Frame Relay

Creado para superar la lentitud del X.25 al no tener control de flujo o errores en cada trama. Tecnología WAN más utilizada del mundo. Económica: cliente paga bucle local y ancho de banda. Más ancho de banda, fiabilidad y resistencia a las fallas que las líneas privadas o arrendadas. ISDN (frente a Frame Relay) costo inicial más bajo pero mensual mucho mayor. Pagamos por duración de la llamada. Interconexión de redes locales. En cada red local un Router hace de DTE, y éste se conecta al Switch Frame Relay de la empresa que hace de DCE, el cual estará conectado al PoP más cercano del proveedor de comunicaciones. Se pueden multiplexar varios VC mediante un FRAD (dispositivo de acceso Frame Relay). Una WAN Frame Relay son switches conectados por enlaces troncales (Frame Relay opera en la capa 2 mientras X.25 también utiliza la 3).

Tipos de Circuitos Virtuales (VC)

• SVC (Switched Virtual Circuits): Circuitos virtuales conmutados.
• PVC (Permanent Virtual Circuit): Circuitos virtuales permanentes o VC privados.

DLCI (Data Link Connection Identifier)

Identifica un VC al equipo en un punto final. Tiene significado local y no es único en toda la WAN Frame Relay. De hecho, los dos equipos extremos del VC pueden darle distintos DLCI al mismo VC.

Formato de la trama Frame Relay

Señalador de principio y fin de trama, datos, dirección y FCS (determina si hubo errores en el campo dirección de la trama; si los hubo la trama se descarta: el control de errores se deja a la capa 3). El campo dirección contiene los DLCI, los bits FECN (buffer del enlace de recepción de datos congestionado, notificación indirecta), BECN (buffer de envío congestionado, notificación directa) y DE (transmisión superior al CBIR).

LMI (Local Management Interface)

Mensajes que actúan como keepalives entre routers (DTE) y switches Frame Relay (DCE). También permiten descubrir nuevos PVCs dinámicamente. El campo de dirección lleva uno de los DLCI reservados. Usa ARP inverso (protocolo de resolución de direcciones inverso): extrae direcciones de la capa 3 a partir de las tramas recibidas como respuesta. Se espera que el DTE considere los problemas de congestión (pues trabaja en la capa 3).

Topologías de Red Frame Relay

• Estrella o Hub and Spoke: Mínimo número de VC: uno de los nodos hace de hub y el resto de nodos (spoke) se conectan a éste (a través de un VC suministrado por el proveedor de la red Frame Relay). ARP inverso no funciona entre spokes: el VC requiere asignación estática. El problema del horizonte divido (no permite reenvío de la actualización de estado a otro nodo por la misma interfaz) se arregla con subinterfaces.
• Malla completa: Se contrata un VC distinto entre cada par de extremos. Alta seguridad.
• Malla parcial: Intermedio entre los dos anteriores.

NBMA (Non-Broadcast Multiple Access)

Es uno de los cuatro tipos del protocolo OSPF (Open Shortest Path First). En contraste con broadcast o multicast, envía paquetes individuales de comprobación de estado individualmente a cada router.

Horizonte dividido: Evita bucles de enrutamiento en redes que usan enrutamiento de vector distancia, al no permitir que una actualización de enrutamiento recibida en una interfaz sea reenviada por la misma interfaz.

Ráfagas o envíos superiores al CIR ≈ Bc (velocidad de información suscrita ≈ ráfaga suscrita) se permiten. También superiores al CBIR (Committed Burst Information Rate), pero no pueden ser superiores a la velocidad del puerto o de acceso. Si lo hacemos el bit DE se marcará a 1 y si la red está congestionada la trama se descartará. La cantidad de datos que podemos sobrepasar como máximo: EIR ≈ Be (Excess Information Rate ≈ Excess Burst Size) = Máximo permitido (normalmente la velocidad del puerto) – Bc (ráfaga suscrita).

Listas de Control de Acceso (ACL)

Sentencias secuenciales de permiso o denegación (u otros menesteres, como dar prioridades) que se aplican a direcciones IP o protocolos de capa superior, tras leer la cabecera del paquete. Puede actuar como un firewall pero también tiene más funciones, como evitar el tráfico de video por rendimiento o bloquear el tráfico Telnet. Por defecto los routers dejan pasar todo el tráfico.

La primera sentencia de la secuencia que coincida será la que se ejecute. Por tanto, la primera es la que tiene mayor prioridad y decrece hasta la última, que debe cubrir el resto de casos sin cubrir y suele llamarse «deny all traffic» o «implicit deny any».

Regla de las 3 p: Se puede filtrar por protocolo, por dirección (deben crearse por separado las reglas del tráfico de salida y las de entrada) o por interfaz.

Ejemplo: Interface s0/0/0 + ip access-group 103 out + ip access-group 104 in

Esto es distinto a si la ACL actúa antes o después de ser enrutado: diferenciamos ACL de entrada (antes de ser enrutados a la interfaz de salida) y ACL de salida (después).

