Practicas

PRÁCTICAS
DE
REDES
JULIÁN VERÓN PIQUERO

jveron@unizar.es
Prácticas de redes.
No está permitida la reproducción total o parcial de este libro, ni su

tratamiento informático, ni la transmisión de ninguna forma o por
cualquier medio, ya sea electrónico, mecánico, por fotocopia, por
registro u otros métodos, sin el permiso previo y por escrito del titular
del Copyright.
DERECHOS RESERVADOS © 2009

ISBN 978-84-692-5173-7
i
El objetivo de este libro es tener un material de referencia para el profesor y el alumno
en el momento de enfrentarse con las prácticas en el laboratorio de redes.
Es de aplicación directa en la asignatura Redes Locales del ciclo de grado superior de

Administración de Sistemas Informáticos, y en las asignaturas Sistemas operativos en
red, Seguridad informática, Servicios en red, y Redes locales del ciclo de grado medio
de Sistemas Microinformáticos y Redes, y en las asignaturas de Redes de Ingeniería
Técnica de Sistemas, e Ingeniería Informática.
Se ha pretendido usar un lenguaje asequible para aquellas personas que se inician en

este apasionante mundo, y al mismo tiempo lograr un alto grado de conocimiento al
finalizar la realización de todas las prácticas.
Las prácticas están organizadas por bloques, de tal forma que si se desea profundizar
sobre un tema no sea necesaria la realización de otros. Cada bloque comienza con una
explicación breve teórica que sirve como repaso de los conceptos más importantes.
Dentro de cada bloque cada práctica pretende ser más compleja que la anterior.
A lo largo del libro se utilizarán aplicaciones que pueden ser descargadas de Internet de
forma gratuita, como Wireshark, Nagios, UltraVNC, Nmap, Darwin Streaming Server,
GNS, etc., o gratuitas como Packet Tracer para aquellos alumnos y profesores cuyos
centros de enseñanza tienen acuerdos con la Academia Cisco.
Existe un sitio web que da soporte a este libro, proporcionando ejemplos de ficheros de
configuración, soluciones a determinados ejercicios, y correcciones a posibles erratas
encontradas. Este sito web pretende ser el lugar en el que todo el que quiera participar
en este proyecto tenga cabida.
www.practicasredesyservicios.com
El autor.
ii
iii
Listado de prácticas
Elementos de interconexión:
1. Latiguillos. .......................................................................................................... 1
2. Instalación de rosetas. ......................................................................................... 4
3. Certificadores de red........................................................................................... 5
Comandos de red en entorno Windows:

4.- Comandos de consola. ...................................................................................... 9
5.- Comando netsh de Windows. ............................................................................ 12
Comandos de red en entorno Linux:

6.- Configuración básica de la red. ......................................................................... 19
7.- Utilidades TCP/IP para la monitorización y el diagnóstico de la red. .............. 22
Analizadores de tráfico:
8.- Wireshark. ......................................................................................................... 25
9.- Escaner de puertos: nmap.................................................................................. 28
10.- Utilidades para la monitorización de redes inalámbricas: Commview,
NetStumbler............................................................................................................ 31
11.- Tcpdump. ....................................................................................................... 34
Simulación de dispositivos:
Introducción al Packet Tracer .......................................................................... 35
12.- Conectar dos Pc’s directamente. ..................................................................... 36
13.- Comparación entre HUB y SWITCH.............................................................. 38
14.- Configuración de parámetros. ......................................................................... 39
15.- Protocolo ARP................................................................................................. 40
16.- Conexión de dos ordenadores a través de un router. ....................................... 41
17.- Conexión de dos redes mediante 1 router. ...................................................... 42
18.- Conexión de tres redes mediante 2 routers...................................................... 43
19.- Interconexión de redes locales (1)................................................................... 45
Introducción a los protocolos de enrutamiento dinámico .............................. 49
21 .- Enrutamiento dinámico RIP. .......................................................................... 52
Utilización de dispositivos:
22.- Conexión de dos PCs....................................................................................... 54
23.- Utilización de Hubs. ........................................................................................ 55
24.- Utilización de SWITCHS. ............................................................................... 56
25.- Routers con enrutamiento estático. ................................................................. 57
Arquitectura TCP/IP:
Introducción a la arquitectura TCP/IP ............................................................. 61
28.- Nivel de enlace. ............................................................................................... 62
29.- Nivel de red. .................................................................................................... 64
30.- ICMP: Protocolo de Mensajes de Control de Internet. ................................... 65
31.- IPv6. ................................................................................................................ 67
iv
32.- Fragmentación del datagrama IP. .................................................................... 71
33.- Nivel de transporte. ......................................................................................... 73
34.- Nivel de aplicación. ......................................................................................... 77
Subredes:
Introducción a las subredes.............................................................................. 79
35.- Creación de subredes....................................................................................... 82
36.- Subredes con máscara variable........................................................................ 83
37.- Agrupando hosts.............................................................................................. 85
38.- Calculadoras de subredes. .............................................................................. 86
Conexiones a equipos remotos:

Introduccción a compartir recursos en Windows ............................................ 87
39.- Compartir archivos en Windows ..................................................................... 88
40.- Escritorio Remoto en Windows. ..................................................................... 91
41.- Acceder a Windows desde otros S.O.: Rdesktop, y R.D.C. ............................ 94
42.- Servidor Telnet en Windows. .......................................................................... 95
43.- UltraVNC. ....................................................................................................... 97
Routers CISCO:
Introducción al lenguaje CLI de CISCO ......................................................... 100
44.- Configuración de un router Cisco mediante CLI. ........................................... 101
45.- Enrutamiento estático en routers Cisco. .......................................................... 102
46.- Enrutamiento dinámico RIP. ........................................................................... 104
47.- Enrutamiento dinámico EIGRP....................................................................... 106
48.- Balanceo de cargas entre varias rutas.............................................................. 107
49.- Configuración de varias IP a una interface. .................................................... 109
50.- Borrado y recarga de un router Cisco.............................................................. 112
51.- Servidor DHCP................................................................................................ 113
Listas de control de acceso (A.C.L.):

Introduccion a las Listas de Control de acceso................................................ 114
52.- Listas de Control de Acceso estándar (1). ...................................................... 117
53.- Listas de Control de Acceso estándar (2). ...................................................... 118
54.- Listas de Control de Acceso extendido. ........................................................ 120
55.- DMZ con Listas de Control de Acceso. ........................................................ 123
Redes de area local Virtuales (VLAN):

Introducción a las redes de area local virtuales ............................................... 125
56.- Redes Virtuales con Switch IEEE 802.1Q. ..................................................... 127
57.- Redes Virtuales con un Router. ....................................................................... 128
58.- Redes Virtuales con subredes.......................................................................... 131
Redes privadas virtuales (V.P.N.):

Introducción a las redes privadas virtuales ...................................................... 132
59.- Configuración de una VPN en Windows XP. ................................................. 134
60.- Configuración de una VPN en Windows Server2008..................................... 138
61.- Configuración de una VPN en Linux. ............................................................. 141
62.- Configuración de una VPN con routers Cisco. ............................................... 143
63.- Configuración de una VPN en Macintosh....................................................... 146
v
N.A.T.:
Introducción al N.A.T...................................................................................... 148
64.- SNAT con iptables. ......................................................................................... 151
65.- Video vigilancia con DNAT............................................................................ 155
66.- DNAT: Permitir acceso a servidor Web.......................................................... 157
67.- NAT en routers Cisco...................................................................................... 159
Filtrado de paquetes: iptables de Linux:

Introducción al filtrado de paquetes con iptables ............................................ 161
68.- Control de acceso a Internet con iptables. ....................................................... 164
69.- Cortafuegos con iptables. ................................................................................ 166
Seguridad en la red:
Introducción a la seguridad en la red .............................................................. 168
70.- Conexión segura con SSH (Securite Shell). .................................................... 171
Introducción a SSL ......................................................................................... 168
71.- Servidor Web con OpenSSL. .......................................................................... 180
72.- Certificados digitales del lado cliente con OpenSSL. ..................................... 182
73.- Certificados digitales con IIS y SSL. .............................................................. 184
Introducción a IPSec ....................................................................................... 186
74.- Políticas de seguridad con IPSec en Windows................................................ 187
75.- Comunicaciones seguras con IPSec en Windows. .......................................... 191
Redes inalámbricas (WIFI):

Introducción a las redes inalámbricas.............................................................. 194
76.- Red en modo Infraestructura. .......................................................................... 198
77.- Redes Ad-hoc. ................................................................................................. 201
78.- Rutas estáticas en routers WIFI....................................................................... 203
79.- Infraestructura WPA con servidor RADIUS................................................... 204
SNMP:
Introducción a SNMP ...................................................................................... 209
80.- Supervisión de redes con Nagios..................................................................... 211
81.- Supervisión de redes con MRTG. ................................................................... 216
82.- Monitorización de redes: Ntop, y Argus. ...................................................... 217
APLICACIONES MULTIMEDIA DE TIEMPO REAL:

Introducción a aplicaciones multimedia de tiempo real .................................. 219
83.- RTP Y RTSP. .................................................................................................. 223
84.- SIP. .................................................................................................................. 227
PROYECTOS:
85.- Proyecto sistemas de comunicación. ............................................................... 229
86.- Control de acceso a Internet. ........................................................................... 234
Indice: .................................................................................................................... 237
vi
vii
Elementos de interconexión
PRÁCTICA Nº 1
Latiguillos de conexión
Los estándares de cableado estructurado indican cómo debe realizarse una instalación
para asegurar un buen funcionamiento y fácil administración. Existen muchos
estándares pero los más importantes son: ISO/IEC 11801, EN 50288, y TIA/EIA
568A/B.
En esta práctica se van a realizar dos latiguillos (uno sin cruzar y otro cruzado), y para
ello deberemos utilizar el estándar TIA/EIA 568A/B.
TIA/EIA 568 A TIA/EIA 568 B
Nº Pin Color Uso Nº Par Nº Pin Color Uso Nº Par

1 Blanco Verde Tx 3 1 Blanco Naranja Rx 2
2 Verde Masa 3 2 Naranja Masa 2
3 Blanco Naranja Rx 2 3 Blanco Verde Tx 3
4 Azul Masa 1 4 Azul Masa 1
5 Blanco Azul Tx 1 5 Blanco Azul Tx 1
6 Naranja Masa 2 6 Verde Masa 3
7 Blanco Marrón Rx 4 7 Blanco Marrón Rx 4
8 Marrón Masa 4 8 Marrón Masa 4
Para realizar un cable sin cruzar habrá que utilizar en ambos extremos del cable la
misma norma, es decir, si a la hora de realizar la unión con el cable en un extremo
hemos seguido la norma TIA/EIA 568 A, en el otro extremo se deberá seguir también
TIA/EIA 568 A.
Para realizar un cable cruzado se deberá seguir la A en un extremo y la B en el otro.
Se van a necesitar los siguientes materiales: cable de categoría 5 (UTP o FTP),

conectores RJ45 macho, una crimpadora, y un tester (ver figura 1.1).
Figura 1.1
En cuanto al cable a utilizar podrá ser UTP, STP, o FTP. Recordemos que el cable
UTP es el más sencillo al no llevar malla, en el STP cada par esta rodeado con una
malla conductora, y en el FTP la malla conductora rodea a los cuatro pares. En el caso
de elegir STP o FTP deberemos utilizar también conectores RJ45 metálicos para que
pueda existir continuidad en el apantallamiento.
1
En la figura 1.2 se puede observar un cable UTP, pues no

lleva malla protectora, y que esta formado por 4 pares de
hilos (total 8 hilos).
Cada par es de un color (naranja, verde, marrón o azul), y

dentro de cada par hay un hilo que tiene un color más una
Figura 1.2
línea blanca.
En la figura 1.3 se observa como el conector antes de ser

unido al cable tiene todavía los 8 pines metálicos que
sobresalen.
Figura 1.3
Lo primero a realizar es pelar el cable, ordenar los ocho hilos

según la norma que vayamos a seguir y alisarlos.
Figura 1.4
Antes de realizar el corte a los ocho hilos se debe tener en

cuenta que la cubierta deberá entrar dentro del conector hasta
la posición indicada en la figura 1.5. El corte de los hilos se
realizará a la altura donde termina el conector.
Figura 1.5
Pin Nº 1
En la figura 1.6 se puede observar el cable introducido en el
Pin Nº 8 conector. Antes de crimpar se debe realizar una inspección
ocular de que todos los hilos llegan hasta el final.
Figura 1.6
Después de asegurarnos que todos los cables están en la

posición correcta y llegan hasta el final del conector, y que la
cubierta esta bien introducida podemos con la ayuda de la
crimpadora realizar la unión.
Figura 1.7
2
En la figura 1.8 se puede observar como los pines metálicos del conector ya no
sobresalen, y que la cubierta está bien agarrada.
Figura 1.8
Una vez realizada la unión para un extremo del cable haremos

exactamente lo mismo para el otro extremo, obteniendo así un
cable de conexión sin cruzar. Antes de utilizarlo deberemos
comprobar que se ha confeccionado correctamente, para ello Figura 1.9
utilizaremos un tester.
Para realizar un cable cruzado deberás seguir la norma TIA/EIA 568 A en un extremo y
la TIA/EIA 568 B en el otro.
Preguntas de repaso:
1.- En un cable cruzado ¿cómo se conectan los pines? Rellena la siguiente tabla:
Nº pin Nº pin
1
2
3
4
5
6
7
8
2.- ¿Cuándo se debe utilizar un cable sin cruzar y cuando uno cruzado? Rellena la
siguiente tabla:
Dispositivos ¿Cruzado? Si / No
De PC a PC
De PC a Hub
De PC a Switch
De PC a Router
De Hub a Hub
De Hub a Switch
De Switch a Router
De Router a Router
3.- Explica las diferencias entre las diferentes categoría de cable (de la 1 a la 7).
3
PRÁCTICA Nº 2
Instalación de rosetas
Las rosetas se pueden encontrar empotradas o pegadas a la pared, o en canaletas, y en
ellas van los conectores RJ-45 hembra. En esta práctica se van a necesitar los
siguientes materiales:
Herramienta de Conector hembra Cable de categoría 5

impacto o superior
Figura 2.1
Para realizar su montaje se deben seguir los siguientes pasos:
1.- Eliminar unos cinco centímetros de la cubierta

protectora del cable.
2.- En el caso de que el cable tenga una malla que actúa

Figura 2.2
como hilo de masa, se deberá retirar hacia atrás.
3.- Destrenzar los últimos dos centímetros de los cuatro

pares.
4.- Colocar los hilos en su posición atendiendo al color que está

dibujado en el conector. Si el cable tiene malla unirla a la parte
metálica del conector.
5.- Con la ayuda de una herramienta de impacto presionar cada

hilo con el fin de ser introducido. Se deben engastar todos los
pares al conector. Cortar el cable sobrante.
Figura 2.3
1.- Comenta las diferencias entre los conectores hembra de las figura 2.1, 2.2, y 2.3.
4
PRÁCTICA Nº 3
Certificadores de red
Una vez se ha procedido a la instalación del cableado en un edificio es necesario

certificar su correcto funcionamiento, lo que significa que se garantiza su rendimiento, y
que cumple con las condiciones que se plantearon al realizar su presupuesto.
En el mercado existen tres tipos de comprobadores:
• de continuidad: que permiten comprobar si los hilos tienen algún corte

(utilizado en la práctica 1).
• de cableado: que permiten comprobar diafonía, atenuación y ruido
(utilizado en esta práctica).
• Reflector de Dominio del Tiempo: que permiten comprobar radios de
curvatura, nudos, empalmes, etc. (osciloscopios digitales portátiles).
Cuando se certifica una instalación se debe medir como mínimo los siguientes
parámetros:
• Continuidad: para comprobar que no existen roturas, y que los hilos

están en el orden correcto.
• Impedancia: Todo cable eléctrico tiene una impedancia característica,

la cual es la suma vectorial de la resistencia y de la reactancia. Si se
mezclan cables de distintas impedancias se producirán reflexiones
indeseadas de la energía emitida obteniendo una R.O.E. superior a 1,1.
• Longitud: Todos los estándares establecen longitudes máximas para

cada tipo de cableado. Una longitud superior a la máxima permitida
provocará retardos excesivos.
• Atenuación: Es la resistencia que ofrece el cable a que la energía fluya

a través suyo. Se mide en decibelios, y es una relación entre la energía
emitida y la energía recibida en el extremo opuesto.
• Diafonía: Se basa en el hecho de que cualquier circulación de corriente

eléctrica por un cable genera un campo magnético a su alrededor, y
viceversa, por ello, al circular datos por un cable se puede inducir
energía en otros cables cercanos y alterar la información que lleven
estos últimos. Para evitarlo se suelen trenzar los cables, es decir, el
cable gira sobre su compañero un número de veces por metro, siendo
un número habitual 24 (24 AWG).
5
• Diafonía del extremo cercano (NEXT): Se mide por la diferencia entre

la cantidad de señal de un cable y la cantidad de señal que se acopla en
otro cable y que vuelve en sentido opuesto al de la señal original.
• Diafonía del extremo lejano (FEXT): Se mide por la diferencia entre la

cantidad de señal de un cable y la cantidad de señal que se acopla en el
otro cable pero que va en el mismo sentido al de la señal original.
• Igualdad de diafonía del extremo lejano (ELFEXT): Mide la diafonía

existente entre un par transmisor y un par adyacente dentro de la misma
vaina del cable.
Se van a necesitar los siguientes materiales: certificador LT-8600, adaptadores de enlace

y calibración de campo, y kit de comunicación (ver figura 3.1).
Unidades pantalla y remota Adaptador calibración de Kit de comunicación

campo
Adaptadores enlace canal
Figura 3.1
Una vez comprobado que las unidades de pantalla y remota están convenientemente
cargadas se puede proceder a la realización de la práctica.
En primer lugar se debe realizar una calibración de las unidades, y para ello las
uniremos con el adaptador para calibración en campo:
1.- En la pantalla herramientas, seleccionar “Calibración en campo”.

2.- Activar la unidad remota con la tecla “tono”.
3.- Pulsar sobre “proceso de calibración”. El proceso dura un minuto.
En segundo lugar se debe configurar el equipo:
1.- Seleccionar “preferencias del equipo”.

2.- Modificar fecha, idioma, nombre del operador, contraste, unidades de medida,
configuración del puerto serial, etc.
6
3.- Seleccionar Control remoto. Para PC DTE, para impresora DCE. Pulsar enter
para guardar.
En tercer lugar se debe seleccionar el tipo de cable:
1.- El aparato tiene varios tipos de test según el cable. Pulsar la tecla de selección
de cable.
2.- Con las flechas localizar el cable a analizar. VNP significa Velocidad Normal
de Propagación. Pulsar enter para seleccionarlo. También se puede acceder a la
lista de cables del fabricante correspondiente a la norma del test.
En cuarto lugar se debe seleccionar el tipo de test:
1.- Test de enlace: Para certificar la instalación del cableado horizontal antes de la
conexión de la red y de los usuarios.
2.- Test de enlace de canal: Se utiliza para certificar la instalación de la red
después de la instalación de la red y de la conexión de los usuarios.
3.- Test del mapeado de hilos: Para localizar circuitos cerrados, circuitos abiertos
o cableados incorrectos.
4.- Test de longitud de los cables: Mide la longitud de cada par.
5.- Test de resistencia: Mide la resistencia en corriente continua para cada par.
6.- Test de Diafonía y de ELFEXT: Se llevan a cabo en ambos extremos del cable
y para todas las combinaciones posibles, lo que conlleva 12 mediciones para cada
uno.
7.- Test de Atenuación.
8.- Test de pérdida de retorno: Un valor de 20 dB o más indica un buen cable.
Menor de 10 indica un mal cable.
9.- Test de impedancia.
10.- Test de retardo y desfase: Mide el tiempo que emplea una señal aplicada en
un extremo de un cable en recorrer el trayecto hasta el otro extremo. El desfase
indica la diferencia entre el retardo medido para ese par y con el de menor valor.
11.- Test de capacidad: Mide la capacidad entre los dos conductores de cada par.
Se expresan en picoFaradios. Cuanto mayor es este valor peor es el cable.
12.- Test de RAD: Relación entre atenuación y diafonía. Se calculan par a par. Es
deseable un valor alto.
13.- Test del Margen: Consiste en un análisis matemático de los datos obtenidos
en los tests anteriores. Es deseable un valor alto.
14.- Test de cableado 10Base-T.
15.- Test de cableado Token RING.
16.- Autotest: El equipo lleva a cabo de forma automática unos tests
preprogramados.
7
1.- Realiza una comparativa entre los diferentes medios de transmisión:
Distancia Ancho Denominación Otras

Tipo de cable entre de del características
repetidores banda conector
Telefónico
Plano
Trenzado UTP
Trenzado STP
Trenzado FTP
Coaxial fino
Coaxial grueso
Fibra óptica monomodo
Fibra óptica multimodo
Inalámbrica WIFI
Inalámbrica WIMAX
Ondas de radio de baja
frecuencia
Microondas
8
Comandos de red en entorno Windows
PRÁCTICA Nº 4
Comandos de red en Windows
Comando: HOSTNAME
a) ¿Para qué sirve este comando?
b) ¿Cual es el nombre de tu ordenador?
c) ¿ Tiene algún parámetro este comando?
Comando: PING
a) Probar los siguientes ejemplos y anotar los resultados obtenidos.

1. ping –t localhost
2. ping –a localhost
3. ping -n 10 localhost
4. ping –l 8192 localhost
5. ping –f localhost
6. ping -i 1 localhost
7. ping -i 200 localhost
8. ping -s 1 localhost
9. ping -k localhost
10. ping –r 6 localhost
11. ping –j localhost 192.168.2.2
12. ping –w 233 localhost
b) Sustituir localhost por la dirección 64.233.183.99, y anotar las diferencias en el caso

de que existan.
c) ¿Qué es el ping de la muerte? ¿En qué consiste?
d) ¿Cuántos dispositivos intermedios (routers) hay hasta www.google.com?

Comando: IPCONFIG
a.) Probar los siguientes ejemplos y anotar los resultados obtenidos en la hoja de
resultados.
1. ipconfig
2. ipconfig /all
3. ipconfig /displaydns
Abrir una página web cualquiera y

ejecutar de nuevo
4. ipconfig /displaydns
5. ipconfig /?
6. ipconfig /renew
7. ipconfig /showclassid
8. ipconfig /showclassid *
9. ipconfig /showclassid Local*
10. ipconfig /flushdns
9
Comando: ARP
a) ¿Qué MAC tienen tus

adaptadores de red ? Apúntalos.
b) ¿Qué entradas tiene tu

ordenador en la tabla caché de
ARP?
c) ¿Cómo se borra la tabla

caché de ARP? Compruébalo en tu
ordenador.
d) Introduce una entrada con los datos de la IP y MAC de un compañero.
Comando: NBTSTAT
Antes de ejecutar estas órdenes explora tu entorno de red y accede a recursos

compartidos de tus compañeros.
a) Comprobar los siguientes líneas
nbtstat -a profesor
nbtstat -A 192.168.2.1
nbtstat –r
nbtstat -a <nombre>
nbtstat –c
nbtstat –S
nbtstat –s
nbtstat –RR
nbtstat –c
b) ¿Qué diferencias hay entre: ?
nbtstat –S
nbtstat –s
c) ¿Para qué sirve este commando?
Comando: PATHPING
a.) Realizar las siguientes comprobaciones

pathping -n 192.168.2.1
pathping -n 64.91.238.122
pathping -4 192.168.2.1
pathping -g 192.168.2.1
pathping -n svr2004
pathping -n svr2004 -h 5
pathping -n svr2004 -h 5 -p 5 -w 10
pathping -n www.google.es
pathping -n www.google.es -w 10 -p 50 -q 10 -h 5
10
b.) Establecer las diferencias
b.1.) pathping -n svr2004 -h 5 -p 5 -w 10

pathping -n svr2004 -h 5 -p 100 -w 120
b.2.) pathping -n www.google.es

pathping -n www.google.es -q 10 -w 10
pathping -n www.google.es -q 10 -w 100 –p 50
pathping -n www.google.es -w 11 -p 45 -q 9 -h 5
Comando: NETSTAT
a. Realizar las siguientes

comprobaciones:
netstat -e –s
netstat -s -p tcp udp
netstat -s -p tcp
netstat -s -p udp
netstat -o
netstat –n
netstat –n 5
netstat –a
netstat –an
netstat -no
netstat -ano
b.- ¿Para qué sirve el comando netstat –nabo? ¿Qué información se obtiene?
Comando: : ROUTE
Sustituye las siguientes direcciones IP por aquellas que sean compatibles con el
direccionamiento utilizado en la red en la que te encuentres.
a.) Ejecutar y observar el comando route
route print
route print 10.*
route add 192.168.4.0 mask 255.255.128.0 192.168.6.1
route add 192.168.3.0 mask 255.255.128.0 192.168.6.1
route -p add 172.16.0.0 mask 255.255.0.0 172.16.0.1
route add 172.16.0.0 mask 255.255.0.0 172.16.0.1
metric 7
route delete 172.16.0.0 mask 255.255.0.0
route delete 172.*
route change 172.16.0.0 mask 255.255.0.0 172.16.0.2
11
PRÁCTICA Nº 5
Comando netsh de Windows
El comando netsh de Windows es un comando poco documento pero muy potente.
Permite establecer cualquier configuración que tenga que ver con la red desde la
consola de MS-Dos. El ejecutable suele encontrarse en “C:\WINDOWS\system32\”.
Se puede utilizar la herramienta Netsh.exe para realizar las tareas siguientes:
• Configurar interfaces.
• Configurar protocolos de enrutamiento.
• Configurar filtros.
• Configurar rutas.
• Configurar el comportamiento de acceso remoto para los enrutadores de
acceso remoto basados en Windows que ejecutan el servicio Servidor de
Enrutamiento y acceso remoto (RRAS).
• Mostrar la configuración de un enrutador que se está ejecutando en cualquier
equipo.
• Utilizar la característica de secuencias de comandos para ejecutar una
colección de comandos en modo por lotes en un enrutador especificado.
Para trabajar con él abriremos una ventana de consola y ejecutaremos este comando. Si
preguntamos por la ayuda obtendremos algo similar a la figura 21.1
Figura 5.1
12
Como se puede observar, existen varios contextos disponibles:
ras: Contexto Servidor de acceso remoto (RAS).

routing: Contexto de enrutamiento.
winsock: Contexto Servicio de nombres Internet de Windows (WINS).
brige: Contexto del puente.
diag: Contexto de diagnóstico.
firewall: Contexto cortafuegos.
interface: Contexto de configuración de conexiónes de red.
Los subcontextos siguientes funcionan dentro del contexto interface:
ip: Contexto Protocolo de Internet (IP).

ipv6: Cambia al contexto `netsh interface ipv6'
portproxy: Cambia al contexto `netsh interface portproxy'.
Los subcontextos siguientes funcionan dentro del contexto ras:
ip: Contexto Protocolo de Internet (IP).

ipx: Contexto Intercambio de paquetes entre redes (IPX).
netbeui: Contexto Interfaz de usuario mejorada de NetBios (NETBEUI).
Los subcontextos siguientes funcionan dentro del contexto routing ip:
autodhcp: Subcontexto autodhcp.

dnsproxy: Subcontexto dnsproxy.
igmp: Subcontexto Protocolo de pertenencia a grupos de Internet (IGMP).
mib: Subcontexto Base de datos de información de administración (MIB).
nat: Subcontexto Traducción de direcciones de red (NAT).
ospf: Subcontexto Abrir primero la ruta de acceso más corta (OSPF).
relay: Subcontexto relay.
rip: Subcontexto Protocolo de información de enrutamiento (RIP).
13
Contexto diag
Si dentro del entorno netsh introducimos el comando diag, entraremos al

contexto de diagnóstico, y podremos hacer uso de una serie de herramientas muy
interesantes:
gui
Nos lanza una herramienta gráfica en
la que podremos efectuar un
diagnóstico completo de red (ver
figura 5. 2 )
ping
Nos permite comprobar si podemos
conectarnos a los distintos servicios
de red. Por ejemplo si quisieramos
comprobar la conectividad a un
servidor dns lo haríamos con la
orden ping dns. Con ping adapter,
haríamos un test completo de la
configuración ip en todas nuestras Figura 5.2
las tarjetas de red en nuestro equipo.
connect iphost
Nos permite saber si en un host remoto está respondiendo un servicio o su puerto
correspondiente está abierto. Por ejemplo si quisieramos saber si en un equipo remoto
está disponible el servicio de telnet:
netsh diag >connect iphost 192.168.1.2 23
nbstat
Nos permite ejecutar diagnósticos de resolución de nombres netBIOS.
dump
Muestra la configuración.
show
Muestra información sobre el correo electrónico, las noticias, el proxy, el equipo, el
sistema operativo, el adaptador de red, le módem y el cliente de red.
14
Comandos globales netsh
Comando Descripción
.. Sube un nivel de contexto.
? o help Muestra la Ayuda de la línea de comandos.
show version Muestra la versión actual de Windows y de la utilidad Netsh.
show netdlls Muestra la versión actual instalada del archivo DLL de la aplicación auxiliar Netsh.
add helper Agrega un archivo DLL de la aplicación auxiliar Netsh.
delete helper Elimina un archivo DLL de la aplicación auxiliar Netsh.
show helper Muestra los archivos DLL de la aplicación auxiliar Netsh.
cmd Crea una ventana de comandos.
online Establece el modo en conexión como modo actual.
offline Establece el modo sin conexión como modo actual.
set mode Establece el modo en conexión o sin conexión como modo actual.
show mode Muestra el modo actual.
flush Descarta cualquier cambio realizado en el modo Sin conexión.
commit Confirma cualquier cambio realizado en el modo Sin conexión.
set audit-logging Activa o desactiva el servicio de registro.
show audit-logging Muestra la configuración de registro de la auditoría actual.
set loglevel Establece el nivel de información de registro.
show loglevel Muestra el nivel de información de registro.
set machine Configura el equipo donde se ejecutarán los comandos netsh.
show machine Muestra el equipo donde se ejecutarán los comandos netsh.
exec Ejecuta un archivo de comandos que contiene comandos netsh .
quit o bye o exit Sale de la utilidad Netsh.
add alias Agrega un alias a un comando existente.
delete alias Elimina un alias de un comando existente.
show alias Muestra todos los alias definidos.
dump Escribe la configuración a un archivo de texto.
popd Un comando de la secuencia de comandos que saca un contexto de la pila.
pushd Un comando de la secuencia de comandos que inserta un contexto en la pila.
Comandos de interfaz
interface set/show Habilita, deshabilita, conecta, desconecta y muestra la configuración de interfaces de
interface marcado a petición.
interface set/show Configura o muestra el nombre de usuario, la contraseña y el nombre de dominio de

credentials una interfaz de marcado a petición.
15
Comandos de enrutamiento IP
routing ip add/delete/set/show interface Agrega, elimina, establece o muestra la configuración general de enrutamiento IP en
una interfaz especificada.
routing ip add/delete/set/show filter Agrega, elimina, configura o muestra filtros de paquetes IP en una interfaz
especificada.
routing ip add/delete/set/show Agrega, elimina, configura o muestra el nivel de preferencia de un protocolo de
preferenceforprotocol enrutamiento.
routing ip set/show loglevel Configura o muestra el nivel de registro IP global.
routing ip show helper Muestra todos los subcontextos de la herramienta Netsh de IP.
routing ip show protocol Muestra todos los protocolos de enrutamiento IP que estén en ejecución.
routing ip show mfestats Muestra las estadísticas de la entrada de reenvío de multidifusión.
routing ip nat set/show global Establece o muestra la configuración global de la traducción de direcciones de red
(NAT).
routing ip nat add/delete/set/show Agrega, elimina, configura o muestra la configuración de traducción de direcciones
interface de red (NAT) para una interfaz especificada.
routing ip nat add/delete addressrange Agrega o elimina un intervalo de direcciones del conjunto de direcciones públicas de
la interfaz NAT.
routing ip nat add/delete addressmapping Agrega o elimina una asignación de direcciones NAT.
routing ip nat add/delete portmapping Agrega o elimina una asignación de puertos NAT.
routing ip autodhcp set/show global Configura o muestra parámetros globales del asignador DHCP.
routing ip autodhcp set/show interface Establece o muestra la configuración del asignador DHCP para una interfaz
especificada.
routing ip autodhcp add/delete exclusion Agrega o elimina una exclusión del intervalo de direcciones del asignador DHCP.
routing ip dnsproxy set/show global Configura o muestra parámetros proxy DHCP globales.
routing ip dnsproxy set/show interface Configura o muestra los parámetros proxy DHCP para una interfaz especificada.
routing ip igmp set/show global Establece o muestra la configuración IGMP global.
routing ip igmp add/delete/set/show Agrega, elimina, configura o muestra IGMP en la interfaz especificada.
interface
routing ip igmp show grouptable Muestra la tabla de grupos de hosts IGMP.
routing ip igmp show ifstats Muestra las estadísticas de IGMP para cada interfaz.
routing ip igmp show iftable Muestra los grupos de hosts IGMP para cada interfaz.
routing ip igmp show proxygrouptable Muestra la tabla de grupos IGMP para la interfaz proxy IGMP.
routing ip igmp show rasgrouptable Muestra la tabla de grupos para la interfaz Interna que utiliza el servidor de acceso
remoto.
routing ip relay show ifstats Muestra las estadísticas de DHCP para cada interfaz.
routing ip rip set/show global Establece o muestra la configuración global de RIP para IP.
routing ip rip add/delete/set/show Agrega, elimina, configura o muestra la configuración de RIP para IP para una
interface interfaz especificada.
routing ip rip add/delete acceptfilter Agrega o quita un filtro de rutas RIP en la lista de rutas que se van a aceptar.
routing ip rip add/delete announcefilter Agrega o quita un filtro de rutas RIP en la lista de rutas que se van a anunciar.
routing ip rip add/delete/show neighbor Agrega, quita o muestra un vecino RIP.
routing ip rip show globalstats Muestra los parámetros RIP globales.
routing ip rip show ifbinding Muestra los enlaces de direcciones IP para interfaces.
routing ip rip show ifstats Muestra las estadísticas de RIP para cada interfaz.
16
Comandos de netsh para acceso remoto
ras add/delete/show Configura o indica si el equipo servidor de acceso remoto especificado es
registeredserver miembro del grupo de seguridad Servidores RAS e IAS en el servicio de
directorio de Active Directory del dominio especificado.
ras show activeservers Muestra los servidores actuales que ejecutan Enrutamiento y acceso remoto
en la red.
ras add/delete/show authtype Configura o muestra los tipos de autenticación permitidos.
ras add/delete/show client Configura o muestra los clientes de acceso remoto conectados actualmente.
ras add/delete/show multilink Configura o muestra la configuración de Multivínculo y el Protocolo de
asignación de ancho de banda (BAP, <i>Bandwidth Allocation Protocol</i>).
ras set/show tracing Configura o muestra la configuración de traza.
ras set/show user Configura o muestra la configuración de acceso remoto para las cuentas de
usuario.
ras ip set access Configura si las transmisiones IP procedentes de los clientes de acceso
remoto se reenviarán a las redes a las que está conectado el servidor de
acceso remoto.
ras ip set addrassign Configura el método que el servidor de acceso remoto utiliza para asignar
direcciones IP a las conexiones entrantes.
ras ip show config Muestra la configuración de acceso remoto para IP.
ras ip set negotiation Configura si IP se negocia en las conexiones de acceso remoto.
ras ip delete pool Elimina el conjunto de direcciones IP estáticas.
ras ip add/delete range Agrega o quita un intervalo de direcciones del conjunto de direcciones IP
estáticas.
ras aaaa set/show accounting Configura o muestra el proveedor de administración de cuentas.
ras aaaa add/delete/set/show Configura o muestra los servidores de administración de cuentas RADIUS.
acctserver
ras aaaa set/show Configura o muestra el proveedor de autenticación.
authentication
ras aaaa add/delete/set/show Configura o muestra los servidores de autenticación RADIUS.
authserver
17
Cuestiones a resolver:
1.- Para un administrador puede ser útil guardar la configuración en un fichero, y en el

caso de tener que recuperarla por un desastre consistiría tan sólo en volcar de vuelta el
contenido de dicho fichero. Para ello escribimos en una consola “netsh dump >
C:\Conf_actual.txt”. Si después de un desastre quisiéramos restaurarla escribiremos
“netsh exec C:\ Conf_actual.txt”. Explica brevemente toda la información que contiene
el fichero.
2.- Cambiar la IP del adaptador “conexión de área local” para que la tome de forma
dinámica.
3.- Cambiar la IP del adaptador “conexión de área local” a 192.168.4.5 con máscara por
defecto y puerta de enlace 192.168.4.1, Métrica 1, y DNS 147.156.1.1.
4.- Entra al contexto de diagnostico, y ejecuta la herramienta gui. Comenta los

resultados.
5.- Averigua que IP tienen google (realmente tiene varias), e intenta crear una regla en
el cortafuegos para descartar todos los paquetes que provengan de dicha red. ¿Te
puedes conectar a google con tu navegador habitual?
18
Comandos de red en entorno Linux
PRÁCTICA Nº 6
Configuración de la red en Linux
Las herramientas más utilizadas para configurar una máquina que funciona bajo Linux
son ifconfig y route que se encuentran en el paquete net-tools. Sin embargo existe la
herramienta ip que es más potente que las anteriores y las reemplaza.
Para mostrar el estado actual de todas las interfaces de red se debe ejecutar ifconfig sin
argumentos. En la figura 1 se puede observar como la máquina posee una interfaz
ethernet denominada eth0, y el bucle local se denomina lo.
Figura 6.1
Para mostrar la tabla de enrutamiento se debe ejecutar el comando route sin

argumentos.
Figura 6.2
En primer lugar vamos a configurar la dirección IP de la máquina, y la de su puerta de

enlace. Para ello deshabilita la interfaz con el siguiente comando:
# ifconfig eth0 inet down
Activamos nuevamente la interfaz con la dirección IP 192.168.2.2, máscara de red

