11 Abr
Access-Control-List
9 Abr
EXAMENES CCNA PARA ESTUDIAR
UN PEQUEÑO APORTE PARA ESTUDIAR PARA EL EXAMEN
ccna3_examen_pfinalCCNA2_FINAL_1PARTECCNA3_FINAL_2PARTEccna3_examen_pfinal
6 Abr
Máscara wildcard
máscara wildcard
Una máscara wildcard se compara con una dirección IP. Los números en binario uno y cero en la máscara, se usan para identificar cómo se deben manejar los bits de la dirección que desea revisar.
Las máscaras wildcard están diseñadas para filtrar direcciones de host individuales o rangos, o incluso se pueden filtrar direcciones de red.
Un cero significa que esa posición será verificada. Un 1 significa que esa posición no se verificará.
Puntos importantes:
En el caso de las ACL extendidas, tanto en la dirección de origen como en la dirección destino, se especifican las direcciones como dos grupos de números: una dirección de host o de red y una máscara wildcard.
Para permitir o denegar una red o subred, la máscara wildcard es igual a la máscara de subred, cambiando los «0» por «1» y los «1» por «0» (en binario).
Cuando se va a revisar una dirección de host, la máscara wildcard es 0.0.0.0 y esto puede abreviarse como host dirección_ip Ejemplo: Revisar la dirección 199.5.7.45, se puede tener de las dos formas siguientes:
199.5.7.45 0.0.0.0
host 199.5.7.45
Para permitir o denegar a todos, la direción debe ser 0.0.0.0 y la máscara wildcard debe ser 255.255.255.255. Esto se puede abreviar como any.
Ejemplos:
1. Si desea filtrar la dirección 199.33.7.57, y si recordamos que los ceros no verifican y los unos verifican un bit, entonces la máscara de wildcard necesaria será la 0.0.0.0
2. Si desea que se filtre la red 199.33.7.0, la máscara de wildcard necesaria será la 0.0.0.255 porque como deseamos que se filtre una red, no importa lo que haya en la parte de host, que puede ser desde un 0 hasta un 255, por lo que no es necesario verificarlo.
3. Obtener la máscara wildcard para la dirección 197.2.7.32 / 27
Como es una dirección de host, se toma en cuenta su máscara de subred si no es la máscara por defecto (de 24 bits en este caso, ya que es una clase C).
Ponemos en binario el último octeto, que es el que filtraremos de forma especial, ya que los tres primeros octetos se revisarán completos: 193.20.17.00100000
Validación de bits: 0.0.0.00011111 Se validan los tres primeros, es decir, se valida hasta donde exista un «1».
Máscara wildcard: 0.0.0.31
También puede usarse otra metodologia, restando la máscara de subred de 255.255.255.255:
255.255.255.255
– 255.255.255.224
———————-
0. 0. 0. 31 (Máscara Wildcard)
4. Obtener la máscara wildcard para la dirección 194.7.2.12 / 30
Igual que el ejemplo anterior, se valida una dirección de host y su máscara no es
la de defecto.
En binario el cuarto octeto: 194.7.2.00001100
Validación de bits: 0.0.0.00000011
Se ponen ceros hasta donde se encuentra un «1» al final, de izquierda a derecha, por lo que pasando a decimal queda:
Máscara de wildcard: 0.0.0.3
También puede usarse la otra metodología:
255.255.255.255
– 255.255.255.252
———————–
0. 0. 0. 3 (Máscara Wildcard)
5. Obtener la máscara wildcard para filtrar un rango de direcciones, de 195.18.1.150 a 195.18.1.175
Cuando se trabaja con filtros para grupos, es necesario convertir a binario algunos números que estén dentro del rango, incluyendo el primero y el último número del rango, y se van comparando bit por bit, a ver en qué bits coinciden.
Estos se marcan en negritas:
150 = 10010110
155 = 10011011
160 = 10100000
175 = 10101111
De ahí, se obtiene el patrón que coincide en todo el filtro: ’10’ que se transforma a ‘00111111’ para indicar que los ceros verifican los dos primeros bits y los unos no verifican los bits restantes.