Tipos de ACL de Cisco

• ACL estándar, 1-99 & 1300-1999: Sólo filtran según IPs origen: situarlas lo más cercano al destino.

Ejemplo: access-list 10 permit 192.168.30.0 0.0.0.255

• ACL extendidas, 100-199 & 2000-2699: Situarlas lo más cerca posible del origen del tráfico denegado. Pueden utilizarse operaciones lógicas, como igual (eq), desigual (neq), mayor que (gt) y menor que (lt). established permite que la respuesta del servidor a una petición pase el filtro. any significa desde cualquier lado o hacia cualquier lado.

Ejemplos:

• access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq 80
• access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq telnet
• access-list extended BROWSING + permit tcp any 192.168.10.0 0.0.0.255 established
• access-list 101 permit ip any any

Máscara Wildcard

Indica qué parte del número de la subred observar. También llamadas máscaras inversas porque 1 ignora una coincidencia (y en una máscara de subred significa coincidencia) y viceversa. Para calcularla restar 255.255.255.255 menos la máscara de subred. Palabras clave: host = wildcard 0.0.0.0 y any = 255.255.255.255.

Ejemplos:

• access-list 1 permit any
• access-list 1 permit host 192.168.10.10
• 192.168.3.32 /28 (255.255.255.240 = 14 host) -> access-list 10 permit 192.168.3.32 0.0.0.15
• Dos redes: 192.168.10.0 y 192.168.11.0 -> máscara de subred regular 255.255.252.0. -> 0.0.3.255

Si no podemos usar SSH (conexión cifrada) para acceder a la administración del router, entonces restringir el acceso VTY (Telnet) sólo a ciertas IPs: access-class access-list-number {in | out}

Editar ACL

(borrarla primero o añadiríamos nuevas sentencias; en ACL nombradas en lugar de numeradas sí podríamos en nuevas IOS; es mejor tenerlos en ficheros de texto y cortar y pegar):

show running-config | include access-list + no access-list {nombre} + access-list 20 permit… + acce…

Comentarios + nombrado

Añadir comentario a secuencia antes de la misma:

• access-list 1 remark comentario1 + access-list 1 permit 192.168.10.13
• ip access-list standard NOMBRE1 + remark comentario1 + deny 192.168.10.12

Mostrar información (para resolución de problemas): show access-list [número | nombre]

Asignación de ACL a interfaz

Tras configurar una ACL estándar, usamos el comando ip access-group:

[no] ip access-group {número de lista de acceso | nombre de lista de acceso} {in | out}

[no] desvincula de la interfaz; para eliminar la ACL: no access-list {número de lista}

Tipos de ACL complejas

• ACL dinámicas (de bloqueo): Hasta que los usuarios hacen Telnet al router y se identifican, no pueden atravesarlo. Sólo para tráfico IP.
• ACL reflexivas: Sólo permiten tráfico entrante como respuesta al mismo host que envió una petición saliente. Como el parámetro established pero con más posibilidades: también permite UDP, ICMP; además de verificar las direcciones origen y destino.
• ACL basadas en tiempo: Acceso según hora y día de la semana.

Servicios de Direccionamiento IP

DNS (Domain Name System)

DHCP

Asignaciones:

• Manual: DHCP solo informa al dispositivo de su IP, previamente asignada.
• Automática: Asigna automáticamente IP de forma permanente.
• Dinámica: Asigna de forma temporal.

Pasos:

1. Cliente envía DHCPDISCOVER broadcast (para que algún servidor DHCP responda).
2. Servidor responde DHCPOFFER unicast.
3. Cliente confirma que está usando esa IP con DHCPREQUEST broadcast.
4. Servidor responde con un DHCPACK unicast.
5. Por último cliente hace búsqueda ARP para saber si la IP ya ha sido asignada y si no recibe respuesta empieza a utilizarla.

Usa el protocolo UDP, el servidor escucha en el puerto 67 y el cliente en el 68.

Comandos en router Cisco:

• ip dhcp excluded-address {ips} (excluir IPs específicas)
• ip dhcp pool {nombre} (crea pool DHCP)
• network {ip máscara} (para seleccionar rango de direcciones disponibles)
• default-router (define gateway predeterminado)
• dns-server
• lease (modifica el tiempo predeterminado de arrendamiento de un día)
• [no] service dhcp
• show ip dhcp binding (información de IPs asignadas con DHCP)
• show ip dhcp server (cantidad de mensajes DHCP transmitidos)

Comandos en un entorno SOHO o routers domésticos:

• interface fa0/0 + ip address dhcp + no shut

Relay DHCP

Configura el router (que no deja pasar broadcast) para que las peticiones broadcast del cliente sean enviadas al servidor DHCP correspondiente:

• ip helper-address {ip_servidor} (también reenvía de forma predeterminada DNS en puerto 53, TFTP 69…)
• ip forward-protocol (para especificar puertos adicionales)

Resolución de conflictos

• show ip dhcp conflict (muestra conflictos detectados por el servidor como dos IPs repetidas)
• show interface (para comprobar si está activa)
• show running-config (ayuda a comprobar que relay DHCP está asignado correctamente)

Depuración:

• access-list 100 permit ip host 0.0.0.0 host 255.255.255.255 + debug ip packet detail 100
• debug ip dhcp server packet
• debug ip dhcp server events

BOOTP

Protocolo anterior a DHCP que únicamente hacía la función de asignación manual de DHCP.

