.1 y puertDestino=23
access-list 101 deny tcp any host 10.1.1.1 eq 23 //Paqts con cabe
cera TCP desde cualkier IP-origen y Host destino 10.1.1.1 y puertoDestino=23
access-list 101 deny tcp any host 10.1.1.1 eq telnet //Igual q el ant
erior
access-list 101 deny udp 1.0.0.0 0.255.255.255 lt 1023 any //Paqts con cabe
cera UDP desde la red 1.0.0.0/8 y puertoOrigen<23 hacia cualkier red.
En cuanto a la interfaz en que se aplique la ACL, CISCO sugiere: Que se
coloque lo mas cerca posible a la fuente del paquete.
ACL Nombrados y ACL Editados
Al usar ACL nombrados se usan subcomandos ACL, no comandos globales como era con
los numerados.
Permite al usuario borrar e insertar lineas individuales.
router(config)#ip access-list extended barney
router(config-ext-nacl)#permit tcp host 10.1.1.2 eq www any
router(config-ext-nacl)#deny udp host 10.1.1.1 10.1.2.0 0.0.0.255
router(config-ext-nacl)#deny ip 10.1.3.0 0.0.0.255 10.1.2.0 0.0.0.255
router(config-ext-nacl)#deny ip 10.1.2.0 0.0.0.255 10.2.3.0 0.0.0.255
router(config-ext-nacl)#permit ip any any
router(config-ext-nacl)#interface serial 0
router(config-if)#ip access-group barney out
Para borrar una entrada de la ACL se pone el prefijo 'no', like this: no
deny ip 10.1.2.0 0.0.0.255 10.2.3.0 0.0.0.255
usar 'do show ip access list' muestra un show dentro de cualkier modo de configu
racion, gracias al prefijo 'do'
Tbn se puede crear ACL numerados como si fuese con nombres para aprovechar sus c
aracteristicas:
R1(config)# ip access-list standard 24 //Crea una ACL numerada=
24
R1(config-std-nacl)# permit 10.1.1.0 0.0.0.255
R1(config-std-nacl)#do show ip access-list 24 //Muestra la lista 24
R1(config-std-nacl)# no 10 //Cada entrada se numera
de 10 en 10 por defecto, aqui se borra la primera linea del ACL.
R1(config-std-nacl)# 5 deny 10.1.1.1 //Se crea una entrada nu
merada con 5.
Al hacer un show running-config el ACL numerado ya sea en el nuevo o viejo estil
o o ambos estilos mesclados en la misma ACL;se mostara en la version vieja.
Seguridad de routers y SWs
Por defecto CISCO tien habilitado una interfaz grafica (GUI)aqui el IOS trabaja
como web server pero HTTP no encripta datos, se recomienda deshabilitarlo y
habilitar HTTPS q si encripta. Se recomienda deshabilitar CDP xq un hacker puede
aprender la red gracias a esta herramienta.
R1(config)# no ip http server
R1(config)# no service tcp-small-servers
R1(config)# no service udp-small-servers
R1(config)#no cdp run
Controla acceso telnelt/ssh con ACL
access-list 3 permit 10.1.1.0 0.0.0.255 --ACL estandar
line vty 0 4
access-class 3 in --in por trafico q entra
access-class 3 out --si se quiere hacer una sesion telnet/s
sh hacia otro despositivo desde este dispositivo. Pero aqui loq indique el
-- ACL no sera una IP de origen sino una
IP destino, que indique a que direccion no se debe hacer telnet/ssh
Network Time Protocol (NTP). El cliente sincronia sv hora basado en este server.
Un Syslog server guarda copia de los mensajes log de todos los dispositivos. NTP
sincroniza el tiempo/reloj de todos los dispositivos.
R1(config)# ntp server 172.16.2.2 version 4 //El server NTP esta en
esa IP.
