Vous êtes sur la page 1sur 27

DNS, submascara de red, IP, gateway son conceptos de red TCP/IP imprescindibles. En esta pagina veremos su significado.

DIRECCION IP El nmero IP es la direccion numerica que identifica a tu ordenador en una red (ya sea local o externa). Esta direccion es nica para cada equipo en el mundo -o nica dentro de cada red local- y la llamamos direccion logica porque solamente con conocer el IP, cualquier router es capaz de dirigir los datos al ordenador de destino (o a otro router que probablemente sea capaz de enviar los datos al ordenador de destino). Si el ordenador no se conecta directamente a Internet, no necesita tener un nmero IP unico a nivel mundial, sino solo a nivel de la subred en la que esta integrado. Asi, si tienes una red domestica con tres equipos, solamente necesitas una IP pblica (nica) para el equipo que conecta a internet, disponiendo de IPs privadas a nivel de subred para cada equipo o dispositivo (IPs privadas que seran nicas en cada subred). Por ejemplo, una direccion IP privada de una red clase C sera 192.168.0.1 para el gateway a internet, 192.168.0.2 para la siguiente maquina, etc. En las subredes Clase C el rando de IPs privadas disponible va de 192.168.0 a 192.168.255, siendo inutilizables la primera y la ltima, por estar reservadas a la identificacion de la propia red y al broadcasting. MASCARA DE SUBRED Una subred es, basicamente, un conjunto de ordenadores conectados directamente entre si. Cada ordenador necesita, para pertenecer a una subred, conocer al menos dos datos: su propio numero IP y la dimension de la red. Este ultimo dato es el que proporciona la mascara de subred. La mascara de subred indica el nmero de ordenadores que la integran restando dicho nmero de 255: una mascara de subred tipo C sera 255.255.255.0, nmero que indica que la subred tiene 255 direcciones posibles (255 - 0 = 255), mientras que una mascara 255.255.255.232 indica una subred de 24 equipos posibles. En este ultimo ejemplo, el rango de ips que podriamos usar en nuestra red domestica seria entre y 192.168.0.1 y 192.168.0.24 Normalmente todos los ordenadores dentro de una subred usaran la misma mascara de subred. GATEWAY Los ordenadores conectados a redes internas usualmente utilizan una pasarela para acceder a internet (gateway, puerta de enlace). Esta pasarela acta como un enrutador, discriminando el trafico interno, que dirige a la subred, del externo que deriva a su destino en la red. En el supuesto normal de disponer de solamente una IP publica, asignamos esta a nuestra pasarela. SERVIDOR DNS Un servidor DNS transforma el nombre de un host (p.ej www.gratiszona.com) a su direccion IP (212.78.206.150). Para esta transformacion basicamente consulta una base de datos del servidor DNS, y si no encuentra la respuesta, pasa la pregunta al siguiente servidor DNS de nivel superior. SERVIDOR DHCP Si pulsas sobre propiedades del protocolo TCP/IP de tu adaptador de red, veras que tienes dos opciones: obtener IP dinamicamente, o bien introducirla manualmente, en cuyo caso tambin tienes que introducir la IP de la pasarela de red, y la submascara de red. La obtencion de Ips dinamicamente se consigue con un servidor DHCP, servidor que facilita automaticamente a cada ordenador conectado no solamente IP, sino tambien gateway, submascara, e incluso direccion del servidor WINS y de los servidores DNS. Debido a que el usuario final de cada equipo no tiene nada que configurar (mas que marcar la casilla de obtener ip dinamicamente) los DHCP son solucion muy utilizada por ISPs, y claro esta, tambin puedes usarla tu para tu red domstica, si tienes un router con esta funcionalidad.

Tres pasos para solucionar problemas de redes


Para solucionar problemas de redes debes seguir una metodologa probada y utilizada por los expertos. En esta serie de artculos aprenders y estars en la capacidad de solucionar problemas realizando los siguientes pasos: PASO 1. Documentar la red Antes de emitir un diagnstico tienes que averiguar y verificar el tipo de problema reportado y tienes que tener toda la informacin acerca de la red. Puede ser que la red ya est documentada o vas a tener que elaborarlo t mismo. Debe contener toda la informacin relacionada como por ejemplo: la configuracin y la topologa de la red adecuadamente diagramada y tabulada. Y para qu sirve documentar la red? Fcil, no vas a poder solucionar ningn problema si no conoces bien la red. La documentacin de la red te servir como referencia para analizar, comparar y verificar el estado de la red.

Ejemplo: Asume que tienes una red con un router que utiliza Frame-Relay en una de sus interfaces seriales. Cuando haya problemas con este router podremos utilizar el documento de red para verificar si hay algn cambio en la configuracin. Si no hubieras documentado la red Cmo sabras si la configuracin ha cambiado?. Ahora, imagina que el router lo ha instalado otra persona y t tienes el encargo de solucionar el problema, No crees que es necesario este documento? PASO 2. Determinar una estrategia Es necesario utilizar una efectiva estrategia de diagnstico (Troubleshooting) para detectar, aislar y corregir los problemas de la red en forma consistente. La forma ms efectiva de atacar un problema es utilizando el modelo de referencia OSI, el cual est formado por 7 niveles cada uno de los cuales cumplen una determinada funcin. Por tanto es necesario que tengas un conocimiento bien claro sobre las funciones de cada capa. El problema de red puede estar en el nivel fsico, conexin de datos, en el nivel de red, transporte o aplicacin. Para aislar en que nivel o niveles est el problema, debes realizar una serie de pruebas y verificaciones en todos los dispositivos que hayas identificado que estn relacionados con el problema. PASO 3. Corregir el problema Despus de haber aislado el problema, es decir, haber identificado que el problema es hardware o software, que est localizado en los equipos de acceso, distribucin o backbone, o que el problema est localizado en el nivel de red; ests listo para empezar a corregir el problema, para lo cual debes tener todos los conocimientos tcnicos necesarios para realizarlos inmediatamente, de lo contrario tendrs que escalar el problema. Tienes los conocimientos tcnicos bien aprendidos? COMO DOCUMENTAR LA RED Muchos de los Ingenieros de Redes no documentan adecuadamente la red y si lo hacen no est bien hecho. Toda documentacin de red debe tener las siguientes caractersticas: Los diagramas debe estar elaborados en MS Visio o PowerPoint u otra aplicacin Los valores de la red deben estar tabulados en Excel Toda la informacin debe ser accesible desde cualquier punto de la red y en cualquier momento, de preferencia deben estar publicados en un sitio web. Deben estar siempre actualizados Muchas veces he encontrado que los administradores de red solo tienen un grupo de papeles dispersos conteniendo informacin desactualizada de la red y encima lo guardan dentro de su escritorio. Otra informacin que tambin es muy importante est relacionado al registro continuo del consumo de ancho de banda en cada uno de los enlaces importantes. Existen formas fciles de implementar, el cual ser tratado en posterior artculo. Los mensajes que generan los equipos de red deben ser enviados siempre a un servidor SYSLOG (System Logging) o a un sistema de monitoreo SNMP. Existen en el mercado diferentes aplicaciones SYSLOG tanto para Windows como para Linux, todos cumplen el objetivo de guardar los mensajes generalmente en archivos texto. La desventaja de esto es que no puedes hacer consultas de una forma rpida y fcil cuando realmente lo necesitas.

