|
Apuntes
del Editor
Persigue los sueños que hay en ti
no hay razón para no hacerlo...escucha...
Que tal [FIRSTNAME],
Gracias por escribirme
y por las sugerencias.
Muchos de mis
suscriptores me preguntaron las razones por la que el Boletín "Todo
Sobre Redes" había tenido una discontinuidad en su publicación.
Una de las razones
fundamentales es que actualmente estoy estudiando una maestría (MBA-Gerencial)
en Centrum, que es una de las 10 mejores escuelas de negocios de América
Latina.
¿Y porqué estudio un
MBA? Hoy en día tenemos que estar en capacitación constante. Creo que,
para hacer proyectos de redes uno debe tener otras competencias tanto
directrices y funcionales. Saber de finanzas, Costos, Manejo de personal
y gerencia de proyectos para sustentar y ejecutar proyecto de redes.
El administrador de
red, siempre debe tener el liderazgo tecnológico en la empresa. La
infraestructura de redes siempre debe estar alineado al objetivo
estratégico de la empresa. Sino medita las siguientes preguntas:
¿En base a qué decides
un reemplazo de routers? y ¿Cuando elegir una mejora en switches? ¿ Cual
es el beneficio económico de una red de telefonía IP?. Si no tienes las
respuestas a estas preguntas muchas veces la gerencia de la empresa no
apoyará tu proyecto de redes.
Otra de las razones, es
que actualmente estoy promoviendo muy activamente la telefonía IP en el
mercado hispano mediante la marca aloip.com (
http://www.aloip.com ). Aloip.com es
la primera infraestructura de procesamiento de llamadas de telefonía IP,
con servidores y gateways propios localizado en el Perú, USA y Alemania.
Hay mucho que hacer,
cómo quisiera que el día tenga 48 horas...
Se que es muy
importante para ti la información contenida en los boletines, y por esta
razón y gracias a la colaboración de otros Ingenieros de redes peruanos,
que quieren compartir sus conocimientos, vamos a reanudar la publicación
quincenal de tu boletín "Todo sobre Redes".
Las ediciones #20, #21,
#22, #24, #25, #30, #31, #32, #33, #34, #35, #36, #37, serán publicadas
la quincena de Diciembre en una sola edición, para que completes tu
colección 2005.
Finalmente, espero tus
sugerencias ya que a través de ella prepararemos toda la información
aquí contenida.
Esperando que te ayude la
información aquí difundida me despido.
Saludos,
Sergio Untiveros
Editor
PD. No te olvides de
recomendar este sitio web.
Subir
Novedades
-
Reduce tus costos en
llamadas telefónicas nacionales o internacionales, revisa
aquí.
-
Creación de cuenta
gratuita para realizar llamadas telefónicas por Internet. Guía de
configuración del Softphone SIP X-Lite
ver.
Subir
Prueba tus conocimientos
-
¿Se puede restringir el
tráfico en un router Cisco?
a. Solo por dirección IP
b. Solo por
puerto TCP
c. a, b
d. Ninguna
Indicar cual es el correcto.
- ¿Si la lista de acceso es
grande?
a. No pasa nada con el router
b. Se sobre carga el procesador del router
c. Se afecta el tiempo de respuesta
d. b y c
Indicar lo correcto.
- ¿El análisis de las listas de acceso
es en forma serial?
a. Verdadero
b. Falso
c. N.A.
Ver respuestas al
final del Boletín.
Subir
Configuración
de los filtros IP a través de Listas de Acceso
Desde la primera vez que se
conectaron varios sistemas para formar una red, ha existido una necesidad
de restringir el acceso a determinados sistemas o partes de la red por
motivos de seguridad, privacidad y otros.
Mediante la utilización de las
funciones de filtrado de paquetes del software IOS, un administrador de
red puede restringir el acceso a determinados sistemas, segmentos de red,
rangos de direcciones y servicios, basándose en una serie de criterios. La
capacidad de restringir el acceso cobra mayor importancia cuando la red de
una empresa se conecta con otras redes externas, como otras empresas
asociadas o Internet.
ADMINISTRACION BASICA DEL TRAFICO IP MEDIANTE LISTAS DE
ACCESO.
Los router se sirven de las listas de control de acceso (ACL) para
identificar el tráfico. Esta identificación puede usarse después para
filtrar el tráfico y conseguir una mejor administración del trafico global
de la red.
Las listas de acceso constituyen una eficaz herramienta para el control de
la red. Las listas de acceso añaden la flexibilidad necesaria para filtrar
el flujo de paquetes que entra y sale de las diferentes interfaces del
router.
El
filtrado de paquetes permiten controlar el movimiento de paquetes dentro
de la red. Este control puede ayudar a limitar él tráfico originado por el
propio router.
Una lista de acceso IP es un listado secuencial de condiciones de permiso
o prohibición que se aplican a direcciones IP o a protocolos IP de capa
superior.
Las listas de acceso identifican tráfico que ha de ser filtrado en su
transito por el router, pero no pueden filtrar él trafico originado por el
propio router.
Las listas de acceso pueden aplicarse también a los
puertos de líneas de terminal virtual para permitir y denegar trafico Telnet entrante o saliente, no es posible bloquear el acceso Telnet desde
dicho router.
