Servicios IP Version 5 1 PDF
Servicios IP Version 5 1 PDF
Servicios IP Version 5 1 PDF
Servicios IP
Versión 5.1
CCNA, CCNP, CCDA, CCDP, CCIP, CCVP, CCSP, CCIE, CCDE, Cisco, Cisco IOS, Aironet, BPX, Catalyst, Cisco Press,
Cisco Unity, EtherChannel, EtherFast, EtherSwitch, Fat Step, GigaDrive, GigaStack, HomeLink, IP/TV, LightStream,
Linksys, MGX, Networking Academy, Network Registrar, Packet, PIX, SMARTnet, StackWise, CallManager, CallManager
Express, CCA, CNA, Cisco Systems, el logo de Cisco Systems, son marcas registradas o marcas de Cisco Systems Inc. y/o
sus afiliados en los Estados Unidos y otros países. Toda otra marca mencionada en este documento es propiedad de sus
respectivos dueños.
Estimado lector, una vez más, y luego de una nueva revisión de los materiales que
componen esta Guía, es un gusto darte la bienvenida a estas páginas.
Tienes en tus manos una sección de la que será a futuro la Guía de Preparación
para el Examen de Certificación CCNA Routing & Switching. Como su nombre lo
indica, este no es un texto con objetivos primariamente técnicos, sino una
herramienta de estudio pensada, diseñada y escrita para ayudarte a preparar tu
examen de certificación. Es un texto desarrollado específicamente para quienes
desean preparar su examen CCNA R&S 200-120 y buscan una herramienta de
estudio, consulta y trabajo que les permita cubrir con un solo elemento todos los
objetivos de la certificación.
Esta no es la Guía completa, sino una sección parcial de la misma que abarca
solamente uno de los siete núcleos temáticos que he propuesto para el estudio de
esta certificación. A partir de aquí puedes adquirir el núcleo temático siguiente y los
ya publicados para completar el temario del examen, o adquirir la Guía de
Preparación completa (cuando esté disponible en poco tiempo más).
Como desde su versión inicial, hace ya casi 10 años, la Guía completa tiene 3
secciones principales: Una dedicada a brindar información sobre el examen mismo
y su metodología; otra orientada a brindar sugerencias que considero de suma
importancia al momento de abordar la preparación y el estudio personal, y
finalmente una tercera sección para abordar específicamente el estudio de los
contenidos técnicos considerados en el examen de certificación. Este cuadernillo
desarrolla de modo completo solamente uno de los siete ejes temáticos de la
tercera sección.
Los ejes temáticos que he definido para el estudio de esta certificación son los
siguientes:
Enrutamiento IP – Ya publicado.
Servicios IP.
Tecnologías WAN.
Deseo sinceramente que este manual sea una ayuda eficaz en tu preparación para
el examen de certificación, y espero que se convierta en un elemento de consulta
que te sea de utilidad en el futuro. Cualquier sugerencia, comentario o aporte que
quieras hacer será bienvenido y de gran importancia para evaluar el camino que
tomaré en el desarrollo de este conjunto de publicaciones y de la futura Guía de
Preparación para el Examen de Certificación CCNA Routing & Switching.
El Autor
Oscar Antonio Gerometta es CCNA R&S / CCNA Sec / CCNA Wi / CCDA / CCSI /
CCBF.
Con una larga trayectoria docente en esta área, ha sido el primer Cisco Certified
Academy Instructor (CCAI) de la Región y responsable durante varios años del
entrenamiento de la comunidad de Instructores CCNA de Cisco Networking
Academy en Argentina, Bolivia, Paraguay y Uruguay.
Ha liderado numerosos proyectos e iniciativas como desarrollador de e-learning.
Ha sido miembro del Curriculum Review Board de Cisco Networking Academy y
uno de los docentes más reconocidos dentro del Programa en la Región
Suramérica Sur.
Desde el año 2000 brinda cursos de apoyo especialmente diseñados por él para
quienes se preparan a rendir su examen de certificación CCNA, CCNA Sec, CCNA
Wi, CCDA o CCNP, logrando entre sus alumnos un nivel de aprobación superior al
95%.
Introducción ................................................................................................ 3
Contenidos ................................................................................................. 5
E. Síntesis ................................................................................................ 65
F. Cuestionario de repaso......................................................................... 73
A. Mapa conceptual
IPv4.
o DHCPv4.
IPv6.
o EUI-64.
o Autoconfiguración stateless.
o DHCPv6.
o Modalidades.
o Procedimiento:
o DHCP Relay.
Mensajes.
Mecanismo de consulta.
Usos.
Reglas de funcionamiento.
La máscara de wildcard.
o Casos especiales.
o Ejemplo de configuración.
Tips de aplicación.
Dispositivos NAT.
Terminología.
Modalidades.
o Procedimiento.
o NAT estático.
o NAT dinámico.
o PAT.
o Comandos adicionales.
o Monitoreo.
Seguridad de la red.
Amenazas.
Requerimientos básicos.
o Best practices.
o Implementación de SSH.
Implementación de Syslog.
Arquitectura SNMP.
Versiones de SNMP.
NetFlow
Utilidad.
Características.
Arquitectura.
Configuración.
Los temas de mayor importancia y que hay que manejar en detalle, son:
NAT.
Sin embargo, no se pueden descuidar los otros puntos que tienen su lugar propio
dentro del cuestionario que se deberá responder. Siempre hay preguntas referidas
a NetFlow, SNMP, NTP o temas de seguridad.
Hay que adquirir un manejo seguro y rápido del método de cálculo de las
máscaras de wildcard.
La estructura binaria de las direcciones IPv4 (en el examen CCNA R&S 200-120 el
tema ACLs está reducido a su aplicación en redes IPv4 solamente) permite
establecer criterios de agrupamiento que se basan en el valor de cada uno de los
bits.
.15 00001111
.16 00010000
.17 00010001
.18 00010010
.19 00010011
.20 00010100
Si se observa con atención se puede ver que el grupo que va desde .16 a .19 tiene
un patrón de 6 bits en común:
.16 00010000
.17 00010001
.18 00010010
.19 00010011
Adicionalmente, cuando uno solo de los bits que componen este patrón común se
modifica, automáticamente se sale del rango señalado.
172 . 16 . 16 . 0
172 . 16 . 17 . 0
172 . 16 . 18 . 0
172 . 16 . 19 . 0
Octeto crítico
2. Verifique que el conjunto de valores decimales del octeto crítico cumpla las
dos condiciones que enuncié antes:
172 . 16 . 16 . 0
0 . 0 . __ . 255
Octeto crítico
4. En el octeto crítico tome el valor decimal más alto que integra el grupo y
réstele el valor decimal más bajo. El resultado que obtiene es el valor del
octeto crítico de la máscara de wildcard:
19 – 16 = 3
0 . 0 . 3 . 255
Octeto crítico
Pero esto no fue suficiente para los requerimientos crecientes que se desprendían
de la implementación de IP. Así fueron surgiendo otros elementos tales como:
Todo dispositivo que opera en una red IP necesita contar con una configuración IP
básica (dirección IP, máscara de subred, default gateway, servidor DNS, etc.). Esta
configuración puede lograrse a partir de diferentes mecanismos.