R1(config)# ntp master //El mismo actua como se
rver NTP
R1# show ntp status
R1# show ntp associations
E
no access-list 1 permit 10.1.1.1 // !!!OJO!!!! Borrara to
das las linea de esa ACL. Si queremo borrar una linea hay 2 opciones/casos:
Borrar toda la ACL y esc
ribir las q necesitamos.
Ingresar al modo de conf
ig ACL y alli borrar usando el numero de secuencia de la respectiva linea.
Capitulo 24.- Network Ad
dress Translation
3 Estandares fueron creados para q las direcciones Ip abastescan el mercado:
NAT - Direcciones IP privadas - C
lassless Interdomain Routing (CIDR usa la tecnica VLSM y sumarizacion)
CIDR.- RFC 4632.-
NAT.-RFC 3022.- Permite a un Host que no tiene una IP valida, salir a internet a
traves de una IP valida.
NAT ESTATICA: Mapea la IP privada a una IP Publica en modo: una a una. El router
tiene mapeado manualmente.
NAT DINAMICO: La asignacion de una IP interna a una IP externa es automatica/din
amica. NAT establece una reserva (pool) de direcciones globales/publicas.
clear ip nat translation // Borra manualmente la asignaciones de
ip realizadas.
NAT puede ser configurado con mas direcciones IP en el lado local que en el lado
global. El router asigna direcciones hasta que todas las de su pool son
asignadas. Si todas las direcciones en el pool estan en uso el paquete se descar
ta. El pool deberia ser tan grande como el numero maximo de host conectadas
a la internet al mismo tiempo; a menos q se use PAT.
Overload de NAT con Port Address Translation (PAT).- Aqui no solo se traduce las
direcciones sino tbn los puertos. Usando difernets numeros de puertos(L4)
un router-NAT puede representar varias direcciones inside-local en inside-global
. Cuando PAT hace el mapeo no solo selecciona una inside global address sino
tbn un unico numero de puerto. y como el campo 'port number' tiene 16 bits NAT o
veload (PAT) puede usar mas de 65000 numeros de puerto, haciendolo mas
escalable sin usar mas IPs, en ocasiones solo necesitando 1 IP publica. PAT es l
a opcion mas usada. xq nat estatico y dinamico hacen mapeo una-a-una.
Configuracion de NAT estatico: La NAT-table se crea automaticamente luego del co
mando 'ip nat inside source static inside-local inside-global'
Cada mapeo debe ser configurado, adicionalmnte se debe fijar en que interfaz se
usara NAT.
La NAT-table se crea luego de ingresar el comando 'ip nat inside source static i
nside-local inside-global'. los pasos:
1.-Configurar interfaz que sera la 'inside part': 'ip nat
inside'
2.-Configurar interfaz que sera la 'outside part': 'ip nat
outside'
3.-Configurar el mapeo estatico en modo config global: 'ip nat
inside source static inside-local inside-global'
NAT# show ip nat translations // NAT table
NAT# show ip nat statistics //numero de accesos q se incrementa por
cada paquete q NAT traduce.
Configuracion de NAT DINAMICO:Las interfaces aun deben ser identificadas como in
side/outside. El mapeo manual no se realiza en cambio se usa una ACL para
identificar que IPs privadas van a ser traducidas. y tbn define un pool de IPs p
ublicas.
La NAT-table se crea luego q un 1er paquete de la red inside va hacia la red out
side.
Pasos:
1.-Configurar la inside part:
//ip nat inside
2.-Configurar la outside part:
//ip nat outside
3.-Config una ACL que matchee los paqts q ingresan en las interfacs inside para
los cuales NAT sera desarrollado
4.-Config el pool de IP publicas
//ip nat pool name first-address last-address netmask mask
5.-Hablitar NAT dinamico referenciando al ACL del paso 3 y al pool del paso 4. e
n config global mode //ip nat inside source list acl-number pool pool-name
1.-R1(config-if)#ip nat inside
2.-R1(config-if)#ip nat outside
3.-R1(config)#access-list 1 permit 10.1.1.1
//Se lista cada IP a ser traducida
4.-R1(config)#ip nat pool fred 200.1.1.1 200.1.1.2 netmask 255.255.255.2
52
5.-R1(config)#ip nat inside source list 1 pool fred
NAT# show ip nat translations //Muestra inside global/local y outside global/l
ocal. Vacio hasta que se solicite un atraduucion y se llene la NAT-table
NAT# show ip nat statistics //Muestra la interfaz inside/outside, el pool de
IP publicas, cantidad de traducciones. Suele haber 1 misses al inicio xq no
//hay cread aun la NAT-table
//Tbn se muestra el porcentaje del pool usado, s
i se llena el ultimo counter empieza a contar.