Se
pueden usar listas de acceso IP para establecer un control más fino a la
hora de separar el tráfico en diferentes colas de prioridades y
personalizadas.
Una lista de acceso también pueden utilizarse para identificar el trafico
"interesante" que sirve para activar las llamadas del enrutamiento por
llamada telefónica bajo demanda(DDR).
Las listas de acceso son mecanismos opcionales del software Cisco IOS que
pueden ser configurados para filtrar o verificar paquetes con el fin de
determinar si deben ser retransmitidos hacia su destino, o bien
descartados.
LISTAS DE ACCESO ESTÁNDAR
Las listas de acceso IP estándar comprueban las direcciones de origen de
los paquetes que solicitan enrutamiento. El resultado es el permiso o la
denegación de la salida del paquete por parte del protocolo, basándose en
la dirección IP de la red-subred-host de origen.
LISTAS DE ACCESO EXTENDIDAS
Las listas de acceso comprueban tanto la dirección de origen como la de
destino de cada paquete. También pueden verificar protocolos
especificados, números de puerto y otros parámetros.
Las listas de acceso pueden aplicarse de las siguientes formas:
LISTAS DE ACCESO DE ENTRADA
Los paquetes entrantes son procesados antes de ser enrutados a una
interfaz de salida, si el paquete pasa las pruebas de filtrado, será
procesado para su enrutamiento.(evita la sobrecarga asociada a las
búsquedas en las tablas de enrutamiento si el paquete ha de ser descartado
por las pruebas de filtrado).
LISTAS DE ACCESO DE SALIDA
Los paquetes entrantes son enrutados a la interfaz de salida y después son
procesados por medio de la lista de acceso de salida antes de su
transmisión.
Las listas de acceso expresan el conjunto de reglas que proporcionan un
control añadido para los paquetes que entran en interfaces de entrada,
paquetes que se trasmiten por el router, y paquetes que salen de las
interfaces de salida del router.
Las listas de acceso no actúan sobre paquetes originados en el propio
router, como las actualizaciones de enrutamiento a las sesiones Telnet
salientes.
OPERATIVIDAD DE LAS LISTAS DE ACCESO
Cuando un paquete llega a una
interfaz, el router comprueba si el paquete puede ser retransmitido
verificando su tabla de enrutamiento. Si no existe ninguna ruta hasta la
dirección de destino, el paquete es descartado.
A continuación, el router
comprueba si la interfaz de destino esta agrupada en alguna lista de
acceso. De no ser así, el paquete puede ser enviado al búfer de salida.
Si el paquete de salida está
destinado a un puerto, que no ha sido agrupado a ninguna lista de acceso
de salida, dicho paquete ser á enviado directamente al puerto destinado.
Si el paquete de salida está
destinado a un puerto ha sido agrupado en una lista de acceso outbound,
antes de que el paquete pueda ser enviado al puerto destinado será
verificado por una serie de instrucciones de la lista de acceso asociada
con dicha interfaz.
Dependiendo del resultado de
estas pruebas, el paquete será admitido o denegado.
Para las listas de salida permit
significa enviar al búfer de salida, mientras que deny se traduce en
descartar el paquete.
Para las listas de entrada
permit significa continuar el procesamiento del paquete tras su recepción
en una interfaz, mientras que deny significa descartar el paquete.
Cuando se descarta un paquete IP,
ICMP devuelve un paquete especial notificando al remitente que el destino
ha sido inalcanzable.
COMANDOS BASICOS DE
LISTAS DE ACCESO
Las listas de acceso contienen instrucciones globales que
se aplican para identificar paquetes. Estas listas se crean con el comando
access-list.
El comando de configuración de interfaz ip access-group
activa la lista de acceso IP en una interfaz.
Router(config)#access-list[nº de lista de acceso][permit|deny][condiciones
de prueba]
La opción permit significa que al paquete le será
permitido pasar a través de las interfaces que se apliquen en la lista.
La opción deny significa que el router descartará
el paquete.
Los últimos parámetros de la instrucción especifican las
condiciones de pruebas.
La prueba puede ser tan simple como comprobar una
dirección de origen individual, la lista puede expandirse para incluir
varias condiciones de prueba.
Router(config)#[protocolo]access-group[nº de lista
de acceso][in|out]
Se activa una lista de acceso IP en una interfaz.
Listas de acceso IP Rango numérico identificador
Estándar 1 a 99
Extendida 100 a 199
Con nombre Nombre(Cisco IOS 11.2 y posterior)
Listas de acceso IPX Rango numérico identificador
Estándar 800 a 899
Extendida 900 a 999
Filtros SAP 1000 a 1099
Con nombre Nombre (Cisco IOS 11.2F y posterior)
Rptas: 1)c. 2)d.
3)a.
Subir
Glosario de Términos
VTY
Líneas de acceso virtual.
IN
Entrada de tráfico desde la red a la interfaz conectada a
dicha red
OUT
Tráfico de salida desde la interfaz hacia la red al cual
está conectada.
Subir
Espero que
te sea útil toda esta información preparada exclusivamente para ti, si
tuvieras alguna consulta al respecto puedes hacerlo al siguiente e-mail
mailto:boletin@aprendaredes.com
Saludos;
Sergio
Untiveros
Editor |