Configuración estática.
Asigna una configuración IP a los nodos conectados a la red para su uso temporal.
Default Gateway.
Nombre de dominio.
Time Servers.
WINS Server.
Duración de la asignación.
Asignación dinámica.
Realiza una asignación dinámica de configuración IP utilizando una
dirección comprendida en un rango definido en el servidor, por un tiempo
determinado.
El cliente deberá volver a solicitar una nueva asignación antes de que
expire el tiempo especificado.
Asignación automática.
El servidor realiza una asignación dinámica de la configuración IP con una
dirección comprendida en el rango definido en el servidor, de modo
permanente.
El cliente no necesita renovar periódicamente esta asignación.
Asignación estática.
El servidor realiza la asignación de la configuración IP tomando
direcciones ya definidas en una tabla que mapea direcciones MAC a
direcciones IP. Sólo reciben dirección por este mecanismo los clientes que
están enlistados en esta tabla.
1. DHCP Discovery.
El cliente DHCP envía una solicitud de configuración en formato de
broadcast.
2. DHCP Offer.
El servidor DHCP que recibe la solicitud reserva una dirección IP para el
cliente y responde enviando una propuesta de configuración en formato de
broadcast.
3. DHCP Request.
El cliente responde en formato broadcast realizando una solicitud explícita
de la configuración ofrecida por el servidor.
El cliente puede recibir múltiples ofertas, pero sólo una es aceptada.
Cuando deba renovar su configuración enviará un nuevo request pero esta
vez en formato unicast al servidor.
4. DHCP Acknowledgement.
Se envía un paquete en formato broadcast al cliente, incluyendo la
información de configuración que el cliente ha aceptado.
Esto completa y cierra el proceso.
DHCPDiscover
DHCPOffer
DHCPRequest
DHCPAck
Router#configure terminal
Router(config)#service dhcp
Habilita el servicio DHCP en el dispositivo.
El servicio DHCP se encuentra habilitado por defecto
en Cisco IOS, por lo que este comando no es
requerido.
Router(config)#ip dhcp excluded-address 172.16.1.1 172.16.1.3
Permite excluir del conjunto de direcciones IP que se
definirán para el pool las direcciones IP que se desean
administrar manualmente o no asignar por otros
motivos.
Router(config)#ip dhcp pool DHCP_LAN
Crea un servicio DHCP identificado por el nombre que
se especifica. Al mismo tiempo accede al modo de
configuración del pool DHCP.
Dado que el inicio de la operación del protocolo se realiza sin contar con una
dirección de origen y utilizando broadcast como destino, las solicitudes DHCP
(discovery) no son de suyo ruteables hacia otras redes o subredes. De aquí que en
principio el protocolo supone que el servidor y el cliente DHCP están conectados a
la misma red o subred.
Cuando se desea utilizar servidores DHCP que se encuentran alojados en una red
o subred diferente de aquella en la que se encuentran las terminales a las que
debe servir, se puede utilizar un agente DHCP relay. Un DHCP relay es un
dispositivo que recibe las solicitudes de los clientes en formato de broadcast y las
reenvía como unicast a la dirección del servidor DHCP.
1. DHCP Discovery.
El cliente DHCP envía una solicitud en formato de broadcast.
2. DHCP Relay.
El agente DHCP relay que recibe el broadcast lo retransmite a uno o más
Broadcast Unicast
DHCPRelay
Cisco IOS no solo incluye un servicio de DHCP, sino también un cliente DHCP que
puede ser activado en sus interfaces.
Router#configure terminal
Router(config)#interface GigabitEthernet 0/0
Router(config-if)#ip address dhcp
Este protocolo adquiere una especial relevancia en redes IPv6, para las cuales hay
una versión específica del mismo: ICMPv6.
DNS es el protocolo que nos permite reemplazar el uso por parte del usuario final
de direcciones IP por nombres para identificar los nodos. Habitualmente reciben la
misma denominación tanto la base de datos de nombres como el protocolo
utilizado para acceder la base de datos.
ROOT
.terra .google
ftp www
Si el servidor DNS local no tiene una entrada para este dominio, reenvía la
consulta al servidor raíz.
Los nombres DNS están representados por conjuntos de etiquetas separadas por
puntos. Un nombre es un conjunto de etiquetas compuestas por entre 1 y 63
caracteres alfanuméricos, comenzando con un carácter alfabético. No se
distinguen mayúsculas y minúsculas.
Los servidores DNS mantienen una base de datos que relaciona los nombres de
dominio con las direcciones IP que han de utilizarse para establecer las
comunicaciones. Estas bases de datos están compuestas por diferentes tipos de
registros:
Registros A.
Para mapear nombres a direcciones IPv4.
Registros AAAA.
Para mapear nombres a direcciones IPv6.
Registros MX.
Para mapear direcciones IP de servidores de correo.
Cuando el servidor que recibe una consulta opera tanto con IPv4 como IPv6 y
tiene ambos registros para el nombre requerido, entonces envía ambos registros:
IPv4 e IPv6. Al recibirlo la terminal, por defecto, utiliza el registro IPv6.
Router#configure terminal
Router(config)# ip domain-lookup
Habilita el servicio de traducción de nombres (se
encuentra habilitado por defecto). Para apagar el
servicio se niega este comando.
Router(config)#ip name-server [IP servidor DNS]
Define la dirección IP del servidor DNS externo para
realizar consultas de nombre.
Router(config)#ip host [nombre] [IP]
Crea una tabla de nombres local asociando el nombre
referido a una o varias direcciones IP.
Listas de Control de Acceso
Cisco IOS proporciona funcionalidades básicas de filtrado de tráfico a partir del uso
de Listas de Control de Acceso (ACL – Access Control List). Una lista de control de
acceso es una enumeración secuencial de indicaciones de permiso y/o prohibición
para determinadas direcciones, protocolos y/o puertos. De este modo también es
posible identificar y clasificar diferentes tipos de tráfico en la red.
Las listas de control de acceso son una herramienta que permiten filtrar tráfico en
función de la información contenida en los diferentes encabezados (capa 2, 3 o 4)
de una trama.
Se puede configurar una sola lista en cada interfaz, por sentido del tráfico
(entrante / saliente), por protocolo (IP, IPX, etc.).
Esta regla suele denominarse como la regla de las 3 Ps:
o Por protocolo.
o Por interfaz.
Cada paquete que ingresa o sale a través de una interfaz que tiene
asociada una lista de acceso es comparado con cada sentencia de la ACL
secuencialmente, en el mismo orden en que fueron ingresadas,
comenzando por la primera.
Tipos especiales:
1-99 IP estándar
100-199 IP extendida
700-799 48 bit MAC address standard
1100-1199 48 bit MAC address extendida
1300 - 1999 IP estándar (a partir de IOS 12.0.1)
2000 – 2699 IP extendida (a partir de IOS 12.0.1)
La máscara de wildcard
Algunos ejemplos:
172.16.14.33 0.0.0.0
Todos los bits en 0 en la máscara de wildcard, indican
que la dirección IP completa es relevante.