clear ip nat translation //Borra la NAT-table
debug ip nat //Para ver como se hace la traduccion en vivo.
Configuracion de NAT OVERLOAD (PAT): Hay 2 variaciones de configuraciones.
1.- Cuando se tiene un pool de direcciones IP publicas (inside global). es simil
ar a NAT DINAMICO, solo se agrega la palabra 'overload' al final de la
sentencia 'ip nat inside source list'
1.-R1(config-if)#ip nat inside
2.-R1(config-if)#ip nat outside
3.-R1(config)#access-list 1 permit 10.1.1.1
//Se lista cada IP a ser traducida
4.-R1(config)#ip nat pool fred 200.1.1.1 200.1.1.2 netmask 255.255.255.2
52
5.-R1(config)#ip nat inside source list 1 pool fred overload
//OVERLOAD
2.- Sin un pool:
1.-R1(config-if)#ip nat inside
2.-R1(config-if)#ip nat outside
3.-R1(config)#access-list 1 permit 10.1.1.1
4.-R1(config)#ip nat inside source list 1 interface s0/0 overload
//s0/0 significa q la IP de esa interfaz es la unica disponible para
//ser traducida (inside global)
//sin el overload solo seria NAT dinamico. con esa unica IP (de la
//interf s/0).
Capitulo 25.- Fundamento
s de IPv6.- RFC 2460.- 128 bits
La header de IPv6 es de 40Bytes, incluye:
^Source address (16 bytes)
^Destination Address (16 bytes)
^version,class,flow label, payload length, next header, hop limit (8 bytes)
Nuevos protocolos q soportan IPv6: RIPng, OSPFv3, EIGRPv6, MP BGPv4, Neighbor Di
scovery Protocol (NDP), ICMPv6.
Representacion de direcciones IPv6: Formato no abreviado: 8 conjuntos de 4 digit
os hexadecimales (cuartetos)cada uno:2340:1111:AAAA:0001:1234:5678:9ABC:1234
Abreviando IPv6: Computadores y routers usan la abreviatura mas corta, incluso s
i se ingresa los 32 hex-digits.
reglas para abreviar:
1-Dentro de cada cuarteto, remover los primeros '0' de la izquierda.
2-Encontrar cadenas de 2 o mas cuartetos consecutivos llenos de '0' y sustituir
este conjunto de cuartetos con 2 puntos dobles(::). solo se puede usar esto
1 vez, para mantener clara la direccion.
ejemplo: FE00:0000:0000:0001:0000:0000:0000:0056 ===> FE00:0:0:1:0:0:0::56
=====> FE00:0:0:1::56
Expandiendo direcciones IPv6:
Se usan las mismas reglas:
1- en cada cuarteto, agregar '0' hast completar el cuarteto.
2- si hay doble '::', contar los cuartetos mostrados, el total debe ser menor a
8, se reemplazaran los '::' con multiple '0000' hasta tener 8 cuartetos.
Representacion de las Prefix-Length (Mascara) '/' su valor obviamente va de 0 a
128.