Uno de mis favoritos es una aplicacin SYSLOG INTELIGENTE, que a diferencia de las dems, tiene la capacidad de configurar FILTROS y puede tomar ACCIONES tales como: registrar en una base de datos SQL (MS-SQL, My-SQL), enviar e-mail y otros. Y por sobre todo no es muy caro, para todo lo que hace.

El modelo OSI te ayuda a diagnosticar problemas de redes


De qu manera ayuda a diagnosticar los Problemas de Redes? Permite realizar un diagnstico sistemtico en funcin a los 7 niveles. Vamos a explicar con un ejemplo. Como administradores de red, supongamos que hemos recibido un incidente del siguiente tipo. 'Los usuarios del rea de finanzas no tienen acceso al Correo Electrnico' PASO 1: Verificamos la conectividad desde las PCs de los usuarios. Verificamos los Niveles 1, 2 ,3 PASO 2: Para hacer esta verificacin hacemos PING desde la PC hacia el default gateway. Si hay respuesta concluimos que stos tres niveles estn bien. PASO 3: El Correo Electrnico utiliza el puerto TCP 25 SMTP para las comunicaciones. Para verificar desde una PC hacer telnet al servidor de correo via el puerto 25. Si no hay respuesta, entonces podemos concluir que el servidor de correo esta mal. PASO 4: Pasamos a revisar el servidor de correo PASO 5: Conclusin, problema en el nivel de aplicacin. Qu es el Modelo OSI? El modelo de referencia de comunicaciones define una estructura de 7 niveles que describe cmo se transfiere la informacin desde una computadora a travs del medio de transmisin hasta otra computadora ubicada en la red. Los 7 niveles son los siguientes: Capa Fsica (Nivel 1). La capa fsica tiene que ver con el envo de bits en un medio fsico de transmisin y se asegura que stos se transmitan y reciban libres de errores. Tambin describe los elementos elctricos y mecnicos asociados con el medio y los conectores as como los tiempos aprobados para enviar o recibir una seal. Tambin especifica si el medio permite la comunicacin simplex, half duplex o full duplex. Capa de Enlace (Nivel 2). En esta capa se toman los bits que entrega la capa fsica y los agrupa en algunos cientos o miles de bits para formar los frames. En este nivel se realiza un chequeo de errores y si devuelven confirmacin de recepcin (acknowledge) al emisor. La Capa de Enlace es la encargada de detectar si un frame se pierde o se daa en el medio fsico. De ser ste el caso, debe de retransmitirlo, aunque en ocasiones dicha operacin provoca que un mismo frame se duplique en el destino, lo que obliga a esta capa a detectar tal anomala y corregirla. En este nivel se decide cmo accesar el medio fsico. Capa de Red (Nivel 3). Se encarga de controlar la operacin de la subred. Su tarea principal es decidir cmo hacer que los paquetes lleguen a su destino dados un origen y un destino en un formato predefinido por un protocolo. Otra funcin importante en este nivel es la resolucin de

cuellos de botella. En estos casos se pueden tener varias rutas para dar salida a los paquetes y en base a algunos parmetros de eficiencia o disponibilidad se eligen rutas dinmicas de salida. Capa de Transporte (Nivel 4). La responsabilidad de la capa de transporte es tomar datos de la capa de sesin y asegurarse que dichos datos lleguen a su destino. En ocasiones los datos que vienen de la capa de sesin exceden el tamao mximo de transmisin (Maximum Transmission Unit o MTU) de la interfaz de red, por lo cual es necesario partirlos y enviarlos en unidades ms pequeas, lo que origina la fragmentacin y ensamblado de paquetes cuyo control se realiza en esta capa. Otra funcin en esta capa es la de multiplexar varias conexiones que tienen diferentes capacidades de transmisin para ofrecer una velocidad de transmisin adecuada a la capa de sesin. La ltima labor importante de la capa de transporte es ofrecer un mecanismo que sirva para identificar y diferenciar las mltiples conexiones existentes, as como determinar en qu momento se inician y se terminan las conversaciones (esto es llamado control de flujo). Capa de Sesin (Nivel 5). Esta capa establece, administra y finaliza las sesiones de comunicacin entre las entidades de la capa de presentacin. Las sesiones de comunicacin constan de solicitudes y respuestas de servicio que se presentan entre aplicaciones ubicadas en diferentes dispositivos de red. Estas solicitudes y respuestas estn coordinadas por protocolos implementados en esta capa. Otro servicio de este nivel es la sincronizacin y el establecimiento de puntos de chequeo. Por ejemplo, si se hace necesario transferir un archivo muy grande entre dos nodos que tienen una alta probabilidad de sufrir una cada, es lgico pensar que una transmisin ordinaria nunca terminara porque algn interlocutor se caer y se perder la conexin. La solucin es que se establezcan cada pocos minutos un punto de chequeo de manera que si la conexin se rompe ms tarde se pueda reiniciar a partir del punto de chequeo, lo cual ahorrar tiempo y permitir tarde o temprano la terminacin de la transferencia. Capa de Presentacin (Nivel 6). La capa de presentacin provee servicios que permiten transmitir datos con alguna sintaxis propia para las aplicaciones o para el nodo en que se est trabajando. Como existen computadoras que interpretan sus bytes de una manera diferente que otras, es en esta capa donde es posible convertir los datos a un formato independiente de los nodos que intervienen en la transmisin. Capa de Aplicacin (Nivel 7). En esta capa se encuentran aplicaciones de red que permiten explotar los recursos de otros nodos. Dicha explotacin se hace, por ejemplo, a travs de emulacin de terminales que trabajan en un nodo remoto, interpretando una gran variedad de secuencias de caracteres de control que permiten desplegar en el terminal local los resultados, an cuando stos sean grficos. Una situacin similar se da cuando se transmiten archivos de un computador que almacena sus archivos en un formato dado a otro, que usa un formato distinto. Es posible que el programa de transferencia realice las conversiones necesarias de manera que el archivo puede usarse inmediatamente bajo alguna aplicacin.