Indica que se debe seleccionar únicamente la
dirección IP declarada.
172.16.14.44 0.0.0.255
En este caso, se consideran relevantes los 3 primeros
octetos, y el cuarto no tiene importancia.
Selecciona todas las direcciones IP comprendidas
entre 172.16.14.0 y 172.16.14.255 (no discrimina
respecto del cuarto octeto).
Cuando contamos con una máscara de subred como punto de partida (porque
deseamos filtrar una red o subred completa), la máscara de wildcard es el
“complemento” de esa máscara de subred. Al decir complemento me refiero al
valor necesario para obtener una dirección IP de broadcast:
Un ejemplo:
4
Amplitud del rango: 16 = 2
Casos especiales
Router#show ip access-lists
El comando nos permite verificar la configuración,
número de secuencia y orden de cada una de las
Con este propósito se crea una lista de acceso estándar y luego se la asocia a las
líneas de terminal virtual.
Router(config)#line vty 0 4
Router(config-line)#access-class 10 in
Asocia la lista de acceso que se ha creado a las
terminales virtuales.
Router#show running-config
Muestra tanto las listas de acceso configuradas, como
las interfaces a las que se encuentran asociadas.
ACL Interfaz
show access-list Si No
show ip interfaces No Si
show running-config Si Si
Tips de aplicación
Una misma lista de acceso puede ser asignada a varias interfaces distintas
en el mismo dispositivo, tanto en modo entrante como saliente.
Las listas de acceso estándar deben colocarse lo más cerca posible del
destino del flujo de tráfico que se desea filtrar.
Las listas de acceso extendidas deben colocarse lo más cerca posible del
origen del flujo de tráfico que desea denegar.
LAB_A#config t
Enter configuration commands, one per line. End with CNTL/Z.
LAB_A(config)#access-list 101 permit tcp any host 205.7.5.10 eq 21
Crea un filtro que permite el tráfico de solicitudes de
servicios FTP (puerto destino 21) de cualquier
dispositivo que quiera acceder al servidor cuya
dirección IP es 205.7.5.10.
Un router Cisco.
Un firewall ASA.
Un sistema UNIX.
Un servidor Windows.
Una red stub es una red con una única puerta de entrada y
de salida.
NAT
Red inside.
Red que se encuentra del lado “interno” del dispositivo NAT, y cuyas
direcciones requieren traducción.
Habitualmente coincide con la red LAN.
Red outside.
Red del lado “externo” del dispositivo NAT que requiere direcciones IP
válidas.
Habitualmente coincide con la red WAN o Internet.
NAT Box
205.15.15.1/24
Gi0/0
192.168.100.1/24
Inside Outside
192.168.100.18/28
NAT estático.
La traducción se define manualmente de IP local a IP global.
Se asegura de este modo que un nodo de la red Inside esté siempre
representado por la misma dirección global en la red Outside.
Generalmente utilizado para habilitar el acceso desde la red Global a un
servidor alojado en la red Inside.
NAT dinámico.
No hay una asignación uno a uno de IP local a IP global, sino que se
define un conjunto de direcciones locales de origen que se traducen
dinámicamente utilizando un conjunto de direcciones globales.
Se asigna dinámicamente una IP global para cada IP local que atraviesa el
dispositivo NAT.
NAT estático para identificar dispositivos que deben ser accedidos desde
la red pública como servidores.
Configuración de NAT:
Router#configure terminal
Router(config)#interface GigabitEthernet 0/0
Router(config-if)#ip nat inside
Define la interfaz que conecta a la red Inside.
Los riesgos potenciales a los que están sometidas las redes de datos han
experimentado en los últimos años una complejidad y sofisticación crecientes. La
red está expuesta no sólo a amenazas externas (un atacante ajeno a la propia
empresa u organización), sino también internas. Por esto la preocupación por la
seguridad debe estar presente aún en el caso de redes que no tienen conexión
con redes externas o con Internet.
Amenazas Internas.
Amenazas a la seguridad de la red originadas al interior de la
organización. Son las más serias.
La principal contramedida para responder a este tipo de amenazas son las
políticas de seguridad.
Son particularmente importantes porque:
Amenazas Externas.
Son ataques de naturaleza más técnica, que se inician con menor
conocimiento del interior de la red.
A estas amenazas se responde principalmente implementando defensas
técnicas.
Confidencialidad.
Permite garantizar que solamente usuarios autorizados pueden acceder a
información sensible.
Implica restringir y controlar el acceso a la información. Algunos de los
mecanismos que apuntan a este objetivo son:
o Encriptación de tráfico.
Disponibilidad.
Garantiza el acceso ininterrumpido de los usuarios autorizados a los
recursos de cómputo y a los datos.
Previene las interrupciones de servicio accidentales o intencionales (tales
como ataques DoS).
Es quizás el aspecto más difícil de garantizar.
Plano de Control.
Refiere a la capacidad del dispositivo para mantener una estructura de
información referida a la red.
Plano de Management.
Refiere a la capacidad de administrar o gestionar el dispositivo.
Plano de Datos.
Refiere a la capacidad del dispositivo de reenviar tráfico.
Amenazas físicas.
Hay diferentes tipos de amenazas físicas en primer lugar están aquellas
que pueden producir daño físico al hardware de los dispositivos; también
hay amenazas de tipo ambiental que pueden afectar el desempeño del
hardware; amenazas que se generan a partir del suministro eléctrico
indispensable para el funcionamiento de los equipos; y situaciones
generadas en torno a las tareas de mantenimiento que están asociadas a
la manipulación inapropiada de dispositivos y conectorizado.
Ataques de reconocimiento.
Es la recopilación no autorizada de información de la red, que luego puede
ser utilizada para ejecutar otros tipos de ataques, como DoS.
Ataques de acceso.
Son intentos de explotar vulnerabilidades conocidas en los servicios de
autenticación u otros, de modo de ganar acceso a información.
Cisco IOS provee un conjunto de prestaciones que permiten asegurar los planos
de control y management de los routers.
Router(config)#service password-encryption
Encripta las claves que se guardan por defecto en
texto plano en el archivo de configuración.
Esta encriptación es reversible.
Router(config)#line vty 0 4
Ingresa al submodo de configuración del acceso por
terminal virtual.
Router(config-line)#password cisco
Define una clave de acceso.
Router(config-line)#login
Habilita el requerimiento de clave para el acceso por
terminal virtual.
Router(config-line)#exec-timeout 5 0
Define un umbral de tiempo de inactividad en las
líneas de terminal virtual, tras el cual la sesión se
cerrará automáticamente. En este caso es de 5
minutos 0 segundos.
Router(config-line)#exit
Router(config)#line con 0
Ingresa al submodo de configuración del acceso por
puerto consola.
Router(config-line)#password cisco
Router(config-line)#login
Router(config-line)#exec-timeout 5 0
Router(config-line)#logging synchronous
Fuerza la sincronización de los mensajes de actividad
del sistema operativo con los comandos ingresados
por el operador, en la consola.