255.255.255.0, y dirección de Broadcast 192.168.2.255.
#ifconfig eth0 inet up 192.168.2.2 netmask 255.255.255.0 broadcast 192.168.2.255
De una forma resumida sería de la siguiente forma:
ifconfig eth0 192.168.2.2 netmask 255.255.255.0
19
Para añadir la puerta de enlace con dirección 192.168.2.254 habrá que escribir:
#route add –net 0.0.0.0 netmask 0.0.0.0 gw 192.168.2.254 dev eth0
O lo que es lo mismo:
#route add default gw 192.168.2.254
En las figuras 3 y 4 se puede observar como la interfaz de red eth0 está configurada con
los nuevos parámetros.
Figura 6.3
Figura 6.4
También se podría haber realizado la configuración con el comando IP de la siguiente

manera:
ip link show
ip route list
ip link set eth0 down
ip addr del dev eth0 local 172.16.206.129
ip addr add dev eth0 local 192.168.2.2/24 broadcast 192.168.2.255
ip link set eth0 up
ip route add dev eth0 to 0.0.0.0/0 src 192.168.2.2 via 192.168.2.254
Para configurar una tarjeta inalámbrica se utiliza el comando iwconfig integrada en el

paquete wireless-tools.
iwconfig eth0 essid “Mi_AP” key s:clave_a_usar
Además se dispone de los siguientes comandos: iwlist (informa sobre las WLANs en los
alrededores), iwpriv (permite configurar parámetros de los drivers), iwspy (informa
acerca de otros usuarios de WLAN), iwevent (controla interfaces WLAN grabando en
un fichero log la actividad de la red).
20
Si se desea que el equipo cargue de forma automática la configuración de las tarjetas de

red cada vez que sea reiniciado, se debe guardar dicha configuración en el archivo:
/etc/network/interfaces
Por ejemplo podría tener la siguiente información:

iface eth0 inet static
address 192.168.2.2
netmask 255.255.255.0
gateway 192.168.2.254
dns-nameservers 192.111.2.21 192.111.2.22
En el caso de que se quisiera una configuración de la IP mediante DHCP sería:

iface eth0 inet dhcp
En el caso de tener una tarjeta inalámbrica sería:

iface eth0 inet dhcp
wireless-essid miessid
wireless-key 123456789
El paquete wireless-tools incluye el script /etc/network/if-pre-up.d/wireless-tools que

permite configurar tarjetas de red inalámbricas.
Los servidores DNS se encuentran listados en /etc/resolv.conf. Para introducir la

dirección de uno de ellos bastará escribir lo siguiente:
echo nameserver 10.35.136.10 >> /etc/resolv.conf
Cuestiones a resolver:
1.- ¿Cuántos interfaces de red tiene activos tu máquina? ¿Cuáles son sus nombres?
2.- Utilizando la opcion help obtén todas las opciones que se pueden utilizar con el
comando ip y explica sus funciones.
3.- ¿Cómo se puede visualizar los servidores DNS que ya dispone tu máquina? ¿para
que sirve el símbolo >>?. Introduce una dirección de un servidor DNS en tu ordenador.
4.- Configura una tarjeta inalámbrica con los siguientes datos: IP 192.168.3.1/16 con
puerta de enlace 192.168.1.1. ¿Funciona?
5.- Los S.O. Linux poseen una interfaz gráfica para hacer el entorno más amigable.
Configura una tarjeta de red de esta forma. Comenta el proceso a realizar.
6.- Al configurar la red con ifconfig hay que dar una dirección de Broadcast. ¿Para qúe
sirve esta dirección?
21
PRÁCTICA Nº 7
Utilidades TCP/IP para la monitorización
y diagnóstico de la red en Linux
hostname
Cada máquina se identifica con un nombre almacenado en /etc/hostname. Para

mostrarlo basta escribir en una terminal el comando hostname sin argumentos.
Para ver la dirección IP asociada a una máquina hay que escribir hostname - -fqdn.
El método que utiliza la máquina para resolver los nombres en direcciones IP viene
dado por lo establecido en el fichero de configuración /etc/nsswitch.conf. En este
archivo se puede encontrar una línea similar a esta:
hosts: files dns
Esta línea lista los servicios que deberán usarse para resolver un nombre. En el
ejemplo anterior el sistema buscará primero en el fichero /etc/hosts, y posteriormente
acudirá a su servidor DNS (listados en el fichero /etc/resolv.conf).
ping
El programa ping se utiliza para comprobar la conexión entre dos equipos. Se basa
en el protocolo ICMP, el cual permite devolver un eco al llegar un determinado
mensaje a una máquina.
Al ejecutar este comando en Linux se envía una solicitud de eco cada segundo. El
paquete generado tiene 8 bytes de cabecera más 56 de datos, el cual es encapsulado en
un paquete IP.
La ejecución de este programa se interrumpe al presionar CTRL + C.
traceroute
Gracias a este comando se puede rastrear la ruta que sigue un paquete desde el equipo
emisor hasta el receptor. Utiliza el protocolo ICMP y el campo denominado TTL de
los datagramas IP. Recordemos que el campo TTL es el número máximo de saltos
que podrá realizar el paquete en su viaje.
El funcionamiento es el siguiente: Supongamos que el equipo origen y el destino

están separados por un número determinado de equipos intermedios, representando
cada uno de ellos un salto. El equipo origen mandará un datagrama con el campo
TTL a 1, es decir, cuando llegue al primer dispositivo intermedio éste restará uno a
dicho campo y al comprobar que la cuenta ha llegado a cero devolverá un mensaje
ICMP al equipo emisor de tipo “tiempo excedido”. De esta forma el equipo emisor
22
sabe que el datagrama ha llegado al primer dispositivo. Repetirá el proceso

incrementando en una unidad cada vez el campo TTL.
El puerto de destino de estos datagramas es un puerto superior al 30.000 con poca

probabilidad que se utilice, por lo tanto cuando llega el datagrama al destino, éste le
contestará a la máquina origen con un mensaje de puerto no disponible. De esta
forma la máquina origen sabe que el datagrama ha llegado al destino.
netstat
Con este comando se puede comprobar que puertos están activos, es decir
escuchando, y cual es el protocolo que utilizan. También permite ver la tabla de
enrutamiento del equipo.
nslookup
Los servidores DNS traducen los nombres de dominios en direcciones IP, y viceversa.
Utilizando este comando se puede comprobar que nuestro servidor DNS resuelve las
direcciones correctamente. Para utilizarlo basta escribir el Nslookup seguido por el
nombre del dominio.
Los servidores DNS almacenan la información en Registros de Recursos. Estos

Registros de Recursos pueden ser de varios tipos (A, CNAME, HINFO, MX, NS,
PTR, SOA).
arp
Mediante este comando se pueden manipular y visualizar las tablas de

correspondencias entre direcciones lógicas (asociadas a la capa de red) y físicas de los
equipos (asociadas a la capa de enlace). Para visualizar la tabla se utiliza la opción –
a, para borrar una entrada –d, para añadir una entrada –s (observar que las
introducidas manualmente tienen el flan M de permanente).
route
Se utiliza para añadir (route add) o borrar (route del) entradas en la tabla de
enrutamiento.
tcpdump
Sirve para monitorizar el tráfico que circula por una red, al estilo de wireshark.
23
Cuestiones
1.- Realiza un ping a; localhost, a la puerta de enlace, a yahoo, y a google. Rellena la

siguiente tabla, y analiza el por qué de los resultados. ¿Qué significa TTL?
Dirección TTL Tiempo
2.- Realiza un traceroute hasta una dirección cualquiera de internet. ¿Cuántos

dispositivos intermedios hay? Realiza un ping a dicha dirección con la opción –i y el
número de dispositivos, es decir: ping –i nº_saltos. ¿Se ha realizado corretamente?.
Vuelve a realizar el mismo ping pero decrementando en una unidad el número de
dispositivos. ¿Se ha realizado correctamente?.
3.- Instala la aplicación wireshark en dos máquinas, y haz un traceroute entre ambas.
Captura los paquetes de emisión y recepción de los datagramas en cada una de ellas.
Analiza el TTL de cada uno de los paquetes, y los puertos de origen y destino.
4.- Ejecutar en una terminal el comando netstat –n y compara los resultados con netstat
–a. Para ver el estado de los interfaces escribe netstat –i. ¿Cuál es el tamaño máximo
de la unidad mínima de información para cada interfaz?
5.- Para obtener la tabla de enrutamiento escribe netstat –r. Compara los resultados con
netstat –rn.
6.- Mediante el comando nslookup averigua la dirección IP de un dominio que sea muy
conocido. ¿Cuántas direcciones IP tiene? ¿Cómo lo explicas? Busca en Internet
diferentes dominios que tengan la misma dirección IP.
7.- Ejecuta nslookup sin argumentos, y posteriormente set type=NS. Haz una consulta
al servidor acerca de un nombre de dominio, por ejemplo eui.upm.es. Comenta los
resultados.
8.- Para obtener una lista de todos los equipos que pertenecen a un dominio escribe ls
seguido del nombre del dominio. Para saber quien es el servidor encargado de resolver
un dominio escribe set type=SOA, seguido del nombre del dominio. Explica qué
significado tiene cada uno de los campos que se muestran.
9.- Cambia el modo de consulta a CNAME. Escribe www para preguntar qué máquinas
actúan como servidores web. Averigua qué máquinas del dominio en el que te
encuentras ofrecen los servicios más habituales (ftp, news, …).
10.- Para averiguar cuantas máquinas actúan como servidores de correo cambia el modo
de consulta a MX, e introduce el nombre del dominio, por ejemplo unizar.es.
11.- ¿Qué se obtiene al poner el tipo como any?
24
Analizadores de tráfico
PRÁCTICA Nº 8
Analizador de protocolos: Wireshark
Los analizadores de protocolos, también llamados sniffers, son una herramienta

fundamental para el administrador de redes, ya que permiten monitorizar el tráfico que
circula por ellas, protocolos utilizados, etc. En el mercado existe una amplia oferta de
este tipo de aplicaciones. En esta práctica vamos a estudiar Wireshark porque es
gratuita, y muy utilizada en los entornos Windows, Macintosh, y Linux. Puede
descargarse desde http://www.wireshark.org.
Durante el proceso de instalación se modificarán los drivers de la tarjeta de red, y se

instalarán unos denominados WinPcap. Una vez se ha ejecutado se mostrará una
ventana como la de la figura 1.
Figura 8.1
En primer lugar, hay que plantearse cuantas tarjetas de red (también llamadas
interfaces) tiene nuestro equipo, y cual de ellas es la que queremos seleccionar para
monitorizar su tráfico. Esto se debe seleccionar en el menú Capture / Interfaces (figura
2). Se puede obtener información adicional de la interfaz de red pulsando sobre details
(figura 3).
Figura 8.2 Figura 8.3
Antes de empezar se puede cambiar

algunas características como que grabe a
fichero la captura, la forma de resolución
de nombres, la forma de mostrar la
información, imponer alguna condición
para que pare de capturar, etc. (figura 4).
Figura 8.4
25
Sin cambiar nada pulsar sobre Start. En la ventana que aparece se irán mostrando todos
los paquetes que captura la aplicación. Pasado un tiempo pulsar sobre Stop (figura 5).
Figura 8.5
En la figura 5 se pueden observar 3 zonas diferenciadas:
• En la parte superior se listan todos los paquetes con una breve descripción,
pulsando sobre un paquete (en la figura está pulsado el paquete número 38) se
actualizan las dos ventanas inferiores.
• La ventana intermedia indica los protocolos utilizados en los diferentes niveles
de la arquitectura del paquete seleccionado, y sus valores.
• La ventana inferior muestra el contenido del paquete seleccionado en formato
hexadecimal y en ASCII.
Cuando se realiza el análisis del tráfico de una red es habitual encontrarse con multitud
de paquetes que contienen información que no nos interesa. Se puede realizar un
filtrado con anterioridad (sólo se capturarán los paquetes que cumplan unas
condiciones) o un filtrado con posterioridad (estableciendo un filtro de pantalla).
Los filtros se escriben siempre en minúsculas, y consisten en una o varias primitivas

unidas mediante operadores lógicos (and, or, not). Ejemplos:
host 192.168.2.2
net 192.168.2
port 21
src or dst net 192.168.2
dst 192.168.2.2 and (udp or icmp)
26
1.- Pon en modo captura la aplicación, y escribe en la consola de tu máquina ping

www.google.es. ¿Cuántos paquetes has capturado? ¿Qué protocolos han utilizado los
paquetes capturados?
2.- Localiza el primer paquete que utiliza protocolo ICMP. ¿Qué datos contiene la
dirección IP origen, dirección IP destino, protocolo, tamaño, TTL?
3.- En el paquete IP es encapsulado los datos del protocolo utilizado en la capa de

transporte: TCP, UDP, etc. Rellena la siguiente tabla con el valor del identificador del
protocolo.
Protocolo Identificador
TCP
UDP
ICMP
RTP
4.- Pon a capturar el tráfico, y mientras tanto utiliza diferentes programas de

comunicaciones, por ejemplo un navegador, telnet, ssh, ftp, etc. Rellena la siguiente
tabla según el campo Protocol (UDP o TCP) perteneciente a Internet Protocol.
Protocolo Identificador
DNS
HTTP
HTTPS
FTP
BitTorrent
5.- En un paquete que utiliza el protocolo ICMP ¿Cual es el campo que identifica que es
una solicitud (request)? ¿Y cual es el valor de este campo para una respuesta (reply)?
6.- Escribe un filtro que permita capturar únicamente los paquetes generados al realizar
un ping de ida (request).
7.- Estudia la diferencia de los diferentes campos entre un paquete de solicitud de eco y
su respuesta. ¿Qué campo es el que indica si se trata de una solicitud o de una
respuesta?
8.- ¿Qué significa “poner la tarjeta en modo promiscuo” ?
9.- ¿En qué modo hay que poner una tarjeta WIFI para monitorizar todo el tráfico que
circula por la red? ¿Qué es el adaptador de bucle local? ¿Para qué sirve?
10.- Conéctate a una página Web utilizando un navegador y captura el tráfico que se
genera. Sitúate en un paquete cualquiera HTTP y con el botón derecho selecciona
Follow HTTP Stream. ¿Qué utilidad tiene la ventana que se muestra?
27
PRÁCTICA Nº 9
Escáner de puertos: NMAP
El escaneo de puertos permite auditar máquinas y redes para saber qué puertos están
abiertos. NMAP (Network Mapper) es una herramienta libre para la auditoría
disponible para varias plataformas. La página web que da soporte a esta herramienta es:
http://nmap.org/. Se puede averiguar qué ordenadores están encendidos en una red, los
puertos abiertos y qué servicios ofrecen, el sistema operativo que se está ejecutando en
la máquina, si tiene cortafuegos, etc.
Nmap usa un proceso de escaneado de tres pasos:
1) Nmap envía un ping a la máquina objetivo. El usuario puede elegir entre una
solicitud de Eco o de alguna técnica propia de Nmap.
2) Se averigua el nombre del equipo a partir de su dirección IP.
3) Nmap escanea los puertos de la máquina utilizando la técnica seleccionada.
Se pueden utilizar unas quince técnicas distintas de sondeos de puertos: Tcp connect,
TCP SYN, TCP FIN, ping, UDP scan, etc. Pasemos a describir algunas de ellas:
-sS: Sondeo TCP SYN es el utilizado por omisión. Se envía un paquete SYN, como si se
fuera a abrir una conexión real y después se espera una respuesta. Si se recibe un
paquete SYN/ACK esto indica que el puerto está en escucha (abierto), mientras que si
se recibe un RST (reset) indica que no hay nada escuchando en el puerto. Si no se recibe
ninguna respuesta después de realizar algunas retransmisiones entonces el puerto se
marca como filtrado.
-sT: sondeo TCP connect. Ésta es la misma llamada del sistema de alto nivel que la
mayoría de las aplicaciones de red. Envío sin datos de una cabecera UDP para cada
puerto objetivo.
sN; -sF; -sX: sondeos TCP Null, FIN, y Xmas. Estos tres tipos de sondeos se diferencian
en las banderas TCP que se fijan en los paquetes sonda
-sA: sondeo TCP ACK. Se utiliza para mapear reglas de cortafuegos
-sW: sondeo de ventana TCP. Algunos sistemas fijan un tamaño de ventana positivo
para puertos abiertos mientras que se utiliza una ventana de tamaño cero para los
cerrados.
-sM: sondeo TCP Maimon. Algunos sistemas derivados de BSD descartan un paquete
determinado si el puerto está abierto
-sI : zombi. Permite hacer un sondeo de puertos TCP a ciegas.
-sO: Sondeo de protocolo IP. Permite determinar qué protocolos (TCP, ICMP, IGMP,
etc.) soportan los sistemas objetivo
28
NMAP distingue 4 estados para los puertos:

.- Abierto: La comunicación es posible sin restricciones.
.- Filtrado: El puerto está siendo bloqueado por un cortafuegos.
.- Sin filtrar: La comunicación es posible pero es necesario utilizar otras técnicas.
.- Cerrado: El puerto esta perfectamente bloqueado por un cortafuegos o bien no hay
ningún servicio que se encuentre a la escucha en dicho puerto.
1.- Instalar nmap en cualquier plataforma, y su interfaz gráfica Zenmap (figura 1), o
NMAPFE, o knmap (figura 2).
Figura 9.2
Figura 9.1
2.- Ejecutar Zenmap, introducir la dirección IP de la máquina a analizar, y seleccionar el

tipo de escaner a realizar. ¿Qué puertos tiene abiertos la máquina estudiada? ¿Qué
sistema operativo está corriendo? Puedes utilizar la URL de tu centro educativo o de tu
empresa.
3.- Utiliza la consola para introducir las siguientes órdenes:
nmap -v -A www.google.es
nmap -v -sP 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -P0 -p 80
4.- Explica el significado de las órdenes introducidas en el apartado anterior, y del

resultado obtenido.
5.- Para escanear un determinado rango de puertos en una máquina (figura 3):
nmap -p 1-80 dirección_IP
Figura 9.3
29
6.- Para saber qué ordenadores de una red tienen un determinado puerto abierto se
averigua de la siguiente manera:
nmap -p 139 192.168.1.0-255
Comprueba en tu red local qué ordenadores tienen los puertos NetBios abiertos.
7.- Si queremos averiguar las versiones de los servicios se debe usar la opción –sV:
nmap -sV 192.168.1.1
8.- Con la opción –O se puede averiguar qué sistema operativo tiene un host.
nmap -O 192.168.1.1
9.- Nmap también dispone de una interfaz mediante página web denominada phpNmap.
Instalala y compárala con la interfaz gráfica que hayas utilizado.
10.- En varias películas se han incluido imágenes en los que hackers utilizaban la
aplicación nmap para atacar sistemas informáticos. ¿Sabrías decir alguna?
30
PRÁCTICA Nº 10
Utilidades para la monitorización
de redes inalámbricas: NetStumbler y CommView
NetStumbler monitoriza las redes inalámbricas cercanas proporcionando gran

cantidad de información como nombre de la red (SSID), canal en el que transmiten,
tipo de encriptación, dirección MAC del punto de acceso, relación señal ruido lo que
permite hacer un estudio de la cobertura, etc. Además en el caso de disponer de un
GPS permite situar geográficamente la localización de los puntos de acceso (APs).
En la figura 1 se muestra un ejemplo con datos ficticios de redes cercanas. Se puede

observar a la izquierda de la dirección MAC un círculo de color indicando:
* Gris: No hay señal.

* Rojo: Señal baja.
* Naranja: Señal regular.
* Amarillo: Señal buena.
* Verde claro: Muy buena señal.
* Verde oscuro: Excelente señal
Figura 10.1
SNR significa relación entre la señal y el ruido. En toda comunicación hay una
componente añadida que distorsiona la señal original cuyo origen puede provenir por
multitud de diferentes causas (ruido térmico, motores, bobinas, campos magnéticos y
eléctricos, etc). Un valor alto de SNR indica que la calidad de la señal es buena frente
al ruido de fondo, y permite establecer una conexión sin problemas. Se mide en
decibelios.
En la parte izquierda de la ventana se puede ordenar la información de los puntos de

acceso según el canal de emisión, nombre del SSID, y filtros (figuras 2, 3, y 4).
31
Figura 10.2
Figura 10.4
Figura 10.3
CommView es un programa para Windows que permite la captura de tráfico WIFI. Para
conseguirlo utiliza los drivers Pcap (libpcap para Linux, y WinPcap para Windows)
para poner la tarjeta inalámbrica en modo monitor. En el menú archivo se puede
explorar la red pulsando sobre Iniciar exploración (figura 5), pero para capturar el
tráfico es necesario especificar un número de canal.
Figura 10.5
Una vez seleccionado el número de canal, y pulsado sobre capturar se mostrarán todos
los paquetes con indicación de la fuente emisora y del destinatario (figura 6). Existen
tres tipos de paqutes: de datos, de control, y de administración (figura 7).
Figura 10.7
Figura 10.6
32
Pulsando en la pestaña canales se muestra información ordenada por número de canal

de la cantidad de paquetes de datos, administración, y de control, del nivel de señal
mínimo, medio, y máximo de ese canal, así como de la velocidad (figura 8). En la
pestaña nodos se muestra información de cada punto de acceso como tipo de
encriptación utilizada, nivel de la señal, paquetes transmitidos, etc. (figura 9).
Figura 10.8
Figura 10.9
En el menú de estadísticas se
puede realizar diferentes
análisis, por ejemplo se puede
saber una máquina con quien ha
establecido comunicación
(figura 10).
Figura 10.10
1.- En el caso de disponer de un ordenador portatil realiza un plano con la localización

de los puntos de acceso inalámbricos de un lugar, indicando los niveles de señal en
diferentes puntos.
2.- ¿Qué valor de SNR en dB crees suficiente para establecer comunicación con un
punto de acceso?
3.- Realiza un listado con todos los puntos de acceso existentes y el tipo de encriptación
que utilizan de un determinado lugar.
4.- Realiza una tabla con las conexiones existentes entre los diferentes equipos de una
red inalámbrica.
5.- Establece un filtro en la aplicación CommView para capturar el tráfico con origen o
destino a una determinada máquina.
33
PRÁCTICA Nº 11
Tcpdump y ngrep.
Tcpdump es una herramienta que permite capturar el tráfico que circula por la red. Se
puede descargar e instalar con el gestor de paquetes o mediante el comando de consola
apt-get install. Disponible en http://www.tcpdump.org.
Las opciones que pueden acompañar al comando tcpdump son:
-i: Especifica la interfaz.

host nombre_ maquina: Captura el tráfico de la máquina/s especificada/s.
src host nombre_maquina: Captura el tráfico que tiene como origen el host especificado.
dst host nombre_maquina: Captura el tráfico con destino el host especificado.
tcp: Captura el tráfico del protocolo tcp (de la misma forma con otros protocolos).
port nº: Captura el tráfico del puerto nº.
-w volcado_dichero: Guarda el tráfico capturado en un fichero.
-r volcado_fichero: Lee los paquetes capturados que fueron grabados en el fichero.
Tcpdump es una herramienta que no tiene interfaz gráfica, sin embargo los ficheros que
genera son aprovechados por otras aplicaciones como Wireshark, aircrack, etc. Prueba
a realizar una captura con tcpdump y abrirla posterioremente con uno de estos
programas.
Ngrep es una herramienta similar a tcpdump pero con la característica de poder buscar
cadenas de texto en los paquetes capturados como lo hace grep. Incluso tiene las
mismas opciones. En el caso de querer mostrar todos los paquetes que circulan con una
palabra en particular hay que escribir:
#ngrep –qpd eth0 –i palabra
y si se quiere mostrar las nueve líneas posteriores escritas a la ocurrencia de esta

palabra:
#ngrep –qpd eth0 –A9 –i palabra
¿Eres capaz de mostrar el contenido de los mensajes de correo electrónico que circulan
por la red?
¿Y mostrar el nombre de los navegadores web que son utilizados en la red en que te
encuentras?
34
Simulación de dispositivos
Introducción al Packet Tracer

Para realizar las siguientes prácticas se va a necesitar la aplicación de Cisco denominada
Packet Tracer, la cual es un simulador de diferentes dispositivos como hubs, switchs,
routers, etc. Recordemos que Cisco es el principal fabricante de dispositivos de
comunicaciones, y sus certificaciones CCNA, y CCNP son ampliamente demandadas
por el profesional de telecomunicaciones.
Una vez instalado el programa en una plataforma

Windows o Linux y ejecutado se mostrará una
ventana similar a la figura 1. En ella se pueden
observar diferentes partes:
* Pestaña lógica /física (figura 2): En la pestaña

lógica es donde siempre se van a realizar las
simulaciones. La física permite realizar un plano
de las instalaciones, e indicar en él donde se
encuentran los dispositivos.
* Pestaña tiempo real /simulación (figura 3): Al Figura 1

construir los diseños los realizaremos con tiempo
real activado para que de esta forma se muestren unos puntos rojos o verdes indicando
si existe conectividad entre los dispositivos. En el caso de querer observar paso a paso
todo lo que sucede en la red diseñada se pasará a modo simulación.
* Dispositivos (figura 4): Para añadir un elemento al diseño (hub, switch, routers,
cableado, puntos de acceso, ordenadores, redes WAN, …) se debe hacer clic sobre el
tipo, seleccionarlo entre los ofertados en el lado derecho, y posteriormente pulsar sobre
el lugar deseado en la ventana.
* Paleta de herramientas (figura 5): Permiten seleccionar, mover, añadir notas, borrar, y
con la lupa observar las diversas tablas de los dispositivos.
* Ping (figura 6): Para comprobar la conectividad entre dos equipos.
* PDU compleja (figura 7): Para crear un paquete con los puertos de origen y destino
deseados.
Figura 6
Figura 2 Figura 3
Figura 4
Figura 7
Figura 5
35
PRÁCTICA Nº 12
Conectar dos PCS directamente
1. Indica todos los dispositivos, placas y puertos que pueden tener dos PCS para
poder intercambiar datos.
2. Si conectamos dos ordenadores entre sí directamente, utilizando la tarjeta de red

Ethernet ¿Cómo es el cable trenzado utilizado (cruzado / no cruzado) ? ¿De qué
categoría? ¿Cómo se llaman los conectores? ¿A qué velocidad será la transmisión?
3. ¿Cuál es la distancia máxima a la que pueden estar dos PCS conectados con
cable de categoría 5 sin repetidores?
4. Rellena la siguiente tabla:
Clase IP inicial IP final

A
B
C
5. Dentro de los rangos anteriores existen unas IPs que se pueden usar libremente
para uso privado. ¿Cuáles son?
Clase IP inicial privada IP final privada

A
B
C
6. Conecta dos ordenadores tal y como se muestra la figura 1.
Figura 12.1
7. Accede a la ventana de configuración IP de la interfaz Fastethernet de cada

ordenador (figura 2), y pon una de clase C de tipo privado. ¿Qué I.P. has asignado a
cada PC? ¿Cuál es la máscara? ¿Por qué es esa?
36
Rellena la siguiente tabla con los datos que has

decidido.
IP Máscara
PC 0
PC 1
Figura 12.2
8. ¿Es necesario rellenar el campo Gateway o puerta de enlace? ¿Por qué si/no?
9. ¿Qué es el programa ping? ¿Para qué sirve?
10. Pulsa sobre la pestaña simulación para acceder a dicho modo, y se abrirá una
ventana en la que se visualizará el tráfico de datos generado en la red (figura 3).
Figura 12.3
11. Haz clic sobre el sobre que simboliza a una PDU sencilla, y posteriormente
sobre los dos PCs. Con esto estás realizando un ping de un ordenador a otro.
12. Pulsa sobre el botón de play (figura 4). ¿Ha sido satisfactorio el ping?.
Explica lo que sucede.
Figura 12.4
37
PRÁCTICA Nº 13
Comparación entre HUB y SWITCH
1. Añade un Hub genérico y 3 PCs. Únelos al hub. ¿Cómo es el cable usado?
2. Añade un Switch 2950-24 y 3 PCs. Únelos al switch. ¿Cómo es el cable usado?
3. Pon las siguientes direcciones I.P. a los PCs:
PC0: 192.168.1.1
HUB PC1: 192.168.1.2
PC2: 192.168.1.3
PC3: 192.168.2.1
SWITCH PC4: 192.168.2.2
PC5: 192.168.2.3
¿De qué color tienes los puntos de cada conexión? Figura 13.1
4. Con la lupa pulsa sobre el switch y sobre el hub. Explica por qué se muestra (o no se
muestra) una ventana MAC, y qué información contiene. ¿Tiene datos (por qué si/no) ?
5. Ve al modo simulación. En la ventana de filtrado de paquetes, activa sólo ICMP y

ARP. Haz un ping del PC0 al PC1. Atento a la simulación. Después haz un ping del
PC1 al PC0. Atento a la simulación. ¿Hay algún cambio entre las simulaciones?
6. Haz un ping del PC3 al PC4. Pon especial atención en cómo se procesan la ICMP y
ARP. Haz ping del PC4 al PC3. ¿Hay alguna diferencia entre los dos pings?
7. Repite el paso 4. Explica las diferencias con lo visto anteriormente.
8. ¿Hay alguna diferencia entre el Hub y el Switch en el procesado de paquetes?
9. Pon el programa en modo simulación, y prepara 4 pings de la

siguiente manera: de PC0 a PC1, de PC2 a PC0, de PC3 a PC4, de
PC5 a PC3. Una vez que tienes todos preparados pulsa sobre Play.
¿Qué sucede en el Hub? ¿Y en el switch?
10. ¿A qué se llama dominio de colisión? ¿Reduce el hub el dominio

de colisión? ¿Y el switch?
Figura 13.2
38
PRÁCTICA Nº 14
Configuración de parámetros
1. Añade un Switch 2950-24 y 4 PCs. Únelos al switch. ¿Cómo es el cable usado?
2. Pon las siguientes direcciones I.P. y máscaras a los PCs:
PC1: 172.16.128.1
I.P. PC2: 172.16.128.2 Máscara: 255.255.192.0
PC3: 172.16.128.3
PC4: 172.16.128.4
¿De qué color tienes los puntos de cada conexión?
3. Cambia el ancho de banda del PC1 a 10 Mbps y a Fullduplex en vez de auto.

¿Qué pasa con la conexión?. Explica por qué la conexión no trabaja si los
parámetros no coinciden.
4. Si un dispositivo tiene los parámetros en automático ¿deben tenerlo

obligatoriamente el resto también?.
Figura 14.1. Switch con cuatro PCs
39
PRÁCTICA Nº 15
Protocolo ARP
1. ¿Qué significa ARP? ¿Para que sirve? ¿Cuando es utilizado este protocolo?
2. Realizar la siguiente conexión. Pon las IPs que creas conveniente a los dispositivos.
Figura 15.1
3.- Con la lupa puedes observar las tablas ARP de los dispositivos. ¿Qué datos tienen?
4.- En el panel de simulación selecciona únicamente los paquetes ARP e ICMP. Haz un
ping desde PC0 hasta PC1. Rellena la siguiente tabla con todos los paquetes que son
generados:
origen destino tipo explicación
5.- Con la lupa observa las tablas ARP de PC0 y PC1. ¿Qué datos tienen ahora?
6.- ¿Por qué el paquete ARP es de broadcast?
7.- Si volvemos a hacer un ping ahora desde PC0 hasta PC1, ¿En qué se diferenciaría la
simulación con lo obtenido en el punto 4?
8.- ¿Qué dispositivos reciben el paquete broadcast y cuales no? ¿Por qué?
9.- Abre una consola de MS-DOS en tu ordenador. Al ejecutar "arp -a" se nos mostrará
las entradas que tenga. Si tienes alguna ejecuta "arp -d" para borrarlas. Para
comprobar que esta vacía ejecuta "arp - a ". Haz un ping a Google. ¿Cuantas entradas
tendremos ahora en la tabla arp? ¿A qué dispositivo/s pertenece/n esa/s M.A.C.?
10.- Los datos de la tabla arp de nuestro ordenador se introducen y borran de forma
dinámica. ¿Cuanto tiempo permanecen estos datos aproximadamente?
40
PRÁCTICA Nº 16
Conexión de dos ordenadores a través de un router
1. Realizar la conexión de la figura 1. Para ello quizás tendrás que introducir una
interface FastEthernet al router. Acuérdate de activar las interfaces (Port Status a ON).
¿Cómo son los cables utilizados?
2. ¿Cuántas redes distintas pueden conectarse a un

router que tiene 2 puertos? ¿Y si tuviera n puertos?
3. ¿Cuál es el rango de clase C que el NIC ha

reservado para usos privados? Configurar las I.P.
del router. (Deben pertenecer a redes distintas y de
Clase C privada). ¿Cuáles has puesto?
IP GW
PC0
PC1
IP 1 IP 2 Conexión de dos PC a un router.

Router Figura 16.1
4. Configurar las I.P. de los PCs. ¿Cuál es la máscara de red? El campo pasarela o
puerta de enlace (gateway) ¿lo has dejado vacío? ¿Por qué si/no?
5. Haz un ping del PC0 al Router y explica lo que sucede.
6. Haz un ping del PC1 al PC0 y explica lo que sucede.
7. Haz doble clic sobre el paquete

que se ha generado para acceder a
la ventana "PDU Information".
Pulsa sobre la pestaña "Inbound
PDU Details" (ver figura 2).
8. De todos los bytes del paquete

que ha sido enviado ¿Cuantos son
los que constituyen los datos
ICMP?
9. Para poder viajar a través de la

red el paquete ping se ha
encapsulado dentro de un paquete
IP, y éste a su vez dentro de una
trama Ethernet. ¿Cuantos bytes
tiene el paquete completo?
Figura 16.2
41
PRÁCTICA Nº 17
Conexión de dos redes mediante 1 router
SWITCH 0 SWITCH 1
PC0 PC1 PC3 PC4

10.0.0.2 10.0.0.3 192.168.1.3 192.168.1.4
GW: 10.0.0.35 GW: 10.0.0.35 GW:192.168.1.37 GW:192.168.1.37
PC2 PC5
10.0.0.4 192.168.1.5
GW: 10.0.0.35 GW:192.168.1.37
1. Realizar el conexionado de la figura, configurar los PCs con las IPs indicadas. ¿De
qué tipo son?. ¿Qué significa el campo gateway?
2. Añade un router 2620XM, añádele un módulo NM-1FETX, conéctalo a los switches.

¿Qué tipo de cable trenzado has usado?
3. Cambia el nombre del router a uno que tú decidas . Configura las I.P. del router
adecuadamente. ¿Cuáles y dónde las has puesto?
4. Haz un ping del PC0 al PC4. Explica lo que sucede.
5. Haz un ping del PC4 al PC0. Explica lo que sucede.
6. En la pestaña “desktop” de uno de los PCs, pulsa sobre “command prompt” y escribe
“ping ........” a la dirección I.P. de otro PC. ¿Funciona?
7. ¿Por qué ha sido importante ver la configuración de los PCs?
Figura. 17.1 Conexión de los switches al router.