Calcular la IPv6-Prefix (Subnet-ID)
1.- COpiar la parte de red (en bits)
2.- cambiar el resto de la ip por '0s'
Si la prefix-length es multiplo de 16, se divide para 4 y contar los digitos hex
adecimales, los q sobran se llenan con '0s'
2001:0DB8:AAAA:0002:1234:5678:9ABC:DEF0 /64 =======> 2001:0DB8:AAAA:0002:0000
:0000:0000:0000 Subnet-ID =====> 2001:0DB8:AAAA:0002:: /64 Subnet-ID
Trabajando con IPv6 Prefix-Length mas dificiles: multiplos de 4 q son las normal
es:
2000:1234:5678:9ABC:1234:5678:9ABC:1111/56 =======> 2000:123
4:5678:9A00:0000:0000:0000:0000 =====> 2000:1234:5678:9A00:: /56
CAPITULO 26.- Di
reccionamiento y Subneteo con IPv6
IANA y RIRs asig
nan los bloques de direcciones IP
Aqui no se usan conceptos como 'redes classfull', sin embargo IANA reserva algun
os rangos de direcciones para propositos especificos.Incluso hay direcciones
q sirven como IP publicas y privadas.
Global Unicast Address.- Equivalente a direcciones publicas IPv4.
Unique Local Address.- Equivalente a direcciones privadas IPv4.
Global Unicast Address:
Global Routing Prefix.- Es el bloque/rango de direcciones IPv6 que se pueden usa
r. Esta direccion representa a toda la red IPv6.
Direcciones Global Unicast tienen la mayoria del espacio IPv6.
Tipo de direccio
n Primeros digitos Hexadecimales
Global Unicast
2 o 3 al inicio. ahora toda no reservada
Unique Local
FD
Multicast
FF
Link-Local
FE80
Para Subneteo por ahora se usara mascara /64. La direccion IPv6 se estructura as
i:
Global Routing Prefix(32/48/56) + Subnet + Interface ID(64) = 128
La global routing prefix es asignada por la IANA, incluyendo la longitud.
El subnet-ID = Global Routing Prefix + Subnet = Subnet Router anycast address
Unique Local Unicast Address.- Se subnetean igual que las global unicast address,
pero empiezan con FD(hexa). Puede ser usado por cualkier administracion
sin ser registrada a IANA. La direccion 'DEBE' segir las sigts reglas:
FD(8) + Global-ID(elegido)(40) + Subnet(16) + Interface-ID(64) =
128
FD+GLOBAL-ID=ROUTING PREFIX
CAP 27.- Impleme
ntacion de direccionamiento IPv6 en Routers
Roters cisco dan 2 opciones para configurar direcciones ipV6. En una se pone la
direccion completa de 128 bits y en la otra se configura solo un prefijo de 64 b
its y dejan q el roter
ponga la segunda mitad de la direccion (Interface-ID).
Configurando la direccion completa:
>>ipv6 unicast-routing //Habilita IPv6 en modo de config global
.
>>ipv6 address 2001:DB8:1111:1::1/64 //Direccion IPv6 en modo d config de int
erfaz, no se debe dejar espacio entre la address y el prefix-length (mask)
Si se habilita la direccion IPv6 en la interfza pero no en el modo de co
nfig global. el router como host IPv6 y no ruteara esos paquetes.
>>show ipv6 interface brief //da la ip, pero no el prefix-length
>>show ipv6 interface //
Generando una Interfaz-ID usando EUI-64:
Extended Unique Identifier 64(EUI) es el metodo usado por el router para generar
automaticamente un unico Interface-ID.se usan las sigts reglas:
1-Dividir la MAC en 2 mitades de 3bytes cada uno.