Configuracin de los filtros IP a travs de listas de acceso - Parte I


Desde la primera vez que se conectaron varios sistemas para formar una red, ha existido una necesidad de restringir el acceso a determinados sistemas o partes de la red por motivos de seguridad, privacidad y otros. Mediante la utilizacin de las funciones de filtrado de paquetes del software IOS, un administrador de red puede restringir el acceso a determinados sistemas, segmentos de red, rangos de direcciones y servicios, basndose en una serie de criterios. La capacidad de restringir el acceso cobra mayor importancia cuando la red de una empresa se conecta con otras redes externas, como otras empresas asociadas o Internet.

ADMINISTRACION BASICA DEL TRAFICO IP MEDIANTE LISTAS DE ACCESO Los router se sirven de las listas de control de acceso (ACL) para identificar el trfico. Esta identificacin puede usarse despus para filtrar el trfico y conseguir una mejor administracin del trafico global de la red. Las listas de acceso constituyen una eficaz herramienta para el control de la red. Las listas de acceso aaden la flexibilidad necesaria para filtrar el flujo de paquetes que entra y sale de las diferentes interfaces del router. El filtrado de paquetes permiten controlar el movimiento de paquetes dentro de la red. Este control puede ayudar a limitar l trfico originado por el propio router. Una lista de acceso IP es un listado secuencial de condiciones de permiso o prohibicin que se aplican a direcciones IP o a protocolos IP de capa superior. Las listas de acceso identifican trfico que ha de ser filtrado en su trnsito por el router, pero no pueden filtrar l trafico originado por el propio router. Las listas de acceso pueden aplicarse tambin a los puertos de lneas de terminal virtual para permitir y denegar trafico Telnet entrante o saliente, no es posible bloquear el acceso Telnet desde dicho router. Se pueden usar listas de acceso IP para establecer un control ms fino o la hora de separar el trfico en diferentes colas de prioridades y personalizadas. Una lista de acceso tambin pueden utilizarse para identificar el trafico interesante que sirve para activar las llamadas del enrutamiento por llamada telefnica bajo demanda(DDR). Las listas de acceso son mecanismos opcionales del software Cisco IOS que pueden ser configurados para filtrar o verificar paquetes con el fin de determinar si deben ser retransmitidos hacia su destino, o bien descartados. LISTAS DE ACCESO ESTNDAR Las listas de acceso IP estndar comprueban las direcciones de origen de los paquetes que solicitan enrutamiento. El resultado es el permiso o la denegacin de la salida del paquete por parte del protocolo, basndose en la direccin IP de la red-subred-host de origen. LISTAS DE ACCESO EXTENDIDAS Las listas de acceso comprueban tanto la direccin de origen como la de destino de cada paquete. Tambin pueden verificar protocolos especificados, nmeros de puerto y otros parmetros. Las listas de acceso pueden aplicarse de las siguientes formas: LISTAS DE ACCESO DE ENTRADA Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida, si el paquete pasa las pruebas de filtrado, ser procesado para su enrutamiento.(evita la sobrecarga asociada a las bsquedas en las tablas de enrutamiento si el paquete ha de ser descartado por las pruebas de filtrado). LISTAS DE ACCESO DE SALIDA Los paquetes entrantes son enrutados a la interfaz de salida y despus son procesados por medio de la lista de acceso de salida antes de su transmisin. Las listas de acceso expresan el conjunto de reglas que proporcionan un control aadido para los paquetes que entran en interfaces de entrada, paquetes que se trasmiten por el router, y paquetes que salen de las interfaces de salida del router. Las listas de acceso no actan sobre paquetes originados en el propio router, como las actualizaciones de enrutamiento a las sesiones Telnet salientes.