Router(config-line)#exit
Router(config)#enable secret cisco123
Establece una clave de acceso a modo privilegiado.
Esta clave se guarda encriptada con MD5 en el
archivo de configuración.
Cuando se desea utilizar un esquema de usuario y clave para autenticar el acceso
a través de las terminales virtuales, puede utilizarse el siguiente formato:
Implementación de SSH
Tanto Telnet como SSH son protocolos de terminal virtual (VTPs) que son parte
del stack TCP/IP. Permiten iniciar sesiones de consola de modo remoto.
LAB_A#show ip ssh
Muestra la versión y configuración de SSH en el
dispositivo que actúa como SSH server.
LAB_A#show ssh
Permite monitorear las conexiones SSH que se han
establecido hacia ese dispositivo.
Administración de múltiples sesiones de terminal virtual
Cisco IOS también ofrecen varias posibilidades para administrar múltiples sesiones
vty abiertas desde un dispositivo.
Enter.
Router#telnet Router_B
Router_B#Ctrl+shift+6 luego x
Router#_
Router#[Enter]
Router_B#_
Router_B#exit
Router#_
Router#resume #
Router_B#_
Router_B#logout
Router#_
Router#disconnect [IP/Nombre]
Router#clear line #
Implementación de un registro de eventos
Clave memotécnica.
UPDOWN
0 Emergency
1 Alert
2 Critical
3 Error
4 Warning
5 Notification
6 Informational
7 Debugging
Por defecto se envían todos los mensajes hasta nivel 7 al puerto de consola.
Router(config)#service timestamps
Habilita la inclusión de fecha y hora en el encabezado
de los mensajes.
Router(config)#service sequence-numbers
Habilita la inclusión de un número de secuencia en el
encabezado de los mensajes.
Router(config)#logging on
Activa el proceso de logging.
Cisco IOS incluye un cliente NTP que permite que la configuración de fecha y hora
de cada dispositivo se aprenda dinámicamente a partir de un servidor NTP. Para
configurar un dispositivo IOS como cliente NTP, siga este procedimiento:
Router#configure terminal
Router(config)#ntp server 172.16.1.100
Indica la dirección IP del servidor NTP del cual ha de
tomarse sincronía.
Para verificar la operación del protocolo en el cliente:
SNMP Manager.
Aplicación de gestión de red que proporciona funcionalidades de
monitoreo y gestión al Administrador.
También denominado NMS (Network Management Station).
Agente SNMP.
Software que opera en un dispositivo de red que se desea gestionar.
Recoge información en una base de datos (MIB – Management
Information Base) que contienen variables de estadística y configuración
del dispositivo.
Dispositivo con
Agente SNMP
Mensajes GET.
Get Request y Get Response.
Permiten que el SNMP Manager requiera y obtenga información que los
Agentes SNMP almacenan en su base de datos para luego poder
analizarla o consultarla.
La mayoría de las consolas SNMP permiten que el Administrador configure
intervalos de tiempo para que la consulta se realice de modo automático y
también a demanda del operador.
Mensajes SET.
Mensajes SNMP que envían modificaciones en los parámetros de
configuración que se almacenan en la MIB para que luego se modifique la
configuración del dispositivo.
Mensajes Trap.
Notificaciones generadas por el mismo Agente SMNP que se envían al
NMS sin que haya consulta previa para informar algún evento en
particular.
Estos mensajes pueden desencadenar algún proceso conexo tal como
mostrar una alarma en pantalla o disparar la notificación por SMS del
evento al Administrador de la red.
SNMPv2c.
Mejoró el sistema de mensajes, lo que permite obtener mayor cantidad de
información del dispositivo de modo más eficiente.
Utiliza el mismo sistema de autenticación basado en el nombre de
comunidad que la versión 1: el nombre de comunidad opera como una
clave de autenticación que viaja en texto plano, por lo que su nivel de
seguridad es bajo y lo hace susceptible de ataque tipo man-in-the-middle
Hay 2 tipos de comunidades:
- Read-only (RO) – Permite solamente el monitoreo del dispositivo.
- Read-write (RW) – Permite acceso de lectura y escritura.
Aplicación diseñada por Cisco y embebida en IOS que permite relevar información
estadística de tráfico en la red.
Monitoreo de la red.
Dirección IP origen.
Dirección ID destino.
Puerto de origen.
Puerto de destino.
Dispositivo con
NetFlow habilitado
MIB
NetFlow
Collector
Configuración de NetFlow
Router(config)#interface GigabitEthernet0/0
Router(config-if)#ip flow ingress
Define la captura de datos correspondientes al tráfico
que ingresa a través de la interfaz.
Router(config-if)#ip flow egress
Define la captura de datos correspondientes al tráfico
que egresa a través de la interfaz.
Router(config-if)#exit
Router(config)#ip flow-export destination 10.1.10.100 99
Configura la dirección IP y puerto a la cual se debe
dirigir la información de NetFlow que surja de la
captura en la interfaz.
Router(config)#ip flow-export version 9
Define la versión de NetFlow a utilizar en el diálogo
con el collector.
Router(config)#ip flow-export source loopback 0
Define la interfaz cuya dirección IP se utilizará como
dirección de origen para enviar la información hacia el
collector.
Los siguientes ejercicios permitirán revisar aspectos prácticos cuya base teórica ha
sido desarrollada en este capítulo, y que son considerados en el examen de
certificación.
Para estos ejercicios tomaremos como punto de partida una topología básica,
semejante a la considerada en el eje temático de “Operación de dispositivos Cisco
IOS”:
Se0/0/0
Gi0/0 201.17.15.2/30 Gi0/0
172.16.1.1/24 176.24.15.1/24
172.16.1.10/24
Esta red básica está compuesta por 2 routers 2911 corriendo IOS 15.0 conectados
entre sí a través de un enlace serial sincrónico. En ese enlace serial el Router_2
asume las funciones de DCE, mientras que el Router_1 asume las funciones
clásicas de DTE.
Router 1
Hostname: Router_1
Enrutamiento: EIGRP AS 10
Router 2
Hostname: Router_2
Enrutamiento: EIGRP AS 10
Premisa
Router 1
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router_1
!
enable secret 5 $1$mERr$fUHfKnbAzwSaPfCLSoNMr1
!
ip name-server 8.8.8.8
!
interface GigabitEthernet0/0
ip address 172.16.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface Serial0/0/0
ip address 201.17.15.1 255.255.255.252
ip nat outside
!
ip nat inside source list 100 interface Serial0/0/0 overload
ip classless
!
access-list 100 permit ip 172.16.1.0 0.0.0.255 any
!
line con 0
password c1sc0_con
logging synchronous
line vty 0 4
password c1sc0_tel
logging synchronous
login
!
end
Premisa
Por otra parte, el Router 1, a través de su puerto Se0/0/0 sólo debe admitir
tráfico que sea respuesta a las solicitudes de servicios realizadas desde la
red LAN 172.16.1.0/24. No debe responder las solicitudes de ping que
reciba, pero si permitir todo otro tráfico ICMP.