42
PRÁCTICA Nº 18
Conexión de tres redes mediante 2 routers
1. Realiza el esquema de la figura 1.
La red entre los routers será de tipo B,
la red del hub será de tipo C, y la red
del switch de tipo A.
Pon las IPs, máscaras y gateways con

direcciones privadas. Rellena la
siguiente tabla con las direcciones que
has puesto. Figura 18.1
Dispositivo IP Máscara Gateway

PC0
PC1
PC2
PC3
PC4
PC5
Router 0 ______________________ ______________________
Router 1 ______________________ ______________________
2. ¿Cómo son los cables de conexión que has utilizado (cruzados o sin cruzar)?
3. ¿Qué redes conoce el router 0? Si al router 0 le llega un paquete destinado a la red

del switch ¿Qué debe hacer?
4. Rellena la siguiente tabla de enrutamiento estático de cada router.
Configuración de las tablas de encaminamiento

DESTINO MÁSCARA SGTE. PUERTO SALTOS
ROUTER 0
ROUTER 1
5. Introduce los datos de la tabla anterior en la pestaña de configuración del

enrutamiento estático de los routers.
6. Haz un ping del PC0 al PC5. Explica detalladamente lo que sucede.
7. Haz un ping del PC5 al PC0. Explica detalladamente lo que sucede.
43
8. Localiza la primera ocurrencia de Router0 en la ventana de eventos. Haz doble clic

en la PDU coloreada. Compara la información de entrada con la de salida. ¿Qué le
sucede al campo TTL? ¿Para qué sirve este campo?
9. ¿Dentro de qué protocolo esta encapsulado el protocolo ICMP?
10. ¿Cual es el valor del campo de tipo de protocolo que determina que los datos son un
mensaje ICMP?
11. ¿Cual es el valor que identifica que se trata de un ICMP request? ¿Y de un ICMP
reply? (Tienes la solución viendo el campo tipo de ICMP).
12. Indica todos los posibles valores que puede tener el campo tipo y su significado.
44
PRÁCTICA Nº 19
Interconexión de redes locales (1)
216.89.3.1 198.64.126.1
SWITCH0 ROUTER0 SWITCH1
PC0 PC2
216.89.3.2 216.89.3.4 PC6 PC8
198.64.126.2 198.64.126.4
PC1
216.89.3.3 PC7
198.64.126.3
198.64.126.21
198.64.126.20
ROUTER1 ROUTER2
188.119.10.1 23.65.211.79
SWITCH2
PC3 PC5 INTERNET Simulamos Internet

188.119.10.3 188.119.10.5 23.65.211.100 con un PC
PC4
188.119.10.4
1.- Configurar los PCs y routers con las IPs indicadas. Internet puedes simularla con un
router o un PC.
2.- Utiliza la herramienta lupa, haz clic sobre un router y mira las “tablas de
enrutamiento”. ¿Están vacías? Si o no, y ¿por qué?
3.- Rellena las siguientes tablas de enrutamiento.
Tabla de encaminamiento:
ROUTER 0
0.0.0.0
45
ROUTER 1
0.0.0.0
ROUTER 2
0.0.0.0
4.- En los routers haz clic en la pestaña enrutamiento estático e introduce la tabla de
encaminamiento para cada uno.
5.- Repite la segunda pregunta.
6.- Haz ping del PC0 al PC Internet. ¿Funciona? Explica la simulación.
7.- Haz ping del PC0 al PC4. ¿Funciona?. Explica la simulación.
8.- Elimina el enrutamiento estático borrando cada una de las líneas introducidas.
9:- En cada router activa el encaminamiento dinámico RIP. Esto se realiza añadiendo
en la pestaña RIP la dirección de todas las redes próximas.
10.- Utiliza la herramienta lupa, haz clic sobre un router y mira las “tablas de
encaminamiento”. ¿Están vacías? Si o no, y ¿por qué?
12.- ¿Qué significa las siglas R.I.P.? ¿Para qué se utiliza? ¿En qué se basa el
funcionamiento de este protocolo?
46
PRÁCTICA Nº 20
210.0.64.1 218.46.169.5
SWITCH0 ROUTER C SWITCH1
PC0 PC2 PC3 PC5

210.0.64.2 210.0.64.4 218.46.169.2 218.46.169.4
PC1 PC4
210.0.64.3 218.46.169.3
218.46.169.1
223.255.15.1
ROUTER B
SWITCH3
194.118.240.1
SWITCH2 PC9 PC11

223.255.15.2 223.255.15.4
PC6 PC8 PC10

223.255.15.5
194.118.240.2 194.118.240.4 223.255.15.3
ROUTER A
PC7 23.210.86.19
194.118.240.3 Internet
23.210.86.100
1.- Configurar los PCs y routers con las IPs indicadas.
2.- Identifica los nombres de las redes, de que tipo son (A/B/C/D/E), y máscara.
IP de la red Tipo Máscara
3.- Rellena las tablas de encaminamiento siguiente:
ROUTER A
0.0.0.0
47
ROUTER B
0.0.0.0
ROUTER C
0.0.0.0
4.- En los routers haz clic en la RIP estática e introduce la tabla de encaminamiento para
cada uno.
6.- Haz ping del PC0 al PC4. ¿Funciona? Explica la simulación.
7.- Elimina todas las entradas introducidas del enrutamiento estático, y activa el
enrutamiento RIP dinámico. ¿Qué redes hay que añadir para cada router?
8:- Repite la quinta pregunta. ¿Funcionan los pings?
9.- Activa el protocolo RIP en la ventana de filtrado de paquetes. Repite la pregunta

cinco.
48
Protocolos de enrutamiento dinámico

Los protocolos de enrutamiento permiten descubrir de forma dinámica la estructura de
la red, permitiendo a las redes adaptarse a los cambios, de tal modo que si un router
falla o se añade se crean nuevos caminos hacia las redes destino. Existen varios
protocolos de enrutamiento dinámico: STP, RIP, OSPF, EGP, BGP, IGRP, etc.
Cuando una red destino es alcanzable por varios caminos se debe elegir uno de ellos
para mandar el tráfico. A cada camino se le asigna un número denominado métrica, el
cual es calculado de forma diferente según el algoritmo de enrutamiento utilizado. Los
factores utilizados para calcular esta métrica son: ancho de banda, retardo, carga,
fiabilidad, cuenta de saltos, retraso en el enlace, coste del uso del enlace.
Existen tres categorías de algoritmos de enrutamiento: de vector distancia, de estado del

enlace, e híbrido.
• En los vector distancia se pasan las tablas de enrutamiento cada cierto tiempo los
routers unos a otros, informando de los cambios en la topología. De este modo
cada router actualiza su tabla de enrutamiento en función de la topología de la
red. Algoritmos que pertenecen a esta categoría: RIP (Protocolo de información
de enrutamiento), IGRP (Protocolo de enrutamiento de gateway interior).
• En el enrutamiento por estado del enlace, también denominados Dijkstras,

mantienen información de toda la topología de la red. Cada router construye un
árbol con todas las posibles rutas al resto de destinos, con él como raíz, y de ahí
calcula su tablas de enrutamiento. Por ello los routers que utilizan éste método
necesitan más memoria y capacidad de procesamiento que los routers que
utilizan los algoritmos de vector distancia. El paquete que envía un router a
otro conteniendo información acerca de las modificaciones en la topología se
denomina LSA. Por ejemplo: OSPF (Primero la ruta libre más corta).
• Los híbridos combinan aspectos del enrutamiento por vector distancia como del
estado del enlace. Calcula las tablas de enrutamiento según los vector distancia
pero sólo envían notificaciones a sus vecinos en el caso de modificaciones en la
topología. Utilizan menos ancho de banda y recursos del router. Como
ejemplo de éste método tenemos EIGRP (Protocolo de enrutamiento de gateway
interior mejorado).
RIP: Utiliza la cuenta de saltos para la selección de la ruta, y si este valor es mayor
que 15 el paquete se descarta. Las actualizaciones se mandan cada 30 segundos
mediante mensajes UDP al puerto 520. Cada mensaje de actualización que manda un
router a sus vecinos tiene una lista de hasta 25 redes indicando las distancias hacia ellas.
Si un router no tiene noticias de sus vecinos en 180 segundos los da por desaparecidos.
En la versión 1 no soporta subredes por lo que ya está en desuso. En la versión 2

soporta subredes, CIDR, y VLSM. La versión para Ipv6 se denomina RIPng.
49
IGRP: Envía las actualizaciones de enrutamiento a intervalos de 90 segundos, siendo

capaz de mantener topologías complejas con diferentes características (anchos de banda,
retardos, etc.), y preparado para manejar redes grandes.
OSPF: Definido en el RFC 1583. Algoritmo de estado de enlaces que utiliza un flujo
de información y un algoritmo Dijkstra de camino de coste mínimo. Cada router
construye un mapa topológico del sistema autónomo completo y se crea un árbol de
caminos a todas las redes con coste mínimo. OSPF no establece como fijar el los pesos
de los enlaces.
Un router envía notificaciones a todos los routers del sistema autónomo cuando se da
cuenta que ha habido modificaciones en la topología, o cada treinta minutos. No usa ni
TCP ni UDP, sino que usa IP directamente (protocolo 89).
El protocolo OSPF puede comprobar que los enlaces sean operacionales mediante un
mensaje HELLO, y un router puede obtener la base de datos completa del estado de la
red de un router vecino.
Un router que utiliza OSPF va avanzando en los siguientes siete estados hasta estar
operativo: desactivado, inicialización, estado de dos-vías, exstart, de intercambio,
loading, y de adyacencia. Una red OSPF se divide en áreas: backbone (forma el
nucleo de la red), stub (no recibe rutas externas), y área not-so-stubby (puede importar
rutas externas de sistemas autónomos).
EIGRP: Calcula la mejor ruta a cada red y ofrece rutas alternativas en el caso de fallos.
Mantiene tres tablas: tabla de vecinos, tabla de topología, y tabla de encaminamiento.
No utiliza ni TCP ni UDP, sino que utiliza RTP (Protocolo de Transporte Confiable)
para poder realizar envíos multicast o unicast según interese.
BGP: Protocolo de enrutamiento exterior utilizado para comunicarse entre sí por los
ISP, o entre una compañía y un ISP, es decir un router sólo se comunica con los
directamente conectados permitiendo el rutado entre sistemas autónomos. Es un
protocolo de vector de rutas.
Cada sistema autónomo se identifica por un número que es globalmente único asignado
por el ICANN.
Dos routers que utilizan BGP para comunicarse, lo hacen usando el protocolo TCP
puerto 179, y utilizan cuatro tipos de mensajes: OPEN para que un router se identifique
y autentique, UPDATE para anunciar o eliminar un camino, KEEPALIVE para
informar que sigue activo, NOTIFICATION para informar de un error.
IGP: Está diseñado para utilizarse en una red administrada por una sola organización.
Todos los routers se consideran vecinos entre sí.
EGP: Es utilizado por los proveedores de acceso a Internet, dentro de cada sistema
autónomo. Cada sistema autónomo es identificado con un número de 2 bytes asignado
por el Registro Americano de Números de Internet.
50
En el caso de que existan varios caminos entre dos puntos que tienen la misma distancia
administrativa es posible realizar entre ellos equilibrado de carga. Es posible dos
métodos de equilibrado de carga: por paquete y por destino.
Es imposible que un router tenga un listado completo de todas las rutas posibles a todos
los routers restantes, por ello los routers tienen una ruta como predeterminada. Es
decir, si un paquete recibido por el router tiene como destino una red que desconoce,
mandará dicho paquete hacia su ruta predeterminada. Este concepto permite mantener
las tablas de enrutamiento con pocas entradas.
En el caso de que un administrador haya definido una ruta estática en un router hacia
una red de destino, y el router haya descubierto otra ruta mediante algún algoritmo de
enrutamiento dinámico, ¿cuál utilizará el router para enviar un paquete hacia esa red de
destino?. La respuesta es sencilla: la ruta estática. Cada algoritmo de enrutamiento
tiene una métrica predeterminada representada, para los routers Cisco, en la tabla
siguiente:
Tipo Distancia administrativa

Directamente conectada 0
Definida estáticamente 1
BGP 20
EIGRP 90
IGRP 100
OSPF 110
RIP 120
En el enrutamiento multidifusión, utilizado en direcciones IP de tipo D, se envía un

paquete desde un emisor a varios receptores. Para conseguir esto se utilizan
algoritmos de enrutamiento de multidifusión de la capa de red como PIM (Multidifusión
independiente del protocolo), DVMRP que implementa árboles basados en la fuente con
encaminamiento inverso y poda, y MOSPF
51
PRÁCTICA Nº 21
Enrutamiento dinámico RIP
En esta práctica se va a experimentar con RIP (Routing Information Protocol) que es un

algoritmo de tipo vector distancia descrito en el RFC 1721. Utiliza la cuenta de saltos
para la selección de la ruta, y si este valor es mayor que 15 el paquete se descarta. Las
actualizaciones se mandan cada 30 segundos.
1.- Construye la red de routers de la figura 1. Deberás introducir un módulo

NM2FE2W para tener más puertos Ethernet a cada router. Los dos primeros bytes de
las IP de los routers son 192.168, y los dos últimos según se indica en la figura. La
máscara es la de por defecto, es decir 255.255.255.0. ¿Cuántas redes hay en total?
Figura 21.1
2.- Comprueba la tabla de enrutamiento de cada router con la lupa ¿están vacías?
3.- Introduce las redes próximas para cada router en el apartado enrutamiento dinámico
RIP (figura 2).
4.- Comprueba la tabla de enrutamiento de R3 ¿esta vacía? ¿Cuántos caminos distintos

hay para mandar un paquete a la red 5? (figura 3).
52
5.- Accede a la ventana de simulación y edita los filtros para que

sólo se muestren los paquetes RIP (figura 4).
Figura 21.4
6.- Observa como los routers se mandan unos a otros paquetes de actualización de sus
tablas de enrutamiento mediante el protocolo RIP. ¿Qué puerto UDP es el utilizado?
¿Son paquetes de broadcast?
7.- Explica el proceso de encapsulación de los datos RIP mostrado en la figura 5.
8.- ¿Qué campos contiene un paquete RIP v1 (figura 6), y qué significado tienen?
¿Cuántos bytes tiene cada entrada que identifica una red?
Figura 21.6
Figura 21.7
Figura 21.5
9.- Elimina la conexión entre los routers R1 y R3, y únelos mediante un switch tal y
como se muestra en la figura 7. Conecta a la red 4 el router R0.
10.- Introduce un enrutamiento estático en el router R0 con destino la red 6. ¿Qué datos
has introducido? Observa la tabla de enrutamiento de R0. ¿Cómo ha sido alterada esta
tabla? ¿Qué significan las letras C, R, S?
11.- ¿Qué significa que un enrutador utiliza un algoritmo de inundación para conocer las
redes a las que está conectado?
53
Utilización de dispositivos
PRÁCTICA Nº 22
Conexión de dos PCs
1º.- Instalar la aplicación Wireshark en cada ordenador. Conecta tu ordenador con el
de tu compañero mediante el cable que has hecho en prácticas anteriores. ¿Es
cruzado o sin cruzar? Pon el programa a capturar tráfico. ¿Se captura algún tipo
de tráfico? ¿Cuál? ¿De que tipo?
2º.- ¿Qué dirección I.P. tiene tu ordenador? ¿Y la de tu compañero? Haz un ping

desde la consola de MS-DOS al ordenador de tu compañero.
3º.- Describe lo que ves en la ventana de captura del Wireshark. ¿Se consigue con
éxito el ping? ¿Cuántos paquetes han sido enviados? ¿Qué protocolo es usado?
4º.- Comparte una carpeta. ¿Se ve desde el otro equipo? ¿Qué paquetes son
capturados cuando alguien quiere entrar a la carpeta?
5º.- ¿Qué niveles tiene la arquitectura de red de Microsoft? Compárala con la

arquitectura OSI y con la arquitectura TCP / IP.
Figura 22.1 Ejemplo de captura
54
PRÁCTICA Nº 23
Hubs
1º.- ¿Qué es un hub? ¿Para qué sirve? Busca en

Internet las características principales (velocidad,
precio, etc. ) del hub utilizado en esta práctica.
2º.- Conecta un mínimo de 3 ordenadores

directamente al hub. ¿Qué cable has usado? El
hub debe estar desconectado de la red de clase.
Ejecuta el programa Wireshark.
Haz un ping de tu ordenador (1er ordenador) al de

un compañero (2º ordenador). Describe el tráfico Figura 23.1
que se captura en todos los ordenadores. Tipos de
paquetes según su protocolo. ¿Por qué son en ese
orden? ¿Se ve tráfico en el 3er ordenador? ¿Por
qué?
3º.- Conectar dos hubs entre sí. ¿Qué cable has usado? Haz un ping del PC1 al PC4
(según la figura). ¿Qué tráfico captura el ordenar 2? ¿Y el ordenador 5?.
HUB1 HUB2
PC1 PC2 PC3 PC4 PC5 PC6
4º.- Conecta uno de los hub a la red de clase. Haz un ping a una IP externa. Describe
el tráfico que capturan todos los ordenadores.
HUB2 Red de la clase
5º.- ¿A qué se llama dominio de colisión? ¿Ayudan los hubs a reducir el dominio
de colisión?
55
PRÁCTICA Nº 24
SWITCHS
1º.-) Con los cables que hemos construido en prácticas anteriores, realizar la siguiente
conexión. ¿Qué tipo de cable has usado?
SWITCH
PC1 PC2 PC3
2º.-) Ejecuta el Wireshark en todos los ordenadores, y captura datos. Para ello haz un
ping del PC2 al PC1, y describe el tráfico que captura cada uno de los tres
ordenadores.
3º.-) ¿Sirve de algo el parámetro puerta de enlace? ¿Lo has usado para algo?
4º.-) Al switch ¿se le puede poner una dirección I.P.? ¿Cuál es la función del switch?
¿Cuántas direcciones MAC tiene el switch?
5º.-) Haz la siguiente configuración. ¿Qué cable has usado para unir los switchs? Haz
un ping del PC1 al PC6 y describe el tráfico que hay en todos los PCs
SWITCH1 SWITCH2
PC1 PC2 PC3 PC4 PC5 PC6
6º.-) Para la captura y reanúdala. Comparte una carpeta en Windows en un ordenador.

Accede a ella desde otro. Para la captura. ¿Qué protocolos siguen los paquetes
capturados?. Describe el porqué del tráfico.
7º.-) ¿Ayuda el switch a reducir el dominio de colisión?
8º.-) ¿A qué se llama dominio de difusión? ¿Ayudan los switchs a reducir el dominio
de difusión?
56
PRÁCTICA Nº 25
Routers con enrutamiento estático

1º.- Apunta los datos de tu ordenador (IP, gateway, etc.) para que al final de la
práctica puedas restaurarlos. Resetea el router que se va a utilizar. ¿Qué IP
tiene el router por defecto?
2º.- Configura el router con la I.P. 192.168.10.1 en su lado

LAN. Acuérdate que para poder configurarlo tendrá que
tener tu PC una IP que pertenezca a su red.
3º.- Configura tu ordenador con la IP 192.168.10.2. Captura

con el Wireshark, haz un ping desde tú ordenador al
router, y describe el tráfico que ves.
4º.- Configura el lado WAN del router con la IP 192.168.20.1. Recuerda desactivar
cortafuegos, NAT, etc. Haz un ping desde tú ordenador al lado WAN del
router. ¿Algún problema?
192.168.20.2
192.168.20.1
5º.- Conecta un ordenador con IP 192.168.20.2 al router por

el lado WAN. Captura con el Wireshark, haz un ping
desde un ordenador al otro, y describe el tráfico que ves.
192.168.10.1
192.168.10.2
6º.- Haz la siguiente configuración. ¿Qué I.P. has puesto a los routers? Configura las
tablas estáticas de los routers. ¿Qué datos tienen estas tablas?
7º.- Haz un ping de un PC al router de la otra red (a sus dos IPs). Captura, con el
Wireshark, y describe el tráfico que ves.
8º.- Haz un ping de un PC a otro PC de la otra red. Captura, con el Wireshark, y

describe el tráfico que ves.
57
PRÁCTICA Nº 26
1º.- Resetear el router (mantener pulsado el botón de reset hasta que se vuelva a iluminar).
Configura el router con las siguientes IP (LAN: 192.168.5.1 / WAN: 192.168.9.1). Para ello
configúralo a través de la IP 192.168.2.0 y login vacío. Desactivar NAT, cortafuegos, etc.
2º.- Hacer el siguiente esquema (máscaras por defecto):
Figura 26.1
.-a) ¿Es necesario rellenar el campo puerta de enlace en los PCs?

.-b) Describe el trafico capturado con el Wireshark desde el ordenador 5.7 al
hacer ping a las siguientes IPs: 5.1 / 9.1 / 9.6
.-c) Describe el trafico capturado con el Wireshark desde el ordenador 9.6 al
hacer ping a las siguientes IPs: 9.1 / 5.1 / 5.7
.-d) ¿Por qué existen paquetes ARP, ICMP, etc.?
.-e) ¿Has conseguido hacer ping en todos los casos correctamente?.
3º.- Con los datos de la figura 2 rellena la siguiente tabla con los nombres de las redes, su
tipo (A, B, C, D), y su dirección de Broadcast.
Denominación de la red Tipo Dirección de Broadcast
Figura 26.2
58
4 º.- Con los datos anteriores rellena las siguientes tablas:
Configuración de los PCs:

PC1 PC2 PC3 PC INTERNET
Dirección IP
Máscara
Gateway
Configuración de los Routers:

ROUTER A ROUTER B ROUTER C
LAN
WAN
Máscara LAN
Máscara WAN
Configuración de las tablas de enrutamiento:

DESTINO MÁSCARA SGTE. PUERTO
ROUTER A
ROUTER B
ROUTER C
5º.- Monta el esquema de la figura 2. Configura los dispositivos con las IP indicadas. En los
routers deberás introducir también las tablas estáticas de enrutamiento.
6º.- Del ordenador PC1 haz un ping a:
Router A a su lado WAN

Router A a su lado LAN
PC3
Router B a su lado LAN
Router B a su lado WAN
PC2
Router C a su lado WAN
7º.- Desde el ordenador PC3 visualiza el camino que sigue un paquete mediante el comando
tracert o trace route hacia los siguientes destinos:
216.89.3.1 216.89.3.1 198.64.126.1 198.64.126.21

223.65.211.79
8º.- ¿Has conseguido hacer ping en todos los casos correctamente?.
59
PRÁCTICA Nº 27
1.- Configurar los PCs y routers con las IPs indicadas.
LAN 218.46.169.0
210.0.64.1 218.46.169.5
PC 0 ROUTER C SWITCH 1
210.0.64.2
218.46.169.1
PC 2
ROUTER B 218.46.169.2
LAN 223.255.15.0 223.255.15.1
SWITCH 2
223.255.15.5
PC 1
223.255.15.3
ROUTER A
23.210.86.100
23.210.86.19 Internet
2.- Rellena la tabla de enrutamiento siguiente:
Configuración de las tablas de enrutamiento:

DESTINO MÁSCARA SGTE. PUERTO
ROUTER A
ROUTER B
ROUTER C
3.- En los routers haz clic en “RIP estática” e introduce la tabla de enrutamiento para
cada uno.
4.- Pon el Wireshark a capturar tráfico. Haz ping del PC0 a Internet. ¿Funciona?
Explica los paquetes que son capturados.
5.- Haz ping del PC0 al PC4. ¿Funciona? Explica los paquetes que son capturados.
6.- Vuelve a hacerlo con el comando tracert.
60
Arquitectura TCP/IP
ARQUITECTURA TCP/IP
La arquitectura TCP/IP es la base de las comunicaciones en Internet, implementada en
todos los sistemas operativos actuales, y sirve de cabida a multitud de protocolos. De
hecho, su nombre viene de los dos protocolos más importantes: el protocolo TCP de la
capa de transporte y el protocolo IP de la capa de red.
Sus características más importantes son:
* Permite conectar redes muy diferentes, por ejemplo en cuanto a topología, o en

cuanto a protocolos usados, o en cuanto a cómo es el medio de transmisión.
* Es tolerante a fallos, de tal modo que continuamente hay máquinas que se

desconectan o se conectan, nuevos enlaces entre nodos o que son eliminados,
paquetes de datos que por algún motivo no llegan a su destino... y sin embargo el
resto de máquinas no se ven afectadas.
* Permite el uso de aplicaciones muy diversas, tanto que cada día se inventan
nuevas. La evolución de Internet es vertiginosa, es muy difícil mantenerse al día de
los últimos avances...
* Es independiente de las marcas comerciales y fabricantes (o casi, ya que Cisco

proporciona el 85% de los dispositivos de comunicaciones).
La arquitectura TCP/IP está basada en cuatro capas o niveles: Aplicación, Transporte,

Red (también llamado Internet), y Subred (que engloba a los niveles de enlace y físico
de OSI).
Aplicación
Transporte
Red
Subred
Los protocolos más importantes de cada una de las capas son:
Aplicación: TELNET, FTP, HTTP, SMTP, NTP, SSH, DNS, SNMP.

Transporte: TCP, UDP, RTP, SCTP.
Red: IP, ICMP, IGMP, ARP, RARP, RIP, OSPF, EIGRP, BGP.
Subred: PPP, ETHERNET, TOKEN RING, IRDA, FDDI, Wifi, HDLC, ATM.
61
Arquitectura TCP/IP
PRÁCTICA Nº 28
Nivel de enlace
La cabecera de un marco del nivel de enlace contiene los siguientes campos:
Preámbulo Dirección Dirección Tipo Datos CRC

(8 bytes) destino origen (2 bytes) (de 46 a 1500 bytes) (4 bytes)
(6 bytes) (6 bytes)
* El preámbulo sirve para sincronizar el receptor, y que deduzca a qué velocidad le

van a llegar los datos (10 Mbps, 100 Mbps, 1Gbps). Los primeros 7 bytes
contienen 10101010 y el último 10101011.
* La dirección de destino y de origen son las direcciones MAC de la tarjeta de red.
* El tipo identifica el protocolo de la capa de red (IP=0800, ARP=0806, etc.)
* El campo CRC permite detectar los cambios de bit sufridos por motivos como la
atenuación, y a la energía electromagnética.
Desgraciadamente no vamos a poder observar todos los campos en nuestras capturas

realizadas con el Wireshark, ya que los campos preámbulo y CRC son eliminados una
vez que el paquete se dé por bueno.
1.- Después de hacer ping a algún ordenador de tus compañeros o de conectarte a

Internet muestra la tabla arp desde la consola con el comando arp -a. ¿Cuantas entradas
tienes?
2.- Pon una regla en tu cortafuegos de tal modo que tu ordenador no conteste a los
pings, por ejemplo en el cortafuegos de Windows debes pulsar en botón de
configuración de ICMP, y luego desactivar todas las pestañas de solicitud.
En el caso de querer desactivar la respuesta a los pings en una máquina linux escribe:
#echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all
62
Arquitectura TCP/IP
3.- Borra la tabla arp con el comando arp -d. Comprueba que está vacía. Haz ping a
otro ordenador que haya desactivado responder al ping. ¿Has recibido contestación?
¡Sin embargo el ordenador está encendido! Vuelve a comprobar la tabla arp. ¿Está
vacía? Explica lo que ha sucedido.
4.- Realiza una captura del tráfico, e identifica en un paquete los diferentes campos de la
cabecera del nivel de enlace.
5.- La dirección lógica (dirección IP) que asignamos a un host puede ser modificada a
nuestra conveniencia, pero ¿se puede cambiar la dirección física (dirección MAC)?
Recordemos que la dirección MAC es un número de 48 bits (6 bytes) que está grabado
en cada interfaz de red, e indica el fabricante y número de serie de la tarjeta, por lo que
no hay dos tarjetas idénticas en el mundo.
La respuesta a la pregunta anterior es si. En Windows hay aplicaciones diseñadas para

ello como etherchange. En Linux basta escribir en una terminal la orden:
ifconfig eth0 ether nueva_dirección_MAC
6.- Cambia la dirección MAC de la interfaz de red de tu ordenador. Captura el tráfico

generado al conectarte a Internet. ¿Qué dirección MAC tienen los paquetes capturados
(la de la interfaz original o la nueva que has puesto)?
7.- ¿Qué crees que sucede si dos ordenadores tienen idéntica dirección MAC? ¿Podrán
conectarse correctamente y simultaneamente a Internet?
63
Arquitectura TCP/IP
PRÁCTICA Nº 29
Nivel de red
Formato del datagrama en IPv4
Versión Longitud Tipo de Longitud del datagrama en bytes

(4 bits) Cabecera servicio (16 bits)
(4 bits) (8 bits)
Identificador Indicadores Desplazamiento
(16 bits) (3 bits) (13 bits)
Tiempo de vida Protocolo del Suma de comprobación de cabecera
(8 bits) nivel superior (16 bits)
(8 bits)
Dirección IP de la fuente
(32 bits)
Dirección IP del destino
(32 bits)
Opciones
(32 bits)
Datos
(32 bits)
Número de versión: Versión de protocolo IP, para IPv4 tiene un valor de 4.
Longitud de la cabecera: Normalmente los paquetes IP no tienen opciones así que

el valor que aquí nos podemos encontrar es 5. El tamaño de la cabecera es éste valor
multiplicado por 4, lo que da 20 bytes.
Tipo de servicio: Es un campo utilizado para diferenciar datagramas de tiempo

real (para video y audio), o para otras prestaciones.
Longitud del datagrama: Longitud de la cabecera más los datos. La longitud

teórica sería 65536 bytes, sin embargo no suelen pasar de 576. Para una explicación de
éste valor ver la práctica de fragmentación de IP.
Identificador, indicadores, y desplazamiento: Ver práctica de fragmentación IP.
Tiempo de vida: Cada vez que un datagrama atraviesa un router este valor es
decrementado en una unidad. Cuando este valor llega a cero es desechado el datagrama.
Protocolo: Protocolo de la capa de transporte. ICMP=1, IGMP=2, TCP =6, UDP=

17.
Suma de comprobación de la cabecera: Sirve para detectar errores de bit. Se

calcula sumando parejas de bits en complemento a 1.
64
Arquitectura TCP/IP
PRÁCTICA Nº 30
ICMP: Protocolo de Mensajes de Control de Internet
Es un protocolo utilizado para intercambiar información de la capa de red de un
dispositivo a otro, aunque normalmente es utilizado para informar de errores en la
conexión.
¿A qué nivel de la arquitectura TCP/IP corresponde este protocolo? Pues es utilizado

por la capa de red, pero cuando un paquete ICMP viaja va encapsulado en un paquete
IP, por lo que es considerado que arquitectónicamente se halla justo encima de IP. ¡No
pertenece al nivel de Transporte!
Los mensajes ICMP constan de los campos:
tipo código suma de identificador número de datos

(1 Byte) (1 Byte) comprobación (2 Bytes) secuencia (Mínimo 2 Bytes)
(2 Bytes) (2 Bytes)
Los valores de tipo y código más habituales se muestran en la siguiente tabla:
Tipo Código Descripción

0 0 Respuesta de eco
3 0 Red destino inaccesible
3 1 Host destino inaccesible
3 2 Protocolo destino inaccesible
3 3 Puerto destino inaccesible
3 6 Red destino desconocida
3 7 Host destino desconocido
4 0 Apaciguar fuente
8 0 Petición de eco
9 0 Anuncio de router
10 0 Descubrimiento de router
11 0 TTL expirado
12 0 Mala cabecera IP
El programa ping envía un mensaje de tipo 8 y código 0 a la máquina destino, y la

respuesta tiene unos valores de tipo 0 y código 0.
El mensaje de tipo 4 sirve para realizar un control de la congestión en el enlace de tal

modo que una máquina que está recibiendo muchos datos manda este mensaje a la
fuente de los datos para indicarle que reduzca su tasa de transmisión.
El programa traceroute utiliza el campo TTL de los paquetes para ir descubriendo los
diferentes routers que atraviesa un paquete hacia su destino. Cada vez que el valor de
TTL del paquete llega a cero el router en el que se produce dicha situación manda al
origen del paquete un mensaje ICMP de tipo 11.
65
Arquitectura TCP/IP
1.- Haz un ping a una máquina de un compañero capturando el tráfico. ¿Cuántos bytes
ocupa la cabecera de ICMP? ¿Cuántos bytes de datos han sido enviados? ¿Coinciden
los campos tipo y código de los paquetes de solicitud y respuesta con los de la tabla
anterior?
2.- Identifica en el paquete anterior el valor de cada uno

de los campos de ICMP (figura 1).
3.- Comprueba con un paquete de solicitud de eco y su Figura 30.1

respuesta que tienen el mismo valor en el campo número
de secuencia. Observa que cada ping tiene un valor distinto para este campo.
4.- Vamos a ver cómo se calcula el campo checksum, así que para trabajar con un
campo de datos pequeño escribiremos el siguiente comando que hace un ping con
únicamente dos bytes de datos:
En Linux: ping –c 1 –s 2 dirección_IP_destino

En Windows: ping –n 1 –l 2 dirección_IP_destino
El checksum se calcula sumando los

bytes por parejas, así que
identificaremos en primer lugar los
datos. Para ello haz clic sobre la
pestaña Internet Control Message
Protocol, y verás como se sombrean
unos bytes en la parte inferior (figura
2).
Figura 30.2
Rellena la siguiente tabla con los valores de los campos:
Valores del ejemplo Tus valores

Tipo + Código 0800
Identificador 0200
Número de secuencia 5000
Datos 6162
Suma BB62
Calcula la suma teniendo en cuenta que los valores están en formato hexadecimal.
5.-¿Cuanto vale la suma del valor que acabas de obtener más el campo checksum de tu
paquete (para el ejemplo sería BB62 + 449D = FFFF) ? ¿Cómo crees que se identifica
si un paquete tiene algún bit erroneo?
6.- Haz el complemento a uno del valor de la suma del punto 4 (en el ejemplo BB62), es
decir intercambia los ceros por unos y viceversa, o pulsa en el botón not de la
calculadora. ¿Qué valor has obtenido (para el ejemplo BB62 => 449D)? ¿Coincide con
el valor del checksum?
66
Arquitectura TCP/IP
PRÁCTICA Nº 31
IPv6
Desde hace mucho tiempo se dice que el número de máquinas direccionables con IPv4
ha llegado a su límite, sin embargo IPv6 no termina de desplegarse definitivamente
debido al uso intensivo de diversas técnicas como DHCP, NAT, y subredes que han
impedido su implantación. Antes o después se usará IPv6.
IPv6 utiliza 128 bits para direccionar máquinas con la posibilidad de que los equipos se
autoconfiguren, con seguridad e integridad de datos, y soporte a tráfico multimedia. Los
datagramas pueden ser de tipo unicast (el datagrama es enviado de un emisor a un único
receptor), multicast (el datagrama es enviado de un emisor a múltiples receptores), y
anycast (el datagrama es entregado a cualquier host de un grupo, generalmente el que
conteste primero o se encuentre más próximo). IPv6 no permite la fragmentación de
paquetes, ni direcciones broadcast.
El formato de la cabecera de un paquete IPv6 es el siguiente:
Versión Clase de Etiqueta de flujo

(4 bits) tráfico (20 bits)
40 Bytes
(8 bits)
Longitud de datos Próxima Límite de
(16 bits) cabecera saltos
(8 bits) (8 bits)
Dirección de fuente
(128 bits = 16 Bytes)
Dirección destino
(128 bits = 16 Bytes)
Datos
El campo versión lleva el valor 6. Etiqueta de flujo sirve para identificar el flujo de
datagramas. Siguiente cabecera contiene el protocolo usado de la capa de transporte.
Limite de saltos es el campo equivalente a TTL el cual contiene un número que se va
decrementando en una unidad cada vez que el paquete atraviesa un router. Hay que
fijarse que se ha suprimido el campo de suma de comprobación existente en IPv4, esto
es debido a que en el nivel de enlace y de transporte es donde se efectúa el control de
errores.
Se han renovado los protocolos de enrutamiento, adaptándose a la nueva arquitectura

jerárquica de direcciones, denominándose: RIPng, RIPv6, BGP 4+, OSPFv6, EIGRPv6.
El problema radica en cómo poner de acuerdo a todos los ordenadores del mundo para
dejar de usar IPv4 y pasar a IPv6. Como esta transición no puede ser realizada de golpe
se ha desarrollado un método de transición basado en la tunelización, consistente en
encapsular un datagrama IPv6 completo en el campo de datos de un datagrama IPv4.
67
Arquitectura TCP/IP
Según el RFC 3513 una dirección en IPv6 puede ser de los siguientes tipos:
Prefijo Prefijo en Descripción

Hexadecimal
Reservado 0000 0000 00
NSAP 0000 0010 02
IPX 0000 0100 04
Global Unicast 001 2 Todas las direcciones IPv6
globales se asignan a partir
de este espacio. Los
primeros tres bits siempre
son “001”.
Geographic based 100 8
Link Local Unicast 1111111010 FE80 a FEBF Direcciones que sólo son
válidas en el enlace local
(equivalentes al loopback
de IPv4)
Site Local Unicast No utilizable FEC0 a FEFF Equivalentes al
direccionamiento privado
de IPv4
Multicast 1111 1111 FF00 a FFFF
En una dirección IPv6 se pueden distinguir los siguientes campos:
Direccionamiento de redes Direccionamiento de hosts

3 bits 13 bits 8 bits 24 bits 16 bits 64 bits
FP TLA ID RES NLA SLA ID Interface ID
Topología pública Topología Interface
site
FP Format Prefix: Es un campo de valor fijo, 0010.
TLA ID Top-Level Aggregation Identifier: Es un campo de 13 bits.
RES: Campo reservado para poder aumentar el tamaño de los campos NLA o
TLA.
NLA ID Next-Level Aggregation Identifier: Permite crear una jerarquía de

direccionamiento. Cada TLA puede asignar direccionamiento a mas de 16
millones de centros.
SLA ID Site-Level Aggregation Identifier: Con este campo cada centro permite
direccionar 65536 redes.
INTERFACE ID Interface Identifier (RFC 2373): De 64 bits, se identifican los

interfaces en un enlace gracias a sus direcciones MAC.
En 2006 se cerró la red de prueba eBone cuyas direcciones empezaban por 3FFE::/16.
68
Arquitectura TCP/IP
Para referirse al localhost puede hacerse con ::1, y para convertir una dirección IPv4 en
IPv6 ::FFFF:WWXX:YYZZ siendo W,X, Y, Z los bytes de la dirección IPv4 pasados a
hexadecimal.
Existen dos formas de autoconfiguración:
* Stateless: Un router da la dirección a la máquina mediante un paquete “Router

Advertisement”.
* Stateful: Un servidor DHCPv6 da la dirección a la máquina.
En Linux normalmente ya está compilado el kernel para ofrecer soporte a IPv6, así que
al escribir el comando ifconfig nos informa acerca de ambas direcciones (IPv4 e IPv6),
y de la MAC.
IPv4 IPv6 MAC
¿Qué relación existe entre la dirección IPv6 y la dirección MAC? Como se puede
observar en la figura la dirección IPv6 comienza por FE80 lo que significa que
corresponde al bucle local.
Para comprobar si el kernel soporta IPv6 debe encontrarse la entrada /proc/net/if_inet6.