OPERATIVIDAD DE LAS LISTAS DE ACCESO Cuando un paquete llega a una interfaz, el router comprueba si el paquete puede ser retransmitido verificando su tabla de enrutamiento. Si no existe ninguna ruta hasta la direccin de destino, el paquete es descartado. A continuacin, el router comprueba si la interfaz de destino esta agrupada en alguna lista de acceso. De no ser as, el paquete puede ser enviado al bfer de salida. Si el paquete de salida est destinado a un puerto, que no ha sido agrupado a ninguna lista de acceso de salida, dicho paquete ser enviado directamente al puerto destinado. Si el paquete de salida est destinado a un puerto ha sido agrupado en una lista de acceso outbound, antes de que el paquete pueda ser enviado al puerto destinado ser verificado por una serie de instrucciones de la lista de acceso asociada con dicha interfaz. Dependiendo del resultado de estas pruebas, el paquete ser admitido o denegado. Para las listas de salida permit significa enviar al bfer de salida, mientras que deny se traduce en descartar el paquete. Para las listas de entrada permit significa continuar el procesamiento del paquete tras su recepcin en una interfaz, mientras que deny significa descartar el paquete. Cuando se descarta un paquete IP, ICMP devuelve un paquete especial notificando al remitente que el destino ha sido inalcanzable. PRUEBA DE CONDICIONES EN LISTAS DE ACCESO Las instrucciones de una lista de acceso operan en un orden lgico secuencial. Evalan los paquetes de principio a fin, instruccin a instruccin. Si la cabecera de un paquete se ajusta a una instruccin de la lista de acceso, el resto de las instrucciones de la lista sern omitidas, y el paquete ser permitido o denegado segn se especifique en la instruccin competente. Si la cabecera de un paquete no se ajusta a una instruccin de la lista de acceso, la prueba continua con la siguiente instrucci n de la lista. El proceso de comparacin sigue hasta llegar al final de la lista, cuando el paquete ser denegado implcitamente. Una vez que se produce una coincidencia, se aplica la opcin de permiso o denegacin y se pone fin a las pruebas de dicho paquete. Esto significa que una condicin que deniega un paquete en una instruccin no puede ser afinada en otra instruccin posterior. La implicacin de este modo de comportamiento es que el orden en que figuran las instrucciones en la lista de acceso es esencial. Hay una instruccin final que se aplica a todos los paquetes que no han pasado ninguna de las pruebas anteriores. Esta condicin final se aplica a todos esos paquetes y se traducen en una condicin de denegacin del paquete. En lugar de salir por alguna interfaz, todos los paquetes que no satisfacen las instrucciones de la lista de acceso son descartadas. Esta instruccin final se conoce como la denegacin implcita de todo, al final de cada lista de acceso. Aunque esta instruccin no aparece en la configuracin del router, siempre esta activa. Debido a dicha condicin, es necesaria que en toda lista de acceso exista al menos una instruccin permit, en caso contrario la lista de acceso bloqueara todo el trfico. IMPLEMENTACIN DE LISTAS DE ACCESO Una lista de acceso Sin embargo, slo puede direccin y por interfaz. puede haber ser aplicada una lista de a acceso mltiples interfaces. por protocolo, por

Utilice slo nmeros de listas de acceso dentro del rengo definido por CISCO para el protocolo y el tipo de listas que va ha crear. Slo se permite una lista por protocolo, direccin e interfaz. Es posible tener varias listas para una interfaz, pero cada una debe pertenecer a un protocolo diferente. Procesamiento de principio a fin: - Organice las listas de acceso de modo que las referencias m s especficas a una red o subred aparezcan delante de las ms generales. Coloque las condiciones de cumplimiento ms frecuente antes de las menos habituales. - Las adiciones a las listas se agregan siempre al final de stas, pero siempre delante de la condicin de denegacin implcita. - No es posible agregar a eliminar selectivamente instrucciones de una lista cuando se usan listas de acceso numeradas, pero s cuando se usan listas de acceso IP con nombre (caracterstica de Cisco IOS v.11.2) Denegacin implcita de todo: - A menos que termine una lista de acceso con una condicin de permiso implcito de todo, se denegar todo el trafico que no cumpla ninguna de las condiciones establecidas en la lista. - Toda lista de acceso deben incluir al menos una instruccin permit. En caso contrario, todo el trafico ser denegado. Cree una lista de acceso antes de aplicarla a la interfaz. Una interfaz con una lista de acceso inexistente o indefinida aplicada al mismo dar paso (permitir) a todo el trafico. de acceso permiten filtrar slo pueden hacer de filtro para el el trfico que trfico originado pasa por el por el propio

Las listas router. No router.

Configuracin de los filtros IP a travs de las listas de acceso - Parte II


COMANDOS BASICOS DE LISTAS DE ACCESO Las listas de acceso contienen instrucciones globales que se aplican para identificar paquetes. Estas listas se crean con el comando access-list. El comando de configuracin de interfaz ip access-group activa la lista de acceso IP en una interfaz. Router(config)#access-list[n de lista de acceso][permit|deny][condiciones de prueba] La opcin permit significa que al paquete le ser permitido pasar a travs de las interfaces que se apliquen en la lista. La opcin deny significa que el router descartar el paquete. Los ltimos parmetros de la instruccin especifican las condiciones de pruebas. La prueba puede ser tan simple como comprobar una direccin de origen individual, la lista puede expandirse para incluir varias condiciones de prueba. Router(config)#[protocolo]access-group[n de lista de acceso][in|out] Se activa una lista de acceso IP en una interfaz. Listas de acceso IP Rango numrico identificador

Estndar 1 a 99 Extendida 100 a 199 Con nombre Nombre(Cisco IOS 11.2 y posterior) Listas de acceso IPX Rango numrico identificador Estndar 800 a 899 Extendida 900 a 999 Filtros SAP 1000 a 1099 Con nombre Nombre (Cisco IOS 11.2F y posterior) LISTAS DE ACCESO TCP/IP Una lista de acceso aplicada a una interfaz hace que el router busque en la cabecera de la capa 3 y posiblemente en la cabecera de la capa 4 un paquete del trfico de la red al que aplicar las condiciones de prueba. Las listas de acceso IP estndar verifican slo la direccin de origen en la cabecera del paquete(Capa 3). Las listas de acceso IP extendidas pueden verificar otros muchos elementos, incluidas opciones de la cabecera del segmento(Capa 4), como los nmeros de puerto. Para el filtrado de paquetes TCP/IP, las listas de acceso IP verifica las cabeceras del paquete y de la capa superior, para detectar lo siguiente:

Direcciones IP de origen para listas de acceso estndar. Las listas de acceso estndar estn identificadas por los nmeros entre 1 y 99. Direcciones IP de origen y destino, protocolos especficos y nmeros de puerto TCP y UDP, con listas de acceso extendidas. Las listas de acceso extendidas estn identificadas por los nmeros entre 10 y 199.