El 00111111 en decimal es 63, entonces se tiene que la máscara wildcard es 0.0.0.63
6. Obtener la máscara wildcard para filtrar un rango de direcciones, de rangos 172.17.224.0 a 172.17.239.255
Se convierten a binario algunos números que estén dentro del rango, recuerde que esta es una dirección de clase B, por lo que el tercer octeto es el que toma en cuenta para el rango. Se va comparando bit por bit, a ver en qué posiciones coinciden. Estos se marcan en negritas:
224 = 11100000
228 = 11100100
230 = 11100110
239 = 11101111
Se obtiene el patrón que coincide en todo el filtro: ‘1110’ que se transforma a ‘00001111’ para indicar que los ceros verifican los cuatro primeros bits y los unos no verifican los bits restantes.
El 00001111 en decimal es 15, entonces se tiene:
Máscara wildcard: 0.0.15.255
Porque los dos primeros octetos se verifican, el tercero se verifica en cuatro posiciones y todo lo demás ya no se verifica.
2 Abr
Mensajes de control y de error de TCP-IP (ICMP)
Mensajes de control y de error de los protocolos TCP/IP
Descripción general
El protocolo IP es limitado porque es un sistema de entrega de mejor esfuerzo. No dispone de un mecanismo para garantizar la entrega de los paquetes de datos, a pesar de los problemas con los que se puedan encontrar en la red. Los paquetes pueden no llegar a su destino por diversas razones, tales como fallas de hardware, configuración inadecuada o información de enrutamiento incorrecta. Para ayudar a identificar estas fallas, el IP usa el Protocolo de mensajes de control en Internets (ICMP), para notificar al emisor de los paquetes que se produjo un error durante el proceso de envío. Este módulo describe los diversos tipos de mensajes de error del ICMP y algunas de las formas en las que se utilizan.
Dado que el protocolo IP no cuenta con un mecanismo incorporado para enviar mensajes de error y control, usa ICMP para enviar y recibir mensajes de error y control a los hosts de la red. Este módulo se refiere principalmente a los mensajes de control, que son los mensajes que suministran información o parámetros de configuración a los hosts. El conocimiento de los mensajes de control del ICMP es una parte esencial del diagnóstico de fallas de la red y es un elemento clave para lograr una comprensión absoluta de las redes IP.
8.1 Descripción general de los mensajes de error del TCP/IP
8.1.1 Protocolo de mensajes de control de Internets (ICMP)
El IP es un método poco confiable para la entrega de paquetes de red. Se le conoce como un mecanismo de entrega de mejor esfuerzo. No cuenta con ningún proceso incorporado para garantizar la entrega de paquetes en caso de que se produzca un problema de comunicación en la red. Si un dispositivo que actúa como intermediario falla como por ejemplo un router, o si un dispositivo de destino sale fuera de la red, los paquetes no se pueden entregar. Además, nada en su diseño básico hace que el IP notifique al emisor de que la transmisión ha fallado. El Protocolo de control de mensajes de Internet (ICMP) es el componente del conjunto de protocolos TCP/IP que corrige esta limitación básica del IP. El ICMP no resuelve los problemas de falta de confiabilidad en el protocolo IP. En caso de ser necesario, la confiabilidad debe ser prevista por los protocolos de capa superior.
8.1.2 Informes de error y corrección de errores
El ICMP es un protocolo de notificación de errores para el protocolo IP. Cuando se produce un error en la entrega de datagramas, se usa el ICMP para notificar de dichos errores a la fuente de los datagramas. Por ejemplo, si la estación de trabajo 1 de la Figura envía un datagrama a la estación de trabajo 6, pero la interfaz Fa0/0 del router C deja de funcionar, el router C utiliza ICMP para enviar un mensaje de vuelta a la estación de trabajo 1, el cual notifica que el datagrama no se pudo entregar. El ICMP no corrige el problema en la red; sólo informa del problema.
Cuando el router C recibe el datagrama de la estación de trabajo 1, sólo conoce las direcciones de IP de origen y destino del datagrama. No sabe cuál es la ruta exacta que tomó el datagrama en su camino hacia él. Por lo tanto, el router C sólo puede notificar a la estación de trabajo 1 acerca de la falla, y no se envía ningún mensaje de error ICMP al router A y al router B. El ICMP sólo informa al dispositivo de origen acerca del estado del paquete. No envía ninguna información sobre cambios en la red a los routers.