Si no existe, se puede cargar el módulo con modprobe ipv6.
Si se desea añadir una dirección IPv6 determinada hay que escribir:
ifconfig <interface> inet6 add <dirección_ipv6> / <longitud_máscara>
o bien:
ip -6 addr add dirección_IPv6/máscara dev eth0
En el directorio /etc/sysconfig/network-scripts/ hay un fichero para cada interfaz.

Comprueba que si está habilitada la autoconfiguración:
IPV6INIT=yes
IPV6AUTOCONF=yes
En el caso de querer asignar una dirección fija debería ser:
IPV6INIT=yes
IPV6AUTOCONF=no
IPV6ADDR=3ffe:3328:7::2
69
Arquitectura TCP/IP
El fichero /etc/sysconfig/network debe tener:
NETWORKING_IPV6=yes
IPV6FORWARDING=no
IPV6_AUTOCONF=yes
IPV6_AUTOTUNEL=no
IPV6_DEFAULTGW="3ffe:3328:7::1%eth0"
Normalmente no se necesitará poner la dirección de forma manual a una máquina, sin

embargo en el caso de routers o servidores puede ser necesario. Para poner una
dirección IPv6 a una máquina que utiliza sistema operativo Windows se puede utilizar
el comando:
netsh interface ipv6 add address "Conexión de área local" dirección_IPv6
En el caso de no tener instalado el protocolo se puede hacer en propiedades de la

conexión de red. Para conocer acerca de las políticas de prefijos de las direcciones
existe una tabla local:
netsh interface ipv6 show prefixpolicy
En el caso de tener una máquina con dirección IPv6 asignada pero la red a la que está
conectada utiliza IPv4 se puede implementar un tunel, para ello en Linux se debe
configurar las interfaces sit0 y sit1 como adaptadores virtuales (como los utilizados al
instalar una máquina virtual). Estos adaptadores virtuales permiten asignar una
dirección IPv4 a una dirección IPv6 del siguiente modo:
#ifconfig sit0 up
#ifconfig sit0 inet6 tunnel ::10.0.0.1
#ifconfig sit1 up
#ifconfig sit1 inet6 add 2001:FEFE::8F/127
Para enrutar el tráfico: route –A inet6 ::/0 dev sit1
Una vez instalado el protocolo, y configurada la dirección IPv6 haz ping a otras
máquinas, o a la propia con: ping6 ::1
Captura el tráfico generado al hacer ping a la máquina de otra persona utilizando el

comando ping6, y describe el contenido del paquete.
Prueba a utilizar los comandos traceroute6, y tracepath6.
Descarga e instala la herramienta ipv6calc.
70
Arquitectura TCP/IP
PRÁCTICA Nº 32
Fragmentación del datagrama IP
Algunos protocolos pueden llevar paquetes grandes, mientras que otros protocolos
llevan paquetes más pequeños, por ejemplo los paquetes Ethernet llevan como máximo
1500 bytes de datos. La cantidad máxima de datos que puede llevar un paquete se
denomina MTU (Maximum Transfer Unit). ¿Qué sucede cuando se manda un paquete
que supera el valor de la MTU? Pues que el paquete debe ser fragmentado.
Cuando una máquina destino recibe varios datagramas desde la misma máquina origen
debe reconocer de algún modo si alguno es un fragmento de otro mayor, y poder
recomponerlo. Para ello están los campos de identificación, indicador, y fragmentación.
Todos los fragmentos tienen el mismo número de identificación, el campo
desplazamiento ubica al fragmento en el datagrama original, y el último fragmento tiene
el bit indicador a 1.
1.- Manda un único ping a una máquina cualquiera destino con 10000 bytes de datos:
ping –c 1 –s 10000 dirección_IP_destino
Figura 32.1
2.- ¿Cuántos bytes ocupa el primer fragmento? ¿Cuántos corresponden a la cabecera de

Ethernet? ¿Y a la cabecera IP? ¿Y cuantos a datos?
3.- ¿Cuál es el valor para la M.T.U.?
4.- Según lo que has respondido en la pregunta primera ¿Cuántos fragmentos serán
necesarios para mandar los 10.000 bytes? ¿Coincide este número con el número de
fragmentos capturados?
71
Arquitectura TCP/IP
5.- Expande la pestaña Internet Protocol, y observa el campo Identification. ¿Tienen

todos los fragmentos el mismo valor?
6.- Observa el campo Fragment offset, y el campo More Fragments de la pestaña Flags.
Rellena una tabla con sus valores para cada uno de los segmentos:
Nº de fragmento Fragment offset More Fragments

1
2
3
4
5
6
7
La fragmentación y su necesario reensamblado añaden complicaciones a los routers por

lo que en la medida que sea posible no debe ser utilizada. Todos los protocolos de la
capa de enlace permiten paquetes hasta 576 bytes, por lo que éste suele ser el límite del
tamaño utilizado en la práctica por los protocolos de los niveles superiores (TCP, UDP,
etc.).
7.- Captura durante unos pocos segundos el tráfico generado mientras visitas una página
con tu navegador. Analiza un paquete cualquiera TCP. ¿Cuál es el tamaño total del
paquete? ¿Y el tamaño de la cabecera Ethernet? ¿Y el de la cabecera IP? ¿Y el de la
cabecera de TCP? ¿Cuántos bytes tiene de datos? Con estos datos rellena la siguiente
tabla:
Tamaño en bytes de los datos

Cabecera TCP o UDP
Cabecera IP
Cabecera Ethernet
Tamaño total del paquete
8.- Supón que la capa de red quiere pasar un datagrama de 4000 bytes a la capa de
enlace la cual tiene una MTU de 500 bytes. ¿Cuántos fragmentos se van a generar?
¿Qué valor tiene los campos desplazamiento del fragmento para cada uno de ellos
(recuerda que su valor es la posición del siguiente byte de datos divido por ocho)?
¿Cuántos bytes transmitidos pertenecen a cabeceras y cuantos a datos? Según lo
obtenido en la pregunta anterior ¿Cuál es el valor en porcentaje de la sobrecarga?
9.- Supongamos ahora que la capa de transporte pasa a la capa de red un mensaje con
1400 bytes (incluida la cabecera de la capa de transporte = 20 bytes). Responde a las
preguntas del apartado anterior.
10.- ¿Cuál es el valor MTU para las interfaces de red de tu ordenador? Puedes verlo
escribiendo ifconfig.
72
Arquitectura TCP/IP
PRÁCTICA Nº 33
Nivel de transporte
Los protocolos de la capa de transporte proporcionan una comunicación lógica entre
procesos de una aplicación que se ejecutan en varias máquinas. Los dos protocolos más
utilizados de esta capa son UDP (User Datagram Protocol) que proporciona un servicio
no fiable, y TCP (Transmision Control Protocol) que proporciona un servicio fiable.
Estructura del segmento UDP
Número de puerto origen Número de puerto destino

(16 bits) (16 bits)
Longitud Suma de comprobación
(16 bits) (16 bits)
Datos de la aplicación
Estructura del segmento TCP
Número de puerto origen Número puerto destino

(16 bits) (16 bits)
Número de secuencia
(32 bits)
Número de reconocimiento
(32 bits)
Longitud Ventana de recepción
cabecera (16 bits)
utilizar
URG
ACK
SYN
RST
PSH
FIN
Sin
(4 bits)
Suma de comprobación Internet Apuntador datos urgentes

(16 bits) (16 bits)
Opciones
(32 bits)
Datos
Número de secuencia: Número del primer byte de los datos del segmento.
Número de reconocimiento: Indica el número de secuencia del siguiente byte que

espera recibir.
Ventana de recepción: Indica el número de bytes que el receptor puede recibir.
Longitud de cabecera: Normalmente la cabecera no tiene opciones por lo que su

longitud es de 20 bytes.
Campo de opciones: De longitud variable y opcional.
73
Arquitectura TCP/IP
Campo de indicadores: Cada uno de un bit, indican urgencia, reconocimiento

válido, o para establecer la comunicación.
1.- Captura el tráfico generado al visitar una página mediante un navegador, selecciona
un paquete TCP, pulsa con el botón derecho, y haz clic en colorear conversación TCP
(figura 1). De este modo se puede diferenciar rápidamente las diferentes
conversaciones que de forma paralela mantiene tu ordenador con difentes máquinas.
Figura 33.1
2.- Rellena diez filas aproximadamente de la siguiente tabla de la conversación

seleccionada (paquetes que tienen el mismo color):
Nº IP origen IP destino Nº Secuencia Nº Reconocimiento Longitud

datos TCP
3.- ¿Eres capaz de interpretar cómo fluyen los datos de la tabla generada en el apartado
anterior?
4.- Situate en el último paquete de la conversación e identifica el tamaño del flujo de

bytes transmitidos.
5.- En un paquete cualquiera de la conversación haz clic con el botón derecho, y pulsa
en reconstruir el hilo. Guarda en un fichero el texto que se ha mostrado, e indica el
tamaño en bytes que ocupa dicho fichero. ¿Coincide este tamaño con el calculado en el
apartado anterior?
74
Arquitectura TCP/IP
Una de las funciones que tiene la capa de transporte es el control de errores, vamos a ver
cómo funciona. Captura tráfico, y selecciona un paquete de protocolo TCP y longitud
de datos cero (para que sean más sencillos los cálculos).
6.- ¿Cuanto vale el campo checksum del nivel de transporte del paquete que has
Figura 33.2
seleccionado? En el ejemplo de la figura 2 vale CFF2.

Este valor se calcula como la suma de tres valores: el complemento a 1 de una pseudo-
cabecera, el complemento a 1 de la cabecera TCP, y el complemento a 1 de la suma de
los datos. Vamos a ver cómo se calcula cada uno de ellos, y al mismo tiempo deberás
calcularlo para el paquete que has seleccionado.
7.- Suma de la pseudo-cabecera: De la cabecera IP se toman los campos dirección

origen, destino, protocolo TCP, y longitud de cabecera TCP más los datos.
Figura 33.3
Al no poder almacenar 1FBCF en dos bytes eliminamos el primer dígito, y al calcular

su complemento a uno se le suma 1 (el complemento a uno de FBCF es 430).
75
Arquitectura TCP/IP
Recuerda que realizar el complemento a uno consiste en

intercambiar ceros por unos y viceversa. Si tienes
algún problema puedes usar la calculadora (figura 4) y
pulsar en el botón Not.
Figura 33.4
8.- Suma de la cabecera TCP (excluyendo los dos bytes del checksum):
9.- Suma de los datos: Esto va a ser fácil al haber elegido un paquete de longitud cero...
10.- Calcula el checksum realizando la suma.
¿Coincide la suma que has calculado con el valor del checksum del paquete?
76
Arquitectura TCP/IP
PRÁCTICA Nº 34
Nivel de aplicación
Existen multitud de aplicaciones y cada una utiliza su propio protocolo en la capa de
aplicación. Aquí vamos a estudiar una de las más importantes y a la vez más discreta
para los usuarios: DNS.
Un mensaje DNS tiene los siguientes campos:
* Sección de cabecera: Contiene a su vez los siguientes campos:
Identificación: Número que contiene la consulta. En la respuesta aparece este

número para asociar pregunta con respuesta.
Estado: Banderas que indican si el paquete es una pregunta o respuesta, si la
respuesta corresponde a un servidor autorizado, si se desea realizar consultas
recursivas.
Cuatro campos que indican el número de registros de recursos que hay en cada
uno de los siguientes campos.
* Consulta: Pregunta que se está realizando con el nombre, y su tipo.

* Respuesta: La respuestas encontradas a la pregunta realizada.
* Autorización: Registros para servidores autorizados
* Información adicional.
Identificación Banderas
(16 bits) (16 bits)
Número de cuestiones Número de registros de respuesta
(16 bits) (16 bits)
Número de resgistros de autorización Número de registros adicionales
(16 bits) (16 bits)
Cuestiones
(32 bits)
Respuestas
(32 bits)
Autorización
(32 bits)
Información adicional
(32 bits)
1.- Utiliza el comando nslookup, o el comando dig para resolver la URL www.elpais.es
(o la que dirección que desees) en su dirección IP . Captura el tráfico generado.
2.- Selecciona el paquete que viene del servidor DNS conteniendo la respuesta.
Expande la pestaña Domain Name System
3.- ¿Cuantas respuestas se han obtenido? ¿Cuales?
4.- ¿La dirección preguntada tiene alias? ¿Cuales?
77
Arquitectura TCP/IP
Figura 34.1
5.- ¿Cuantos servidores DNS están autorizados para resolver esta consulta?
6.- ¿Tiene información adicional? En caso afirmativo ¿Cual?
7.- Explica los valores recibidos para las banderas del campo estado.
8.- Explica qué es Akamai. ¿Qué son las redes de distribución de contenidos (CDN)?
78
Subredes
SUBREDES
Las direcciones IP en Internet están ordenadas de una forma jerárquica, de este modo los
protocolos de enrutamiento pueden encontrar el camino para mandar la información desde el emisor
hasta el destinatario.
Recordemos que una dirección IP tiene 4 bytes, pero realmente hay que verlo como 32 bits, los
cuales están agrupados en tres campos: Bits que determinan la clase de dirección, los bits que
determinan el número de red, y los bits que determinan el número de ordenador dentro de cada red.
Es decir, la suma de lo que ocupan estos tres campos deberá ser siempre 32 bits.
Se han establecido cinco clases de redes IP: A, B, C, D, y E, cuyos rangos de direcciones son los
siguientes.
Clase Rango
A 1.0.0.0 – 127.255.255.255
B 128.0.0.0 – 191.255.255.255
C 192.0.0.0 – 223.255.255.255
D 224.0.0.0 – 239.255.255.255
E 240.0.0.0 – 247.255.255.255
Para identificar la clase de una dirección IP existe un campo de longitud variable que son los
primeros bits de la dirección IP, tal y como se muestra en la siguiente tabla:
Valor de los Clase Longitud del

primeros bits campo
0 A 1 bit
10 B 2 bits
110 C 3 bits
1110 D 4 bits
11110 E 5 bits
La siguiente tabla muestra las longitudes de los tres campos que componen una dirección IP
según la clase.
Clase Número de bits usados Bits reservados para Bits reservados para
para identificar la clase identificar la red identificar el número de
estación
A 1 7 24
B 2 14 16
C 3 21 8
D 4 = =
E 5 = =
79
Subredes
De este modo en la dirección 192.168.1.129 que escrita en binario es:
11000000101010000000000110000001
Se pueden distinguir los siguientes datos:
110: Clase C
000001010100000000001: Red 43009
10000001: Dispositivo 129.
¿Cómo identificar si una dirección IP tiene subredes? La única forma consiste en conocer
también la máscara de subred. La máscara de subred para direcciones IP que no utilizan subredes
son:
Clase Máscara También expresado como

A 255.0.0.0 /8
B 255.255.0.0 /16
C 255.255.255.0 /24
En el caso de utilizar subredes la máscara ya no corresponderá a los valores de la tabla anterior.
Una dirección IP que utiliza subredes tiene un cuarto campo. Éste se obtiene al dividir los bits
reservados para identificar el número de estación en dos subcampos (bits que identifican la subred, y
nuevamente bits que identifican el número de ordenador dentro de la subred).
Así por ejemplo 192.168.1.129 / 27 tendrá subredes. Pero… ¿Cuántos bits se están empleando
en identificar las subredes? ¿Cómo saber cuantas subredes hay? ¿A qué subred concreta se está
refiriendo? ¿Cuántos ordenadores dentro de cada subred? Muy fácil, tan sólo se debe ser meticuloso
siguiendo unos pasos:
1.- Saber cual es la clase de la dirección. En este caso C.
2.- Para calcular el número de bits empleados para identificar las subredes se debe restar a la que
nos dan los de la máscara por defecto: 27 – 24 = 3.
3.- Con el número de bits utilizados del apartado anterior se puede calcular el número de
subredes utilizando la fórmula: 2x – 2. En este ejemplo será: 23 – 2 = 8 – 2 = 6 subredes.
4.- Para saber a qué número de subred corresponde se debe tomar de la IP dada los bits
reservados a especificar el número de ordenador, y de ahí se seleccionan el número de bits obtenido en
el paso 2. En este ejemplo: 129 =10000001. Y como se deben de tomar los 3 primeros bits (100)
que pasado a decimal es la subred 4.
5.- Para saber cuantos bits quedan para la identificación de máquinas hay que restar los bits
usados para identificar las subredes a los indicados por defecto. En este caso 8-3 = 5 bits. Y con este
número volver a utilizar la misma fórmula anterior 2x - 2. Por lo que se pueden direccional 25 -2 = 30
ordenadores en cada subred.
80
Subredes
Por lo tanto con 192.168.1.129 / 27 se está indicando:
110: Clase C
000001010100000000001: Red 43009
100: Subred 4
00001: Dispositivo 1.
Ejercicios:
1.- Una empresa tiene en su sede central 680 ordenadores, y 4 sedes distribuidas por España. El N.I.C.
le ha asignado la dirección 145.80.0.0.
a) ¿A qué clase pertenece esta dirección y cuál es su máscara por defecto?

b) ¿Cuál es la cantidad de subredes necesitadas, y cuántas quedan para reserva?
c) ¿Cuál es la máscara de subred?
d) ¿Cuántos dispositivos puede haber por cada subred?
e) ¿Cuáles son las direcciones IP de cada subred?
f) ¿Qué rangos de IP tiene cada subred (IP del primer ordenador y del último)?
g) ¿Cuáles son las direcciones de broadcast de cada subred?
2.- Rellena la siguiente tabla.
bits Disposi-
bits de bits Sub tivos IP IP
Máscara de sub- de redes por IP de la Broadcast Primer último
Dirección IP máscara decimal red red host útiles subred subred de subred host host
20.110.12.180 /10
20.110.12.180 /11
20.110.12.180 /12
20.110.12.180 /13
30.150.220.22 /14
30.150.220.22 /15
30.220.100.58 /16
30.220.100.58 /17
172.51.100.200 /18
172.51.100.200 /19
172.51.200.10 /20
172.51.200.10 /21
172.51.50.50 /22
172.51.50.50 /23
172.51.140.14 /24
172.51.140.14 /25
192.168.35.150 /26
192.168.35.150 /27
192.168.210.100 /28
192.168.210.100 /29
192.168.118.230 /30
81
Subredes
PRÁCTICA Nº 35
Creación de subredes
1.- Dada la siguiente IP 172.20.2.131/25.
1.1.- ¿De qué tipo es?

1.2.- ¿Por qué utiliza subredes?
1.3.-¿Cuantos bits tiene para nº de subredes y por lo tanto cuantas subredes se pueden
crear?
1.4.-¿Cuantos bits tiene para nº de estaciones y por lo tanto cuantas estaciones se
pueden conectar?
1.5.- ¿Qué nº de subred es? ¿A qué número de ordenador dentro de esa subred nos
estamos refiriendo?
1.6.- ¿Qué máscara tiene en formato decimal?
1.7.- ¿Cuál es el rango de direcciones de esta subred?
1.8.- ¿Qué dirección de Broadcast tiene esta subred?
2.- Crea la siguiente red formada por cuatro estaciones y dos switchs.
Figura 35.1
Del rango de direcciones de esta subred:
IP
PC0 tiene la primera IP PC0
PC1 tiene la segunda IP PC1
PC2 tiene la penúltima IP PC2
PC3 tiene la última IP. PC3
3.- Haz un ping desde PC0 hacía otra estación. ¿Se realiza correctamente?
4.- Cambia el último byte de la dirección de PC0 a 25. Haz un ping desde PC0 hacía otra
estación. ¿Se realiza correctamente? ¿Por qué si/no?
82
Subredes
PRÁCTICA Nº 36
Subredes con máscara variable
Una empresa tiene asignada la siguiente dirección IP 180.10.0.0. Tiene delegaciones en tres
provincias. En la primera provincia tiene 4 Oficinas y en cada una de ellas 1000 ordenadores. En la
segunda provincia tiene 10 Oficinas y en cada una 500 ordenadores. En la tercera provincia tiene 20
Oficinas y en cada una 200 ordenadores.
1.- Análisis del enunciado:
1.1.- ¿Cuántos bits necesitas para identificar cada provincia?

1.2.- ¿Cuántos bits necesitas para identificar las oficinas de cada provincia?
1.3.- Según lo respondido en la pregunta anterior, indica una codificación para las provincias
Codificación
Provincia 1
Provincia 2
Provincia 3
1.4.- ¿Cuál es la máscara de red para un ordenador situado en la primera provincia? ¿Y si

estuviera situado en la segunda provincia? ¿Y si estuviera situado en la tercera provincia?
Máscara
Provincia 1
Provincia 2
Provincia 3
1.5.- ¿Direcciones de red que tendrá asignada cada provincia?
Dirección de red
Provincia 1
Provincia 2
Provincia 3
1.6.- Rellenar la siguiente tabla con las direcciones de red que tendrá asignada cada oficina de
cada provincia.
Provincia 1 Provincia 2 Provincia 3

1 1 1 11
2 2 2 12
3 3 3 13
4 4 4 14
5 5 15
6 6 16
7 7 17
8 8 18
9 9 19
10 10 20
83
Subredes
1.7.- Para la tercera oficina de cada una de las provincias ¿Cuál es la primera IP y la última
utilizable para dispositivos?
Primera IP Última IP
1º Provincia
2ª Provincia
3ª Provincia
2.- Simulación:
2.1.- Ayudándote de la aplicación Packet Tracer realiza un diseño con 6 ordenadores,

conectados todos a un único switch según se muestra en la siguiente figura.
Figura 36.1
2.2.- Rellena la siguiente tabla de acuerdo a la configuración del apartado 1.7. Recuerda que la
máscara no es igual para todos ellos.
IP Máscara
PC0: 1ª Provincia, 1ª IP
PC1: 1ª Provincia, Ultima IP
2.3.- Configura los seis PCs de acuerdo a la tabla anterior.
2.4.- Realiza un ping de PC0 a PC1. ¿Se realiza correctamente? ¿Por qué si / no?
2.7.- ¿Qué habría que hacer para que todas las oficinas estuvieran conectadas? Indica qué
dispositivos habría que añadir y su configuración. Prueba con el simulador que funciona tu solución.
2.8.- Conecta un router al switch. Configura el router con las IPs: 180.10.47.253, 180.10.71.253,
180.10.99.253. Pon a cada PC la máscara adecuada. ¿Existe conectividad entre todos los PCs?
84
Subredes
PRÁCTICA Nº 37
Agrupando hosts
En las prácticas anteriores hemos visto como se pueden realizar subredes dividiendo el espacio
en bits asignado para hosts en dos campos: uno para subredes y otro para hosts.
Pero puede darse la situación inversa, es decir, supongamos que una empresa con 600
ordenadores tiene un router para salir a Internet según se muestra en la figura 18.1, y utiliza una IP del
tipo 192.168.x.y (recuerda que x representa el número de red, e y representa el número de ordenador
dentro de una red).
Figura 37.1
1.- Para la IP dada ¿Cuántas redes distintas podemos tener y cuantos ordenadores por red?.
¿Cuántos bits tendrá nuestra solución para red? ¿Existen subredes? ¿Cuántos bits has reservado para
indicar el número de ordenadores?
2.- Sin añadir ni quitar ningún dispositivo ¿Cómo solucionaría la situación de la figura anterior
para que todos los PCs se puedan conectar a Internet?
3.- ¿Cuántas redes se pueden formar? ¿Y subredes? ¿Y ordenadores dentro de cada red/subred?
4.- ¿Qué máscara de red se ha utilizado?
5.- Rellena la siguiente tabla:

IP
PC 1: 1ª IP utilizable
Router: Última IP utilizable
6.- En el caso de que pudieras modificar el diseño de nuestra red (añadiendo o eliminando
dispositivos), ¿qué cambiarías para que la máscara de red fuera la de por defecto (255.255.255.0) y
pudieran estar conectados entre sí los 600 ordenadores?
7.- Y si pudieras cambiar el tipo de IP sin modificar el diseño original, ¿Cuál pondrías a los
dispositivos?
85
Subredes
PRÁCTICA Nº 38
Calculadoras de subredes
En Linux existen varias aplicaciones que hacen la función de calculadora de subredes, por
ejemplo gip, ipcalc, y sipcalc. Instala la aplicación gip mediante el comando apt-get install gip, o
mediante el gestor de paquetes del sistema operativo (figura 1).
Figura 38.1
Figura 38.2
Introduce una dirección IP y una máscara, y la aplicación calculará la primera y última dirección
IP, número de subredes, número de máquinas en cada subred, dirección de la red, y dirección de
broadcast (figura 2).
Pulsa en la tercera pestaña “Calculador de subredes

IPv4” (figura 3). Para obtener todas las subredes de un
rango introduce las direcciones inicial y final, y la máscara.
Instala ipcalc, y teniendo como datos los del ejercicio

2, obtén la dirección de la red, máscara en decimal, IP del
primer y último ordenador, dirección de broadcast, y
número de host por subred.
Figura 38.3
86
Conexión a equipos remotos
Compartir recursos en Windows
La arquitectura de red de Microsoft utiliza los protocolos

SMB (Server Message Block o Bloque de Mensajes del OSI Microsoft
Servidor), NetBIOS (Network Basic Input/Output System), Aplicación
SMB
NetBEUI (NetBIOS Extended User Interface), y NDIS Presentación
(Network Driver Interface Specification) para el trabajo con Sesión NetBios
estaciones en redes de área local (tabla 1). Transporte
NetBEUI
Red
Estos protocolos son utilizados con el cliente para redes Enlace NDIS
Microsoft y con el servicio Compartir archivos e impresoras Físico Físico
para redes Microsoft, el cual permite acceder a recursos de Tabla 1
otras máquinas (carpetas compartidas, impresoras, discos
duros, etc.).
El protocolo SMB pertenece al nivel de aplicación, y es utilizado para transmitir las ordenes “copiar
carpeta”, “crear archivo”, “abrir documento”, etc. al nivel inferior NetBIOS de la arquitectura de
red de Microsoft.
El protocolo NetBIOS trabaja a nivel de sesión de la arquitectura OSI, encargándose de establecer la

sesión y mantener las conexiones. Puede trabajar sobre NetBEUI, TCP/IP, o SPX de Novell.
Utiliza los puertos 137, 138, y 139, y para saber si están activados basta utilizar el comando netstat -
an. Los servicios que ofrece pueden ser de cuatro tipos: Servicios Generales, Servicios de nombre,
Servicios de sesión, y Servicios de distribución de datagramas.
• Servicios de nombre: Cuando una máquina inicia una sesión debe anunciar su nombre en la
red.
• Servicios de sesión: Permite que dos estaciones intercambien información con control de
errores.
• Servicios de distribución de datagramas: Cuando se envían datos sin necesidad de haber
creado a priori una conexión entre las máquinas.
El protocolo NetBEUI trabaja a nivel de red (aunque sin encaminamiento por lo que sólo puede
conectar máquinas en el mismo segmento de red) y de transporte. Debido al gran auge de TCP/IP,
ya no se instala por defecto en las versiones actuales de los sistemas operativos de Windows (a partir
de XP), aunque sí se encuentra en el CD de instalación. El envío de la información de
administración y recursos compartidos se realiza por difusión.
NDIS es una interface de programación de aplicaciones (API) para tarjetas de red desarrollado por
Microsoft y 3Com.
87
PRÁCTICA Nº 39
Compartir archivos en Windows
1.- Comprueba que está instalado el protocolo NetBios en la máquina (figura 1). Si se quisiera
deshabilitar NetBios sobre TCP/IP se debe desmarcar la casilla de la figura 2.
Figura 39.2
Figura 39.1
2.- La identificación de un equipo se hace a través de un nombre de PC (con un máximo de 15

caracteres), y de un nombre para el grupo de trabajo (figuras 3 y 4).
3.- Para explorar la red se debe pulsar sobre “Mis sitios de red / Toda la red / y Grupo de Trabajo”
(figuras 5, 6, y 7).
88
Figura 39.6
Figura 39.5
Figura 39.7
4.- Puede ser que cueste bastante tiempo al sistema operativo acceder a los recursos compartidos que
tenga una máquina remota, para ello, en el caso de que se conozca su dirección IP se puede escribirla
en la ventana ejecutar, y se accederá a los contenidos casi inmediatamente (figura 8).
Figura 39.8
5.- Con el fin de poder establecer permisos a las carpetas que serán compartidas al resto de usuarios,
se debe desmarcar la última opción “Utilizar uso compartido simple” de Opciones de carpeta (figura
9).
6.- Crear una carpeta, pulsar sobre propiedades, pestaña Compartir, y dar un nombre al recurso
compartido (figura 10).
89
7.- Al pulsar sobre Aceptar se mostrará el icono de la carpeta con una mano (figura 11).
Figura 39.11
8.- Los permisos que se conceden a las cuentas de usuario se gestiona en la pestaña seguridad (figura
12). Pulsar sobre “Agregar”, escribir el nombre de la cuenta, pulsar sobre “Comprobar nombres”
para verificar que está correctamente escrito (figura 13), y luego elegir las tareas permitidas o
denegadas a esa cuenta.
Figura 39.13
Figura 39.12
9.- En el caso de haber puesto el símbolo $ inmediatamente detrás del nombre de la carpeta
compartida, ¿Qué habría sucedido? ¿Para que sirve?
10.- En la figura 14 se puede observar como el tráfico generado al acceder a un recurso compartido
utiliza el protocolo SMB que es encapsulado en TCP.
Figura 39.14
90
PRÁCTICA Nº 40
Escritorio remoto en Windows
El objetivo de la práctica es conectarse a un equipo remoto, y trabajar en él como si fuera un
equipo local, y estuviéramos sentados frente a él. Para ello se van a realizar los siguientes pasos:
1.- Crear una cuenta de usuario nueva en la máquina que se desea administrar remotamente
(ver figura 1). Esta cuenta será la que tendrán que usar los usuarios que se quieran conectar a este
equipo. Por ejemplo crearemos una cuenta denominada “conexion remota”.
Figura 40.1
2.- Hay que indicar al sistema operativo de la máquina que actuará como remota, que permita
que se le conecten usuarios. Esto se hace en Propiedades del sistema en la pestaña Remoto,
haciendo clic en “Permitir que los usuarios se conecten de manera remota a este equipo” (ver figura
2).
Figura 40.2
91
3.- Ahora hay que indicar quien tendrá acceso a la máquina, para ello se pulsa en “Seleccionar
usuarios remotos”, y luego en agregar (ver figuras 2, 3, y 4).
Figura 40.4
Figura 40.3
4.- Antes de pulsar en aceptar debemos comprobar que el

nombre escrito pertenece a un objeto reconocido. Para ello
pulsaremos en “Comprobar nombres” (ver figuras 4, y 5). Figura 40.5
5.- A partir de ahora se podrá conectar a esta máquina

el usuario “conexion remota” (comparar las figuras 3, y 6).
Figura 40.6
6.- Una vez que tenemos el equipo remoto configurado podemos conectarnos a él desde otro
equipo mediante la utilidad “Conexión a escritorio remoto” (ver figura 7).
Figura 40.7
92
7.- Indicaremos la dirección del equipo al que deseamos conectarnos, bien mediante su
dirección IP, o mediante su nombre si nuestra máquina sabe resolverlo (ver figura 8).
Figura 40.8
8.- Si pulsamos sobre el botón “Opciones” podremos cambiar diferentes parámetros como
introducir un login y password, modificar el entorno gráfico, etc. (ver figura 9).
Figura 40.9
9.- ¿Se puede conectar un usuario a un equipo remoto y que no se desconecte el usuario que
esta trabajando en él?
10.- ¿Qué programas existen en el mercado para poder realizar conexiones remotas? Describe
detalladamente cómo funciona uno cualquiera de ellos.
93
PRÁCTICA Nº 41
Acceder a Windows desde otros Sistemas Operativos:
Desde Linux: Rdesktop

Rdesktop es un cliente para Linux de código abierto que implementa el protocolo RDP para
servidores Windows. Se puede encontrar en la página http://www.rdesktop.org.
Para realizar la conexión con un equipo Windows tan sólo es necesario saber su dirección IP o el
nombre de dominio de la máquina de la siguiente manera:
rdesktop –a 8 –g 1200x900 –u Nombre_Usuario IP_equipo_Windows
La opción –a selecciona la bits de profundidad del color, -g para la resolución, -u para seleccionar el
nombre de la cuenta de usuario.
Desde Macintosh: Remote Desktop Connection
Desde la página de Web de Microsoft se puede descargar Remote Desktop Connection, que permite
realizar conexiones remotas a equipos Windows. De forma idéntica a Escritorio Remoto hay que
introducir la dirección IP del equipo con el que se quiere establecer la conexión (figura 1), nombre
del usuario, y contraseña (figura 2).
Figura 41.1
Figura 41.2
94
PRÁCTICA Nº 42
Servidor Telnet en Windows
Mediante la aplicación Telnet se puede manejar remotamente una máquina, de la misma forma que
lo haríamos sentados junto a ella. No tiene una interfaz gráfica, por lo que se deben escribir los
comandos como si estuviéramos en una consola.
Un problema que presenta es la seguridad, porque todo lo que se escriba viaja a través de la red en
texto plano, es decir sin codificar. Por ello, en el caso de que hubiera algún hacker escuchando el
tráfico entre las estaciones de la red, podría descubrir las contraseñas de las cuentas utilizadas.
Como es una comunicación entre un cliente y un servidor deberá existir en cada máquina el software
adecuado. En cualquier máquina se dispone de la aplicación Telnet que sirve para actuar como
cliente. En Windows está disponible desde la línea de
comandos en la consola del MS-DOS (figuras 1 y 2).
Figura 42.1
Figura 42.2
En el equipo servidor habrá que habilitar el servicio Telnet, en administrar mi PC (figura 3).
Haciendo doble clic o con el botón derecho se puede acceder a las propiedades para establecer un
arranque manual o automático (figura 4).
Figura 42.3
Figura 42.4
95
En la pestaña de “Iniciar sesión” se define el modo de autenticación. Puede ser con cualquiera de las
cuentas ya creadas en el sistema, o con una por defecto (figura 5). Antes de especificar una cuenta
es recomendable comprobar su existencia (figura 6), y que dicha cuenta tiene los privilegios de
conectarse de forma remota, ya que en caso contrario obtendremos un error como el de la figura 7.
Figura 42.6
Figura 42.5
Figura 42.8
Figura 42.7
Una vez arrancado el servicio en la máquina que actúa como servidor se puede probar su
funcionamiento. Para ello, desde la misma máquina hacer un Telnet a localhost (figura 9).
Figura 42.9
¿Qué protocolo ha sido utilizado en esta práctica? ¿Qué puerto es el usado por defecto?
96
PRÁCTICA Nº 43
UltraVNC
La popularidad del ADSL como método de conexión a Internet y el hecho del gran ancho de banda
de las líneas contratadas ha llevado consigo una revolución en las aplicaciones de control remoto, de
tal modo que existe una gran variedad de ellas, se pueden citar: UltraVNC, TeamViewer, Yuuguu,
NTRconnect, LogMeln, Laplink, Edebe Net, Tumbuktu, TightVNC, RealVNC, Xvnc, etc.
Generalmente hay que instalar un cliente y un servidor, y están desarrolladas para evitar configurar
los puertos del router.
Según sea la aplicación servidora podrá conectarse a un servidor intermedio o mantendrá un puerto
abierto a la espera de que alguien se conecte. Las aplicaciones cliente pueden realizar la conexión a
través de páginas Web mediante java o activex, o bien utilizar una aplicación específica.
VNC es un software libre que permite conectarse a una máquina que actúa como servidor desde una
máquina cliente para poder manejarla independientemente de su sistema operativo. Las siglas VNC
significan Virtual Network Computing (Computación en Red Virtual) que transmite los eventos de
ratón y teclado del cliente al servidor, y las áreas de la pantalla que van cambiando.
En esta práctica se va a instalar el servidor y clientes de RealVNC en equipos Windows, Macintosh

y Linux.
1.- Instala VNC Server en un equipo Windows XP o Server

2003/8. Observa como se puede parar el servicio, desconectar a
usuarios, y obtener información de su estado desde el menú que
aparece al pulsar sobre el icono de la barra de tareas (figura 1).
Pulsar en Configure de la ventana de VNC Server Status (figura
2) para seleccionar el método de autenticación y otras preferencias
(figura 3).
Figura 43.3
2.- En la pestaña Authentication se puede optar por utilizar como método de autenticación las
cuentas del sistema de Windows, o un password determinado (figura 4), o bien optar por no poner
ningún tipo de control de acceso. Una vez definido el método de autenticación se puede configurar
(figura 5).
Figura 43.4
97
Figura 43.5
Figura 43.6
3.- Pulsando en la pestaña Advanced se puede configurar el número de puerto, si está permitido el
acceso como invitado, eventos que se desea sean transmitidos de una máquina a otra, portapapeles
compartido, resolución, etc.
4.- Instala el VNC Viewer en una máquina Windows cliente. Ejecútalo, e indica la IP de la máquina
con la que se deseas conectar (figura 7).
Figura 43.7
5.- Haz diferentes pruebas utilizando todos los métodos de autenticación que ofrece el programa.
6.- ¿Qué diferencias has encontrado entre utilizar el escritorio remoto de Windows y RealVNC?
7.- En Ubuntu y en Macintosh es más sencillo todavía porque no hay que instalar nada. Para
configurar la máquina como servidor en un Ubuntu debes ir a Sistema Preferencias  Escritorio
remoto (figura 43.8). En la pestaña avanzado tienes otras opciones a configurar (figura 9).