Puede ser necesario probar condiciones para un grupo o rengo de direcciones IP, o bien para una direccin IP individual. La comparacin de direcciones tiene lugar usando mscaras que actan a modo de comodines en las direcciones de la lista de acceso, para identificar los bits de la direccin IP que han de coincidir explcitamente y cuales pueden ser ignorados. El enmascaramiento wildcard para los bits de direcciones IP utiliza los nmeros 1 y 0 para referirse a los bits de la direccin.

Un bit de mscara wildcard 0 significa "comprobar el valor correspondiente" Un bit de mascara wildcard 1 significa "No comprobar(ignorar) el valor del bit correspondiente"

Para los casos ms frecuentes de enmascaramiento wildcard se pueden utilizar abreviaturas.

Host = mascara comodn 0.0.0.0 Any = 0.0.0.0 255.255.255.255 Router(config)#access-list[n de lista de acceso][permit|deny][direccin de origen] [mascara comodn]

Numero de lista de acceso Identifica la lista a la que pertenece la entrada. Se trata de un nmero entre 1 y 99. Permit|deny indica si esta entrada permitir o bloquear el trfico a partir de la direccin especificada. Direccin de origen identifica la direccin IP de origen. Mascara wildcard identifica los bits del campo de la direccin que sern comprobados.

La mascara predeterminada es 0.0.0.0(coincidencia de todos los bits). Router(config)#ip access-group[n de lista de acceso][in|out]

Nmero de lista de acceso indica el nmero de lista de acceso que ser aplicada a esa interfaz. In|out selecciona si la lista de acceso se aplicar como filtro de entrada o de salida.

Si no se especifica nada, se adoptar la opcin out por omisin. Este artculo fu obtenido del Libro Digital "INTERCONEXION DE DISPOSITIVOS DE RED CISCO"

Configurar Politicas de Autorizacion en Windows Server 2008 Terminal Services Gateway


Como muchos sabris existen muchas mejoras en Windows Server 2008 y en sus funcionalidades. Una de las que ms atencin ha recibido en esta versin de sistema operativo es la de Terminal Services (TS).

Una de sus ventajas es la incorporacin de un nuevo servicio llamado el Terminal Services Gateway (Puerta de enlace de Terminal Services). Este servicio permite al administrador agregar una pasarela para que usuarios fuera de la red corporativa puedan acceder a los recursos de Terminal Services de forma segura, sin necesidad de implementar una VPN. El servicio incorpora una conexin segura entre el cliente RDC y el Servidor TS Gateway utilizando el ya conocido RPC sobre HTTPS, que ya lleva tiempo utilizndose en Exchange.

El servicio TS Gateway adems hace uso de un servidor NPS (Network Policy Server) existente para almacenar las directivas de conexin que permiten, o no, conectarse a los recursos TS internos. Polticas de Autorizacin de Conexin Mediante la nueva herramienta Terminal Services Gateway Manager el administrador podr definir Connection Authorization Policies CAP (Polticas de Autorizacin de Conexin) que identificar si el usuario o equipo tiene permisos para conectarse al TS Gateway.

Desde la pantalla podremos adems decidir si el usuario puede validarse mediante contrasea o Smart card y tambin que dispositivos locales podr re direccionar a su sesin remota. Polticas de Autorizacin de Recursos Tambin mediante el TS Gateway Manager podremos decidir a qu recursos de Terminal Services (Servidores de TS) tendr acceso ese grupo de usuarios que se han conectado al TS Gateway. Para ello el administrador deber crear Resource Authorization Policies RAP (Polticas de Autorizacin de Recursos).

Desde la pantalla podremos definir que Grupos de Usuarios del directorio activo tienen acceso a los recursos o servidores TS de la organizacin. Se pueden crear Computer Groups (Grupos de Equipos) que contengan todos nuestros servidores TS de la organizacin, y de esta forma podremos definir que usuarios tienen acceso a estos recursos.

Tambin se puede permitir acceso a todos los recurso TS de la empresa, si as se desea. Configuracin del Cliente RDC Una vez definido las polticas correspondientes de nuestro servidor TS Gateway, podremos configurar el Cliente RDC (Conexin de Escritorio Remoto) para conectarse al recurso mediante nuestro TS Gateway. Para ello, podemos abrir las opciones del Cliente.

En el cuadro de texto de Equipo (Computer) indicaremos el nombre del Recurso TS al que nos queremos conectar. Luego iremos a la pestaa Avanzada (Advanced).

Ah seleccionaremos el botn de Settings (configuracin) para definir el Servidor TS Gateway que vamos a utilizar para conectarnos al recurso.

De esta forma garantizamos que nuestros usuarios remotos puedan acceder a los recursos TS de nuestra red: 1. 2. 3. De una forma segura Sin necesidad de configurar una VPN Utilizando protocolos estndar (HTTPS) que no requieren ms configuracin, ni apertura de puertos especiales en nuestros cortafuegos. 4. Utilizando un protocolo que traspasa Routers NAT de forma simple (HTTPS). Saludos a tod@s!!

Como podemos abrir los puertos para poder crear las partidas en juegos como warcraft 3 o starcraft., y todo tipo de juegos que nos piden que tengamos ciertos puertos abiertos tanto TCP como UDP????? Bien vamos a seguir unas instrucciones muy fciles:

Primero debemos de saber con que puertos vamos a jugar. Buscamos en Internet una lista si no aqu os pongo un par, una de juegos y otra con juegos y aplicaciones.