2-Colocar en la mitad el valor: 'FFFE'
3-Invertir el 7mo bit(de izq a derecha) de la primera mitad. Para esto se debe c
onvertir a binario el 1er byte (2primeros digitos hexadecimales)
ejemplo: MAC=00:13:12:34:AB:CD ====> 001312 FFFE 34ABCD ====> 0013:12F
F:FE34:ABCD ====> 00=0000 0000==>0000 0010=02 ====> 0213:12FF:FE34:ABCD
>>ipv6 unicast-routing //Habilita direccionamie
nto IPv6
>>ipv6 address 20001:DB8:1111:1::/64 eui-64 //El Keyword eui-64 habi
lita al router paraq genere el Interface-ID
Configuracion de direcciones Unicast dinamicas:
Routers cisco soportan 2 metodos para aprender direcciones IPv6 dinamicamente: D
HCP - Stateless Address Autoconfiguration (SLAAC)
R1(config-if)#ipv6 address dhcp //aprender IPv6 via DHCP
R1(config-if)#ipv6 address autoconfig //aprender Ipv6 via SLAA
C
Direcciones especiales usadas por los Routers:
Link-Local address.- a
1- Usando el comando: ipv6 address address link-local interface
2- Automatico. IOS la pondra usando reglas de eui-64, incluso si la ipv6 de la i
nterfaz no fue puesta usando eui-64.
Direcciones Multicast: Ipv6 no tiene direcciones de broadcast, en su lugar:
IPv6 define una direccion multicast para broadcast: FF02::1 , llega a todos l
os dispositivos IPv6 incluyendo routers. tbn llamado 'all nodes'
Si 1 protocolo necesita enviar mensajs solo a routers: FF02::2, que es una IPv6
usada solamente por routers. tbn llamado 'all routers'
tbn EIGRP usa FF02::A , OSPF usa FF02::5 FF02::6. En termino generales: FF08::/8
son IPv6 multicast. FF02::/16 direciones link local scope q permiten q un paqt
sea ruteado dentr de la empresa.
Solicited-Node Multicast Address.- Es un tipo de direccion multicast.- provee un
a direccion para enviar un paqt denro de una subred IPv6 a todos los host cuyas
direcciones tienen el
mismo valor en los ultimos 6 digitos hexadecimales. Toda direccion IPv6 debe esc
uchar los mensajes de su solicited-node multicast address, asi para cada interfa
z y cada direccion
unicast en la interfaz el dispositivo debe determinar esta direccion.
Toda direccion solicited-node multicast address empieza con FF02::1:FF/104 y los
ultimos 24 bits (6 hex dig) se copian de la unicast address.
Direciones especiales:
-- all 0s '::' // Usada cuando el host aun no t
iene direccion IPv6. Usada por ejemplo en el proceso de aprendizaje dinamico de
IPs (dhcp)
-- ::1 o 127 binary 0s con un 1 al fin // Similar a 127.0.0.1 disenada
para testearse a si mismo.
Capitulo 28.- Implementa
do direccionamiento IPv6 en Hosts
El default router tipicamente es la direccion link-local.
Neighbor Discovery Protocol (NDP) define varias funciones relacionadas al direcc
ionamiento IPv6:
SLAAC: Cuando se usa Stateless Address Autoconfiguration (SLAAC), los Hosts usan
mensajes NDP para aprender la primera parte de la direccion mas la Prefix-lengt
h (mask)
Router Discovery: Los hosts aprenden direcciones IPv6 usando mensajes NDP.
Duplicate Address Detection.- Sin importar como un Host aprendio su IPv6, antes
de usarla debe asegurarse si es unica. Esto lo logra usando mensajes NDP atraves
de un proceso llamado
Duplicate Address Detection (DAD).
Neighbor MAC Discovery.- Luego q un host ha pasado el proceso DAD y usa su direc
cion IPv6, el host necesita aprender la MAC de otros Hosts en la misma subred. N
DP equivale al IPv4-ARP
enviando mensajes que reemplazan a los tradicionales mensajes: ARP reply y reque
st.
NDP define 2 tipos de mensajes que permiten descubrir todas las potenciales 'def
ault routers' de esa LAN.Los mensajes son:
Router Solicitation (RS).- Enviado a todos los routers IPv6 atraves de la direc
cion multicast FF02::2, de manera q se pregunta a todos los routers.
Router Advertisement (RA).- Mensaje enviado por el router, envia entre otra cosa
s la direccion Link-Local. Pueden ir mas de una en el mensaje.