98
8.- Prueba a conectarte al servidor Ubuntu desde un equipo Windows o Macintosh utilizando el
VNC Viewer.
En la figura 10 se puede observar el escritorio de un Mac que tiene una máquina virtual ejecutando
el Ubuntu (lado derecho de la figura), y como desde el Mac utilizando el VNC Viewer (lado
izquierdo de la figura) se está escribiendo un comando en la consola y aparece reflejado en el
escritorio del Linux.
Figura 43.10
Observa como aparece un icono en el lado derecho de la barra superior del escritorio Ubuntu cada
vez que se encuentra conectado un usuario. ¿Lo tienes identificado? ¿Qué sucede si varios usuarios
se conectan a la vez a un mismo servidor y cada uno mueve el ratón en una dirección?
9.- Ahora debes utilizar el Visor de escritorios remotos que se

encuentra en Aplicaciones  Internet para conectarte a una
máquina Windows y poder controlarla (figura 11).
10.- En el caso de tener un Macintosh configúralo como servidor

en preferencias  compartir  escritorio.
11.-Prueba TightVNC disponible en la dirección

http://www.tightvnc.com (o cualquier otro programa de los
anteriormente citados,) y compáralo con RealVNC.
Figura 43.11
99
Routers CISCO
Introducción al lenguaje CLI de Cisco

Cuando un router Cisco se inicia, comprueba el correcto funcionamiento de todos sus
módulos para posteriormente cargar el bootstrap, el sistema operativo, y el archivo de
configuración. Para poder configurar un router Cisco será necesario conectarlo, a
través del puerto consola, a un PC mediante un cable cruzado, y abrir una sesión
utilizando el programa Hyperterminal. Los parámetros de configuración son 9600
baudios, 8 bits de datos, sin paridad, 1 bit de parada, y sin control de flujo.
Para entrar en el modo privilegiado, y así acceder a todos los menús, se debe utilizar el
comando enable, de esta forma el prompt cambiará a #. La ayuda se obtiene con el
signo de interrogación ?. En cualquier momento se puede obtener un listado de los
parámetros de configuración y sus valores utilizando el comando show running-config.
El comando configure terminal hay que teclearlo para poder modificar los parámetros
del router utilizando el terminal de consola.
Para modificar el nombre del router:
Router (config)# hostname nombre_nuevo
Para configurar una interfaz serial se debe habilitar el reloj en uno de los lados:
Router (config)# interface serial 0/0

Router (config-if)# clockrate 56000
Router (config-if)# no shutdown
Para configurar una interfaz FastEthernet:
Router (config)# interface FastEthernet 0/0

Router (config-if)# ip address 192.168.1.254 255.255.255.0
Para introducir una ruta estática:
Router (config)# ip route dirección_IP_destino Máscara Siguiente_host
Para configurar la ruta predeterminada:
Router (config)# ip route 0.0.0.0 0.0.0.0 Siguiente_host
Para configurar un enrutamiento dinámico se debe indicar la interfaz (o interfaces) a

través de la cual se recibirán y enviarán actualizaciones:
Router (config)# router RIP / IGRP / EIGRP

Router (config-router)# network IP_de_la_red
Para visualizar la tabla de enrutamiento se puede utilizar el comando: show ip route.
Una vez terminado de configurar el router es conveniente volcar el contenido de la

RAM a la NVRAM mediante el comando copy running-config startup-config.
100
Routers CISCO
PRÁCTICA Nº 44
Configuración de un router Cisco mediante CLI
1. Realiza el siguiente esquema:
Figura 44.1
2. Pon las siguientes IPs a los PCs:
PC0: 192.168.1.10 GW 192.168.1.1

PC1: 192.168.1.11 GW 192.168.1.1
PC2: 192.168.2.20 GW 192.168.2.1
3. Desde PC0 conéctate al router por la consola, esto se hace desde la pestaña Desktop
como se puede observar en las figuras 2 y 3. Mediante comandos CLI configura el
nombre del router como Badajoz, establece la contraseña a class, y las interfaces
fastethernet. Acuérdate de salvar la configuración del router a la memoria flash.
4. Para comprobar la conectividad haz un ping de PC1 a PC2.
5. Una vez conseguido que funcione correctamente en la simulación, realiza la práctica

con dispositivos reales.
101
Routers CISCO
PRÁCTICA Nº 45
Enrutamiento estático en routers CISCO
1. Realiza el siguiente esquema:
Figura 45.1
2. Configura los PCs con la IP, puerta de enlace y máscara indicada.
3. Para configurar el nombre y la IP de cada interface

de los routers mediante comandos CLI te conectarás
a cada router mediante su puerto de consola desde
un PC que tu elijas de la misma forma que has
hecho en la práctica anterior (ver figura 2).
Recuerda salvar la configuración del router a la

memoria flash después de cualquier cambio. Figura 45.2
4. Rellena las siguientes tablas de encaminamiento:
Router Monflorite
Red de destino Máscara Siguiente puerto
Router Calatayud
102
Routers CISCO
Router Calamocha
5. Mediante comandos CLI introduce las rutas correspondientes en cada uno de los
routers (ver figura 3). Comprueba que están bien introducidas con el comando
“show ip route”. Recuerda que es conveniente grabar los cambios a la NV-
RAM una vez hayas terminado de configurar cada router.
6. Haz un ping: de PC0 a PC2, de PC0 a PC4, de PC3 a PC5. ¿Se conseguido
realizar correctamente?
7. Modifica el diseño de la red para incorporar una salida a Internet a través del
router Calamocha según se muestra en la figura 4. Mediante comandos CLI
configura la ruta por defecto en cada router.

Router 1 0.0.0.0
Router 2 0.0.0.0
Router 3 0.0.0.0
8. Haz un ping de PC1, PC3, y PC5 a Internet. ¿Se conseguido realizar

correctamente?
9. Una vez que te funcione todo correctamente en la simulación, ayudado por tus
compañeros realiza el montaje con los dispositivos reales.
103
Routers CISCO
PRÁCTICA Nº 46
Enrutamiento dinámico RIP
1.- Desactiva en la lista de eventos del modo

simulación todos los tipos excepto ARP, ICMP, y
RIP (ver figura 1).
Figura 46.1
2.- Realiza el siguiente esquema:
Figura 46.2
3.- Desde el Terminal de cada PC (en la pestaña Desktop) configura los routers
mediante comandos CLI con los siguientes datos:
Nombre IP Serial 0 IP Serial 1 IP Serial 2 IP Ethernet

Router 0 Soria 172.16.0.1 172.19.0.1 172.20.0.1
Router 1 Teruel 172.16.0.2 172.17.0.2 172.24.0.1 172.21.0.1
Router 2 Almería 172.18.0.1 172.17.0.1 172.22.0.1
Router 3 Valladolid 172.18.0.2 172.19.0.2 172.24.0.2 172.23.0.1
4.- Configura los PCs con la IP, máscara de red, y puerta de enlace que consideres
adecuada. Con estos datos rellena la siguiente tabla.
IP Máscara de red Puerta de enlace

PC 0
PC 1
PC 2
PC 3
104
Routers CISCO
5.- Mediante comandos CLI activa el enrutamiento dinámico RIP en cada router.
6.- ¿Cuántas redes existen? Con el comando show ip route visualiza el contenido de la
tabla de enrutamiento de un router. Describe la tabla de enrutamiento dinámico que ha
generado cada router. ¿Qué significa la primera letra de cada línea (C, R,…)?
7.- ¿Cuántos caminos diferentes hay desde PC0 a PC1?. Haz varios pings de PC0 a
PC1. Describe el/los camino/s que han seguido los paquetes. ¿Han ido todos los
paquetes por el mismo camino? ¿Por qué si/no?
8.- Elimina el camino que han seguido los paquetes en el ejercicio anterior, y vuelve a
hacer el mismo ping (ver figura 3). ¿Qué camino han seguido ahora? ¿Por qué?
Figura 46.3
9.- En el router 0 (Soria) ejecuta el comando “Soria# debug ip rip”. ¿Para qué sirve
este comando?. Explica lo que muestra por pantalla.
10.- Realiza esta práctica con los dispositivos reales que dispongas.
105
Routers CISCO
PRÁCTICA Nº 47
Enrutamiento dinámico EIGRP
1.- Desactiva en la lista de eventos del modo
simulación todos los tipos excepto ARP, ICMP, y
EIGRP (ver figura 1).
2.- Realiza el siguiente esquema: Figura 47.1
Figura 47.2
3.- Desde el Terminal de cada PC configura los routers mediante comandos CLI con los
siguientes datos:

Router 0 Soria 172.16.0.1 172.19.0.1 172.20.0.1
Router 1 Teruel 172.16.0.2 172.17.0.2 172.24.0.1 172.21.0.1
Router 2 Almería 172.18.0.1 172.17.0.1 172.22.0.1
Router 3 Valladolid 172.18.0.2 172.19.0.2 172.24.0.2 172.23.0.1
4.- Configura los PCs con la IP, máscara de red, y puerta de enlace que consideres
adecuada. Con estos datos rellena la siguiente tabla.
IP Máscara de red Puerta de enlace

PC 0
PC 1
PC 2
PC 3
5.- Mediante comandos CLI activa el enrutamiento dinámico EIGRP en cada router.
6.- Verifica que EIGRP esta funcionando con el comando “show ip protocol”.
7.- Comprueba los paquetes de enrutamiento con el comando “debug eigrp packets”.
8.- ¿Qué parámetros se pueden observar al ejecutar “show ip route 172.23.0.0”.
9.- Realiza un ping de PC0 hacia los otros ordenadores. ¿Se realiza correctamente?
106
Routers CISCO
PRÁCTICA Nº 48
Balanceo de cargas entre varias rutas
1.- Realiza el esquema de la figura 1. Según el modelo de router que hayas escogido
puede que necesites añadir más interfaces serial (ver figura 2).
Figura 48.1
Figura 48.2
2.- Configura los routers de la siguiente forma mediante comandos CLI:

Router 0 Zamora 172.24.0.1 172.25.0.1 172.26.0.1 172.23.0.1
Router 1 Pontevedra 172.24.0.2 172.25.0.2 172.26.0.2 172.27.0.1
3.- Configura cada PC con una IP, máscara, y puerta de enlace:
IP Máscara Puerta de enlace

PC 0
PC 1
PC 2
4.- Activa el enrutamiento RIP en cada router.
5.- Ejecuta el comando “show ip interface” en el router Zamora. ¿Qué muestra este
comando?
6.- Ejecuta el comando “show ip route 172.27.0.0” en el router Zamora. ¿Tienen la

misma métrica las diferentes rutas hacía el router Pontevedra? ¿Se distribuirá por igual
el número de paquetes entre las diferentes rutas al hacer balanceado de carga?
107
Routers CISCO
7.- El software Cisco IOS soporta dos métodos de balanceo de carga: balanceo de carga
por paquete, y balanceo de carga por destino.
Configura cada router para balancear la carga por paquete. Esto se hace
activando el método de conmutación “process switching” mediante el
comando “no ip route-cache”. Puedes utilizar el comando “show ip interface”
para verificarlo.
Para comprobarlo envía 9 paquetes ping desde el PC2 al PC0. ¿Qué comando
tienes que escribir para realizar este ping?. Observa este proceso mediante el
comando “debug ip packet” en el router Zamora (router conectado al PC
destino de los paquetes). Para detener la depuración escribe “undebug all”.
8.- Con el balanceo de carga por destino todos los paquetes dirigidos a un host
específico tomarán el mismo camino. Los paquetes dirigidos a hosts distintos en la
misma red pueden usar una ruta alternativa, es decir, el tráfico se balancea de acuerdo al
destino.
Configura cada router para balancear la carga por destino. Esto se hace
activando el método de conmutación “fast switching” (método por defecto)
mediante el comando “ip route-cache”. Puedes utilizar el comando “show ip
interface” para verificarlo.
Para comprobarlo envía 6 paquetes ping desde el PC1 al PC0, y 6 paquetes

ping desde el PC2 al PC0 de forma simultánea, o bien unos después de los
otros. Observa este proceso de la misma forma que en el caso anterior. ¿A
través de que interface se han enviado los paquetes?
108
Routers CISCO
PRÁCTICA Nº 49
Configuración de varias IP a una interfaz
1.- Con los equipos que dispongas monta el esquema de la figura 27.1.
Los equipos PC0, PC1, y PC2 pertenecerán a la red 192.168.1.0, y los equipos PC2,
PC3, y PC4 pertenecerán a la red 192.168.2.0.
Por lo tanto, el equipo PC2 estará en ambas redes, para ello o tiene dos tarjetas de red, o
si tiene sólo una habrá que ponerle dos IPs (lo cual va a ser nuestro caso).
IP
PC0 192.168.1.1/24
PC1 192.168.1.2/24
PC2 192.168.1.3/24
192.168.2.3/24
PC3 192.168.2.2/24
PC4 192.168.2.1/24
Figura 49.1
2.- Para configurar las dos IPs en PC2 selecciona “Opciones avanzadas” en propiedades
de protocolo de Internet (ver figura 2). En “Configuración avanzada” se agregará la
segunda IP (ver figuras 3 y 4).
Figura 49.2 Figura 49.3 Figura 49.4
3.- Haz los siguientes pings:
desde hacia: describe lo que sucede

PC0 PC1
PC0 PC2
PC0 PC3
PC3 PC2
109
Routers CISCO
4.- Para que exista conectividad entre la red

1 y 2 conecta un router tal y como se
muestra en la figura 5.
El router se encuentra en la misma situación

que PC2, es decir, va a pertenecer a ambas
redes.
Configura los dispositivos de acuerdo a los

datos de la siguiente tabla:
Figura 49.5
IP Puerta de enlace
PC0 192.168.1.1 192.168.1.254
PC1 192.168.1.2 192.168.1.254
PC2 192.168.1.3 192.168.1.254
192.168.2.3 192.168.2.254
PC3 192.168.2.2 192.168.2.254
PC4 192.168.2.1 192.168.2.254
Router 192.168.1.254/24
192.168.2.254/24
5.- Para configurar el router hay que escribir los siguientes comandos:
Router>enable
Router#configure terminal
Router (config)#interface fastethernet 0/0

Router (config-if)# ip address 192.168.1.254 255.255.255.0
Router (config-if)# exit
Router (config)#interface fastethernet 0/0

Router (config-if)# ip address 192.168.2.254 255.255.255.0 secondary
Router (config-if)# exit
Con el comando “show running-config” podrás ver si la interface tiene las dos Ips.
6.- Para comprobar que has configurado correctamente el router desde cualquier PC haz
ping a las dos IPs de la interface FastEthernet del router. ¿Hay conectividad?
7.- ¿Qué comando tienes que ejecutar para ver la tabla de encaminamiento en el router?
8.- Describe el camino que sigue un ping desde PC0 a 192.168.1.3, y a 192.168.2.3.
110
Routers CISCO

PC4 PC2
PC4 PC1
PC4 Internet
10.- Sustituye el equipo PC2 que utilizaba un sistema operativo Windows, por una
máquina que utilice Linux. Configura las IPs de la siguiente forma:
# ifconfig eth0 192.168.1.3 netmask 255.255.255.0

# ifconfig eth0:1 192.168.2.3 netmask 255.255.255.0
# route add default gw 192.168.1.254
Si quisiéramos cambiar la IP de forma permanente editaríamos el fichero

/etc/network/interfaces. Si quisiéramos reiniciar el servicio de red deberíamos escribir:
# /etc/init.d/network restart

PC0 PC2
PC3 PC2
PC4 PC1
PC2 Internet
111
Routers CISCO
PRÁCTICA Nº 50
Borrado y recarga de un router CISCO
1.- Entre al modo EXEC privilegiado escribiendo enable. Si pide una contraseña,
introduce class. Si “class” no funciona, pregunta al administrador de la red.
Router>enable
2.- Borrado de la configuración:
Router#erase startup-config
Preguntará si estas seguro:
Erasing the nvram filesystem will remove all files! Continue?

[confirm]
Presiona Intro para confirmar. Borrará la NVRam.
Erase of nvram: complete
3.- Cargaremos la configuración por defecto:
Router#reload
Preguntará si queremos guardar la configuración actual.
System configuration has been modified. Save? [yes/no]:

Escribe n e Intro.
Preguntará si estas seguro:
Proceed with reload? [confirm]
Presiona Intro para confirmar.
4.- Una vez que el router se recargue podremos modificar la configuración.
Would you like to enter the initial configuration dialog? [yes/no]:
Escribe n y luego Intro.
Press RETURN to get started!

Presiona Intro.
5.- Y podremos empezar a utilizarlo.
112
Routers CISCO
PRÁCTICA Nº 51
Servidor DHCP
Generalmente son los routers los encargados de dar direcciones IP a aquellos equipos
que no poseen alguna dirección configurada de forma manual, de este modo los routers
han de soportar también la función de servidores DHCP. Si bien se verá más
detalladamente este servicio en las prácticas de I.I.S. y de servicios en Linux presentes
en el libro Prácticas de Servicios en Red, en esta práctica se va a plantear cómo
configurar un router Cisco, para ello se debe introducir los siguientes comandos:
Router(config) # service dhcp

Router(config) # ip dhcp pool Servidor_IP
Router(dhcp-config) # network 192.168.2.0 255.255.255.0
Router(dhcp-config) # default-router 192.168.2.1
Router(dhcp-config) # dns-server 192.168.2.2
Router(dhcp-config) # domain-name Nombre_del_dominio
Router(dhcp-config) # netbios-name-server 192.168.2.3
Router(dhcp-config) # lease 1 2 3
Router(dhcp-config) # exit
Router(config) # ip dhcp excluded-address 192.168.2.10
Con los comandos anteriores se ha indicado:
.- Se activa el servidor DHCP

.- Define el nombre del servidor
.- Establece el rango de IPs de la red que podrá servir
.- Define la puerta de enlace
.- Define el /los servidores de nombres DNS
.- Indica el nombre del dominio
.- Indica la dirección del servidor de nombres de Windows Netbios.
.- Establece el tiempo en el que caducarán las concesiones ( 1 hora, 2 minutos, y 3 seg).
.- Se indica las direcciones dentro del rango que no se desea sean concedidas.
Con el comando show ip dhcp server se muestra información de todas las direcciones
asignadas de forma dinámica a los clientes.
Configurar un router Cisco de la forma indicada, y comprobar cómo los dispositivos

que se conectan al router y solicitan una IP la reciben adecuadamente.
113
A.C.L.
Listas de Control de Acceso (ACL)

Los administradores de red deben buscar maneras de impedir el acceso no autorizado a la red.
Los routers ofrecen funciones del filtrado básico de tráfico, como el bloqueo del tráfico de Internet,
mediante el uso de las listas de control de acceso (ACLs). Una ACL es una lista secuencial de
sentencias de permiso o rechazo que se aplican a direcciones o protocolos de capa superior
Las ACL pueden ser tan simples como una sola línea destinada a permitir paquetes desde un host
específico o pueden ser un conjunto de reglas y condiciones extremadamente complejas que definan el
tráfico de forma precisa y modelen el funcionamiento de los procesos de los routers.
Las ACL son listas de condiciones que se aplican al tráfico que viaja a través de la interfaz del router.
Estas listas le informan al router qué tipo de paquetes aceptar o rechazar. El router examina cada
paquete y lo enviará o lo descartará, según las condiciones especificadas en la ACL. Algunos de los
puntos de decisión de ACL son direcciones origen y destino, protocolos y números de puerto.
Para controlar el flujo de tráfico en una interfaz, se debe definir una ACL para cada protocolo
habilitado en la interfaz.
Las ACL controlan el tráfico en una dirección por vez, en una interfaz. Se necesita crear una ACL por
separado para cada dirección, una para el tráfico entrante y otra para el saliente. Finalmente, cada
interfaz puede contar con varios protocolos y direcciones definidas. Si el router tiene dos interfaces
configuradas para IP, AppleTalk e IPX, se necesitan 12 ACLs separadas.
El orden en el que se ubican las sentencias de la ACL es importante. El software Cisco IOS verifica si
los paquetes cumplen cada sentencia de condición, en orden, desde la parte superior de la lista hacia
abajo. Una vez que se encuentra una coincidencia, se lleva a cabo la acción de aceptar o rechazar.
Si todas las sentencias ACL no tienen coincidencias, se coloca una sentencia implícita que dice deny
any (denegar cualquiera) en el extremo de la lista por defecto. Aunque la línea deny any no sea
visible como última línea de una ACL, está ahí.
Las ACL se crean en el modo de configuración global. Existen varias clases diferentes de ACLs:
estándar, extendidas, IPX, AppleTalk, entre otras. Cuando configure las ACL en el router, cada ACL
debe identificarse de forma única, asignándole un número. Este número identifica el tipo de lista de
acceso creado y debe ubicarse dentro de un rango específico de números que es válido para ese tipo de
lista.
Protocolo Intervalo
IP 1-99. 1300-1999
IP extendido 100-199, 200-2699
Apple Talk 600-699
IPX 800-899
IPX extendido 900-999
114
A.C.L.
El usuario introduce sentencias de lista de acceso utilizando el comando access-list, seguida de los
parámetros necesarios. Estando en el modo de comandos adecuado y definido el tipo de número de
lista. El segundo paso consiste en asignar la lista a la interfaz apropiada. Usando el comando ip
access-group
Al asignar una ACL a una interfaz, se debe especificar la ubicación entrante o saliente. Una lista de
acceso entrante filtra el tráfico que entra por una interfaz y la lista de acceso saliente filtra el tráfico
que sale por una interfaz.
Una ACL no puede ser alterada. Se debe borrar utilizando el comando no access-list list-number y
entonces proceder a recrearla.
En la figura siguiente se muestra un ejemplo de una lista de acceso.
Router(config)# access-list 4 deny 192.168.1.4

Router(config)# access-list 4 permit 192.168.1.0 0.0.0.255
Router(config)# interface e1
Router(config-if)# ip access-group 4 in
Función de la máscara wildcard
Una máscara wildcard es una cantidad de 32-bits que se divide en cuatro octetos. Las máscaras
wildcard no guardan relación funcional con las máscaras de subred. Las máscaras de wildcard usan
unos y ceros binarios para filtrar direcciones IP individuales o en grupos, permitiendo o rechazando el
acceso a recursos según el valor de las mismas. El resultado de la dirección IP y de la máscara debe
ser igual al valor de concordancia de la ACL.
Router (config) # access-list 1 permit 0.0.0.0 255.255.255.255

También se puede escribir como
Router (config) # access-list 1 permit any
Router (config) # access-list 1 permit 192.168.1.2 0.0.0.0

También se puede escribir como
Router (config) # access-list 1 permit host 192.168.1.2
La opción any reemplaza la dirección IP con 0.0.0.0 y la máscara wildcard por 255.255.255.255. La
máscara 0.0.0.0 reemplaza la opción host.
El comando show access-lists muestra el contenido de todas las ACL en el router. Para ver una lista
específica, agregue el nombre o número ACL como opción a este comando.
Si no hay máscara wildcard se utiliza la máscara por defecto, que es la 0.0.0.0.
Router(config)#access-list access-list-number {deny | permit | remark} source [source-wildcard ] [log]
115
A.C.L.
Cada remark está limitado a 100 caracteres. Es mucho mas fácil leer un comentario acerca de un
comando para entender sus efectos, así como sigue:
access-list 1 remark Sólo se permite el acceso a la estación a Juan.
La forma no de este comando se utiliza para eliminar una ACL estándar. Ésta es la sintaxis:
Router(config)# no access-list access-list-number
El comando ip access-group relaciona una ACL existente a una interface:
Router(config)#ip access-group {access-list-number | access-list-name} {in | out}
ACL extendidas
Las ACL extendidas se utilizan con más frecuencia que las ACL estándar porque ofrecen un mayor
control. Las ACL extendidas verifican las direcciones de paquetes de origen y destino, y también los
protocolos y números de puerto.
access-list 114 permit tcp 192.168.5.0 0.0.0.255 any eq telnet
Las operaciones lógicas pueden especificarse como igual (eq), desigual (neq), mayor a (gt) y menor a
(lt) aquéllas que efectuarán las ACL extendidas en protocolos específicos. Las ACL extendidas
utilizan el número de lista de acceso entre 100 y 199 El comando ip access-group enlaza una ACL
extendida existente a una interfaz.
Router(config-if)#ip access-group access-list-number {in | out}
ACL nombradas
Las ACL nombradas IP se introdujeron para permitir que las ACL extendidas y estándar tuvieran
nombres en lugar de números. Una ACL nombrada se crea con el comando ip access-list.
ip access-list { extended | standard } nombre
116
A.C.L.
PRÁCTICA Nº 52
Listas de Control de Acceso estándar (1)
Figura 52.1
2.- Configura el nombre del router como London, y la FastEthernet 0/0 del router con las IPs
192.168.14.1 y 192.168.25.1. PC0 y PC1 tendrán las siguientes IP disponibles de la red 14 (no es
necesario GW), y PC2 la IP 192.168.25.2.
3.- Realiza un ping desde los PCs al Router. ¿Se han realizado correctamente?
4.- Crea una lista de acceso en el router que impida el acceso a FastEthernet 0 desde la red
192.168.14.0. Comprueba que ha sido correctamente introducida con “show running-config”.
6.- Borra la lista creada, y crea otra lista de acceso que impida que los hosts con números pares
de la red 14 hagan ping, pero permita los host con número impar.
117
A.C.L.
PRÁCTICA Nº 53
Listas de Control de Acceso estándar (2)
Figura 53.1
Figura cc.1
2.- Configura los dispositivos con los siguientes datos:
PC Dirección IP Máscara GW
0 192.168.1.2 /24 192.168.1.1
1 192.168.1.3 /24 192.168.1.1
2 192.168.3.2 /24 192.168.3.1
3 192.168.3.3 /24 192.168.3.1
Router Nombre Dirección Dirección Dirección

FastEthernet Serial Internet
0 Oslo 192.168.1.1/24 192.168.2.1/24 172.16.1.1/16
1 Paris 192.168.3.1/24 192.168.2.2/24 -
3.- Activa el enrutamiento RIP en los routers, y comprueba la conectividad entre todos los
dispositivos. En caso de que no sea así repasa la configuración, y resuelve el problema.
4.- Se desea limitar el acceso de la estación 2 únicamente a su red local, para ello crear una
ACL estándar que filtre a base de la dirección origen a cualquier destino. ¿Qué contiene esa ACL?
¿En qué router la aplicas?
5.- Comprueba que ha sido correctamente editada con el comando show ip access-lists, y
correctamente asignada a la interface con el comando show ip interface.
118
A.C.L.
6.- Comprueba que la ACL funciona correctamente realizando los siguientes pings:
Origen / Destino Existe conectividad: SI / NO

Del PC 2 a PC 3
Del PC 2 a PC 0
Del PC 2 a Oslo
Del PC 2 a Internet
Del PC 3 a PC 0
Del PC 3 a Internet
7.- Escribe una lista de acceso que sólo sea PC0 quien pueda hacer ping a la red 192.168.3.0
119
A.C.L.
PRÁCTICA Nº 54
Listas de Control de Acceso extendido
Figura 54.1
2.- Configura el nombre del router como Roma, y la FastEthernet 0/0 del router con la IP
192.168.10.1. Los PCs tendrán las siguientes IP disponibles de esa red (no es necesario GW).
3.- Vamos a simular el envío desde el PC0 de un paquete generado por una aplicación de FTP al
router. Para poder visualizar correctamente el resultado filtra los paquetes permitidos únicamente a
ARP y TCP según se muestra en la figura 31.2.
Figura 54.2
Para ello selecciona “Añadir PDU compleja” según

se muestra en la figura 31.3. Haz clic sobre PC0, y se
abrirá una ventana. Rellena los campos según se muestra
en la figura 31.4.
Figura 54.3
Figura 54.4
120
A.C.L.
4.-¿Se ha enviado correctamente el paquete? ¿Y recibido contestación? (Ver figuras 31.5 y 31.6)
En el caso de que la versión de la aplicación que utilizas en la simulación no responda a este tipo
de paquetes puedes continuar con el siguiente apartado.
Figura 54.6
Figura 54.5
5.- Rellena la siguiente tabla con los números de puerto que normalmente usan las siguientes
aplicaciones:
Aplicación Nº de puerto TCP

DNS
HTTP
HTTPS
FTP
IMAP
TELNET
SNMP
6.- Crea una lista de acceso que impida el acceso al puerto utilizado en el apartado tercero (en
caso de haber tenido algún problema en el apartado tercero, aquí puedes filtrar icmp) desde la red
192.168.10.0, y aplícala a la interfaz FastEthernet 0 de entrada.
En la figura 31.7 se puede ver

lo que sucede cuando el paquete
llega al router. Se puede observar
como el paquete es desechado porque
no cumple con las condiciones
impuestas en la ACL con número
101.
Figura 54.7
121
A.C.L.
7.- Haz un ping desde uno de los PCs al router. ¿Se consigue realizarlos? ¿Por qué si/no? ¿Te
has acordado de desactivar el filtro ICMP que activaste en el apartado 3?
Figura 54.8
8.- Vuelve a crear una ACL en el router que impida responder a los pings.
9.- Realiza el montaje con dos ordenadores y un router CISCO, pero esta vez el protocolo a
utilizar será el del http, es decir, el 80. Para permitir el acceso http puedes utilizar el comando “ip http
server” en el modo de configuración global del router, y para comprobar si están abiertos los puertos
puedes utilizar un explorador.
10.- Crea una lista de acceso que impida únicamente el acceso al puerto 80 desde el ordenador
PC0.
11.- Comprueba que responde a los pings el router. Añade a la lista anterior una línea que impida
responder a los pings.
122
A.C.L.
PRÁCTICA Nº 55
DMZ con Listas de Control de Acceso
Se pretende simular una configuración típica de una empresa que tiene unos servidores Web
(Servidor Web Oficina) donde anuncia sus productos gracias a Internet, pero también quiere proteger
sus ordenadores (Red Oficina) ante la acción de piratas informáticos.
Para ello ha dispuesto un router (denominado AP) que hace la función de punto de acceso a
Internet, y discrimina entre el tráfico que tiene que ir a la red de la oficina y el que está dirigido al
Servidor Web por páginas solicitadas por usuarios de Internet.
También se ha colocado un segundo router denominado Cortafuegos, que impide el acceso a los
ordenadores de la oficina desde el exterior.
Figura 55.1
2.- Configura los PCs y routers de la siguiente forma:
Nombre IP Gateway
Servidor Web en la WAN 156.20.30.40 /16 156.20.0.1
PC en la WAN 156.20.76.87 /16 156.20.0.1
Servidor Web oficina 192.168.5.5/24 192.168.5.1
PC de Secretaría 192.168.6.6/24 192.168.6.1
Nombre FastEthernet 0 FastEthernet 1 Serial 0

ISP 156.20.0.1 178.80.34.56
AP 192.168.5.1 178.80.84.22
Cortafuegos 192.168.6.1 192.168.5.2
3.- Comprueba que existe conectividad entre todos los dispositivos del esquema, para ello
deberás activar un protocolo de enrutamiento en los routers.
123
A.C.L.
4.- Realiza una/s ACL en el router Cortafuegos de tal forma que el ordenador secretaría sólo
pueda acceder al servidor Web de la oficina, pero si puede recibir y enviar pings a Internet. ¿Qué tipo
de ACL es necesaria (estándar o extendida)? ¿A qué interfaz vas a asociar la/s ACL? ¿Por qué? ¿Qué
líneas contiene/n la/s ACL?
Comprueba desde un PC en la WAN que existe

conectividad mediante ICMP con los ordenadores dentro de
la red de la oficina, y con el servidor (llegan los pings), y en
dirección contraria (desde el ordenador secretaría a un PC de
la WAN).
Comprueba desde un PC en la WAN que no existe

conectividad mediante TCP con los ordenadores dentro de la
red de la oficina, pero si con el servidor. Para ello
selecciona “Añadir PDU compleja”. Rellena los campos
según se muestra en la figura 32.2.
Figura 55.2
5.- En la figura 32.3 se puede observar que el PC de secretaría (192.168.6.6) ha intentado hacer
un ping a un PC en la WAN (156.20.76.87), sin embargo el router Cortafuegos ha rechazado ese
paquete. ¿Qué cambiarías en la/s ACL del apartado anterior para que los ordenadores de la oficina no
puedan enviar ni recibir pings?
Figura 55.3
6.- Se desea que los ordenadores de la oficina puedan conectarse a los servidores Web de
Internet, para ello se abrirá el puerto 80 del router cortafuegos. ¿Qué regla deberías añadir?.
Comprueba que existe conectividad desde un PC de la oficina creando una PDU compleja con
aplicación http, y puerto 80. Sí cambias el puerto a la PDU creada ¿existe conectividad?
124
VLAN
VLAN (LAN VIRTUALES)
Las VLANs proveen seguridad, segmentación, flexibilidad, y permiten agrupar usuarios

de un mismo dominio de broadcast con independencia de su ubicación física en la red.
Usando la tecnología VLAN se pueden agrupar lógicamente puertos del switch y los
usuarios conectados a ellos en grupos de trabajo.
El rendimiento de la red se ve mejorado al no propagarse las difusiones de un segmento

a otro.
Figura 1
Las tramas enviadas tienen que ser identificadas con el propósito de saber a que vlan
pertenecen. A medida que las tramas salen del switch son etiquetadas para indicar a qué
vlan corresponden, esta etiqueta es retirada una vez que entra en el switch de destino
para ser enviada al puerto vlan correspondiente.
Un puerto del switch que pertenece a una vlan se llama “puerto de acceso”, y el puerto
que transmite información a otro switch o router se denomina “puerto troncal”. El
protocolo utilizado es el 802.1Q también conocido como Dot1q.
Figura 2
125
VLAN
El proceso de configuración de una VLAN debe seguir los siguientes pasos:
1. Numerar la VLAN
2. Nombrar la VLAN
3. Asociar los puertos a la VLAN creada.
En los switch de Cisco se realizaría de la siguiente forma:
Switch#vlan database
Switch(vlan)#vlan [número] name [nombre]
Switch(vlan)#exit
Switch(config)#interface fastethernet slot / número de
Puerto
Switch(config-if)#switchport access vlan [número de vlan]
Para indicar que un puerto es troncal se realizaría de la siguiente forma:
Switch(config)#interface fastethernet slot / número de Puerto

Switch(config-if)#switchport mode trunk
Switch(config-if)# switchport trunk encapsulation [Dot1q | ISL]
Para que las VLANs puedan tener comunicación entre ellas es necesario un
router (ver figura 3). Para configurar un router sería:
Router(config)# interface fastethernet slot / número de Puerto

Router(config-subif)#encapsulation [Dot1q | ISL] Nº de VLAN
Router(config-subif)#ip address dirección máscara
Los comandos más utilizados en

CISCO son:
Show vlan: Muestra información de las

vlans configuradas y los puertos.
Show vlan brief: Muestra la información

resumida.
Show interface trunk: Muestra los

parámetros del enlace troncal.
Show spanning-tree vlan Nº: Muestra el

estado de configuración STP. Figura 3
126
VLAN
PRÁCTICA Nº 56
Redes Virtuales con Switch IEEE 802.1Q
11. Realiza el siguiente esquema :
PC1: 192.168.1.1 conectado con 0/1

2. Haz un ping de PC1 a PC2. ¿Algún problema? Figura 56.1
3. Haz doble clic en el switch. Selecciona Vlan Database dentro de la pestaña Config.
Añade una VLAN denominada “primera” con número 10, y otra denominada “segunda”
con número 20 tal y como se muestra en la figura 2.
Figura 56.3
Figura 56.2
4. Asocia los interfaces del switch 1º y 3º a la VLAN “10”, y los interfaces 2º y 4º a la

VLAN “20” en modo Access, tal y como se muestra en la figura 3.
5. Haz un ping de PC1 a PC2. ¿Algún problema? ¿Qué ordenadores se pueden

conectar con quien?
6. Añade un router como se indica en la figura 4 (doble conexión con el switch). En el

switch deberás asociar cada puerto a una VLAN.
Pon las siguientes IPS a los dispositivos:
PC1: 192.168.1.1 y PC3: 192.168.1.3 con GW: 192.168.1.10
PC2: 192.168.2.2 y PC4: 192.168.2.4 con GW: 192.168.2.10
Router: 192.168.1.10 y 192.168.2.10
7. Haz un ping de PC1 a PC2. ¿Algún problema?