8.1.3 Entrega de mensajes ICMP
Los mensajes del ICMP se encapsulan en datagramas, del mismo modo en que se entrega cualquier otro dato mediante el protocolo IP. La Figura muestra el encapsulamiento de datos ICMP dentro de un datagrama IP.
Dado que los mensajes del ICMP se transmiten del mismo modo que cualquier otro paquete, están sujetos a las mismas fallas en la entrega. Esto crea una situación en la que los informes de error pueden generar más informes de error, lo que provoca una congestión creciente en una red que ya tiene fallas. Por esta razón, las fallas relativas a los mensajes del ICMP no generan sus propios mensajes de ICMP. De este modo, es posible que haya un error de entrega cuyo informe no llegue nunca de vuelta al emisor de los datos.
2 Abr
¿Qué es keepalive TCP?
TCP keepalive visión general
Para entender lo que keepalive TCP (que acaba de llamar a keepalive) lo hace, usted no necesita hacer nada más que leer el nombre: mantener viva TCP. Esto significa que usted será capaz de ver sus socket conectado (también conocido como sockets TCP), y determinar si la conexión sigue funcionando o si se ha roto.
2 Abr
¿Qué es un script?
Un script es un fichero de texto que contiene una serie de instrucciones que se pueden ejecutar en la línea de órdenes, y que se ejecutarán seguidas. En ese sentido son iguales que los ficheros con extensión BAT de MS-DOS, aunque, por supuesto, como en los sistemas UNIX no existe el concepto de extensión, pueden tener cualquier nombre. El único requisito es que ese fichero de texto tenga permiso de ejecución para la persona que intenta ejecutarlo. Alternativamente, puedes llamar al intérprete y darle como parámetro el nombre del guión, pero es más cómodo dar permiso de ejecución al guión para ahorrarnos escribir el nombre del intérprete.
Esas instrucciones se procesarán por orden, como si alguien las escribiera en el mismo orden en la línea de órdenes (no es exactamente así, pero casi). Por ello, van una por línea (los saltos de línea se interpretan igual que si hubieras pulsado INTRO), o separadas por caracteres «punto y coma» (;) si están en la misma línea. Cuando se ejecuta un guión para el intérprete de órdenes, se intenta ejecutar como un binario normal, pero al darse cuenta el sistema operativo de que no es un binario válido, pero que es un archivo de texto, ejecuta un intérprete hijo y empieza a interpretar el fichero de texto. Si fuera un archivo con un texto cualquiera, tarde o temprano (probablemente en la primera línea) habría un error de sintaxis y se abortaría la ejecución del programa.
27 Mar
ACL Extendida
Se utilizan con más frecuencia que las estándar porque ofrecen un mayor control.
Verifican las direcciones de paquetes de origen y destino, y también protocolos y números de puerto.
Se puede permitir o rechazar el acceso de los paquetes según el lugar donde se originaron y su destino, así como el tipo de protocolo y númerod de puerto o servicio que se utiliza. Es posible configurar varias declaraciones en una sola ACL.
Las listas extendidas se asignan en la interfaz que esté más cercana a donde se origina el tráfico, para no cargar la red con tráfico que finalmente se filtrará.
La sintaxis completa del comando ACL extendida es:
Router(config)# access-list numero_ACL deny|permit protocolo dirección_origen mascara_wildcard_dir_origen dirección_destino mascara_wildcard_dir_ destino eq|gt|lt número_puerto
Donde:
Protocolo puede ser TCP, UDP, ICMP o IP. ICMP se utiliza para filtrar ping.
eq significa igual (=); gt significa mayor que (>); lt significa menor que (<)
El número de puerto aplica para TCP y UDP.
Recuerde que el número de ACL extendida es cualquier número dentro del rango de 100 al 199 ó de 2000 a 2699.