Router 1
!
interface GigabitEthernet0/0
ip address 172.16.1.1 255.255.255.0
ip access-group 101 in
ip nat inside
duplex auto
speed auto
!
interface Serial0/0/0
ip address 201.17.15.1 255.255.255.252
ip access-group 102 in
ip nat outside
!
router eigrp 10
passive-interface FastEthernet0/0
network 172.16.1.0 0.0.0.255
network 201.17.15.0 0.0.0.3
no auto-summary
!
ip nat inside source list 100 interface Serial0/0/0 overload
!
access-list 100 permit ip 172.16.1.0 0.0.0.255 any
access-list 101 permit tcp host 172.16.1.10 host 172.16.1.1 eq 23
access-list 101 permit tcp host 172.16.1.10 host 176.24.15.1 eq 23
access-list 101 deny tcp any any eq 22
DHCPv4.
3 formas diferentes:
o Asignación dinámica.
o Asignación automática.
o Asignación estática.
Procedimiento de asignación:
o DHCP Discovery.
o DHCP Offer.
o DHCP Request.
o DHCP Acknowledgement.
DHCP Relay.
IOS permite que los dispositivos de red operen como DHCP Relay.
o Mensajes de error.
o Mensajes de control.
o ping
o trace route
Reglas de funcionamiento:
Nombradas.
Tipos especiales:
Máscara de wildcard.
o Casos especiales:
o host = 0.0.0.0
o any = 255.255.255.255
Procedimiento de configuración:
Terminología:
o Red inside.
o Red outside.
Modalidades de NAT:
o NAT estático.
o NAT dinámico.
Configuración de NAT:
Amenazas internas.
Amenazas externas.
Confidencialidad.
o Autenticación.
o Cifrado.
Integridad.
Disponibilidad.
Utilizar SNMPv3.
SSH.
Su implementación requiere:
Registro de eventos.
o Consola.
o Buffer de memoria.
o 0 - Emergency
o 1- Alert
o 2 - Critical
o 3 - Error
o 4 - Warning
o 5 - Notification
o 6 - Informational
o 7 - Debugging
Arquitectura:
o SNMP Manager.
o SNMP Agent.
o MIB.
Tipos de mensajes:
o GET.
o SET.
o Trap.
Versiones:
o SNMPv1.
o SNMPv2c.
o SNMPv3
Arquitectura:
o NetFlow collector.
Por este motivo los cuestionarios tienen una metodología propia. Además de estar
agrupados según ejes temáticos, los he graduado según su dificultad de acuerdo a
tres categorías básicas de preguntas:
DHCP
1. Cuando se configura un servidor DHCP, ¿Cuáles son las 2 direcciones IP que no son
asignables a hosts? (Elija 2)
C. Las direcciones son asignadas por períodos de tiempo fijos, al final de ese
período el servidor debe realizar una nueva asignación de dirección.
D. Las direcciones son cedidas a las terminales, las que periódicamente contactan
el servidor DHCP para renovar la cesión.
3. ¿Cuáles de las siguientes son 2 tareas que realiza Dynamic Host Configuration Protocol? (elija
2)
¿Qué regla aplicará el servidor DHCP cuando se verifica un conflict de direcciones IP?
A. Las direcciones en conflicto serán removidas del pool de direcciones hasta que
el conflicto sea resuelto.
C. Los clientes DHCP utilizan gratuitous ARP para detectar un servidor DHCP.
ICMP
6. El Host 1 está intentando comunicarse con el Host 2. La interfaz Gi0/0 del RouterC está caída
(down):
Gi0/0 Gi0/0
Host1 Host2
A. El RouterC utilizará ICMP para informar al Host1 que el Host2 no puede ser
alcanzado.
B. El RouterC utilizará ICMP para informar al RouterB que el Host2 no puede ser
alcanzado.
A. ping address
B. tracert address
C. traceroute address
D. arp address
SNMP
8. Cuando se implementa SNMP para gestionar una red corporativa, ¿Cuáles son los 3
elementos que componen el sistema SNMP? (Elija 3)
A. Algoritmo SNMP.
B. MIB.
C. Agente SNMP.
D. Collector.
E. Servidor Syslog.
F. NMS.
A. Discovery.
B. Get.
C. Alert.
D. Trap.
E. Set.
F. Hello.
10. Por defecto, ¿Para qué nivel de severidad Cisco IOS envía mensajes de eventos (logs)?
A. 0 – Emergency.
B. 5 – Notification.
D. 4 – Warning.
E. 1 – Alert.
NetFlow
11.¿Cuál es el comando Cisco IOS que nos permite verificar las estadísticas recolectadas de cada
flujo o conversación por el dispositivo?
12. ¿Cuál de los siguientes es el rango de números que identifican una lista de acceso IP
extendida? (Elija 2)
A. 1-99.
B. 200-299.
C. 1000-1999.
D. 100-199.
E. 1300 – 1999.
F. 2000 – 2699.
D. En la Internet.
14. ¿Cuál de los siguientes elementos es utilizado por las listas de acceso IP extendidas como
base para permitir o denegar paquetes?
A. Dirección de origen.
B. Dirección de destino.
C. Protocolo.
D. Puerto.
15. Luego de estar revisando una serie de publicaciones de tecnología, su gerente le pregunta
acerca de la utilidad de las listas de control de acceso.
¿Cuáles serían respuestas posibles? (Elija 3)
16. Para especificar todos los nodos en la red IP Clase B 172.16.0.0, ¿qué máscara de wildcard
utilizaría?
A. 255.255.0.0
B. 255.255.255.0
C. 0.0.255.255
D. 0.255.255.255
E. 0.0.0.255
A. 172.16.16.0 0.0.0.255
B. 172.16.255.255 255.255.0.0
C. 172.16.0.0 0.0.255.255
D. 172.16.16.0 0.0.8.255
E. 172.16.16.0 0.0.7.255
F. 172.16.16.0 0.0.15.255
18. ¿Qué wildcard utilizaría para filtrar el siguiente conjunto de redes? 172.16.32.0 a 172.16.63.0
A. 172.16.0.0 0.0.0.255
B. 172.16.255.255 0.0.0.0
C. 0.0.0.0 255.255.255.255
D. 172.16.32.0 0.0.0.255
E. 172.16.32.0 0.0.0.31
F. 172.16.32.0 0.0.31.255
G. 172.16.32.0 0.31.255.255
H. 172.16.32.0 0.0.63.255
19. La red corporativa de su empresa ha sido dividida en subredes utilizando una máscara de
subred de 29 bits. ¿Qué máscara de wildcard deberá utilizar para configurar una lista de
acceso extendida para permitir o denegar acceso a una subred entera?
A. 255.255.255.224
B. 255.255.255.248
C. 0.0.0.224
D. 0.0.0.8
E. 0.0.0.7
F. 0.0.0.3
21. Sobre la interfaz serial de un router se ha configurado una lista de acceso para denegar
específicamente el tráfico entrante dirigido a los puertos UDP y TCP 21, 23 y 25.