Si este mensaje se envia sin solicitud (periodicamente,
anunciando detalles del enlace) el router envia el mensj a todos los hosts(FF02:
:1)
Si este mensaje se envia como respuesta de un RS es envi
ada a la direccion unicast de donde vino el RS.
NDP define 2 tipos de mensajes adicionales que realizan la labor de ARP en IPv4.
Neighbor Solicitation (NS).- Solicita a un host IPv6 enviar un mensaje NA con su
direccion MAC. Es enviado a la direccion multicast solicited-node, asi este me
nsaje es tratado solo
por los hosts cuyos 6 ultimos digits hexadecimales
coinciden con la direccion requerida.
Neighbor Advertisement (NA)- Leva la direccion MAC del trasmisor, enviado como r
espuesta a quien envio el mensaje NS. En algunos casos un host envia un 'unsolic
ited NA' en cuyo caso
el mensaje es enviado a todos los host IPv6 atraves
de la direccion multicast FF02::1.
La tabla NDP neighbor equivale a la IPv4 ARP cache.
IPv6 usa DUplicate Address Detection (DOD) antes de usar una direccion unicast p
ara asegurse q esa IPv6 no este repetida. Este proceso se logra tbn usando los m
ensajes NS y NA.
Un host envia un mensaje NS listando la direccion IPv6 de quien deseas saber la
MAC, como respuesta recibe 2 mensajes NA, loq indica que esta siendo duplicada e
sa IPv6.
Los hosts hacen la revision DOD para cada direccion unicast IPv6, incluyendo la
direccion link-local
Aprendizaj dinamico de direcciones, DHCPv6 q necesita un servidor DHCP y SLAAC q
ue no lo necesita.
DHCPv6 tiene 2 metodos 'STATEFUL' y 'STATELESS'
STATEFULL.- el servidor tiene info de la mac a quien le presto una IPv6
STATELESS.- el servidor no tiene ninguna info del cliente. usado en SLAAC.
A diferencia de IPv4 en IPv6 STATEFUL el server no incluye la direccion default-
gateway/Defaul-router, esto se aprende en los mensajes NDP.
Los mensajes usados para el proceso de aprendizaj de direcciones IPv6 son (en or
den): Solicit-Advertise-Request-Reply. Con los 2 primeros se ubica al DHCP-serve
r, con los 2 ultimos se
pide una IPv6 con el reply message como confirmacion de esa IP prestada.
Si el servidor esta en una LAN diferete al cliente el router de salida debe trab
ajar como 'Relay agent'. El cliente envia el mensaje 'solicit' con direccion mul
ticast d destino 'FF02::1:2'
que signifca 'todos los DHCP agent'. El comando que habilita al router como 'rel
ay agent' debe ser en la interfaz q pertenece a la LAN.
R1(config-if)#ipv6 dhcp relay destination 2001:DB8:1111:3::8 //Se esc
ribe la IP del server. ademas debe haber una ruta hacia esa red.
SLAAC.- Cuando se usa SLAAC un host no presta una IP al server, el mismo crea su
IP aprendiendo el prefix (parte de red) y completando el mismo el resto de la d
ireccion.asi:
1.- Aprende el prefix usando los mensajes NDP:RS y RA.
2.- El host completa la otra parte de la IP llamada 'Interfaz ID', q se puede co
mpletar usando: eui-64 o con numeros random.
3.- Antes de usar la direccion se usa DAD.
Para q el host pueda salir nesecita :IP,Prefix,Prefix length, Defaul router y DN
S server.
La direccion IP la consigue gracias a SLAAC. El prefix, Prefix-Length y Default-
router los aprende con los mensajes NDP. El servidor DNS se aprende con Stateles
s DHCPv6.
Para verificar conectividades ademas de ping, tracerovte y mas en IPV6 se pvede
vsar: R2# show ipv6 neighbors, q mvestra los vecinos IPV eqivalnt a la
tabla ARP el cval es llenado gracias a los mensajes NDP: NS y NA.