NAT (Network Address Translation)

Para escalamiento de redes como solución a corto plazo del insuficiente número de direcciones. Antes del desarrollo de NAT, un host con dirección privada no podía acceder a Internet. Tiene desventajas como que los sistemas que usen un hash que tome como datos las IP fallarán (firmas digitales, IPsec…) o la pérdida de tiempo en traducir unas direcciones en otras.

Direcciones

• Local interna
• Local externa
• Global interna
• Global externa

Funcionamiento

Cuando un host hace una petición a un servidor, el router cambia la IP local interna por la externa y deja documentado el cambio en la tabla NAT. Cuando reciba la respuesta mirará la tabla NAT y hará la operación inversa.

Traducción NAT estática

La dirección privada siempre tiene la misma dirección pública (esto permite tener una dirección privada sin perder su visibilidad en internet):

• ip nat inside source static {ip_privada} {ip_publica} + interface serial 0/0/0 + ip nat inside (asigna interfaz a la conexión interior) + exit + interface serial 0/1/0 + ip nat outside

Traducción NAT dinámica

Cuando un host pida acceso a internet, su IP privada (debe estar permitida en una ACL) se mapea con una de las públicas que todavía no está en uso por otra IP privada.

Sobrecarga NAT o PAT (Port Address Translation)

Puede asignar varias direcciones IP privadas a una pública. NAT asigna a cada host de la red privada y al paquete que envía un puerto distinto.

Reenvío de puertos

A veces también llamado tunneling: permite alcanzar un puerto de una dirección privada. NAT no permite solicitudes iniciadas desde el exterior, el reenvío o apertura manual de los puertos es necesario para que ciertos programas, como p2p, servidores Web o FTP funcionen.

IPv6

Mayor diferencia y motivo de su implantación: espacio de direcciones de 128 bits, frente a IPv4: 32 bits. Ejemplo de IP (hexadecimal): 2031:0000:130F:0000:0000:09C0:876A:130B = (quitamos ceros) 2031:0:130F::9C0:876A:130B. Comando: ipv6 unicast-routing (activa IPv6 en interfaz). Se necesita más memoria pues las direcciones y los paquetes son mayores y mejor hardware para procesar mayores direcciones. RIPng similar al RIP de IPv4, pero usa multicast a los enlaces troncales en lugar de broadcast.

Mejoras de IPv6

• Direccionamiento IP mejorado.
• Plug-and-play.
• Multiconexión (host puede tener varias IPs por el mismo enlace físico).
• Dirección unicast global permite la agrupación ascendente hasta llegar al ISP.
• 1/256 son IPs reservadas; entre ellas las IP privadas (que empiezan por FE seguido por un valor entre 8 y F), direcciones locales de un sitio (asignadas a una organización en particular), direcciones unicast de enlace troncal (referencian a enlace físico), dirección de loopback (::1 = todas a cero menos el último dígito que es 1), dirección no especificada (:: = todos a cero).

Asignación de IDs

• Asignación estática con un ID de interfaz manual (manualmente escribimos el prefijo de red como la porción de ID que corresponde al host). Comando: ipv6 address 2001:DB8:2222:7272::72/64
• Asignación estática con un ID de interfaz EUI-64 (crea IP única a partir de la MAC). Comando: ipv6 address 2001:DB8:2222:7272::/64 eui-64
• Autoconfiguración sin estado y DHCP para IPv6 (DHCPv6) con estado (que da más opciones de configuración, como especificar las DNS a usar). Ambas pueden coexistir.

Simplificación de encabezados

No broadcast ni checksums, extensión de encabezado más sencillo…

Movilidad y seguridad integrada

Estándar IETF de IP móvil es dinámico (no hay que configurar manualmente IP actual y de respaldo), uso de IPsec es obligatorio.

Intensidad de transición

• Usar stack doble cuando pueda y tunneling cuando no tenga otra opción:
• Stack doble (nodos soportan simultáneamente IPv4 e IPv6).
• Tunneling (paquete IPv6 se encapsula dentro de IPv4 con el campo protocolo a 41 para atravesar red IPv4). Los principales son el tunneling manual (se introduce a mano en el router stack doble origen la IPv4 del router stack doble destino) y el dinámico 6to4 (la dirección IPv6 tiene embebida la dirección IPv4 previo a un prefijo específico). No se recomiendan el tunneling ISATAP, el tunneling Teredo o NAT-PT.