Describe todos los paquetes que se generan.
8. ¿Para qué sirven las VLAN?
Figura 56.4
9. Si PC4 cambiara su IP a 192.168.1.4. ¿Podría
pertenecer a la red 1?
127
VLAN
PRÁCTICA Nº 57
Redes Virtuales con un Router
En una empresa puede suceder que los recursos de un departamento estén situados en
distintos lugares. Se hace necesario interconectarlos, pero con independencia del resto
de departamentos. Supongamos que tenemos una empresa con dos departamentos (el 1
y el 2) cuyos recursos están situados en tres plantas del edificio:
1. Realiza el esquema de la figura 1 :
Figura 57.1
2. Pon las IPs a los PCs (192.168.x.n) sabiendo que los PCs con nº impar pertenecen a
la red 1 (x=1), y los PCs con nº par pertenecen a la red 2 (x=2), y máscara
255.255.255.0.
3. Define 2 VLAN en los switchs (denominadas par con número 22, e impar con
número 11), y asocia cada puerto en que hayas conectado un PC a la VLAN
correspondiente.
4. Define en los Switch los puertos trunk para unirlos entre sí.
5. Haz un ping de PC1 a PC4. ¿Existe conectividad? En caso negativo explica los
motivos de por qué no existe.
128
VLAN
6. ¿Se pueden ver entre sí los equipos situados dentro de la misma VLAN aunque estén
situados en plantas diferentes (por ejemplo PC1 con PC9, o PC6 con PC10)?
7. ¿Se pueden ver los equipos situados en VLANs distintas? ¿Por qué si/no?
¿Y si PC1 cambiara su IP a una de la red par, por ejemplo 192.168.2.100, podría
conectarse con PC4?
8. Vamos a permitir conectividad entre redes: Modifica el esquema para añadir un

router de la siguiente forma (se configurará en el apartado 10). No es necesario añadir
más interfaces de red al router (con una será suficiente).
Figura 57.2
9. Pon la puerta de enlace a cada PC (GW: 192.168.1.15 a los equipos de la red 1, y

GW: 192.168.2.15 a los de la red 2).
10. Vamos a poner dos IPs a una interfaz de red del router, y además le vamos a indicar
que todo el tráfico que circule por ellas deberá ir encapsulado con el protocolo 802.1q.
Accede a la pestaña CLI del router y ejecuta lo siguiente:
Router>enable
Router#configure terminal
Router(config)#interface fastethernet 0/0

Router(config-if)#no shutdown
Router(config-if)# exit
Router(config)#interface fastethernet 0/0.1

Router(config-subif)#encapsulation dot1q 1
Router(config-subif)#ip address 192.168.1.15 255.255.255.0
Router(config-subif)#exit
129
VLAN
Router(config)#interface fastethernet 0/0.2

Router(config-subif)#encapsulation dot1q 2
Router(config-subif)#ip address 192.168.2.15 255.255.255.0
Router(config-subif)#exit
Router(config)#
11. Haz un ping de PC1 a PC4. Explica todo lo que sucede: ¿Cuántos paquetes ARP e
ICMP se generan? ¿Qué camino siguen?
12. ¿Para qué sirven los puertos trunk?
13. ¿Cual es la función en este caso del router? Define una ACL que permita sólo hacer
ping desde PC1 a PC4.
14. ¿Para que sirve el comando "encapsulation dot1q " ?
15. Si quisiéramos tener salida a Internet ¿qué tendríamos que añadir a este esquema?
16. Haz un ping de un PC cualquiera a otro. Haz doble clic sobre el paquete que se ha
generado entre los switchs, y accede a la ventana "PDU Information" (ver figura 3).
Pulsa sobre la pestaña "Inbound PDU Details".
Para indicar que el paquete viaja

encapsulado en VLANs (802.1q) se
insertan dos campos: TPID con valor
0x8100, el cual indica que es un
paquete VLAN, y TCI que contiene
3 bits indicando la prioridad, 1 bit
indicando Switch Ethernet o Token
Ring, y 12 bits indicando el número
de VLAN. El campo TYPE repite el
tipo original de la trama. Por lo
tanto el paquete se ha visto
incrementado en cuatro bytes.
Compara esta ventana con la que se

vió en la práctica 5 figura 2
correspondiente a los campos que
tiene un ping que circula por una red
que no utiliza VLANs.
Figura 57.3
17. Según lo explicado ¿Cuál es el número máximo que puede identificar a una VLAN?
130
VLAN
PRÁCTICA Nº 58
Redes Virtuales con subredes
1. Realiza el esquema de la figura 1 teniendo en cuenta que:
PC1 se conecta en el switch al Puerto FastEthernet 0/1

Figura 58.1
2. Pon las siguientes IPs a los equipos:
PC1: 192.168.2.34 /26

PC2: 192.168.2.45 /26
PC3: 192.168.2.55 /26
PC4: 192.168.2.212 /26
3. Define en el switch dos VLANs denominadas VLAN1, VLAN2. Asocia la VLAN1 a

los puertos 1 al 4, la VLAN2 a los puertos 5 al 10.
4. ¿Cuántas subredes se pueden tener para una IP de tipo C con máscara /26? Para las
IP indicadas en el punto dos rellena los datos de la siguiente tabla:
IP IP subred a la Nº de Ip host inicial Ip host final Ip Broadcast

que pertenece subred de esa subred de esa subred
192.168.2.34 192.168.2. 192.168.2. 192.168.2. 192.168.2.
192.168.2.45 192.168.2. 192.168.2. 192.168.2. 192.168.2.
192.168.2.55 192.168.2. 192.168.2. 192.168.2. 192.168.2.
192.168.2.212 192.168.2. 192.168.2. 192.168.2. 192.168.2.
5. Responde razonadamente a las siguientes preguntas:
5a. ¿Pueden dialogar los equipos PC1 y PC2? ¿Por qué si/no?
5b. ¿Pueden dialogar los equipos PC3 y PC4? ¿Por qué si/no?
5c. ¿Pueden dialogar los equipos PC1 y PC3? ¿Por qué si/no?
5d. ¿Qué es necesario modificar para que los equipos que no pueden dialogar lo
hagan?. Modifica el esquema de la figura 1 para que exista conectividad entre
todos los equipos.
131
V.P.N.
V.P.N.
El problema de los protocolos que envían sus datos en claro, es decir, sin
cifrarlos, es que cualquier persona que tenga acceso físico a la red en la que se sitúan las
máquinas puede ver dichos datos. Se cifran las comunicaciones con un sistema que
permita entenderse sólo a las dos máquinas que son partícipes de la comunicación,
cualquiera que intercepte desde una tercera máquina los paquetes, no podrá hacer nada
con ellos, al no poder descifrar los datos.
Una forma de evitar este problema es usar una técnica llamada tunneling
consistente en abrir conexiones entre dos máquinas por medio de un protocolo seguro,
como puede ser SSH (Secure SHell), a través de las cuales realizaremos las
transferencias inseguras, que pasarán de este modo a ser seguras.
La Red Privada Virtual (VPN) permite simular una red local sobre una red
pública. Una vez establecida la conexión de la red privada virtual los datos viajan
encriptados de forma que sólo el emisor y el receptor son capaces de leerlos. Para
hacerlo posible de manera segura es necesario proporcionar los medios para garantizar
la autenticación, integridad, confidencialidad y no repudio.
Las VPN son una salida al costo que puede significar el pagar una conexión de
alto coste, para usar líneas alquiladas que estén conectadas a otros puntos que puedan
hacer uso de la conexión a Internet
Básicamente existen tres arquitecturas de conexión VPN:
1- VPN de acceso remoto: Consiste en usuarios que se conectan con la empresa

desde sitios remotos utilizando Internet.
2- VPN punto a punto: Conectar oficinas remotas con la sede central de la

organización. El servidor VPN, que posee un vínculo permanente a Internet,
acepta las conexiones vía Internet provenientes de los sitios y establece el túnel
VPN.
3- VPN interna WLAN Es una variante del tipo "acceso remoto" pero, en vez de
utilizar Internet como medio de conexión, emplea la misma red de área local
(LAN) de la empresa.
Las soluciones de VPN pueden ser implementadas en diferentes niveles del modelo OSI
de red.
Implementaciones de capa 2 – Enlace:
El encapsulamiento a este nivel ofrece ciertas ventajas ya que permite transferencias

sobre protocolos no-IP. Algunos ejemplos de estas tecnologías:
PPTP: Point to Point Tunneling Protocol. Desarrollado por Microsoft, es una

extensión de PPP. Encapsula datagramas de cualquier protocolo de red en
132
V.P.N.
datagramas IP. Fue diseñado para permitir a los usuarios conectarse a un
servidor RAS desde cualquier punto en Internet.
L2F: Layer 2 Forwarding. Desarrollado por la empresa Cisco principalmente,

ofrece mejores posibilidades que PPTP principalmente en el uso de conexiones
simultáneas.
L2TP: Layer 2 Tunneling Protocol. Utiliza dos tipos de mensajes: de control y

de datos. Los mensajes de control son usados para el establecimiento, el
mantenimiento y el borrado de los túneles. Los mensajes de datos encapsulan
los marcos PPP y son enviados a través del túnel.
L2Sec: Layer 2 Security Protocol.
Implementaciones de capa 3 – Red
IPsec es la tecnología más aceptada en este punto y fue desarrollada como un estándar
de seguridad de Internet en capa 3. IPsec se puede utilizar para encapsular cualquier
tráfico de capa 3 pero no el tráfico de capas inferiores, por lo que no se podrá utilizar
para protocolos no-IP como IPX o mensajes de broadcast.
Existen dos métodos principales usados por IPsec:
* Modo Túnel. Todos los paquetes IP son encapsulados en un nuevo paquete y

enviados a través del túnel siendo desempaquetados en el otro extremo y
posteriormente dirigidos a su destinatario final. En este modo, se protegen las
direcciones IP de emisor y receptor así como el resto de los metadatos de los
paquetes.
* Modo Transporte. Solo la carga útil de la sección de datos es cifrada y

encapsulada. La sobrecarga entonces, es sensiblemente menor que en el caso
anterior, pero se exponen los datos a posibles atacantes.
Implementaciones de capa 7 – Aplicación
El usuario accede a la VPN de la organización a través de un browser iniciando la

conexión en un sitio Web seguro con SSL o TLS.
133
V.P.N.
PRÁCTICA Nº 59
Configuración de una VPN bajo Windows XP
Vamos a configurar en primer lugar el servidor:
1.- Abrir el asistente para conexión nueva (Figura 1).
2.- Seleccionar configurar conexión avanzada (Figura 2).
3.- Aceptar conexiones entrantes (Figura 3).
4.- En la pantalla “Dispositivos de conexiones entrantes” no seleccionar nada y

siguiente (Figura 4).
5.- Permitir conexiones virtuales privadas (Figura 5).
6.- Seleccionar los usuarios a los que se les permitirá el acceso (Figura 6).
7.- Seleccionar los protocolos que se utilizaran, como por ejemplo TCP/IP y
Compartir impresoras y archivos (Figura 7).
8.- Hacer doble clic sobre propiedades de TCP/IP para permitir el acceso a la
red, y fijar cómo se asignan las direcciones IP a los clientes (Figura 8).
Figura 59.1
Figura 59.2
134
V.P.N.
Ahora configuraremos el cliente:
1.- Abrir el asistente para conexión nueva, y seleccionar “Conectarse a la red de

mi lugar de trabajo” (Figura 9).
2.- Seleccionar “Conexión de red privada virtual” (Figura 10).
3.- Especificar el nombre de la conexión y seleccionar la conexión inicial

(Figuras 11 y 12).
4.- Indicar la dirección IP del servidor (Figura 13).
5.- Probar la conexión con un nombre de usuario y contraseña (Figura 14).
135
V.P.N.
Figura 59.13
Figura 59.14
136
V.P.N.
Si pulsamos sobre propiedades encontramos las ventanas de las figuras 15, 16, y 17. En
ellas se puede modificar la dirección de destino, y los parámetros del tipo de
codificación de la información utilizado por defecto.
Figura 59.17
137
V.P.N.
PRÁCTICA Nº 60
Configuración de una VPN en Windows Server 2008
Para crear un servidor VPN en Windows 2008 se utiliza la herramienta enrutamiento y
acceso remoto que se encuentra en herramientas administrativas. Si es la primera vez
hay que configurarlo y habilitarlo pulsando con el botón derecho sobre el nombre del
servidor, pero antes debemos cerciorarnos que el equipo dispone de dos tarjetas de red.
En el caso de que tuviéramos ya configurado el servidor debemos pulsar en propiedades
y comprobar las pestañas que se indican posteriormente.
Figura 60.1
Seleccionando la primera opción de la figura 1 permitiremos que los clientes remotos se

puedan conectar a nuestra red a través de una VPN. En las ventanas siguientes se debe
seleccionar VPN, la interfaz de red que esta conectada al lado Internet, y cómo se
asignarán las direcciones IP a los clientes que se conecten al servidor (figura 2).
Figura 60.2
138
V.P.N.
Una vez configurado si deseamos cambiar algún parámetro pulsaremos en propiedades.
Servidor de acceso remoto IPv4 en la pestaña general debe estar marcado.
Figura 60.3
En puertos se listan todos los disponibles para que se conecten los clientes (figura 4).
Se puede observar que se han creado de tipo SSTP, PPTP, y L2TP. SSTP (Secure
Sockets Tunneling) es un protocolo de Windows que apareció por primera vez en
Windows Vista, y que utiliza HTTPS con el objetivo de saltar las reglas establecidas en
cortafuegos que tienen cerrados los puertos utilizados para el tráfico de PPTP y L2TP.
Figura 60.4
Para configurar un cliente que utiliza Windows Vista debemos abrir el Centro de redes y
pulsar en configurar una conexión. Seleccionar conectarse a un área de trabajo (figura
5), y usar mi conexión a Internet (figura 6).
139
V.P.N.
En las ventanas siguientes hay que introducir la dirección del servidor VPN (figura 7), y
el nombre de usuario y contraseña (figura 8).
Al pulsar en crear se genera una conexión VPN (figura 9)
Figura 60.9
140
V.P.N.
PRÁCTICA Nº 61
Configuración de una VPN bajo Linux: OpenVPN
OpenVPN está publicado bajo licencia GPL de software libre, que permite la conectividad
entre dos puntos utilizando SSL, codificando la información mediante claves criptográficas
estáticas preestablecidas, o mediante el uso de certificados y claves RSA. Está disponible para
máquinas con sistemas operativos basados en Linux y en Windows.
Se puede distinguir tres modos de operación:
1. Host a Host: Permite encriptar la comunicación entre dos PC.

2. Road Warrior: Permite que una máquina remota pueda conectarse con el
servidor OpenVPN de una red local, y una vez autenticado pueda acceder a los
recursos de toda la red local. Podría ser el caso de un empleado que desde su
casa se conecta a la red de la oficina.
3. Red a Red: Dos redes separadas geográficamente se conectan, y el tráfico entre
ellas viaja codificado. Es el caso típico de una empresa que tiene sedes en varias
localizaciones y quiere conectarlas a través de un enlace barato como Internet.
Se instalará OpenVpn en dos ordenadores mediante

el gestor de paquetes (figura 1) o utilizando la
consola.
Para arrancar el servicio basta escribir:
/etc/init.d/openvpn start
Figura 61.1
En esta práctica se va a establecer una conexión de Host a Host:
1 Generar en la máquina que va a actuar como servidor la

clave criptográfica a utilizar (figura 2):
openvpn --genkey --secret clave.key
2 Copiar el archivo clave.key en el directorio /etc/openvpn

del servidor y en el cliente:
scp clave.key dirección_IP_del_servidor:/etc/openvpn/

scp clave.key dirección_IP_del_cliente:/etc/openvpn/ Figura 61.2
141
V.P.N.
3 Dar direcciones IP a las interfaces virtuales del servidor y del cliente entre las
cuales viajará el tráfico codificado. Por ejemplo:
Servidor Cliente
10.254.0.1 10.254.0.2
4 El archivo /etc/openvpn/server.conf configurarlo según la figura 3.
5 El archivo /etc/openvpn/cliente.conf configurarlo según la figura 4.
# dispositivo de tunel # IP publica del servidor

dev tun remote V.X.Y.Z
# ifconfig ip_del_servidor ip_del_cliente # dispositivo tunel

ifconfig 10.254.0.1 10.254.0.2 dev tun
# Clave a utilizar en la codificación #ifconfig ip_del_cliente ip_del_servidor

secret /etc/openvpn/clave.key ifconfig 10.254.0.2 10.254.0.1
#puerto # Clave a utilizar en la codificación

port 1194 secret /etc/openvpn/secret.key
#usuario # puerto
user nobody port 1194
group nobody
# compresión , ping cada 6 segs, y verbose
# comprimir con lzo, ping cada 8 segs, verbose comp-lzo
comp-lzo ping 6
ping 8 verb 4
verb 4
6 Reiniciar el servicio openvpn en ambas máquinas.
7 Hacer ping desde la máquina cliente al servidor (10.254.0.1). ¿Funciona?
8 Hacer ping desde la máquina servidor al cliente (10.254.0.2). ¿Funciona?
9 Capturar el tráfico entre ambas máquinas. ¿es inteligible?
10 Investiga cómo sería para crear una conexión Road Warrior, y una conexión Red a
Red.
142
V.P.N.
PRÁCTICA Nº 62
Configuración de una VPN con routers CISCO
Como ya se ha indicado anteriormente una VPN se utiliza para conectar dos redes
privadas distantes geográficamente a través de una red pública como Internet. En la
figura 1 se muestra un ejemplo de esta situación.
Figura 62.1
Cuando se produce una comunicación entre un dispositivo de una red con otro
dispositivo de la red remota el primer router encapsula los paquetes IP originales dentro
de otros paquetes IP con una etiqueta GRE, y los envía a través de Internet hasta el
router destino, el cual desencapsulará los paquetes originales IP. Como se puede
observar las IPs públicas de los routers pertenecen a redes distintas.
Es decir:
1.- El PC 192.168.1.2 manda a su puerta de enlace un paquete con destino

192.168.2.2.
2.- El Router 1 coge ese paquete y le añade una nueva cabecera que contiene una
etiqueta GRE, y con destino la IP pública del Router 2.
3.- Ese paquete viaja a través de Internet pasando por diversas redes, es decir, por
varios routers intermedios.
4.- Cuando llega al Router 2 le quita la cabecera, restaura el paquete original, y se

lo manda al PC 192.168.2.2.
Si recuerdas (práctica 18, ejercicio 8), el campo TTL de un paquete IP se va

decrementando en una unidad cada vez que pasa el paquete por un encaminador. ¿En
cuantas unidades se habrá decrementado dicho campo cuando llega el paquete al PC
192.168.2.2?
Para crear un túnel GRE en un router Cisco se debe configurar la dirección IP de la

interfaz, las direcciones IP del origen y del final.
143
V.P.N.
Router (config)# interface Tunnel Número

Router(config-if)#ip address Dirección_IP Máscara
Router(config-if)#tunnel source Dirección_IP_origen_túnel
Router(config-if)#tunnel destination Dirección_IP_destino_túnel
Para establecer la encriptación en el túnel:
Router (config)# crypto isakmp policy Número_de_prioridad

Router(config-isakmp)#encr aes Número_bits
Router(config- isakmp)#authentication pre_share
Router(config- isakmp)#group Número_de_grupo
Router(config- isakmp)#hash md5
Router(config- isakmp)#exit
Router (config)# crypto isakmp key Nombre_clave address IP_del otro_router
Para que los routers pueden establecer una conexión segura deben tener unos mapas
criptográficos compatibles. Para crear un mapa se realiza con la orden cryto map.
Para mostrar los parámetros de la conexión VPN se pueden utilizar los comandos:
Router# show interfaces Tunnel1

Router# show crypto ipsec sa
Un ejemplo de configuración para el router 1 sería:
Router1 (config)# crypto isakmp policy 8

Router1 (config-isakmp)# encr aes 128
Router1 (config-isakmp)# authentication pre-share
Router1 (config-isakmp)# group 3
Router1 (config-isakmp)# exit
Router1 (config)# cryto isakmp key tunel_1 address 90.17.0.1
Router1 (config)# cryto ipsec transform-set TUNNEL-TRANSFORM ah-sha-hmac esp-

aes 128
Router1 (cfg-crypto-trans)# mode transport
Router1 (cfg-crypto-trans)# exit
Router1 (config)# crypto map Mapa_del_tunel 8 ipsec-isakmp

Router1 (config-crypto-map)# set peer 90.17.0.1
Router1 (config-crypto-map)# set transform-set TUNNEL-TRANSFORM
Router1 (config-crypto-map)# match address 104
Router1 (config-crypto-map)# exit
144
V.P.N.
Router1 (config)# access-list 104 permit gre host 80.16.0.1 host 90.17.0.1
Router1 (config)# interface Tunnel0

Router1 (config-if)#ip address 192.168.3.1 255.255.255.0
Router1 (config-if)# tunnel source 80.16.0.1
Router1 (config-if)# tunnel destination 90.17.0.1
Router1 (config-if)# exit
Router1 (config)# interface Serial 0/0

Router1 (config-if)#ip address 80.16.0.1 255.0.0.0
Router1 (config-if)#ip access-group 105 in
Router1 (config-if)#cryto map Mapa_del_tunel
Router1 (config-if)#exit
Router1 (config)# access-list 105 permit gre host 90.17.0.1 host 80.16.0.1
Router1 (config)# access-list 105 permit esp host 90.17.0.1 host 80.16.0.1
Router1 (config)# access-list 105 permit udp host 90.17.0.1 host 80.16.0.1
Router1 (config)# access-list 105 permit ahp host 90.17.0.1 host 80.16.0.1
Router1 (config)# access-list 105 deny ip any any
Router1 (config)# ip route 192.168.2.0 255.255.255.0 Tunnel0
Como se puede observar hay que tener cuidado al configurar una VPN en un router
Cisco ya que es necesario introducir bastantes comandos. La configuración del router 2
sería idéntica sustituyendo el texto subrayado por las direcciones correspondientes.
Una vez configurados los routers y el resto de dispositivos, hacer ping de un PC a otro
de la otra red. ¿Existe conectividad?
Interceptar el tráfico que circula por el túnel. ¿Esta codificado? ¿Se puede saber si el
tráfico capturado corresponde a los pings realizados?
145
V.P.N.
PRÁCTICA Nº 63
Configuración de una VPN en Macintosh
En esta práctica se va a aprender a configurar un Macintosh para conectarse a la red de

una empresa mediante el servicio VPN. Mac OS X es compatible con los protocolos
Point to Point Tunneling Protocol (PPTP) y Layer 2 Tunneling Protocol (L2TP) sobre
IPsec.
Para gestionar las conexiones VPN hay que abrir el panel de preferencias de red, y
pulsar sobre el icono más para añadir una interfaz de red, y seleccionar VPN del menú
emergente en interfaz (figura 1).
Figura 63.1
En esta práctica utilizaremos el protocolo L2TP sobre IPsec (figura 2). Una vez creada
se puede configurar introduciendo un nombre, dirección IP o nombre cualificado del
servidor VPN remoto, y un nombre de cuenta para iniciar sesión (figura 3).
Se puede indicar el método de autenticación del usuario y del equipo pulsando sobre
ajustes de autenticación (figura 4). Como se puede observar existe una gran variedad
de métodos posibles.
146
V.P.N.
Figura 63.4
Para terminar de configurar la conexión se debe pulsar sobre el botón de avanzado de la

figura 1. Se mostrará el cuadro de diálogo de la figura 5. Es importante marcar la
opción “Enviar todo el tráfico a través de la conexión VPN” para que la conexión VPN
recién creada actúe como la interfaz de red principal.
Figura 63.6
Figura 63.5
Para activar la conexión VPN de forma automática se debe configurar en la pestaña

“VPN por petición” (figura 6) introduciendo el nombre de dominio. De esta forma, al
acceder a dicho dominio se activará de forma automática la conexión VPN.
Para acceder de forma más rápida a la configuración de las VPN se puede marcar la
opción “mostrar estado de VPN en la barra de menús”. De este modo se podrá acceder
de forma rápida al menú mostrado en la figura 7.
Figura 63.7
147
NAT
Introducción al N.A.T.
(Translation Address Network)
Supongamos que dos equipos conectados a Internet desean intercambiar

información. ¿Podrán establecer una comunicación? La respuesta esta llena de matices.
En principio se podría contestar que si ambos tienen direcciones IP públicas podrían
intercambiar información sin problemas, pero si alguno de ellos la tiene privada (por
ejemplo 192.168.x.y) no sería posible porque no se conocería desde el exterior. Basta
pensar la innumerable cantidad de equipos que tengan esa IP privada en el mundo.
Si observamos la figura 1 podríamos decir que PC0 puede establecer conexión

con PC2, pero no con PC1.
Figura 1
Este problema de incomunicación entre PC0 y PC1 se puede solucionar usando

NAT. NAT permite realizar alteraciones en las direcciones de origen (SNAT) y de
destino (DNAT) para que se pueda realizar la comunicación.
En realidad estamos acostumbrados a que se realice esta traducción de

direcciones constantemente y no nos percatamos de ello. Supongamos que estamos en
una red que tiene asignadas IPs del tipo 192.168.x.y, donde los usuarios se conectan a
Internet a través de una puerta de enlace. Si realizamos una consulta a Google desde el
PC que tiene una IP privada, Google le contestará con la información a pesar de ser una
IP privada. Esto se consigue gracias a que la puerta de enlace (el router) sustituye la IP
de nuestro PC por la suya pública, realizando SNAT. A esta modificación se la llama
enmascaramiento (MASQUERADE). Veamos más detenidamente el proceso:
Supongamos que el PC envía un paquete a un host a través de un router
Paso 1 Paso 2
PC: 192.168.104.3 ROUTER: 20.0.0.3 HOST: 20.0.0.9
INTRANET SERVICIO SNAT INTERNET
Paso 4 Paso 3
148
NAT
1º.- El Pc construye un paquete con la información que va a enviar al router para

que salga al exterior. En ese paquete, entre otras cosas, tenemos la siguiente
información:
I.P Destino I.P. Origen Puerto Destino Puerto Origen

20.0.0.9 192.168.104.3 80 3000
2º.- El router analiza el paquete, ve que la dirección IP de origen es privada y

realiza SNAT sobre el paquete, es decir, cambia la IP y el puerto de origen por los suyos
y, “apunta” el préstamo en una tabla mientras dura la comunicación quedando el
paquete con la siguiente información:

20.0.0.9 20.0.0.3 80 3005
3º.- El router envía el paquete al host, el cual responde con un paquete de la

siguiente forma:

20.0.0.3 20.0.0.9 3005 80
4º.- Cuando al router le llega el paquete enviado por el host, analiza la tabla de
préstamos y modifica el paquete para reenviarlo a la IP original, quedando el paquete
finalmente de la siguiente forma:

192.168.101.3 20.0.0.9 3000 80
En Linux se utiliza el comando iptables para alterar paquetes en función de:
• la interfaz de red por donde vayan a salir los paquetes (-o)

• según el equipo origen (-o)
• según el destino (-d)
• según el protocolo (-p)
• según el puerto destino (--dport)
Para indicar la nueva dirección IP de origen es -j SNAT –to dirección
Para añadir una regla a la lista POSTROUTING SNAT se utiliza -A, y para borrar
hay que usar la opción –D.
iptables -t nat -A POSTROUTING –o eth -s Ip_origen -d Ip_destino

- p protocolo --d port Puerto_destino
- j NAT --to Nueva_Ip_de_origen
Normalmente la nueva Ip de origen se suele sustituir por la IP del dispositivo que

esta realizando la modificación, por ello para no tener que especificarla se suele escribir
–j MASQUERADE.
149
NAT
Como lo habitual es que nuestra puerta de enlace enmascare todo lo que salga
por cualquiera de sus interfaces escribiremos:
iptables –t nat –A POSTROUTING –j MASQUERADE
Veamos ahora una situación diferente. Supongamos que un equipo en Internet (PC0)
desea acceder a los recursos situados en un ordenador dentro de nuestra red local
(Servidor). En un principio, esto resultaría imposible porque nuestros PCS tienen
direcciones IP privadas, y la única dirección pública que tiene nuestra red es la de la
puerta de enlace (figura 2). Para resolverlo se va a utilizar DNAT.
Figura 2
El cliente se conectará a la dirección pública de la puerta de enlace a un puerto

determinado. La puerta de enlace realizará una sustitución de la dirección de destino
por aquella de la red local que previamente tenga fijada.
En Linux el comando a utilizar sería:
iptables –t nat –A PREROUTING -i interfaz

-s ip_origen -p protocolo --dport puerto
-j DNAT --to Nueva_Ip_y_puerto_destino
Si quisiéramos acceder a un servidor web deberíamos escribir:
iptables –t nat –A PREROUTING -i eth0 -p tcp --dport 80

-j DNAT --to 192.168.1.37:80
¿Recuerdas el rango de direcciones IP privadas? Rellena la siguiente tabla:
Tipo IP Inicial IP Final

A
B
C
¿Cómo se listan las instrucciones ya introducidas de NAT?
150
NAT
PRÁCTICA Nº 64
SNAT con iptables
Vamos a configurar el servicio NAT en un PC que hará de router mediante el
comando IPTABLES de Linux. Para esta práctica vamos a necesitar:
- 1 PC con el sistema operativo Windows o Linux que actuará como equipo de la

red de área local, LAN, o intranet.
- 1 PC con el sistema operativo Linux y el paquete IPTABLES instalado y que
hará el papel de router.
- 1 PC con el sistema operativo Linux y un servicio de Internet y que hará el papel
de Host.
Las máquinas, PC, Host y Router, se configurarán conforme al esquema de la

figura 1:
Figura 64.1
1º.- Configura el PC de la siguiente forma:
IP: ifconfig eth1 192.168.104.3 netmask 255.255.255.0

Gateway: route add default gw 192.168.104.9
2º.- Configura el Host de la siguiente forma:
IP: ifconfig eth1 20.0.4.9 netmask 255.0.0.0
No se pondrá puerta de enlace para comprobar con la práctica si realmente se produce

NAT.
3º.- Configura el Router de la siguiente forma (dos Ips sobre la misma tarjeta):
IP-1: ifconfig eth2 192.168.104.9 netmask 255.255.255.0

IP-2: ifconfig eth2:1 20.0.4.3 netmask 255.0.0.0
4º.- Comprueba en el router las tablas de enrutamiento (figura 2).
Figura 64.2
151
NAT
5º.- Habilitación del enrutamiento:

Una vez configuradas las máquinas tenemos que habilitar el enrutamiento en el
router, para ello hay que introducir un ‘1’ en el fichero ip_forward. Lo haremos de la
siguiente manera (según la versión de la distribución Linux que tengas la ruta puede
variar):
echo 1 > /proc/sys/net/ipv4/ip_forward
Figura 64.3
En la figura 3 vemos que haciendo un cat al fichero ip_forward está en 0 y

después de introducir la orden anterior esta en 1. Esto quiere decir, que el enrutamiento
estaba apagado (0) y lo encendemos (1). De esta forma, el sistema al recibir un paquete
con una dirección distinta a la local comprueba en su tabla de enrutamiento a quien debe
enviarlo.
6º.- Comprueba si se puede realizar pings:
Origen / Destino ¿Existe conectividad?

¿Por qué SI / NO?
Del Pc 192.168.104.3 al router 192.168.104.9
Del Pc 192.168.104.3 al router 20.0.4.3
Del Pc 192.168.104.3 al host 20.0.4.9
Del host 20.0.4.9 al router 20.0.4.3
Del host 20.0.4.9 al router 192.168.104.9
Del host 20.0.4.9 al Pc 192.168.104.3
7º.- Habilitación del NAT:

Para habilitar el NAT, en el router introduciremos la siguiente orden:
iptables –t nat –A POSTROUTING - - source 192.168.104.0/24

–jSNAT - - to 20.0.4.3
Recordemos que:
-A : añade una línea en la tabla.
- - source 192.168.104.0/24: todos los paquetes con IP de origen de la red
192.168.104.0
- - to 20.0.4.3: IP que se pondrá en los paquetes de la red 192.168.104.0
Figura 64.4
152
NAT
En la figura 4 vemos cómo se habilita NAT, y la comprobación, con el comando

iptables, de que efectivamente en la tabla de enrutamiento se ha introducido la orden
que le hemos indicado. Podemos ver como a la izquierda de la línea aparece la palabra
SNAT.
Para la visualización de la tabla de enrutamiento se utiliza la expresión:
iptables –t nat –L –n
Si fuera necesario borrar alguna de las entradas, utilizaríamos la siguiente expresión:
iptables –t nat –D POSTROUTING nº_linea
8º.- Comprueba si se puede realizar pings:

del Pc 192.168.104.3 al router 192.168.104.9
del Pc 192.168.104.3 al router 20.0.4.3
del Pc 192.168.104.3 al host 20.0.4.9
del host 20.0.4.9 al router 20.0.4.3
del host 20.0.4.9 al router 192.168.104.9
del host 20.0.4.9 al Pc 192.168.104.3
9º.- Captura de tráfico:
Para observar el tráfico que circula cuando hacemos ping, vamos a instalar el
paquete wireshark. Para instalarlo utilizamos la expresión :
apt-get install wireshark
En la figura 5 se puede observar los nuevos menús de la aplicación instalada.
Figura 64.5
153
NAT
Capturaremos el tráfico al hacer ping desde el Pc (192.168.104.3) al host (20.0.4.9)
Figura 64.6
154
NAT
PRÁCTICA Nº 65
Video vigilancia con DNAT
Objetivo: Con una cámara IP, un router, y un PC

conectarnos a la cámara de tres formas distintas:
1º.- Directamente
2 º.- A través del router teniendo la cámara y el PC
conectados en el lado LAN
3 º.- A través del router teniendo conectada la cámara
en el lado LAN, y el PC en el lado WAN utilizando NAT (pueden estar localizados
geográficamente en distintos lugares).
Pasos a realizar:
1º: Directamente
1) Conecta tu PC a la cámara. Descubre la IP que tiene la cámara. Luego comprueba

con un navegador que puedes acceder a ella, y ver lo que está enfocando.
1.a ¿Cómo has descubierto la IP que tiene configurada la cámara?