Segundo lo que hacemos ahora es meternos en la configuracin de nuestro router para poder decirle cuales son los puertos que queremos direccionar a nuestro ordenador. (Instrucciones ms adelante)

Tercero guardar configuracin y abrir el juego en cuestin y a jugar

Bueno antes de nada deciros que si tenis un MODEM y no un ROUTER no necesitis abrir puertos porque ya los tendris abiertos. Lo nico que tenis que tener en cuenta es si tenis el firewall de Windows instalado o algn otro debis meter la configuracin ah eso ya cada firewall se hace de una manera pero lo bsico es crear una regla o filtro donde metiendo el puerto TCP o UDP. deje el trafico libre por ah y podamos crear partidas, que eso es lo importante ahora. Como nos metemos al router?? Bien lo primero es saber la IP de router. Lo podemos mirar de 2 maneras fciles. Nos vamos al icono de conexin de red y le damos con el botn derecho en estado y le damos a la pestaa de soporte y detalles. Ah podremos ver nuestra IP y la puerta de enlace que es la IP de nuestro router. Tambin podemos mirarlo abriendo una consola con cmd en inicio ejecutar y poniendo ipconfig ah nos dar tambin la misma informacin. Bien pues con la IP del router nos vamos a el explorador Web, Internet Explorer, firefox o lo que usis. La metemos tal que as http://192.168.1.1 y le damos al enter.

Ahora si nos pide usuario y contrasea la metemos y ya una vez dentro nos vamos y buscamos redireccionar puertos, NAT o seguridad o firewall. En alguno de estos apartados debe de estar. Ya dependiendo del router esta en un sitio y otro. Bien pues parar aadir un puerto lo nico que tenemos que meter es el puerto inicial el final si es TCP o UDP(6112-6119 estos son los puertos para el warcraft). Y la direccin IP a la que se va a dirigir. En este caso la IP seria la nuestra que ya hemos consultado con ipconfig. Y le damos a aadir. As aadimos tantos como necesitemos. Iremos viendo en una lista lo que vamos metiendo y por ultimo si el router necesita confirmacin le damos y si necesita guardar tambin le damos.

Qu es la puerta de enlace?
Las redes son muy complicadas y muchas veces obviamos algunos conceptos, otros los utilizamos durante mucho tiempo sin preguntarnos porque? y otros simplemente pasan desapercibidos, este es sin duda el caso de la Puerta de enlace o GateWay, durante un montn de tiempo pasa desapercibida y un buen da tenemos que trabajar con esta, configurar, asignarla Partimos de una base que debemos tomar en cuenta y no solo para la Puerta de enlace Un Puerta de enlace no es una Ip Un servidor DNS no es una IP Un equipo no es una IP Un servidor de DHCP no es una IP Esto es algo que no debemos olvidar, una Ip es un cdigo numrico que nos sirve para identificar un sistema concreto en la red y nos permite trabajar con este pero una Ip por si sola no es nada Teniendo esto muy muy clarito voy a tratar de explicar qu es la puerta de enlace. Qu es una puerta de enlace? Una puerta de enlace es un sistema de la red que nos permite, a travs de si mismo, acceder a otra red, o dicho de otra manera, sirve de enlace entre dos redes El caso ms claro es un router, un router no es un ordenador, no es un servidor, no es una cafetera es un router y una de sus principales funciones es enrutar por lo que se convierte en la puerta de enlace de todo dispositivo que quede conectado a l. Seguimos con la puerta de enlace Aclaro por si acaso que una puerta de enlace es un dispositivo y no es un servicio, repito, una puerta de enlace puede ser un router, un servidor o un portatil, pero no es un servicio es un dispositivo de la red que nos permite acceder a otra red y esto lo tengo que repetir porque una puerta de enlace puede requerir de servicios para cumplir su funcin de puerta de enlace, pero cada sistema utilizar una serie de servicios que se llamarn como quieran llamarse. Como nosotros en este blog trabajamos con sistemas Windows debemos conocer esos servicios, funciones o roles que van a proporcionar a la puerta de enlace su poder. 1. Servicios de Enrutamiento y Acceso Remoto RRAS Routing and Remote Acces Service (Windows Server 2003) 2. Servicios de acceso y directivas de redes (ROL de Windows Server 2008, 2008 r2 y Windows Server 8)

Luego estos servicios se suelen configurar como NAT que es el servicio central de la puerta de enlace y es el servicio que hace posible la comunicacin entre las distintas redes. Pero entonces Cual es la Ip de la puerta de enlace? vamos con un dibujito

Bien, vamos a analizar el dibujillo este 1. Tenemos un router (que lo consideraremos Mdem/Router) con Ip 192.168.1.1 2. Tenemos un servidor con dos Ip, la 192.168.1.100 que conecta con el router y la 192.168.10.100 que conecta a un switch Con estos datos podemos deducir las siguientes direcciones Ip: ROUTER Ip: 192.168.1.1 Mscara de Subred. 255.255.255.0 Puerta de enlace: DNS1 y DNS2 los proporcionan los ISP

SERVER Tarjeta de red WAN Ip: 192.168.1.100 Mscara de Subred: 255.255.255.0 Puerta de enlace: 192.168.1.1 DNS 1: 192.168.1.1 SERVER Tarjeta de red LAN Ip: 192.168.10.100 Mscara de Subred: 255.255.255.0 Puerta de enlace: DNS 1: 192.168.10.100 (En el supuesto que sea controlador de dominio y tenga el rol de DNS instalado) Y ahora podemos seguir analizando ms cosas Si nos fijamos tanto la tarjeta de red del servidor como el propio router no tienen especificada una puerta de enlace Porqu? muy sencillo. El router (Recuerdo que era Mdem/Router) no necesita una puerta de enlace porque ya est conectado directamente a Internet. Al server le ocurre lo mismo, la tarjeta de red LAN no requiere de ninguna Ip configurada en el campo Puerta de Enlace porque la segunda tarjeta de red del servidor que es la que se utiliza para comunicar con otra red ya esta configurada y preparada para acceder a otra red. Entonces Que direcciones Ip tendran los clientes de la red? vamos a verlo. Ip: 192.168.10.X Mscara de Subred: 255.255.255.0 Puerta de enlace: 192.168.10.100 DNS 1: 192.168.10.100 Esto es una configuracin que funcionar en la mayora de casos pero antes de cerrar el artculo quiero explicar el porque de la Ip 192.168.10.100 tanto en la Puerta de enlace como en el DNS. En este caso la puerta de enlace es el propio servidor que mediante la tarjeta de red que conecta con el router puede comunicarse con otra red, es por esto que aunque el cliente este conectado a la tarjeta de red LAN podr tener acceso a Internet, siempre claro est, que hayamos instalado y configurado los servicios requeridos para ello. En el caso de los DNS puede que no siempre sea as pero normalmente conectarn con un controlador de dominio que tendr adems configurados los servicios de DNS, para estos casos si ser esta la configuracin Ip que deberemos de aplicar.