Basados en esta información, ¿qué tráfico del que se menciona más abajo estará permitido en
esta interfaz? (Elija 3)
A. SMTP.
B. DNS.
C. FTP.
D. Telnet.
E. HTTP.
F. POP3.
Router
ISP
Personal
.1
192.168.12.0/24
Sistemas RR.HH. .7 I+D
Prog2
Prog1 .3 Adm1 Tec1 Tec2
Prog3 Adm2
.2 .5 .8 .9
.4 .6
A. Listas de acceso.
C. STP.
D. VLANs.
E. VTP.
F. LANs inalámbricas.
Una lista de acceso ha sido creada escribiendo las cuatro sentencias que se muestran arriba.
¿Cuál sería el modo de sintetizar esta lista de acceso en una única sentencia que combine las
cuatro que se muestran, obteniendo exactamente el mismo efecto?
S0/0/0
192.168.160.0/24
Internet
192.168.175.0/24
Sucursal
S0/0/0
F0/0
S0/0/1
192.168.191.0/24 Central
192.168.195.0/24
Server
Usted necesita colocar una lista de acceso en la interfaz F0/0 del router Central para que
deniegue el acceso a todos los nodos que provengan de cualquiera de las redes que están
dentro del rango 192.168.160.0 a 192.168.191.0. Los nodos de la red 192.168.195.0 deben
tener acceso pleno.
¿Cuál de las siguientes sentencias cubre completamente estas necesidades?
25. ¿Cuáles de las siguientes son formas válidas de referirse sólo al nodo 172.16.30.55 en la lista
de acceso IP 119? (Elija 2).
A. 172.16.30.55 0.0.0.255
B. 172.16.30.55 0.0.0.0
C. any 172.16.30.55
D. host 172.16.30.55
E. 0.0.0.0 172.16.30.55
F. ip any 172.16.30.55
27. Ud. tiene una lista de acceso con una única consigna que se muestra a continuación, ¿qué
significa la palabra “any” que aparece en la consigna?
28. ¿Cuál de los siguientes comandos le permite implementar una lista de acceso en la línea de
terminal virtual de un router?
A. Router_1(config-line)#access-class 10 in
C. Router_1(config-line)#access-list 150 in
E. Router_1(config-line)#access-group 15 out
D. Es inválido.
32. ¿Cuál de las siguientes listas de acceso permitirá sólo tráfico http a la red 196.15.7.0?
34. Su Gerente está preocupado respecto de la seguridad de la subred 10.0.1.0/24 que contiene
al servidor de contaduría. Desea estar seguro de que los usuarios no podrán conectarse
utilizando telnet a ese servidor, y le ha consultado en orden a incorporar una sentencia a la
lista de acceso existente para prevenir que los usuarios puedan acceder a la subred utilizando
telnet. ¿Cuál de las siguientes sentencias debería Ud. agregar?
35. Teniendo en cuenta los siguientes criterios para permitir el acceso desde sitios remotos a su
LAN:
¿Cuál de las siguientes debiera ser la última sentencia en ingresar en su lista de acceso?
A. access-list 101
Córdoba Mendoza
S0/0/0
S0/0/1
F0/0
F0/0 F0/1
A partir de esta información, ordene en la tabla de más abajo los comandos necesarios para
cumplir los objetivos de diseño que se enuncian en la columna de la derecha.
Internet
S0/0/1 S0/0/1
F0/0 F0/0
Investigación
172.16.102.0/24
¿Cuál de las siguientes secuencias de comandos permitirán colocar esta lista de modo tal que
se cumplan los requerimientos enunciados?
A. Router_1(config)#interface F0/0
Router_1(config-if)#ip access-group research_block in
B. Router_1(config)#interface S0/0/0
Router_1(config-if)#ip access-group research_block out
C. Router_2(config)#interface S0/0/0
Router_2(config-if)#ip access-group research_block out
D. Router_2(config)#interface S0/0/1
Router_2(config-if)#ip access-group research_block in
E. Router_3(config)#interface S0/0/1
Router_3(config-if)#ip access-group research_block in
F. Router_3(config)#interface F0/0
Router_3(config-if)#ip access-group research_block out
S0/0/1 S0/0/0
F0/0 F0/0
Dept. Gráfico
192.168.16.0/24
Web Server
192.168.18.252/24
¿Sobre qué router, en qué interfaz y en qué dirección deberá usted instalar la lista de acceso
para tener la mayor eficiencia? (Elija 3)
A. RouterA
B. RouterC
C. Serial 0/0/0
D. FastEthernet 0/0
E. In
F. Out
Internet
S0/0/0 S0/0/0
F0/0 F0/0
Departamento de
Producción
Se ha requerido la instalación sobre el router Capital de una lista de acceso que cumpla con
las siguientes premisas:
¿Cuáles de las siguientes sentencias de lista de acceso permitirían cumplir con estos tres
objetivos? (Elija 2)
172.16.1.0/24 172.16.4.0/24
La lista de acceso que se muestra debe denegar el tráfico originado en todos los nodos de la
red 172.16.1.0 excepto el que genera el nodo 172.16.1.5 cuando intentan acceder a la red
172.16.4.0.
Todas las demás redes deben permanecer accesibles.
¿Qué secuencia de comandos le permitirá aplicar correctamente esta lista de acceso?
A. Router_A(config)#interface F0/0
Router_A(config-if)#ip access-group 10 in
B. Router_A(config)#interface S0/0/0
Router_A(config-if)#ip access-group 10 out
C. Router_B(config)#interface F0/1
Router_B(config-if)#ip access-group 10 out
D. Router_B(config)#interface F0/0
Router_B(config-if)#ip access-group 10 out
E. Router_B(config)#interface S0/0/1
Router_B(config-if)#ip access-group 10 out
F0/0 F0/1
192.168.23.64/26 192.168.23.128/26
Debe permitirse el acceso de todos los demás nodos. ¿Qué comando deberá ingresar en el
router para realizar esta tarea?
Servidor
Telnet 192.168.0.16/29 192.168.0.24/29
45. Se ha diseñado una lista de acceso para evitar que el tráfico HTTP del Departamento de
Cuentas, llegue al Servidor HR conectado al Router2. ¿Cuál de las siguientes listas de acceso
es la más adecuada para realizar la tarea descrita, si es aplicada a la interfaz Fa0/0 del
Router1?
46. ¿Cuál de los siguientes comandos mostrarán las interfaces que tienen aplicadas listas de
acceso IP? (Elija 2).
A. show ip port
B. show access-lists
C. show ip interfaces
E. show running-config
47. ¿Cuál de los siguientes comandos mostrará la lista de acceso extendida 187? (Elija 2).
A. show ip interfaces
B. show ip access-lists
48. El Administrador de la red ha configurado la lista de acceso 172 para prevenir el tráfico telnet
e ICMP que intente alcanzar el servidor cuya dirección es 192.168.13.26.