1.b ¿Qué tipo de cable has usado en la conexión?
1.c ¿Qué IP le has puesto a tu ordenador?
1.d ¿Sirve de algo el parámetro puerta de enlace en tu ordenador?
1.e Si le haces un ping a la cámara. ¿Responde?
2) Ve a la pestaña "System Administration" y configura:
IP: 192.168.3.10
Gateway: 192.168.3.1
Máscara de Subred: 255.255.255.0
Pulsa "save". ¿Puedes ver con un navegador lo que está enfocando la cámara?
2º: router + PC por el lado LAN
3) Resetea el router (IP al resetearlo 192.168.2.1). Configura de la siguiente manera el

router:
IP LAN: 192.168.3.1
IP WAN : 192.168.4.1
Para configurar el router ¿Donde has conectado el cable (al lado LAN o al WAN)? ¿Por
qué? ¿Qué IP tiene tu ordenador?. Si puedes, haz un logout en el router.
155
NAT
4) Haz un ping a:
la IP de tu ordenador,
la IP del lado LAN del router,
la IP del lado WAN del router,
y a la IP de la cámara.
¿Se han alcanzado todos los destinos? ¿Por qué SI/NO?
5) ¿Puedes ver con un navegador lo que está enfocando la cámara? ¿Por qué SI/NO?
¿Cómo lo has hecho?
3º: router + PC por el lado WAN
6) Vuelve a entrar para poder configurar el router. Accede a "System / Administrator

Settings". Activa el Remote Management, poniendo como IP del host remoto que podrá
acceder la 192.168.4.22 por el puerto 8081. Haz un logout. Cambia la IP de tu
ordenador a la anteriormente indicada. ¿Puedes acceder a la configuración del router
desde el lado WAN con tu navegador? ¿Por qué SI/NO? ¿Cómo lo has hecho?
7) Haz un ping a: la IP de tu ordenador, la IP del lado LAN del router, la IP del lado
WAN del router, y a la IP de la cámara. ¿Se han alcanzado todos los destinos? ¿Por
qué SI/NO?
8) Entra al router para configurarlo por el lado WAN. Activa el NAT. Haz un logout.
¿Puedes ver con un navegador lo que está enfocando la cámara? ¿Por qué SI/NO?
9) Vuelve a entrar al router para configurarlo por el lado WAN. En la pestaña NAT,
selecciona Virtual Server. Y rellena los siguientes campos:
Private IP: 10
Private Port: 80
Type: TCP
Public Port: 6543
Enable.
Haz un logout. Explica el por qué de cada uno de estos valores.
10) ¿Puedes ver con un navegador lo que está enfocando la cámara? ¿Por qué SI/NO?
11) ¿Qué significan las siglas DNAT? Explica para qué se utiliza.
156
NAT
PRÁCTICA Nº 66
DNAT: Permitir acceso a servidor Web
Una empresa tiene un servidor Web en su intranet, y desea hacerlo accesible desde
Internet. La situación esta representada en la figura 1
Figura 66.1
1º.- Realiza el esquema de la figura 1 con los equipos que dispongas. Al PC en

Internet ponle una IP de tipo A pública, a la red local de la empresa Ips de tipo C
privada, y al PC en empresa 2 la misma IP que tenga el servidor. Una vez hayas
decidido las direcciones IP a poner a cada dispositivo rellena las tablas 1 y 2.
IP GW
PC en Internet
PC en la empresa
Servidor
PC en empresa 2
Tabla 1
IP 1 IP 2
Router en empresa
Router en empresa 2
Tabla 2
2º.- En el servidor instala un servicio Web con Apache, IIS, o alguno similar.
Una vez comprobada la conectividad mediante ping entre todos los equipos de la red
local, y entre el PC en Internet y los dos routers. Verifica que desde el PC de la empresa
se puede acceder mediante un navegador Web al servidor.
157
NAT
3º.- Para permitir el acceso al servidor desde Internet, configura NAT en el

router de la empresa (ver figura 2).
Figura 66.2
4º.- ¿Qué dirección debe escribir el usuario del PC en Internet en la barra de

direcciones de su navegador para acceder al servidor Web de la empresa? Comprueba
que puedes acceder a dicho contenido.
5º.- ¿Para qué sirve el Port Forwarding? .
Figura 66.3
158
NAT
PRÁCTICA Nº 67
NAT en routers Cisco
Cisco distingue entre NAT estática para asignación de direcciones una a una entre
direcciones locales y globales, dinámica para asignar una dirección no registrada a otra
que sí lo está, y sobrecarga NAT (PAT) cuando muchos nodos de una red salen al
exterior usando una única dirección global.
Configuración de NAT estática:
Figura 67.1
El router tiene una tabla que convierte direcciones IP de los hosts de la red interior a la
dirección que deberán usar cada uno de esos hosts cuando salgan al exterior.
Pasos para configurar una asignación estática:
Router(config)# interface tipo_interfaz número_1

Router(config-if)# ip nat inside
Router(config-if)# ip nat outside
Router(config)# ip nat inside source static ip_host_local ip_host_global
En la segunda y cuarta línea se indica qué interfaz se encuentra en el lado interno y cual
en el lado externo. Recordar que un router puede tener más de dos interfaces. En la
quinta línea se establece una correspondencia entre la IP utilizada por un host con la IP
que deberá usar ese host al salir a Internet.
También se puede interpretar la situación en la dirección opuesta, es decir un servidor

web que se encuentra dentro de una red local tiene un nombre y una dirección bien
conocida en Internet, sin embargo dentro de la red local tiene asignada una dirección del
tipo 192.168.x.y. de tipo privado.
Naturalmente las interfaces del router tienen que haber sido configuradas anteriormente
con unas IPs distintas de las aquí especificadas.
Configuración de NAT dinámica:
No existe la tabla del caso anterior, de tal forma que cuando el router recibe tráfico por
primera vez de un host del lado interior le asigna una IP del lado exterior de forma
temporal. Las IPs globales que asigna el router de forma temporal hay que haberlas
indicado.
Es necesario crear una lista de acceso que contiene las IPs de los hosts que se permite su
conversión.
159
NAT
Pasos para configurar una asignación dinámica:
Router(config)# ip nat pool nombre ip-inicial ip-final {netmask máscara | prefix-

length prefijo}
Router(config)# access-list lista_acceso permit origen
Router(config)# ip nat inside source list lista_acceso pool nombre
En la primera línea se define el rango de direcciones globales que se entregarán de

forma dinámica. La lista de acceso debe contener los host a los que se les permite
traducir su dirección local en global.
Configuración de sobrecarga NAT (PAT):
Utilizada para que muchos ordenadores de una red local salgan a Internet usando todos
la misma dirección global. Este modo de configuración es el habitual que se tiene en
casa cuando varios ordenadores queremos que salgan a Internet usando la dirección que
nos ha proporcionado nuestro ISP.
Cuando le llega al router un paquete del exterior ¿cómo sabe a qué ordenador de la red
local debe pasarlo? Ello obliga a que el router mantenga una tabla actualizada
constantemente de conexiones establecidas entre host de la red local con host de
Internet.
Pasos para configurar una sobrecarga NAT:
Router(config)# access-list lista-acceso permit origen

Router(config)# ip nat inside source list lista-acceso interface interfaz overload
Router(config)# ip nat pool nombre dirección-ip {netmask máscara | prefix-length
prefijo}
Router(config)# ip nat inside source list lista-acceso pool nombre overload
Una vez configurado el router es importante comprobar si es correcta la conversión,

para ello ser pueden utilizar los comandos:
show ip nat translations

show ip nat statistics
debug ip nat
160
Filtrado de paquetes
Filtrado de paquetes con iptables

Como se ha visto en prácticas anteriores, iptables es un comando de Linux que
permite hacer NAT, pero también permite realizar filtrado de paquetes. Para ello
dispone de tres listas de reglas de filtrado (chains), en las cuales se pueden escribir las
acciones a realizar.
Estas listas son:
• INPUT: Es consultada cuando llega un paquete con destino ese equipo.

• FORWARD: Es consultada cuando es necesario el reenvío del paquete.
• OUTPUT: Es consultada cuando sale un paquete con origen ese equipo.
Las acciones posibles son ACCEPT, DROP, y REJECT. La diferencia entre

DROP y REJECT es que con DROP no es necesario dar explicaciones al dispositivo
que emitió el paquete por qué es rechazado, mientras que con REJECT es necesario
contestar con un acuse en el que se indica el motivo del rechazo.
Las opciones más importantes que suelen acompañar al comando iptables son:
-t filter /nat: Filtrado o NAT. Por defecto es filter.

-A: Añade una nueva regla al final de la lista especificada.
-I: Inserta una nueva regla en la posición indicada.
-R: Reemplaza una regla.
-F: Borra todas las reglas.
-D: Elimina una regla concreta.
–P: Cambia la política por defecto de una chain.
-Z: Pone a cero el contador del número de reglas que posee una lista. Se utiliza
tras haber borrado todas las reglas.
-L: Lista todas las reglas de la tabla especificada.
-n: No resuelve las direcciones numéricas a nombres.
-j: Especifica la acción a llevar a cabo sobre el paquete (ACCEPT / DROP /
REJECT).
-i: Interfaz de entrada afectada por la regla de filtrado.
-o: Interfaz de salida afectada por la regla de filtrado.
-s: Dirección de origen.
-d: Dirección de destino.
-p: Protocolo.
--dport: Número del puerto de destino.
--sport: Número del puerto de origen.
--line-numbers: Numera las reglas.
Por ejemplo, en el caso de querer añadir una nueva regla a la lista de filtrado de
entrada la sintaxis sería:
iptables –A INPUT –i interface -s IP_origen -p protocolo

--sport puerto_origen
-j ACCEPT / DROP / REJECT
161
En el caso de introducirla en la lista de filtrado de salida sería:
iptables –A OUTPUT –o interface -d IP_destino -p protocolo

--dport puerto_destino
-j ACCEPT / DROP / REJECT
O por ejemplo, si quisiéramos ver las reglas ya introducidas sería:
iptables -L –n
Cuando se quiere configurar una máquina para que filtre los paquetes,
normalmente, se crea un script que se ejecuta automáticamente cada vez que arranca la
máquina. Para ello hay que guardar dicho script en el directorio /etc/init.d/ con un
nombre que identifique claramente lo que hace.
Para que el sistema operativo pueda arrancarlo deberá tener permisos de

ejecución. Se pueden establecer con chmod u+x /etc/init.d/nombre_script. Además hay
que crear un enlace simbólico en la carpeta /etc/rc5.d con el comando ln –s ‘fichero a
enlazar’ ‘$nºnombre_script’.
Cada vez que se realicen cambios en la configuración hay que arrancar los
servicios de red mediante:
service network restart

o
/etc/init.d/network restart
Otras opciones que suelen acompañar al comando iptables son:
--tcp-flags: Especifica mediante una máscara si los bits indicadores de TCP del
datagrama concuerdan con ella. La máscara es una lista separada por comas de los
indicadores que deben examinarse en la comprobación (SYN, ACK, FIN, RST, URG,
PSH, ALL o NONE).
--syn: La regla se aplica a los datagramas cuyo bit SYN valga 1 y cuyos bits ACK y
FIN valgan ambos 0.
--icmp-type: Puede especificarse el tipo de mesaje ICMP tanto por su número como por:
echo-request, echoreply, source-quench, time-exceeded, destination-unreachable,
network-unreachable, host-unreachable, protocol-unreachable, y port-unreachable.
--mac-source: Se especifica la dirección MAC.
162
-¡: Invierte el valor lógico de la condición de la regla.
-f: Aplica esta regla sólo a los paquetes fragmentados.
--tcp-option : Intenta seleccionar con opciones específicas de TCP que pueden estar
activas en un paquete en particular.
--state: Coincide un paquete con los siguientes estados de conexión:
• ESTABLISHED El paquete seleccionado se asocia con otros paquetes en una

conexión establecida.
• INVALID El paquete seleccionado no puede ser asociado a una conexión
conocida.
• NEW El paquete seleccionado o bien está creando una nueva conexión o bien
forma parte de una conexión de dos caminos que antes no había sido vista.
• RELATED El paquete seleccionado está iniciando una nueva conexión en algún
punto de la conexión existente.
163
PRÁCTICA Nº 68
Control de acceso a Internet con iptables
Supongamos una empresa formada por tres redes de área local, y quiere controlar
el acceso a Internet de cada una de ellas por separado mediante un PC con Linux, según
se muestra en la figura 1.
Figura 68.1
1º.- Monta con los equipos que dispongas el esquema anterior. Si no quieres utilizar
tantos PCs puedes simular las diferentes redes utilizando máquinas virtuales.
2º.- Decide que Ips vas a poner en los equipos:
IP GW
PC1
PC2
PC3
Linux
3º.- Configura el PC con Linux para que permita el acceso a Internet desde cualquiera
de las redes. En el caso de que tengas una única tarjeta de red en el equipo Linux
deberás ponerle varias Ips como se hizo en una práctica anterior.
4º.- Comprueba la tabla de enrutamiento del equipo LINUX.
5º.- Introduce en el equipo LINUX las reglas necesarias para que no puedan conectarse
a Internet los ordenadores desde la red 2 y red 3. Comprueba su funcionamiento.
164
6º.- Permite el acceso a la tercera red. ¿Qué orden has tenido que escribir?
7º.- Si quisiéramos dar acceso según el siguiente horario. ¿Qué tendríamos que hacer?
De 8h a 14h Red 1
De 15h a 17h Red 2
De 18h a 20h Red 3
8º.- Guarda el script del apartado anterior para que se ejecute automáticamente cada vez
que el equipo Linux se inicie.
En el sitio web que da soporte a este libro puedes encontrar documentación, y código
fuente de cómo montar un proxy basado en un servidor web, que permita cortar el
tráfico a Internet de diferentes redes. Esta especialmente pensado para el control de
aulas de un instituto, de tal modo que el profesor puede mediante un navegador conectar
o desconectar el aula en la que se encuentra.
165
PRÁCTICA Nº 69
Cortafuegos con iptables
En la figura 1 se puede observar una típica configuración en la que hay un PC con dos
tarjetas de red que hace las funciones de router. Este router da acceso a Internet a los
equipos situados dentro de la red de una empresa.
Figura 69.1
1.- Rellena la siguiente tabla con las IPs que tendrán los equipos:
IP Máscara Puerta de enlace

Servidor en empresa
Servidor en Internet
PC en empresa
PC en Internet
PC Router IP LAN IP WAN
2.- Borrar todo lo previo:

iptables –t filter –F
iptables –t nat –F
3.- Comprueba que están vacías con: iptables –L.
4.- Configurarlo como un router: echo 1 > /proc/sys/net/ipv4/ip_forward
5.- Hacer un ping desde “PC en Internet” a “Servidor en empresa”. Capturar el tráfico
en la máquina “Servidor en empresa”. ¿Qué sucede con las IPs de origen y destino?
6.- Hacer NAT POSTROUTING:
iptables –t nat –A POSTROUTING –j MASQUERADE
166
7.- Volver a hacer el ping del apartado 5.
8.- Hacer NAT PREROUTING:
iptables –t nat –A PREROUTING –i eth0 –p tcp --dport 80 –j DNAT –to IP_servidor:80

9.- Intenta conectarte al servidor mediante un navegador. ¿Es posible?
10.- Reenvío de los paquetes dirigidos al servidor Web:
iptables –t filter –A FORWARD –p tcp --dport 80 –j ACCEPT
11.- Se debe permitir el acceso al propio PC router desde la intranet mediante ssh.
iptables –t filter –A INPUT –ptcp –i eth0 --dport 22 –s 192.168.1.0/24 –j ACCEPT
12.- Instala el openssh-server en el “PC router”, y openssh-client en “PC en la

empresa”.
13.- Comprueba que desde el PC en la empresa si puedes acceder al PC Router

mediante ssh.
14.- Permitir a los otros PCs salir a Internet: Activar DNS
iptables –t nat –A PREROUTING –p udp -- dport 53 –j DNAT - - to 192.168.x.0

iptables –t filter –A FORWARD –s 0.0.0.0/0 –p udp –d port 53 –j ACCEPT
15.- Permitir el tráfico de conexiones ya establecidas:
iptables –t filter –A FORWARD –m state - - state ESTABLISHED, RELATED –j ACCEPT
16.- Se deben cerrar los otros puertos:
iptables –t filter –P FORWARD DROP
17.- Lista todas las reglas con: iptables –t filter –L –n
18.- Haz un ping desde PC en Internet al Servidor. ¿Se puede? ¿Por qué si/no?
19.- Desde el “PC en Internet” ¿Te puedes conectar mediante un navegador al servidor?
167
Seguridad en la red
Seguridad en la red
La seguridad esta relacionada con la confidencialidad (el mensaje sólo debe tener
significado para el emisor y receptor), integridad (los datos deben llegar exactamente
igual a como fueron emitidos), autenticación (se tiene certeza de quien es el emisor y el
receptor del mensaje), y no repudio (un emisor no puede negar el envió de un mensaje
que efectivamente realizó).
La principal normativa sobre seguridad en las comunicaciones existente

actualmente es:
* Mecanismos de seguridad definidos en el estándar 801.11i.
* Arquitecturas de seguridad descritas en ISO/IEC 10181.
* Estándares de clave pública y certificado de atributos X.509. Describe los

campos obligatorios y opcionales que deben tener los certificados.
* Serie X.800 de la Unión Internacional de Telecomunicaciones, en la que se

abordan los problemas de seguridad y se ofrecen marcos de trabajo para la
interconexión segura de sistemas abiertos.
* ISO/IEC 10745 Modelos de seguridad aplicados a las capas superiores.
* ISO/IEC 13594 Modelos de seguridad aplicados a las capas inferiores.
* ISO/IEC 11577 Modelos de seguridad aplicados a la capa de red.
* ISO/IEC 11770 Gestión de claves criptográficas de algoritmos simétricos y

asimétricos.
La seguridad en la red se consigue principalmente mediante el uso de

criptografía, la cual divide sus algoritmos en dos grupos: algoritmos de clave simétrica
(clave secreta) cuando se usa la misma clave en ambos extremos de la comunicación, y
algoritmos de clave asimétrica (clave pública) cuando hay dos claves denominadas
clave privada y clave pública. La clave pública se usa para cifrar mensajes, por lo que
cualquiera puede enviar un mensaje cifrado con ella, mientras que la clave privada la
cual sólo la tiene el receptor se usa para descifrar.
Criptografía de clave simétrica:
D.E.S. (Data Encription Standard): Fue diseñado por IBM para cifrar textos usando una
clave de 64 bits.
Triple DES: Para alargar la clave de DES hasta 168 bits se implemento 3DES. Usa tres
bloques DES seguidos con una clave para cada bloque.
AES (Advanced Encription Standard): Para mejorar la velocidad de 3DES. Usa tres
tamaños de clave: 128, 192 y 256 bits.
168
Seguridad en la red
Criptografía de clave asimétrica:
R.S.A. (Rivest, Shamir y Aldeman): Usa dos números, e y d, como claves pública y
privada que están relacionados entre sí, para calcularlos se deben seguir los siguientes
pasos:
1. Se eligen dos números primos muy grandes, p y q.

2. n=pxq
3. w = (p - 1) x (q – 1)
4. Se elige un número e y se calcula d, de forma que d x e = 1 mod w
5. Se hacen públicos e y n, mientras que w y d son secretos.
Cualquiera que quiera enviar un mensaje al receptor debe usar n y e:

C = Pe (mod n)
Y para descifrar:
P = Cd (mod n)
siendo C=Texto_Cifrado y P =Texto_claro
Diffie-Hellman: Dos entidades crean una clave de sesión simétrica K para

intercambiar datos sin tener que recordar o almacenar la clave para el futuro.
K = gxy mod p
siendo x un número aleatorio grande escogido por el emisor, y el elegido por el
receptor, y p y g dos números no confidenciales elegidos por ambos.
Certificados Digitales:
El Certificado de Usuario es un documento digital que asocia una clave pública

con la identidad de su propietario. De esta forma el usuario puede identificarse en
Internet e intercambiar información con otras personas con la garantía de que sólo el
emisor y el receptor pueden acceder a ella.
Cuando se solicita un certificado de usuario a una Entidad Autorizadora, el

navegador genera un par de claves. La clave privada se guarda en su navegador y la
clave pública se envía a la Entidad Autorizadora. La Entidad Autorizadora devolverá el
certificado a instalar en el navegador.
Firma Digital:
La firma digital permite al receptor de un mensaje verificar la autenticidad del

origen de la información así como verificar que dicha información no ha sido
modificada desde su generación. De este modo, la firma digital ofrece el soporte para la
autenticación e integridad de los datos así como para el no repudio en origen, ya que el
emisor de un mensaje firmado digitalmente no puede argumentar que no lo es.
169
Seguridad en la red
Los pasos para enviar un mensaje firmado digitalmente son:
* El emisor resume el mensaje mediante una función hash.

* Cifra el resultado de la función hash con su clave privada. De esta forma
obtiene su firma digital.
* Envía al receptor el mensaje original junto con la firma.
Infraestructura de clave pública PKI:
Cuando se quiere utilizar claves públicas en una gran empresa puede ser
imposible tener un único centro gestor de claves para responder a todas las consultas
que se puedan generar. La mejor solución es poner muchos servidores con una
estructura jerárquica.
El modelo de confianza basado en Terceras Partes Confiables es la base de la

definición de las Infraestructuras de Clave Pública. Una infraestructura de Clave
Pública es un conjunto de protocolos, servicios y estándares que soportan aplicaciones
basadas en criptografía de clave pública.
Algunos de los servicios ofrecidos por una PKI son los siguientes:
• Registro de claves: emisión de un nuevo certificado para una clave pública.

• Revocación de certificados: cancelación de un certificado previamente emitido.
• Selección de claves: publicación de la clave pública de los usuarios.
• Evaluación de la confianza: determinación sobre si un certificado es válido y qué
operaciones están permitidas para dicho certificado.
• Recuperación de claves: posibilidad de recuperar las claves de un usuario.
170
Seguridad en la red
PRÁCTICA Nº 70
Conexión segura con SSH (Securite Shell)
Si nos conectamos a una máquina remota mediante la aplicación telnet todo lo que
escribamos en nuestra consola viajará a través de la red como texto plano, es decir,
cualquier persona puede interceptarlo y analizarlo (figura 1).
Figura 70.1
La figura 1 corresponde a la captura del tráfico en el momento en que un usuario escribe

un login y password. La línea seleccionada coincide con el envío de la primera letra
del login (dicha letra es la ‘j’ correspondiente al último byte). De este modo, bien
manualmente o con una aplicación específica, se puede reconstruir todo el texto
enviado.
Para evitarlo se desarrolló el servicio SSH (Securite Shell) que utiliza el puerto 22.
Gracias a este protocolo las comunicaciones viajan cifradas, y por lo tanto ilegibles para
alguien que pueda escuchar el tráfico. Se puede observar en la figura 2 como los
paquetes están encriptados mediante el algoritmo Diffie-Hellman.
Figura 70.2
171
Seguridad en la red
El funcionamiento de ssh es el siguiente:
1.- El cliente abre una conexión TCP con el servidor en el puerto 22.
2.- El cliente y el servidor se ponen de acuerdo en qué versión de ssh van a
utilizar, y algoritmo de cifrado.
3.- El servidor envía su clave pública al cliente.
4.- El cliente recibe la clave pública del servidor y la compara con la que ya
tenía. En caso de ser la primera vez se pedirá conformidad al usuario.
5.- El cliente genera una clave y se la envía al servidor codificada con la clave
pública del servidor.
6.- Como ambos extremos tienen la clave ya pueden codificar los datos con ella.
En esta práctica se va a instalar un servidor SSH, al cual se podrán conectar máquinas

clientes con la seguridad de que el tráfico generado viaja codificado. Posteriormente se
va a utilizar el algoritmo RSA para generar una clave pública y otra privada con el fin
de poder conectarse al servidor sin necesidad de escribir ningún password.
1º Configurar la máquina servidor en un equipo Linux de la siguiente manera (puedes

modificar las Ips para pertenecer a la red donde se realice la práctica):

route add default gw 10.35.136.1
2º.- Configurar la red en el cliente de la siguiente forma (de la misma forma que en el
apartado anterior, puede que necesites cambiar las IPs dentro del rango de tu red):

route add default gw 10.35.136.1
3º.- Con el comando route comprueba en ambas máquinas la dirección del gateway, y
que tienes salida a Internet (por si es necesario instalar algún paquete).
Figura 70.3
4º.- Añadir en el servidor un grupo denominado alumnos, al cual le agregaremos el

usuario alumno con password alumno.
groupadd alumnos
useradd –g alumnos –d /home/alumno –m –s /bin/bash alumno
passwd alumno
172
Seguridad en la red
5º.- Los servicios que el sistema ejecuta al iniciarse están en el directorio /etc/init.d.
Comprueba si el servicio ssh esta ejecutándose. En caso negativo instálalo (figura 4).
apt-get install ssh
Figura 70.4
Una vez instalado lo iniciamos con la expresión: /etc/init.d/ssh start

Para parar el servicio se utiliza: /etc/init.d/ssh stop
6º.- Cambia el nombre al Servidor por “Servidor”, y al Cliente por “Cliente”.
hostname Servidor/Cliente
7º.- Inicia la captura del tráfico con el programa Wireshark. Es indiferente que la
captura se realice en el servidor o en el cliente.
8º.- Comprueba la correcta instalación y funcionamiento del servicio desde el cliente

utilizando la expresión: ssh nombre_usuario@IP_del_servidor
ssh alumno@ IP_del_servidor
Como vemos en la figura 5, línea 2, nos pide el password del usuario. Si no hubiéramos
escrito alumno en la expresión anterior, nos pediría el usuario y el password para
acceder a la conexión.
Figura 70.5
173
Seguridad en la red
9º.- Para la captura del tráfico. Situate en el paquete cuya descripción es “Server: Key
Exchange Init”. Expande la pestaña SSH Protocol (figura 6). ¿Cuántos algoritmos
pueden ser utilizados?
Figura 70.6
Hasta ahora lo que hemos hecho es conectarnos a una máquina denominada “servidor”
con nuestro login y password, el cual ha viajado a través de la red codificado. Se puede
automatizar el proceso de la conexión de forma que no sea necesario escribir el
password cada vez que se realice, pero para ello es necesario tener unas claves
compartidas en ambas máquinas.
El proceso de autenticación del cliente en el servidor es el siguiente:
1.- El servidor tiene en el home del usuario que se quiere conectar una carpeta que
contiene la clave pública del usuario. Este fichero se denomina id_rsa.pub.
2.- El servidor genera un número aleatorio que es codificado con la clave pública
del cliente usando el algoritmo RSA o DSA, y se lo envía.
3.- El usuario recibe el paquete con el número codificado, lo descodifica

utilizando su clave privada, y se lo vuelve a mandar al servidor codificándolo con
la clave pública del servidor.
4.- El servidor descodifica la contestación con su clave privada.
5.- El servidor compara el texto recibido con el original, y si coincide el servidor

acepta al cliente.
10.- Para generar las claves en la máquina cliente ejecuta el comando:
alumno@cliente:$ ssh-keygen –t rsa.
Por defecto la clave privada (id_rsa) y pública (id_rsa.pub) generadas son guardadas en
/home/alumno/.ssh/ (pulsa intro). A continuación pide una frase de paso y su
confirmación (pulsa intro en ambos). También informa acerca del fingerprint, o código
de identificación de la clave.
174
Seguridad en la red
11.- Hay que transportar la clave pública al servidor, y la mejor forma es mediante un
sistema de comunicación seguro como el que nos proporciona el comando scp. Ejecuta:
alumno@cliente:$ scp /home/alumno/.ssh/id_rsa.pub alumno@IP_del_servidor:/home/alumno/
12.- Hay que crear la carpeta .ssh en el home del usuario en la máquina que actua como
servidor:
alumno@cliente:$ ssh alumno@IP_del_servidor

alumno@servidor:$ mkdir .ssh
alumno@servidor:$ chmod 0700 .ssh/
13.- Se debe copiar la clave pública en el archivo authorized_keys:
alumno@servidor:$ cat /home/alumno/id_rsa.pub >> /home/alumno/.ssh/authorized_keys
14.- Borrar el archivo de la clave pública que está en el home del alumno:
alumno@servidor:$ rm /home/alumno/id_rsa.pub
15.- Se ha terminado de configurar:
alumno@servidor:$ exit
alumno@cliente:$
16.- Realizar la conexión al servidor (ssh alumno@IP_del_servidor).
Figura 70.7
Observa como, a diferencia de las anteriores conexiones, ahora no nos pide

contraseña (figura 7)
175
Seguridad en la red
SSH con Webmin
Utilizando un navegador se puede administrar el servidor ssh con Webmin a través de la

dirección https://localhost:10000 (figura 8).
Figura 70.8
En autenticación se especifica
la ruta del archivo de claves
autorizadas, si se permite
conectar al root, si se utiliza
RSA para autenticar, etc.
Figura 70.9
En red se especifica el puerto

del servicio ssh, versiones del
protocolo, máquinas clientes
aceptadas, etc.
Figura 70.10
En configuración de clave ssh

se puede automatizar el
proceso de generación de
claves al crear nuevos
usuarios. Figura 70.11
176
Seguridad en la red
SSL
El protocolo SSL (Secure Socket Layer) fue desarrollado por la compañía

Netscape Communications desde el inicio del desarrollo del navegador Web de dicha
compañía para cifrar la conexión entre el cliente (navegador) y el servidor Web. SSL
crea un canal blindado para transmitir los datos confidenciales desde el equipo del
usuario hasta el equipo servidor. Es la solución utilizada por la mayoría de servidores
proporcionando los servicios de confidencialidad, integridad, autenticación de
servidores, y autenticación del cliente.
SSL es un protocolo de seguridad que se sitúa sobre la capa de transporte de la

pila de comunicaciones. Crea una capa adicional en la pila de comunicaciones que
permite a las aplicaciones que securicen sus comunicaciones sin tener que realizar
modificaciones importantes en su código.
Funciona como un algoritmo de clave pública asimétrica, es decir, utiliza dos

claves, una pública y otra privada. La clave pública es enviada por el servidor al
cliente, el cual se ha conectado por el puerto 443, en ese momento el cliente envía esa
clave pública del servidor a la entidad certificadora para su verificación y aprobación.
Sólo la entidad certificadora podrá verificar con su llave privada la validez de la llave
pública.
SSL está diseñado para proporcionar un servicio fiable de extremo a extremo

utilizando TCP. Utiliza dos niveles de protocolos: En el nivel de sesión esta el
protocolo record SSL que proporciona servicios de seguridad básica a protocolos de
nivel más alto, y en el nivel superior se encuentran: Handshake Protocol, Change Chipre
Spec protocol, y Alert Protocol.
TLS (Transport Layer Security) es un intento de tener una versión estándar de

SSL. Está definido en el estándar RFC 2246, y es muy parecido al SSL v3.
SET (Secure Electronic Transaction) es una especificación diseñada para

transacciones con tarjetas de crédito en Internet. Proporciona un canal de comunicación
seguro, permite la confianza entre las partes implicadas mediante el uso de certificados
digitales X.509v3, y la información sólo esta disponible en los momentos necesarios de
las transacciones.
177
Seguridad en la red
OpenSSL es la implementación GNU de SSL v2/v3 y TLS v1 (Transport Layer

Security). Para ver la versión del módulo OpenSSL de su sistema Linux escriba:
#rpm –qi openssl
Si no esta instalado se puede hacer con la orden:
#rpm –hUv openssl-xxxx.rpm
o bien
#tar –xzvmf openssl-xxxx.tar.gz

#cd openssl*
#./config
#make
#make install
Para comprobar que SSL está activado escriba:
#openssl s_client –connect localhost:443 –state
Para generar una clave privada de 1024 bits en el archivo mi_clave_privada.key

escriba:
#openssl genrsa –out mi_clave_pri.key 1024
Para mirar una clave privada:
#openssl rsa –noout -text –in mi_clave_pri.key
Para crear una clave de requerimiento y en el mismo paso la clave privada:
#openssl req –new -keyout mi_clave_pri.key -out mi_clave_pri.csr –days 365
Para firmar la clave anterior donde el servidor sea la entidad certificadora:
#openssl genrsa –x509 –key mi_clave_pri.key –in mi_clave_pri.csr mi_clave_pri.crt
Para mirar una clave de requerimiento de certificado:
#openssl req –noout –text –in mi_clave_pri.csr
Para mirar un certificado x509 o clave pública escriba:
#openssl x509–noout-text-in mi_clave_pri.crt
178
Seguridad en la red
Para ver información de un certificado expedido por una entidad certificadora

escriba:
#openssl x509–noout-subject-in mi_clave_pri.crt
Para generar las claves privada y pública de la Entidad Certificadora (CA):
#openssl req –new –x509 –keyout ca_clave.perm –out cacert.pem –days 365
Las cuales habrá que copiar a sus respectivos directorios para poder firmar
requerimientos, por ejemplo:
cp cakey.pem /usr/local/ssl/CA/private
cp cacert.pem /usr/local/CA/
Para generar un archivo indes.txt que contenga una lista de los certificados
públicos generados:
#touch /usr/local/ssl/CA/index.txt
#echo 00 > /usr/local/ssl/CA/serial
Para firmar requerimientos como una CA:
#openssl ca –policy policy_ anything –out mi_clave_pri.crt –infiles mi_clave_pri.csr
En Apache las claves privada y pública se encuentran generalmente en :
/usr/local/apache2/conf/ssl.key/server-dsa.key
/usr/local/apache2/conf/server.crt
Para crear un certificado auto firmado es muy sencillo, tan sólo hay que crear la clave
privada:
openssl genresa –des3 1024 > nombre_clave.cert
Para crear el certificado X509:
openssl req –new -key ./nombre_clave.cert –x509 –days 365 –out nombre_clave.pem
Y para crear un certificado PKCS12 que contendrá el certificado y la clave pública:
Openssl pkcs12 –export –out nombre_certificado.p12

–name “El certificado personal”
–inkey nombre_clave.cert –in nombre_clave.pem
Ahora podemos instalarlo en nuestro programa gestor de correo para firmar los
mensajes que enviemos.
179
Seguridad en la red
PRÁCTICA Nº 71
Servidor Web con OpenSSL
El objetivo es configurar un servidor Web (en nuestro caso será localhost) para
que acepte conexiones seguras mediante OpenSSL. Para ello se ha de requerir que el
servidor haga también las funciones de entidad certificadora.
1º.- Revisa que apache esta habilitado y con soporte a SSL, para ello bastará
escribir en la dirección de un navegador localhost, y asegurarse que el archivo
openssl.cnf tiene la variable dir= /usr/local/ssl/CA (según el Linux instalado la ruta
puede variar).
2º.- Configurar el equipo para convertirse en entidad certificadora. Para ello:
# mkdir –p /usr/local/ssl
# cd /usr/local/ssl
# openssl req –new –x509 –keyout cakey.pem -out cacert.pem -days 365
Se preguntará por una clave para generar el certificado.
2.1º.- Se debe generar un directorio para firmar requerimientos de claves

públicas.
# mkdir –p /usr/local/ssl/CA/private
# mkdir –p /usr/local/ssl/CA/newcerts
2.2º.- Copiar la clave privada cakey.pem al directorio de claves privadas:
#cp cakey.pem /usr/local/ssl/CA/private
2.3º.- Copiar la clave pública cacert.pem al directorio de claves públicas:
# cp cacert.pem /usr/local/ssl/CA
2.4º.- Generar el archivo index.txt que contendrá una lista de los certificados
públicos generados:
#touch /usr/local/ssl/CA/index.txt
2.5º.- Generar el archivo de nombre serial que contendrá el consecutivo de

certificados públicos generados, comenzando en uno.
#echo 01 > /usr/local/ssl/CA/serial
En estos momentos ya esta lista la máquina para comportarse como entidad

certificadora.
3º.- Hacer el requerimiento a la entidad certificadora por 365 días:
180
Seguridad en la red
#cd /usr/local/ssl
#openssl req –new –keyout mva.key –out mva.csr –days 365 –nodes
4º.- Firmar el requerimiento como una entidad CA:
#openssl ca –policy policy_anything –out mva.crt –infiles mva.csr
5º.- Instalar los certificados para que apache los lea al iniciar:
#cp mva.crt /usr/local/apache2/conf/server.crt

#cp mva.key /usr/local/apache2/conf/server.key
6º.- Reiniciar apache. Comprobar que en httpd.conf la línea que activa SSL no
esta comentada.
7º.- Comprobar que funciona escribiendo en la barra de direcciones:
https://localhost
181
Seguridad en la red
PRÁCTICA Nº 72
Certificados digitales del lado cliente con OpenSSL
El objetivo es asegurar que el cliente es quien dice ser. Para ello se debe tener creada
una entidad certificadora CA. El cliente debe tener un par de claves RSA de 1024 bits
con la clave privada protegida mediante la pass-phrase cliente y el correspondiente
certificado con estas características:
• Validez: 60 días
• Algoritmo de hash: SHA-1
• Extensiones: Basic Constraints (crítica); CA =FALSE; Extended Key Usage:
Autenticación de cliente web SSL/TLS.
1º.- Generar la clave privada del cliente (escribir cliente como password):
#openssl genrsa –out cliente-key.pem –des3 1024

#openssl req –new –key cliente-key.pem –out cliente-csr.pem –config openssl.cnf.txt –
sha1 –outform PEM
Para verificar el requerimiento escriba:
#openssl req –in cliente-csr.pem –verify –text –noout
Ahora se genera la llave pública: Se edita el archivo openssl.cnf.txt y se le adiciona la

extensión protección_de_cliente.
Para generar el certificado de clave pública se escribe:
#openssl ca –verbose –policy policy_match –out cliente-cert.pem –days 60 –config

openssl.cnf.txt –in cliente-csr.pem –extensions protección_de_cliente –passin pass:Ca
Verificación del certificado:
#openssl verify –verbose –Cafile ca-cert.pem cliente-cert.pem
2º.- Generar un archivo de tipo PKCS #12 protegido con contraseña pkcs12 que
contenga la clave privada y el certificado del cliente (suministrar el mismo password).
3º.- Indicar al servidor Web que acepte únicamente a aquellos clientes que tengan un
certificado emitido por nuestra CA. Para ello en httpd.conf incluir la línea:
Include conf/extra/httpd-ssl2.conf
Crear una nueva sección Virtualhost con los nuevos certificados e incluir la variable
SSLVerifyClient require
4º.- Reiniciar apache.
182
Seguridad en la red
5º.-Para comprobar su funcionamiento es conveniente en las opciones del navegador

especificar que pida el certificado cada vez en lugar de cogerlo automáticamente. Se
deberá importar el certificado en el navegador.
En la opción de autoridades buscar el certificado, y marcar la opción Identificar sitios

Web.
183
Seguridad en la red
PRÁCTICA Nº 73
Certificados con IIS y SSL
Para habilitar el SSL en un servidor IIS hay que abrir la consola pulsando con el botón
derecho sobre el sitio Web, seleccionar propiedades y seguridad de directorios. En el
apartado Comunicaciones seguras pulsar sobre Certificado de servidor (figura 1).
Figura 73.2
Figura 73.1
1º.- Seleccionar crear un certificado nuevo (figura 2). Seleccionar la opción Preparar la
petición ahora pero enviarla más tarde. Rellenar nombre, longitud de la clave, nombre
de la compañía, nombre del sitio Web tal y como lo escribirán los usuarios para acceder
a él a través de Internet (nombre con el que se conoce la máquina en el DNS), ruta de
acceso, y nombre del archivo de texto donde desea almacenar la solicitud del
certificado. El contenido de la petición de certificado queda guardado en un archivo
codificado en Base 64.
2º.- Envío de la solicitud: Se debe enviar la solicitud de certificado a una autoridad de

certificación. También existe la posibilidad de hacer nuestra máquina como CA como
hemos visto en otra práctica.
3º.- Una vez que la entidad certificadora ha verificado el fichero que le hemos mandado
nos devolverá un certificado que contiene la información del sitio Web.
4º.- Instalación del certificado firmado.