Capitulo 29.-Implementacion enrv
tamiento IPv6
Rutas conectadas directamente y Local. el rovter las cre
a avtomaticamente al levantar la interfa.
Los routers crean una ruta para la subred y una para el host(/128). basandose en
la IPv6 de las interfas.
Los routers no crean rutas IPv6 para direcciones linklocal.
R1# show ipv6 route
R1# show ipv6 route local //Muestra las rutas Local
Rutas estaticas IPv6: Hay 2 opciones usando la interfa d
e salida o la IP del next Hop (unicast address o link local addrs).
R1# show ipv6 route static //Muestr
a las rutas estaticas
R1# show ipv6 route 2001:db8:1111:2::22 // Esta IP es del remot
o, el router respondera con la rvta q usara para forwardear el paqt.
R1(config)# ipv6 route 2001:db8:1111:2::/64 2001:DB8:1111:4::2 //Ejempl
o de rvta estatica con unicast address como next hop. igual q IPv4.
Para ingresar una ruta con link local address como next hop se debe ademas indic
ar la interfa de salida xq a diferencia de la unicast address next hop
aki el router no puede dedvcir la interfas de salida. Esto xq no se crean dentro
del rovter rvtas para las link local address
R1(config)# ipv6 route 2001:db8:1111:2::/64 S0/0/0 FE80::FF:FE00:2 // Se es
cribe la rvta remota, segvido de la interfa de salida y la IP de
link
local address del remoto.
B1(config)# ipv6 route ::/0 S0/0/1 // Rvta
estatica x defecto.
OSPFv3
OSPFv3 solo soporta rvtas IPv6, el protocolo RIP para IPv6 se llama RIP Next Gen
eration (RIPng). EIGRPv6.
Igval a OSPFv2, la version actval es un protocolo de estado de enlace, maneja el
concepto de areas, tbn debe ser habilitada en cada interfa.
luego de ser habilitada en cada interfa ellos tratan de descubrir vecinos. revis
an ciertis parametros antes de establecer vecinos, luego q se crean
las vecindades los routers empiesan a intercambiar sus LSDB atraves de los LSA q
son kienes describen la topologia de la red.Luego corre SPF.
Aki no se usa el comando network 1.2.3.4 0.255.255.255 area 0 para indicar las ru
tas a anunciar, en su lugar se pone el comando ipv6 ospf1 area 0
dentro de la interfas a la cual esta conectada la red a ser anunciada.
Eleccion del router ID (RID) en IPv4:
1 usar el comando roterid
2 si no se hace elo paso1, escojer la interfa loopbak activa con IP mayor
3 si no existe 1 ni 2. Se elije la IPv4 de mayor valor entre las interfaces con
estado administ uP.
Para OSPFv3 el RID tambien tiene 32 bits es decir una IPv4, y se usan las mismas
reglas, pero si no se cumple el paso 1 ni hay una direccion IPv4
configurada, no existira RID y el proceso no funcionara correctamente.
El numer de proceso no necesariamente debe ser el mismo en los routers.
Pasos de configuracion:
1 iPv6 router ospf 1 , en modo de configuracion global
2 Saldra un mensaje de error xq el Router tratara de encontrar un RID y no podr
a (si No hay IPv4s configuradas)
3 routeid 1.1.1.1 , y se crea un RID
4 ipv6 ospf 1 area 0 , comando en cada interfas q participara de OSPFv3
Para hacer pasiva 1 interfa se pone el sigt comando en modo de configracion de O
SPFv3: `passive-interface gigabitethernet0/0
Comandos show:
OSPF process: show ipv6 ospf
Todas las fventes de rovting: show ipv6 protocols
//Tbn mvestra las interfaces q corren OSPF
Detail de interfaces OSPF habilitadas: show ipv6 ospf interface
Detail de interfaces OSPF habilitadas: show ipv6 ospf interface brief
//mvestra las activas y pasivas.
Vecinos: show ipv6 ospf neighbor
LSDB: show ipv6 ospf database
Rvtas OPFS aprendidas: show ipv6 rovte ospf