¿Qué comandos permitirán al administrador verificar que la lista de acceso está trabajando
adecuadamente? (Elija 2)
A. Router#ping 192.168.13.26
D. Router#show access-list
E. Router#show ip interfaces
Ud. ha creado una lista de acceso IP extendida. Ahora ha aplicado la lista de acceso a la
interfaz FastEthernet0/0.
¿Cuál es el resultado de esta acción?
C. Todos los protocolos TCP tienen permitido salir por FastEthernet 0/0 excepto el
correo electrónico y telnet.
D. Todo el tráfico IP que quiera salir por FastEthernet 0/0 será denegado.
NAT
50. En un sistema que está implementando NAT (Network Address Translation), ¿Cuál es la
dirección IP global inside?
B. Port loading.
C. NAT overloading.
D. NAT dinámico.
¿Qué tipo de NAT requiere la definición de un pool de direcciones como el que se presenta en
el ejemplo?
A. NAT estático.
B. NAT dinámico.
D. NAT global.
53. Como Administrador a cargo de la red que se muestra en el esquema, usted debe
implementar NAT.
Router2 Router1
Internet
Router3
Para permitir que los nodos que están conectados a las redes LAN utilicen direccionamiento
privado. ¿Dónde deberá configurar NAT?
A. En el Router 1.
B. En el Router 2.
C. En el Router 3.
Router 1 S0/0/1
200.2.2.18/30
F0/0
10.10.0.1/24
10.10.0.0/24
¿Cuáles de los siguientes conjuntos de comandos se deberá utilizar para aplicar NAT en la
interfaz adecuada? (Elija 2)
A. Router_1(config)#interface serial0/0/1
Router_1(config-if)#ip nat inside
B. Router_1(config)#interface serial0/0/1
Router_1(config-if)#ip nat outside
C. Router_1(config)#interface fastethernet0/0
Router_1(config-if)#ip nat inside
D. Router_1(config)#interface fastethernet0/0
Router_1(config-if)#ip nat outside
E. Router_1(config)#interface serial0/0/1
Router_1(config-if)#ip nat outside source pool 200.2.2.18 255.255.255.252
F. Router_1(config)#interface serial0/0/1
Router_1(config-if)#ip nat inside source pool 10.10.0.0 255.255.255.0
Router1#show running-config
Current configuration
!
version 12.3
hostname Router1
!
ip subnet-zero
ip name-server 192.168.0.1
ip dhcp excluded-address 10.0.12.1
!
ip dhcp pool DHCP
network 10.0.12.0 255.255.255.0
default-router 10.0.12.1
dns-server 192.15.0.150
!
interface FastEthernet0/0
no ip directed-broadcast
ip nat inside
!
interface Serial0/0/0
description Enlace WAN
ip address 192.15.0.201 255.255.255.252
ip nat outside
!
ip nat inside source list 12 interface serial 0/0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 192.15.0.202
!
access-list 12 permit 10.0.12.0 0.0.0.255
!
Router 1 S0/0/1
200.2.2.18/30
F0/0
10.10.0.1/24
10.10.0.0/24
interface serial0/0/1
ip address 200.2.2.18 255.255.255.252
ip nat outside
!
interface fastethernet0/0
ip address 10.10.0.1 255.255.255.0
ip nat inside
speed auto
!
ip nat pool test 199.99.9.40 199.99.9.62 netmask 255.255.255.224
ip nat inside source list 1 pool test
!
ip route 0.0.0.0 0.0.0.0 200.2.2.17
!
access-list 1 10.10.0.0 0.0.0.255
!
A. 10.10.0.1
B. 10.10.0.17
C. 200.2.2.17
D. 200.2.2.18
E. 199.99.9.33
F. 199.99.9.57
Fa0/1
172.16.2.254 hostname InternalRouter
172.16.1.0/24 !
interface FastEthernet0/0
ip address 172.16.1.254 255.255.255.0
ip nat inside
!
interface FastEthernet0/1
172.16.2.0/24 ip address 172.16.2.254 255.255.255.0
ip nat inside
!
interface serial0/0/0
ip address 128.107.1.1 255.255.255.252
ip nat outside
!
ip nat inside source list 1 interface
Serial0/0/0 overload
!
ip route 0.0.0.0 0.0.0.0 Serial0/0/0
!
access-list 1 permit 172.16.1.0 0.0.0.255
access-list 1 permit 172.16.2.0 0.0.0.255
D. El router External debe ser configurado con rutas estáticas hacia la red
172.16.1.0/24 y la 172.16.2.0/24.
Seguridad de la red
58. ¿Cuál de los siguientes es un conjunto de protocolos estándar abiertos comúnmente utilizado
en VPNs para proveer comunicaciones seguras end-to-end?
A. RSA.
B. L2TP.
C. IPsec.
D. PPTP.
E. Incorporar una lista de acceso y aplicarla a las interfaces de terminal virtual con
el comando access-class.
line vty 0 4
password 7 0300725638522
login
transport input ssh
B. Le indica al router o switch que debe intentar establecer una conexión SSH
primero, y si el intento falla utilizar Telnet.
E. Permite hasta 7 intentos fallidos de conexión antes de que las líneas VTY sean
temporalmente desactivadas.
61. Asocie los features de seguridad que se enumeran en la columna de la izquierda al riesgo de
seguridad específico sobre el que ofrece protección ese feature, que se mencionan en la
columna de la derecha. (No todas las opciones de la izquierda tienen coincidencias)
D. Configurando una clave encriptada con MD5 que es utilizada por los protocolos
de enrutamiento para validar el intercambio de información de enrutamiento.
64. Un administrador de red necesita permitir únicamente una conexión Telnet a un router.
Adicionalmente es necesario que si alguien revisa la configuración utilizando el comando show
run, la clave del acceso por Telnet esté cifrado. ¿Cuál de los siguientes conjuntos de
comandos cubre estos requerimientos?
A. service password-encryption
access-list 1 permit 192.168.1.0 0.0.0.255
line vty 0 4
login
password cisco
access-class 1
B. enable password secret
line vty 0
login
password cisco
C. service password-encryption
line vty 1
login
password cisco
D. service password-encryption
line vty 0 4
login
password cisco
A. BackboneFast.
B. UplinkFast.
C. UplinkFast.
C. Root Guard.
D. BPDU Guard.
E. BPDU Filter.
66. ¿Cuál será el resultado de implementar los siguientes comandos de configuración en un switch
Cisco?
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky
67. ¿Cuál de los siguientes conjuntos de comandos es recomendado para prevenir el uso de un
hub en la capa de acceso de la red?
Fa0/1
Fa0/2 A
B Fa0/3
0000.00aa.aaaa
Los siguientes comandos se ejecutan en la interfaz Fa0/4 del switch Catalyst 2960:
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security maximum 1
La trama Ethernet que se muestra en el gráfico llega a la interfaz Fa0/1. ¿Qué dos acciones
de las que se mencionan a continuación se ejecutarán como consecuencia de que esta trama
sea recibida en la interfaz del switch? (elija 2)
D. Todas las tramas que lleguen al switch y tengan como destino a dirección MAC
0000.00aa.aaaa serán reenviadas a través de la interfaz Fa0/1.