El comando ip access-group asigna la ACL extendida existente a una interfaz. Sólo se permite una ACL por interfaz por protocolo por dirección. La sintaxis es:
Router(config-if)#ip access-group numero_ACL in | out
Ejemplo 1: Cree una lista de acceso para permitir todo el tráfico de la red 192.168.14.0 a la red 192.168.17.0
Router1(config)# access-list 101 permit ip 192.168.14.0 0.0.0.255 192.168.17.0 0.0.0.255
Router1(config)# interface FastEthernet0
Router1(config-if)# ip access-group 101 in
Como es una ACL extendida, se debe asignar lo más cerca de donde se origina el tráfico, es decir, cerca de la red 192.168.14.0, que está en la FastEthernet0 de Router1. El número de la ACL se escoge dentro del rango de 100 a 199. Como las dos direcciones que se filtran son direcciones de red de clase C, para la máscara wildcard los tres primeros octetos son los que se verifican con cero y el último con unos, dando una máscara wildcard de 0.0.0.255
Recordando que al final, de forma implícita está una sentencia que deniega todo, tendríamos :
Router1(config)# access-list 101 deny ip any any
Finalmente se asigna a la interfaz FastEthernet0 a la entrada, ya que es la ruta que seguiría el paquete al seguir su camino hacia la red destino.
Ejemplo 2: Cree una lista de acceso para denegar sólo el tráfico de correo electrónico, ping y TFTP que vaya de la red 192.168.16.0 al host 192.168.17.5
Router2(config)# access-list 111 deny tcp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0 eq 25
Router2(config)# access-list 111 deny icmp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0
Router2(config)# access-list 111 deny udp 192.168.16.0 0.0.0.255 192.168.17.5 0.0.0.0 eq 69
Router2(config)# access-list 111 permit any any
Router2(config)# interface FastEthernet0
Router2(config-if)# ip access-group 111 in
La explicación de esta ACL es que se quiere denegar correo electrónico (puerto 25 de TCP), ping (ICMP) y TFTP (puerto 69 de UDP). Con esta información, procedemos a la primera parte de la configuración de la ACL. Luego con la última condición de la ACL anulamos el efecto del deny any any del final.
Inmediatamente la ACL es asignada a la interfaz de red que está más cerca de donde se origina el tráfico, y se asigna a la entada (in) por la dirección que tendría el paquete al viajar del origen al destino señalado.
27 Mar
¿Qué es una Máscara Wildcard ?
Una máscara wildcard se compara con una dirección IP. Los números en binario uno y cero en la máscara, se usan para identificar cómo se deben manejar los bits de la dirección que desea revisar.
Las máscaras wildcard están diseñadas para filtrar direcciones de host individuales o rangos, o incluso se pueden filtrar direcciones de red.
Un cero significa que esa posición será verificada. Un 1 significa que esa posición no se verificará.
Puntos importantes:
- En el caso de las ACL extendidas, tanto en la dirección de origen como en la dirección destino, se especifican las direcciones como dos grupos de números: una dirección de host o de red y una máscara wildcard.
- Para permitir o denegar una red o subred, la máscara wildcard es igual a la máscara de subred, cambiando los «0» por «1» y los «1» por «0» (en binario).
- Cuando se va a revisar una dirección de host, la máscara wildcard es 0.0.0.0 y esto puede abreviarse como hostdirección_ip Ejemplo: Revisar la dirección 199.5.7.45, se puede tener de las dos formas siguientes:
- 199.5.7.45 0.0.0.0
- host 199.5.7.45
- Para permitir o denegar a todos, la direción debe ser0.0.0.0 y la máscara wildcard debe ser255.255.255.255. Esto se puede abreviar como any.
Ejemplos:
1. Si desea filtrar la dirección 199.33.7.57, y si recordamos que los ceros no verifican y los unos verifican un bit, entonces la máscara de wildcard necesaria será la 0.0.0.0
2. Si desea que se filtre la red 199.33.7.0, la máscara de wildcard necesaria será la 0.0.0.255 porque como deseamos que se filtre una red, no importa lo que haya en la parte de host, que puede ser desde un 0 hasta un 255, por lo que no es necesario verificarlo.
3. Obtener la máscara wildcard para la dirección 197.2.7.32 / 27
Como es una dirección de host, se toma en cuenta su máscara de subred si no es la máscara por defecto (de 24 bits en este caso, ya que es una clase C).
Ponemos en binario el último octeto, que es el que filtraremos de forma especial, ya que los tres primeros octetos se revisarán completos: 193.20.17.00100000
Validación de bits: 0.0.0.00011111 Se validan los tres primeros, es decir, se valida hasta donde exista un «1».
Máscara wildcard: 0.0.0.31
También puede usarse otra metodologia, restando la máscara de subred de 255.255.255.255:
255.255.255.255
– 255.255.255.224
———————–
0. 0. 0. 31 (Máscara Wildcard)
TELEMÁTICA II 