Y bueno amigos, esto es todo de momento, espero haber aclarado las dudas sobre este tema de las puertas de enlace y recuerda una direccin Ip siempre apunta e identifica una mquina, pc, servidor, dispositivo de red o como lo quieras llamar que deber tener configurados una serie de servicios para poder controlar y establecer las comunicaciones correctamente.

Enrutar y enrutamiento
Una vez ms vamos a tratar de reforzar los contenidos del blog y es que conforme se van aadiendo nuevos tutoriales van surgiendo dudas sobre temas relacionados con redes y no tanto sobre un software especifico. En el ltimo artculo NAT Network Adress Translation trat de explicar un poco que era eso del NAT, pero he tenido alguna queja por no explicar ms profundamente el tema de redireccionamiento de puertos (es broma mediaplanet!!). Como deca uno empecemos por el principio. Que es enrutar? Enrutar es redirigir o encaminar una conexin a un equipo en concreto que dispone de un servicio especifico o un software que necesita realizar conexiones por un puerto X. A travs de los puertos los sistemas se comunican dependiendo del servicio proporcionado, sabemos que el protocolo HTTP, por ejemplo, utiliza el puerto 80, esto es, cuando hacemos una peticin por el puerto 80 a un sistema deber tener un servicio para dar una respuesta en dicho puerto segn un estandar. Es cierto que podemos hacer que un servidor Web (que ofrece pginas web) escuche en otro puerto pero es recomendable no hacer esto, por ejemplo, el protocolo FTP utiliza el puerto 21, si hacemos a nuestro servidor Web estar atento (escuchar) a las peticiones http por el puerto 21 podemos generar un conflicto en el momento de habilitar servicios de FTP por esto es recomendable utilizar los puertos estandar. Porque enrutar? Enrutamos generalmente porque tenemos un equipo que se interpone entre un equipo o grupo de equipos y otra red, dicho de otra forma, tenemos una red un dispositivo que conecta nuestra red con otra (Internet) y una segunda red que normalmente es Internet, un ejemplo es los dos ordenadores que tenemos en casa (una red local) y un modem/router (dispositivo que conecta nuestra red con otra) que nos da acceso a Internet (otra red). Si dentro de esa red que comentaba en el ejemplo, la red de los dos equipos con modem/router que conecta a Internet tenemos en uno un servidor web y en otro un servidor de ftp y tratamos de conectar al ftp o ver la web del otro sistema sin hacer nada, simplemente no vamos a poder hacerlo Piorque? porque tenemos un modem/router con una Ip pblica que es la que se muestra en Internet y una Ip local que conecta los equipos de nuestra red, seguimos con ms ejemplos

Direccin pblica de nuestro modem router: 541.145.12.63 (ya lo s, es falsa y no es de nadie.) Direccin local de nuestro modem/router: 192.168.1.1 Dieccin Ip de el equipo que hace de servidor web: 192.168.1.100 Direccin Ip de el equipo que hace de servidor ftp: 192.168.1.101 Vale, teniendo esto, imaginemos que estamos en un cyber y queremos ver la web de nuestro servidor, as que abrimos el navegador y escribimos en la direccin la Ip: 541.145.12.63. sabeis cual es el resultado, no? no vamos a ver ninguna web y si vemos una ser el panel de administracin de nuestro modem/router Porque? pues fcil, no le hemos dado ninguna instruccin a nuestro modem router as que recibe una peticin por el puerto 80 y si este tiene algn servicio en este puerto nos ofrecer algo, si no nada y este es el motivo de porque enrutamos. Cuando enrutamos le decimos a nuestro modem/router que cuando reciba una peticin por un puerto concreto lo redirija a un equipo de nuestra red y este se encargar de responder a esta peticin por lo que tendremos que: 1. Habilitar los servicios en nuestros sistemas servidor 2. Decirle a nuestro modem/router que cuando reciba una peticin por un puerto lo redirija al servidor correcto Seguimos con el ejemplo, vamos a la configuracin de nuestro modem/router y primero configuraremos el servidor web. Tenemos que buscar las opciones de enrutamiento de nuestro modem, y decirle que las peticiones recibidas por el puerto 80 las redirija al puerto 80 del equipo 192.168.1.100 (recordemos que es la Ip que he asignado antes al servidor web en el ejemplo) y para el ftp lo mismo, cuando reciba una peticin por el puerto 21 deber retransmitirla al puerto 21 del equipo 192.168.1.101 (tambin como he indicado en el ejemplo). Y la verdad que no se me ocurre nada ms que contar sobre este tema, cuando hablamos de enrutar recordemos que lo que estamos haciendo es redirigir o encaminar, si relacionamos enrutar con redirigir nos costar mucho menos entender que es eso de enrutamiento, router, enrutar, enrutador. y bueno, espero saciar las necesidades de algunos de mis lectores la verdad es que le he dedicado un bun ratillo al artculo y espero que sea de provecho para alguin. Si teneis mas dudas, una recomendacin o lo que sea ya sabeis, comentadlo y trataremos de solventar el tema cuanto antes.