E. Los hosts B y C pueden enviar tramas a través de la interfaz Fa0/1 pero las
tramas que lleguen de otros switches no serán reenviadas a través de esa
interfaz Fa0/1.
DHCP
Pregunta 1
Pregunta 2
Pregunta 3
Pregunta 4
Pregunta 5
ICMP
Pregunta 6
Pregunta 7
SNMP
Pregunta 8
Pregunta 9
B, D y E – Los tres tipos básicos de mensajes SNMP son get, set y trap.
Algunos de esos mensajes tienen subtipos tales como get request y get
reply.
Syslog
Pregunta 10
Cisco IOS, por defecto, envía al puerto consola los mensajes de evento
hasta nivel 7, que es lo mismo que decir que envía todos los niveles.
NetFlow
Pregunta 11
Pregunta 12
Pregunta 13
Pregunta 14
Pregunta 15
Pregunta 16
Pregunta 17
Pregunta 19
Pregunta 20
Pregunta 21
Pregunta 22
Pregunta 23
Pregunta 24
Pregunta 25
Pregunta 26
B – Ante una pregunta de este tipo, verifique en primer lugar los números
de lista de acceso. En este caso todas las listas de acceso utilizan el 101,
por lo que están todas configuradas como listas de acceso IP extendidas.
En segundo lugar verifique el protocolo. Para filtrar ftp se requiere que la
ACL filtre tráfico TCP. Sólo una sentencia de las propuestas está filtrando
TCP.
Pregunta 27
Pregunta 28
Pregunta 30
D – Uno de los tips básicos de configuración indica que toda ACL debe
contener al menos una premisa de permiso.
Cuando una lista de acceso tiene solo premisas de denegación (deny), es
preciso concluir con una cláusula permisiva (permit); de lo contrario se
bloqueará el puerto debido a la denegación total que está implícita al final
de cada lista.
Pregunta 31
A – Esta es una lista de acceso extendida que permite todos los paquetes
IP cuya dirección de origen coinciden con los 3 primeros octetos de la
dirección 131.107.30.0. Además, la palabra “any” indica que se aceptan
todas las direcciones de destino.
Pregunta 32
Pregunta 33
Pregunta 34
Pregunta 35
D – Ud. debe recordar que cuando utiliza listas de acceso, todo lo que no
coincida con los criterios enunciados será descartado. Eso significa que si
se ingresan solamente restricciones, nada pasará a través de esa interfaz.
Por lo tanto, si se pone como premisa permitir todo otro tipo de
operaciones salvo las explícitamente prohibidas, esto implica que luego de
las restricciones debemos permitir todo otro tráfico.
Como en la premisa se nos requiere la última consigna de la lista de
acceso, hemos de suponer que previamente se han cargado las
restricciones, y por lo tanto corresponde que la última sentencia sea la que
permite todo el tráfico que no está prohibido.
Pregunta 36
Pregunta 37
Pregunta 38
Pregunta 40
Pregunta 41
Pregunta 42
Pregunta 43
Pregunta 44
Pregunta 45
Pregunta 46
Atención:
El comando show access-list sólo le muestra las listas de
acceso configuradas en el router, pero no los puertos en los
que están aplicadas.
El comando show interfaces no permite ver información
referida a listas de acceso.
Pregunta 47
Pregunta 48
Pregunta 49
Pregunta 50
Pregunta 51
Pregunta 52
Pregunta 53
Pregunta 54
B y C – Los comandos que se muestran son los que definen las interfaces
outside e inside que están afectadas al proceso de traducción de
direcciones.
En este caso, la interfaz serial es la outside (conecta a la red pública), y la
FastEthernet la inside ya que es la que conecta con la red LAN privada.
Pregunta 55
Pregunta 56
Pregunta 57
Seguridad de la red
Pregunta 58
Pregunta 59
Preguntan 60
Pregunta 61
Pregunta 63
Pregunta 64
Atención.
Una pregunta de este tipo exige que consideremos la
metodología para responder. Hay que leer como una unidad
la consigna y la respuesta posible.
No se pregunta cuál es una manera, o la mejor forma de
hacer una tarea; sino cuál de las opciones que se muestran
como posibles cumplen la consigna.
Pregunta 65
Pregunta 66
Pregunta 68
Pregunta 69
Introducción ............................................................................................................... 3
El Autor ..................................................................................................... 4
Contenidos ................................................................................................................ 5
2.6. Servicios IP ........................................................................................................ 7
A. Mapa conceptual................................................................................................... 7
B. Notas previas ...................................................................................................... 11
Para ganar tiempo .................................................................................. 12
Método rápido de cálculo ........................................................................ 12
Aplicación al cálculo de la máscara de wildcard ..................................... 13
C. Desarrollo temático ............................................................................................. 15
Asignación automática de direcciones IP ...................................................... 15
Dynamic Host Configuration Protocol – DHCPv4 ................................... 16
Configuración de servicios DHCP en dispositivos IOS .......................... 18
DHCP Relay ............................................................................................ 19
Configuración de un router como DHCP relay ....................................... 20
Configuración de IOS como cliente DHCP ............................................. 21
Internet Control Message Protocol (ICMP) ................................................... 21
Domain Name System - DNS ........................................................................ 23
Configuración del servicio de nombres en Cisco IOS ............................ 25
Listas de Control de Acceso .......................................................................... 26
Reglas de funcionamiento de las ACL .................................................... 27
Tipos de listas de acceso IP ................................................................... 28
El ID de las listas de acceso numeradas ................................................ 28
La máscara de wildcard .......................................................................... 29
¿Cómo funciona la máscara de wildcard? .............................................. 30
Algunas reglas prácticas de cálculo........................................................ 31
Casos especiales .................................................................................... 32
Configuración de las listas de acceso .................................................... 32
Edición de listas de acceso ..................................................................... 34
Aplicación de filtros de tráfico a líneas virtuales ..................................... 35
Monitoreo de las listas de acceso. .......................................................... 36
Tips de aplicación ................................................................................... 37
Un ejemplo de configuración de ACL ..................................................... 38
Network Address Translation (NAT) .............................................................. 39
Terminología NAT ................................................................................... 40
Configuración de NAT: ............................................................................ 42
Comandos adicionales ............................................................................ 43
Comandos de monitoreo de NAT ........................................................... 43
Seguridad de la red ....................................................................................... 44
Requerimientos de seguridad básicos .................................................... 44
Cisco Network Foundation Protection .................................................... 45
Seguridad de dispositivos Cisco IOS ............................................................ 45
Configuración de claves de acceso ........................................................ 46
Implementación de SSH ......................................................................... 48
Para verificar la configuración de SSH ................................................... 49
Administración de múltiples sesiones de terminal virtual ....................... 49
Implementación de un registro de eventos ............................................. 50
Configuración del cliente NTP ................................................................ 52
Simple Network Management Protocol (SNMP) ........................................... 53
Configuración de SNMP v2c ................................................................... 54
NetFlow.......................................................................................................... 55
Configuración de NetFlow ....................................................................... 56