Instalacin de Enrutamiento y Acceso Remoto y configuracin de parametros de Red en Windows Server 2008 Videotutorial

Bueno pues ya empiezo a lanzarme con esto de los videotutoriales, espero poco a poco ir cubriendo una gran cantidad de tareas sobre e ltimo sistema servidor de Microsoft, el Windows Server 2008. En este video vamos a ver como se levanta el servicio de Enrutamiento a la vez que se configuran los parmetros de red necesarios para que todo funcione correctamente, como podremos apreciar los que aguantemos estos 16 minutos mirando la pantalla a veces confiar en un resultado sin comprobarlo nos puede hacer perder el tiempo como vemos al confiar en el diagrama de red de Windows Vista que nos indica que no tenemos conectividad con Internet, cuando en realidad si tenemos Esto en este caso no tiene mayor transcendencia pero cuando estamos realizando este tipo de tareas en una empresa y nos quita 15 o 20 minutos de nuestro tiempo y nos hace buscar un problema que no existe en este caso si importa y mucho. Y Bueno si no has visto el video pues puedo decirte que se ve como se instala el servicio de Enrutamiento y Acceso Remoto, como configuro correctamente las direcciones IP y como Windows Vista me hace desconfiar de esta configuracin y durante unos minutos ando un tanto desconcertado pero bueno, al final todo sale como debe ser y tenemos todos los servicios funcionando correctamente. Y bueno, llegados a este punto solo falta una cosa la descarga del video as que vamos con ella. http://www.youtube.com/watch?feature=player_embedded&v=ZNkbgCfON64 Un saludo a todos y muchas gracias por la lectura y descarga, que leais, descargueis y comenteis una y otra vez me anima a seguir adelante con todo este proyecto que da a da va siendo un poquito mayor y ofrece ms contenidos y servicios tiles (o eso es lo que yo quiero).

como hacer un trace tracert ya que mi pagina la ven desde otras partes pero yo no la veo. Traceroute
En muchas circunstancias nosotros necesitamos que UD efectu un traceroute o trazado desde su conexin Internet a nuestros servidores para poder diagnosticar problemas de conexin y otros. Para ejecutar Traceroute a su dominio desde su computador Windows 95/98/XP/vista/win7 deber abrir una seccin (MS-DOS) (oprimiendo el Icono Msdos en win95-98 o en XP/Win7 Inicio-Ejecutar y CMD ---OK) se abrir una pantalla DOS y escribir el comando tracert midominio.com remplazando midominio.com por su propio dominio.

Interpretando los resultados


Traceroute es una herramienta que le hace seguimiento a los paquetes que viajan por Internet para permitir la conexin entre 2 computadores. La ruta entre su Computador y su dominio hospedado en nuestros servidores puede variar cuando se revisa, ya que los enrutadores involucrados intentaran encontrar la conexin ms rpida y confiable.

El Nombre (si esta disponible) y la direccin IP de cada gateway (router-enrutador) se muestra con el tiempo de viaje de la seal (en milisegundos) para cada uno de los 3 paquetes hasta que encuentra un gateway especifico y retorna la seal. Estos intervalos varan de acuerdo a como se comporte la red de Internet y su carga. Paquetes perdidos son indicados con un asterisco (*). Existen varios factores responsables de la prdida de paquetes: algunos gateways no retornan el mkensaje apropiado, algunos Firewalls usan filtrado de paquetes y bloquean los enviados por el traceroute (Si esta en un firewall que bloquea el traceroute, los resultados mostraran la ruta a su firewall seguido de una lnea de asteriscos). Finalmente los paquetes se pueden perder por congestin de la conexin a Internet, los clientes de pginas Web y servidores generalmente se recuperan de esto automticamente cuando un pequeo porcentaje de paquetes se pierden sin mas indicacin que una respuesta ms lenta. Lo que estamos buscando en el traceroute es cualquier asterisco (*) o excesivo tiempo de retorno. Tiempo excesivo es un termino relativo que depende de su conexin a Internet, Usuarios con un MODEM de 20.8 sern ms lentos que uno con CABLE ADSL. Como regla general tiempos menores a 350ms son considerados normales de 350 1000 ms son moderadamente lentos y superiores a 1000ms son lentos asteriscos indican que el router, gateway no respondi del todo y es buena indicacin de su problema. Los primeros 2 o 3 nodos hops representan su computador y su proveedor de Internet, los ltimos nodos hops representan su dominio, pgina Web y el servidor donde reside, todos los dems nodos en medio representan partes de la red de Internet esta conexin la ofrecen compaas independientes como (l AT&T, Sprint, MCI, Versin, etc.). Si el traceroute indica un problema entre su conexin Internet UD debe contactar a su proveedor de Internet (ejemplo Telecom, Telefnica, Aol, Intercable) si el problema es en medio de las dos conexiones realmente no existe a quien contactar ya que estos proveedores no le dan soporte a los usuarios finales, pero su compaa de Internet puede contactarlos a ellos, aunque estas compaas monitorean constantemente estos problemas y probablemente es algo temporal. ENVIARNOS COPIA DE LOS RESULTADOS Ocasionalmente pedimos a nuestros clientes, que nos enven copia en formato texto cuando tienen problemas de conexin por enrutamiento ejemplo: (cuando las pginas se ven en muchos lados pero el cliente no las ve)
Para copia los resultados desde Windows 95 or Windows 98:

1. Click el icono Marcar en la parte superior de la ventana (parece un rectngulo con lneas).

2. Seleccione el texto completo del traceroute posicionando el cursor al principio manteniendo pulsado el botn izquierdo del Mouse hasta que se seleccione todo el contenido.

3. Clic el Icono de Copiar (el que parece como 2 hojas de papel) copie el contenido y pguelo en el correo que nos enva. Para copiar desde Windows XP/Vista/7 o Win2003/2008 1. De click derecho en el Mouse y seleccione "Marcar". 2. Seleccione el texto completo del traceroute posicionando el cursor al principio manteniendo pulsado el botn izquierdo del Mouse hasta que se seleccione todo el contenido. 3. Oprima la tecla de Enter para copiar el resultado copie el contenido y pguelo en el correo que nos envia.
OTRO SOFTWARE DE TRACER Existen otros paquetes para efectuar este diagnostico (aunque preferimos el reporte del tracert de Windows) puede bajar el software de tracerouter desde:

http://www.americandominios.com/download/TraceRoute.exe

En este para copiar el archivo ud va a File- Save as -- le coloca un nombre lo graba y nos enva el Archivo.

Documento, desarrollado por Gilberto Reyes R. www.americandominios.com