Abrir la consola de administración de
IIS, y con el botón secundario
seleccionar propiedades, Seguridad de
directorios, Comunicaciones seguras,
Certificado de servidor. Seleccionar
“Procesar la petición pendiente e
instalar el certificado” (figura 3).
Figura 73.3 184

Seguridad en la red
5º.- En el sitio Web pulsar sobre propiedades y “Seguridad de directorios”, y

posteriormente en el botón de modificar en “Comunicaciones seguras”. Ahí se debe
seleccionar “Requerir canal seguro (SSL)” para que la información circule cifrada.
Figura 73.4
6º.- Comprobar que el servidor contesta a https://localhost
185
Seguridad en la red
IPSec
La arquitectura de seguridad IPsec es una propuesta del Internet Engineering

Task Force para dotar de protección criptográfica a la capa de red IP. Está descrito en
los RFC 2401, 2402, 2406, y 2408. El principio de funcionamiento de IPSec es la
independencia con los algoritmos de codificación, lo que permite que en caso de
descubrirse alguna vulnerabilidad poder sustituirlos. Algoritmos de cifrado que puede
utilizar IPSec son: Triple DES, RC5, IDEA, Triple IDEA, y CAST.
IPSec proporciona servicios de seguridad en la capa IP permitiendo que un

sistema elija los protocolos de seguridad, y claves criptográficas a utilizar, por lo que
puede ser utilizado con protocolos de capas superiores como TCP, UDP, ICMP, etc.
Los servicios que IPSec proporciona son: encriptación del tráfico, control de
acceso, integridad sin conexión, autentificación de los extremos de los datos, rechazo de
paquetes, y confidencialidad.
IPSec tiene dos modos de funcionamiento independientes, con objetivos

diferentes: El modo Transporte para los datos, en el que se protegen los datos de nivel
superior a IP (TCP, ICMP,...), y el modo túnel en el que se protegen los propios
paquetes de la capa IP.
Algunos ejemplos de uso pueden ser el acceso remoto seguro a través de líneas
públicas, conexión segura entre varias oficinas de una empresa, seguridad en el
comercio electrónico, etc.
La cabecera de un paquete de autentificación de paquetes IPSec se compone de:
• Cabecera siguiente (ocho bits): Identifica el tipo de cabecera después de esta.

• Longitud (ocho bits): Normalmente 96 bits.
• Reservado (16 bits).
• Índice de parámetros de seguridad (32 bits).
• Número de secuencia (32 bits).
• Datos de autentificación (variable).
IPSec utiliza dos protocolos de seguridad: AH (Authetication Header) que asegura que
los datos no han sido manipulados y que provienen realmente de quien dice, y ESP
(Encapsulating Security Payload) que codifica los datos útiles.
186
Seguridad en la red
PRÁCTICA Nº 74
Políticas de seguridad con IPSec en Windows
Los sistemas operativos de Microsoft tienen integrado el soporte para IPSec,
gestionados desde la consola de seguridad local del sistema, la cual se encuentra en
Panel de Control / Herramientas Administrativas / Directiva de seguridad local (ver
figura 1).
Figura 74.1
Pulsando con el botón secundario del ratón sobre “Directivas de seguridad IP en

Equipo local” se abre un menú contextual. Seleccionaremos “Administrar listas de
filtros IP y acciones de filtrado” (ver figura 2).
Figura 74.2
En la ventana se puede observar dos pestañas en las que se puede gestionar los
filtros y las acciones (figura 3).
187
Seguridad en la red
Supongamos que en nuestra máquina tenemos un servidor web que queremos

fortificar, de tal forma que sólo acepte tráfico con destino al puerto 80. Vamos a crear
una directiva para el servidor web que permita únicamente el tráfico a través de dicho
puerto. Pulsaremos el botón agregar para crear una lista de filtros En la ventana que
aparece tenemos otro botón Agregar el cual lanza el asistente (figura 4).
Como máquina origen será “Cualquier dirección IP”. Máquina de destino será
“Mi dirección IP”. Protocolo a filtrar TCP. Puerto de origen cualquiera (el puerto en el
cliente es asignado dinámicamente) y de destino el 80. Si nuestro servidor acepta
conexiones seguras se deberá hacer lo mismo para el puerto 443 (figura 5).
Figura 74.5
Hemos definido el tráfico que queremos permitir. Ahora debemos hacer lo

mismo con el tráfico que queremos denegar (en nuestro caso será todo lo demás). Para
ello definiremos otra lista de filtrado de nombre “todo” que contendrá un filtro con
cualquier dirección de origen, nuestra dirección de destino, y cualquier protocolo (figura
6).
188
Seguridad en la red
En la pestaña de acciones (figura 7) aparecen por defecto tres acciones: se puede

permitir, requerir seguridad, y solicitar seguridad. Pulsaremos sobre Agregar, le
daremos un nombre a la acción, y escogeremos Bloquear. Ahora que ya tenemos
definidos los filtros y las acciones se pueden relacionar con una directiva. Escogeremos
la opción de “Crear directiva” de la figura 2, introduciremos un nombre, y finalizaremos
el asistente.
En la ventana de propiedades de la directiva (figura 8) agregaremos las dos

reglas creadas anteriormente.
Figura 74.8
Se preguntará si estamos utilizando VPN a lo que contestaremos “Esta regla no

especifica un túnel” (opción por defecto), la interfaz a la que se aplicará la regla, y el
método de autenticación a utilizar. Hay que seleccionar la lista de filtros IP para el tipo
de tráfico IP al que se aplica la regla de seguridad (figura 9) y la acción que se le
aplicará (figura 10).
De forma análoga hay que hacer para denegar el resto del tráfico.
189
Seguridad en la red
Las reglas IPSec se aplican de forma que las más específicas tienen prioridad
sobre las generales, de este modo, el tráfico web se permitirá mientras que el resto del
tráfico se bloqueará.
Figura 74.11
Para activar la directiva hay que seleccionarla en la lista, y en el menú que

aparece con el botón secundario pulsar sobre todas las tareas / asignar (figura 12). En
estos momentos ya esta funcionando la directiva recién creada.
Figura 74.12
190
Seguridad en la red
PRÁCTICA Nº 75
Comunicaciones seguras con IPSec en Windows
Se pretende hacer segura la comunicación entre dos máquinas que están
ejecutando aplicaciones que no soportan ningún tipo de cifrado de la información, por
ejemplo telnet, voz por IP, conexiones a bases de datos remotas, etc. En nuestro caso
tendremos un servidor MySQL al que se conectará un cliente para solicitarle datos.
Como se observa en la figura 1, al realizar el cliente la consulta “Select * from

peliculas” el tráfico viaja a través de la red en claro, de tal forma que un potencial
atacante puede capturar y entender el tráfico entre las dos máquinas. Nuestro objetivo
es cifrar dicha comunicación.
Figura 75.1
Lo primero a realizar será una nueva lista de filtrado. Se le dará un nombre

descriptivo y nos aseguraremos de dejar la pestaña “reflejado” activa, de tal forma que
el cifrado se realice en ambas direcciones. Se debe indicar la dirección de origen, la de
destino, el protocolo, y el puerto (por ejemplo SQL Server 1433, MySQL 3306, Oracle
1521). Se debe añadir otra regla de filtrado que impida el resto del tráfico (figura 2).
191
Seguridad en la red
Como acción de filtrado crearemos una denominada “Autenticar y Cifrado” con

comportamiento “Negociar la seguridad”, y sólo se permitirá la conexión si los dos
equipos son compatible con IPSec (figura 3). Posteriormente se ofrecen tres métodos
de seguridad para el tráfico (figura 4). En la configuración de la opción de
“Personalizada” (figura 5) se puede configurar el algoritmo a utilizar en la integridad de
datos y cifrado (SHA1 o MD5), y el algoritmo a utilizar en el cifrado (3DES, DES).
Escogeremos el primer método: Cifrado e Integridad.
Figura 75.4
Figura 75.6
Figura 75.5
Ahora crearemos la directiva de seguridad denominada “Cifrado de tráfico de

MySQL”, a la cual agregaremos la regla creada anteriormente. De los tres métodos de
autenticación que existen (figura 6), el primer método (protocolo Kerberos V5) sólo
funcionará si ambos equipos están en el mismo directorio activo o si existe una relación
de confianza entre los dos sitios, en el segundo método es necesario disponer de un
certificado emitido por una entidad emisora, y en el tercer método se utiliza una cadena
de texto como clave que deben conocer ambas máquinas.
En “lista de filtros IP” escogeremos el creado anteriormente denominado tráfico

“MySQL”, y acción de filtrado “Autenticar y Cifrado” (figuras 7 y 8).
192
Seguridad en la red
Figura 75.7
Figura 75.8
Y para finalizar con la configuración, tan sólo es necesario activarla (figura 9).
Figura 75.9
En el otro equipo habrá que repetir todos los pasos pero teniendo en cuenta quien
hace de cliente, y quien hace de servidor.
Vamos a realizar la misma consulta que hicimos al principio: “Select * FROM

Tabla_1”.
193
LAN Inalámbricas
Redes inalámbricas: WLAN

Nos encontramos ante cuatro principales variantes:
802.11a: Llega a alcanzar velocidades de hasta 54 Mbps dentro de los estándares del
IEEE y hasta 72 y 108 Mbps con tecnologías de desdoblamiento de la velocidad
ofrecidas por diferentes fabricantes. Esta variante opera dentro del rango de los 5 Ghz.
Inicialmente se soportan hasta 64 usuarios por Punto de Acceso.
Sus principales ventajas son su velocidad, la base instalada de dispositivos de este tipo,
la gratuidad de la frecuencia que usa y la ausencia de interferencias en la misma. Sus
principales desventajas son su incompatibilidad con los estándares 802.11b y g, la no
incorporación a la misma de QoS (posibilidades de aseguro de Calidad de Servicio, lo
que en principio impediría ofrecer transmisión de voz y contenidos multimedia online),
la no disponibilidad de esta frecuencia en Europa dado que esta frecuencia está
reservada a la HyperLAN2 (Ver http://www.hiperlan2.com) y la parcial disponibilidad
de la misma en Japón.
802.11b: Alcanza una velocidad de 11 Mbps estandarizada por el IEEE y una velocidad
de 22 Mbps por el desdoblamiento de la velocidad que ofrecen algunos fabricantes.
Opera dentro de la frecuencia de los 2.4 Ghz. Inicialmente se soportan hasta 32 usuarios
por PA.
Adolece de varios inconvenientes: falta de QoS, masificación de la frecuencia en la que

transmite y recibe, pues en los 2.4 Ghz funcionan teléfonos inalámbricos, teclados y
ratones inalámbricos, hornos microondas, dispositivos Bluetooth, lo cual puede
provocar interferencias. En el lado positivo está su rápida adopción por parte de una
gran comunidad de usuarios debido principalmente a unos muy bajos precios de sus
dispositivos, la gratuidad de la banda que usa y su disponibilidad gratuita alrededor de
todo el mundo. Está estandarizado por el IEEE
802.11g: Se basa en la compatibilidad con los dispositivos 802.11b y en el ofrecer unas

velocidades de hasta 54 Mbps. Funciona dentro de la frecuencia de 2.4 Ghz.
Dispone de los mismos inconvenientes que el 802.11b. Las ventajas de las que dispone
son las mismas que las del 802.11b además de su mayor velocidad.

802.11n: Límite teórico de 600 Mbps aunque actualmente la velocidad está en
300Mbps. Usa las bandas de 2,4 GHz y 5 GHz. Gracias a la tecnología MIMO
Multiple Input – Multiple Output, permite utilizar varios canales a la vez para enviar y
recibir datos gracias a la incorporación de varias antenas.

IEEE Técnica Banda Modulación Máxima tasa
802.11a OFDM 5.725 GHz PSK o QAM 54 Mbps
802.11b DSSS 2.4 GHz PSK 11 Mbps
802.11g OFDM 2.4 GHz Diferente 54 Mbps
802.11n 108 Mbps
194
LAN Inalámbricas
topologías básicas:

Topología Ad−Hoc. Cada dispositivo se puede comunicar con todos los demás. Cada
nodo forma parte de una red Peer to Peer o de igual a igual, para lo cual sólo vamos a
necesitar el disponer de un SSID igual para todos los nodos y no sobrepasar un número
razonable de dispositivos que hagan bajar el rendimiento. A más dispersión geográfica
de cada nodo más dispositivos pueden formar parte de la red, aunque algunos no lleguen
a verse entre si.
Topología Infraestructura, en el cual existe un nodo central (Punto de Acceso WiFi)

que sirve de enlace para todos los demás (Tarjetas de Red Wifi). Este nodo sirve para
encaminar las tramas hacia una red convencional o hacia otras redes distintas. Para
poder establecerse la comunicación, todos los nodos deben estar dentro de la zona de
cobertura del AP.
Conceptos relacionados con WLAN:
• BSS (Basic Service Set): Conjunto de máquinas que pertenecen a una misma red
inalámbrica, y que comparten un mismo punto de acceso.
• AP (Access Point): Dispositivo que hace las funciones de punto de acceso.
• BSSID (Basic Service Set Identifier): Identificador para referirse a un BSS.
• ESS (Extended Service Set): Es un conjunto de BSS que forman una red,
generalmente será una WLAN completa.
• SSID (Service Set Identifier): El nombre de la WLAN.
• ESSID (Extended Set Service Identifier): Es el identificador del ESS.
Subniveles MAC
IEEE 802.11 define dos subniveles MAC: la función de coordinación distribuida DCF y
la función de coordinación puntual PFC.
La trama del nivel MAC consta de nueve campos:
2 bytes 2 bytes 6 bytes 6 bytes 6 bytes 2 bytes 6 bytes 0 a 2312 4 bytes

bytes
FC D Dirección 1 Dirección 2 Dirección 3 SC Dirección 4 Cuerpo FCS
Control de trama FC: Tiene información de Versión, Tipo de gestión, Subtipo de

gestión, Flags, Gestión de potencia, y si esta implementado el cifrado WEP.
D: Duración de la transmisión.
Direcciones: Hay 4 campos y depende su valor de los subcampos de FC.
Control de secuencia: número de la secuencia de trama.
Cuerpo: Información a transmitir.
FCS: Detección de errores CRC-32
195
LAN Inalámbricas
Cómo proteger una red inalámbrica:
• Ocultación del SSID: Cuando un cliente se quiere conectar con el AP necesita

conocer el SSID de la red. Sin embargo representa una medida de baja
efectividad, ya que descubrir el SSID de una WLAN es trivial, ya que un hacker
sólo debe esperar a que un equipo cliente envíe información y se vera el SSID.
• Protección MAC: Muchos puntos de acceso ofrecen crear listas de equipos

permitidos que pueden conectarse a la red en función de la dirección MAC del
equipo cliente. Tampoco representa una medida eficiente de protección ya que
es fácil descubrir que equipos se pueden conectar mediante herramientas como
Netstumbler o CommView, y sustituir la MAC del equipo atacante por una de
las permitidas con lo que se estaría realizando una suplantación de dirección.
• Direccionamiento de red: Si está activado DHCP en el punto de acceso es

inmediato para el cliente obtener una dirección de red válida. Si no lo esta
tendrá que averiguar en que dirección se encuentra la puerta de enlace, y qué
direcciones IP se están usando. Esto se puede averiguar con cualquier programa
sniffer como Wireshark, AiroPeek, Net Stumbler, o Commview.
• Autenticación y cifrado mediante WEP (Gíreles Equivalent Privacy): WEP

utiliza una palabra clave que se utiliza para autenticarse y para cifrar la
comunicación. Para el cifrado de cada trama se añade una secuencia cambiante
de bits (Vector de Inicialización IV), con el fin de que no se utilice siempre la
misma clave cifrado y descifrado. Así, dos mensajes iguales no generarán el
mismo resultado cifrado. Cuando la clave WEP tiene 64 bits la clave son 40 y
24 bits serán el IV. Cuando la clave WEP tiene 128 bits la clave son 104 y 24
el IV.
Hace años que se vulneró este método de seguridad, ya que el atacante sólo tiene
que capturar suficientes tramas cifradas con el mismo IV, y realizar una
interpolación.
• Autenticación y cifrado mediante WPA (Wíreless Protected Access): El sistema

de cifrado utilizado en WPA se llama TKIP (Temporal Key Integrity Protocol,
protocolo de integridad de clave temporal). En este caso se utilizan vectores de
inicialización de 48 bits, y la clave maestra (PMK) tiene 256 bits.
Usando la PMK, la dirección MAC del punto de acceso, la dirección MAC del
cliente, y dos números aleatorios se generan todas las claves derivadas. Las
claves derivadas son:
- Data Encrytion Key: de 128 bits y utilizada para cifrar los mensajes.
- Date Integrity Key: de 128 bits y utilizada para garantizar la integridad del
mensaje.
- EAPOL Encrytion Key: Para autenticar la conexión.
- EAPOL Integrity Key: Para garantizar la integridad de la comunicación en la
conexión.
- Multicast Encrytion Key: Para cifrar los mensajes multicast.
- Multicast Integrity Key: Para garantizar la integridad de los mensajes multicast.
196
LAN Inalámbricas
• Utilización de un servidor RADIUS: RADIUS es un protocolo de autenticación

que se ha convertido en un estándar de la industria para validar usuarios. Las
comunicaciones entre el cliente y el servidor van cifradas con una clave
compartida, la cual nunca es enviada por la red. El punto de acceso hará las
funciones de cliente, y un servidor RADIUS tendrá la base de datos de clientes
que pueden conectarse.
• Utilización de redes virtuales (VLAN) y VPN.
• Mediante certificados digitales e IPSec, de tal forma que sólo se puedan conectar
aquellos clientes que tengan certificado digital.
Herramientas utilizadas en Linux para WLANs (Wireless Tools):
• iwconfig: Es parecido a ifconfig. Informa sobre el estado de las interfaces WLAN y

permite configurarlas.
iwconfig eth0 essid “Mi_AP” key s:clave_a_usar
• iwlist: Informa sobre las WLANs en los alrededores.
iwlist scanning
• iwpriv: Permite configurar parámetros de los drivers.
• iwspy: Informa acerca de otros usuarios de WLAN.
iwspy eth0 192.168.3.4
• iwevent: Controla interfaces WLAN grabando en un fichero log la actividad de la

red.
197
LAN Inalámbricas
PRÁCTICA Nº 76
Red en modo infraestructura
En el caso de disponer una red cableada, y querer dar la

oportunidad a los usuarios de nuestra red de conectarse también
mediante WIFI deberemos colocar algún punto de acceso inalámbrico
como el de la figura 1.
Podemos observar que este punto de acceso tiene 2 interfaces

perfectamente diferenciadas mediante los colores amarillo (la cual
tiene cuatro RJ45 y el punto inalámbrico) correspondiente al lado
LAN, y azul correspondiente al lado WAN (únicamente un puerto
RJ45).
En esta práctica vamos a suponer que los equipos de la red

cableada ya existente tienen IP estática, y aquellos que se conecten
mediante WIFI la adquieren mediante DHCP.
1- Configurar el punto de acceso inalámbrico según los datos de

la siguiente tabla.
LAN 192.168.7.177 /21

Puerta de Enlace 192.168.0.254
Figura 76.1
WAN DHCP desde 172.16.1.100 /24
hasta 172.16.1.149 /24
DNS 195.235.113.3
Para realizar este apartado habrá que resetear el punto de acceso (en el futuro AP),
conectar un PC mediante un cable trenzado sin cruzar a la interfaz LAN, poner una IP al
PC dentro del rango de direcciones en el que se encuentre el AP (192.168.1.0), y
conectarnos mediante un navegador a la dirección por defecto (192.168.1.1).
Una vez introducido el login y password localizaremos unas ventanas similares a

las siguientes:
Cuando apliquemos cambios se perderá la conexión con el AP debido a que ya no

se encontrará con nuestro PC en la misma red.
198
LAN Inalámbricas
2- Los puntos de acceso emiten una baliza (Beacon) con su nombre cada un
tiempo determinado. Configura el nombre del AP como “ASI”, y que se emita cada 0.7
segundos.
Figura 76.4
Figura 76.5
3- Activa la administración remota desde una IP determinada. De esta forma

podrás cambiar la configuración desde Internet. Normalmente se utiliza el puerto 8080,
si deseas puedes cambiarlo a uno que creas conveniente.
Figura 76.6
4- Una vez configurado el AP desconéctalo del PC. La interfaz WAN (también

llamada “salida a Internet”) del AP la conectaremos a la red cableada mediante un cable
trenzado sin cruzar.
Desde un equipo con tarjeta WIFI conéctate a la red inalámbrica recién

configurada. ¿Qué IP ha recibido el PC? ¿Por qué es esa concretamente?
5- Haz un ping a las siguientes direcciones:
IP ¿Realizado correctamente? ¿Por qué si/no?

172.16.1.100
172.16.1.149
192.168.7.177
192.168.0.254
www.google.es
199
LAN Inalámbricas
6- Normalmente todos los AP permiten realizar un filtrado de conexión según la

dirección MAC (ver figura 7). En este apartado vamos a impedir el acceso a un
ordenador determinado (por ejemplo el que has utilizado en el apartado anterior).
¿Cómo puedes saber la MAC de la tarjeta inalámbrica que estas utilizando?. Introduce
una regla en el AP que impida el acceso a la red desde esa tarjeta inalámbrica. ¿Puedes
realizar los pings del apartado anterior?
Figura 76.7
7- Para poder continuar quita la regla introducida en el apartado anterior. Otra

forma de impedir el acceso a nuestra red inalámbrica es mediante un password de
acceso. Pon una contraseña utilizando el método WPA2 y comprueba que funciona.
Figura 76.8
200
LAN Inalámbricas
PRÁCTICA Nº 77
Red Ad-hoc
Una red Ad-hoc es aquella que no utiliza puntos de acceso, es decir, los
dispositivos se comunican entre sí directamente. Para crear una red Ad-hoc hay que
seguir los siguientes pasos:
1.- En propiedades de Conexiones de red, en la pestaña Redes Inalámbricas pulsar

sobre opciones avanzadas (figura 1).
Figura 77.2
Figura 77.1
2.- Seleccionar la opción “Sólo redes de equipo a equipo, ad hoc” (figura 2).
3.- Pulsamos sobre el botón Agregar de la ventana de propiedades de conexiones

de red inalámbricas (figura 1).
4.- Escribir un nombre para la red (SSID), por ejemplo “Mi Red ad-hoc” (figura
3).
5.- Seleccionar el tipo de autenticación y del cifrado de la red. Comprobar que

está la pestaña de “Esta es una red de equipo a equipo” marcada (figura 3).
6.- Al cerrar la ventana anterior se puede ver la red recién creada ya activada
(figura 4).
201
LAN Inalámbricas
7.- Para configurar la dirección IP de la conexión inalámbrica se realizará de la

forma habitual (figura 5).
Figura 77.5
8.- Desde cualquier otro equipo se puede visualizar las redes inalámbricas
existentes, y conectarnos a la red recién creada para compartir recursos.
202
LAN Inalámbricas
PRÁCTICA Nº 78
Rutas estáticas
1- Monta la siguiente red
Figura 78.1
2- Configura los dispositivos con los siguientes datos:
IP IP IP
PC1 201.10.10.2 / 24 Router 0 201.10.10.1 202.20.20.1
PC2 202.20.20.2 / 24 AP 1 201.10.10.1 204.10.10.1
PC3 203.30.30.2 / 24 AP 2 203.30.30.1 204.10.10.2
3- Configura las tablas estáticas de todos los routers. En los APs deberás buscar una
ventana parecida a la de la figura 2.
Figura 78.2
4- Haz los siguientes pings:

Del PC 1 a PC 2
Del PC 1 a PC 3
Del PC 2 a PC 3
203
LAN Inalámbricas
PRÁCTICA Nº 79
Infraestructura WPA con servidor RADIUS
RADIUS es un servicio que viene de serie con Windows Server, y se instala desde
el panel de control de Agregar o Quitar Programas, en la opción Componentes de
Windows, Servicios de Red. Para instalarlo hay que seleccionar Servicio de
autenticación de Internet (figura 1).
Figura 79.1
Una vez instalado se debe registrar el servidor RADIUS en el Directorio Activo,

para ello en herramientas administrativas tenemos su consola de administración (figura
2), y tan sólo hay que seleccionarlo y con el botón secundario seleccionar “Registrar
servidor en Active Directory” (figura 3).
Figura 79.3
Figura 79.2
Para configurar el servidor habrá que configurar el registro de conexiones para

saber quien intenta conectarse a nuestra red, la política de acceso remoto para establecer
204
LAN Inalámbricas
los usuarios que van a poder conectarse, y las opciones de conexión para establecer los
procedimientos de autenticación y cifrado.
Para crear una política de acceso remoto se debe pulsar con el botón secundario
y seleccionar nueva. Le daremos un nombre como Política Gíreles (figura 4), y en la
siguiente ventana se debe elegir el método de acceso, lógicamente escogeremos
Inalámbrica (figura 5).
El siguiente paso es seleccionar los usuarios que se podrán conectar, y nada más
sencillo que incluir a esos usuarios en un grupo, por ejemplo Grupo_Wireless, los
cuales deben tener permiso de marcado.
Para elegir el sistema de autenticación tenemos las opciones de Protected EAP

que utiliza TLS, y de tarjeta inteligente u otro certificado digital. Utilizaremos el
segundo método (figura 6).
Figura 79.6
De este modo se ha definido la política para que los usuarios del grupo sean
autenticados con nuestro servidor RADIUS. Una vez creada la política se pueden
modificar sus valores (figura 7).
205
LAN Inalámbricas
Figura 79.7
Para configurar la autenticación de las peticiones se debe crear una política de

petición de conexión (en nuestro caso nos vale la que viene por defecto).
Se debe dar de alta a los puntos de acceso que vayan a realizar consultas a nuestro
servidor RADIUS con Nuevo cliente RADIUS (figura 8), elegir el tipo de cliente
RADIUS, y la clave que comparten el servidor y el cliente (figura 9).
Figura 79.8
Figura 79.9
206
LAN Inalámbricas
Ahora habrá que se activar al servidor RADIUS en el punto de acceso (puerto 1812).
Aquellos usuarios que vayan a acceder a la red WIFI usando este método de
autenticación deberán seleccionar en propiedades de su conexión la opción de
autenticación de red WPA y de cifrado de datos TKIP (figura 10). En la pestaña
Autenticación deberán escoger entre tarjeta inteligente u otro certificado o PEAP y
configurar sus propiedades (figura 11).
207
Gestión de redes: S.N.M.P.
Gestión de redes:
S.N.M.P. (Simple Network Management Protocol)
Conforme crece la complejidad de una red y los recursos que ofrecen son cada vez
mayores también hay que dedicar un mayor esfuerzo a su administración. Normalmente
hay que utilizar herramientas automatizadas de gestión de red, y para solucionarlo se
han desarrollado varios estándares que abarcan servicios, protocolos y bases de datos.
Un sistema de gestión de red es un conjunto de herramientas que permiten la

supervisión y el control de la red, de forma que los diferentes dispositivos informan de
su estado a un host central. Dicho de otra forma, son herramientas que observan el
funcionamiento de máquinas y de los servicios (servidores web, correo, etc.) que tienen
instalados, y cuando algo empieza a ir mal informan al administrador.
El modelo de gestión de red SNMP definido en el RFC 1157, y especifica los siguientes
elementos:
• Estación de gestión: Host donde el administrador de la red realiza la gestión.

• Agente de gestión: Los diferentes dispositivos como switches, routers, host que
tienen implementado el protocolo SNMP y podrán ser gestionados desde la estación
de gestión.
• Base de información de gestión (MIB): El conjunto de recursos donde cada uno de
ellos es representado mediante un valor.
• Protocolo de gestión de red: El protocolo que utilizan los diferentes elementos para
comunicarse. Los comandos más importantes del protocolo SMTP son: get para
obtener el valor de un recurso, set para establecer el valor para un recurso, y notify
para notificar a la estación de gestión.
Aplicaciones de gestión:
Las aplicaciones de gestión de redes utilizan el SNMP
protocolo SNMP, y éste a su vez está apoyado en el UDP
protocolo de la capa de transporte UDP. Por lo tanto
IP
SNMP es un protocolo no orientado a la conexión.
Nivel de enlace y físico
Utiliza los puertos 161 y 162.
El protocolo SNMP encapsula: la versión del protocolo utilizado, comunidad que se

usa para la autenticación, y SNMP PDU conteniendo los datos.
Los mensajes utilizan la siguiente estructura en el campo SNMP PDU:
Tipo Identificador Estado de error Índice de error Enlazado de variables
Identificador: Es un número que identifica los mensajes intercambiados entre la

estación de gestión y el agente de gestión.
Estado de error: Posibles valores son: 0 sin error, 1 demasiado grande, 2 no existe
la variable, 3 valor incorrecto, 4 solo lectura, 5 otros errores.
209
Índice de error: Cuando estado de error es distinto de cero proporciona
información adicional del error.
Enlazado de variables: Lista todas las variables con sus valores.
El protocolo SNMP utiliza los commandos: GetRequest, GetNextRequest, SetRequest y

GetResponse, Trap, GetBulkRequest, e InformRequest.
Una trap es generada por el agente de gestión para informar de ciertas condiciones y
cambios de estado a una estación de gestión como la conexión o desconexión de host o
de servicios. El formato de la PDU de una trap es:
Tipo Tipo
Dirección del Enlazado de
Tipo Enterprise genérico de específico de Timestamp
agente variables
trap trap
Debido a los avances en materia de seguridad se vió necesario desarrollar una nueva
versión de SNMP, dando lugar a la versión 3 que está descrita en el RFC 3410.
Herramientas que permiten la exploración SNMP son:
Getif: http://www.wtcs.org/snmp4tpc/getif.htm
Net-SNMP: http://www.net-snmp.org
SNMP-JManager.
Herramientas que actuan como estaciones SNMP:
MRTG : Ver práctica. http://oss.oetiker.ch/mrtg
Nagios: Ver práctica. http://www.nagios.org
Hobbit: Es un sistema de monitorización de redes que requiere un servidor central

y una aplicación cliente en cada máquina o servidor a monitorizar. Utiliza una
interfaz Web instalada en el servidor central.
Monit: Monitoriza servicios, procesos que están ejecutándose en una máquina,

sistema de ficheros, y variables del sistema. Tiene la opción de reiniciar servicios.
Proporciona también interfaz web.
Otras herramientas: Munin, mon, logwatch,
210
PRÁCTICA Nº 80
Supervisión de redes con Nagios.
Nagios es un software libre con licencia GPL2, que presenta un diseño modular, de tal
forma que puede ir creciendo en función de nuestras necesidades con tan sólo añadir
plug-ins, por lo que a medida que aparezcan nuevos dispositivos en el mercado su
actualización será sencilla.
Nagios es capaz de verificar si están en funcionamiento los servicios más comunes

disponibles en Internet como HTTP, DNS, FTP, SSh, etc, o incluso la carga de CPU, el
uso de un disco duro, o de la memoria RAM en las máquinas a supervisar. Alerta
cuando se superan los indicadores definidos.
Nagios está disponible desde la página http://www.nagios.org para su descarga e

instalación, o desde el gestor de paquetes (figura 1). Es necesario haber instalado
previamente Apache. Al instalar la versión 3 se instalarán también los plug-ins 1.4.13.
Figura 80.1
Si ejecutamos en una terminal find / -iname nagios3 se obtiene las carpetas que han sido
instaladas. En /usr/share/doc-base/nagios3 se encuentra la documentación, y en
/usr/lib/nagios los plug-ins (figura 2).
Figura 80.2
Un vistazo por el fichero de configuración en /etc/nagios3/nagios.cfg nos puede dar una

idea de la gran cantidad de objetos que se pueden monitorizar. Para iniciar el servicio
Nagios:
/etc/init.d/nagios3 start
211
Observar que también hay un fichero
apache2.cfg con un directorio virtual
denominado nagios3 (figura 3) al cual sólo
podrán acceder los usuarios que se encuentren
registrados en /etc/nagios3/htpasswd.users.
Para registrar en dicho fichero al usuario nagios

escribir en una consola:
Figura 80.3
htpasswd –c /etc/nagios3/htpasswd.users nagios
Para acceder a la página web del servidor Nagios escribir http://localhost/nagios3/ en

cualquier navegador. Solicitará el usuario (figura 4) y el password introducidos hace un
instante, y se visualizará la página de inicio de nagios (figura 5).
Figura 80.4
Figura 80.5
En el caso de obtener un mensaje de error de permisos eso es debido a que el usuario

nagios no es el que figura como autorizado en el fichero cgi.cfg. Modifica todas las
entradas que aparezcan en este fichero del estilo authorized_for_xxx=nagios. En el caso
de tener varios administradores se separarán por comas. Reinicia el servicio nagios, y
comprueba si han desaparecido esos errores.
Nagios trabaja con varios ficheros de configuración:
Fichero de configuración principal: Contiene las directivas que afectan al modo de

operación de los demonios de Nagios.
Ficheros de recursos: Almacenan macros definidas por los usuarios.
Ficheros de definición de objetos: En ellos se definen los host, servicios, grupos,

contactos, etc. que se quieren monitorizar.
Fichero de configuración cgi: Especifica el funcionamiento de los cgi.
Los principales ficheros de configuración están en /etc/nagios3/: apache2.conf,

commands.cfg, htpasswd.users, resource.cfg, cgi.cfg, y nagios.cfg. Dentro del
directorio conf.d se encuentran otros ficheros de configuración.
La configuración de Nagios se basa en la definición de objetos, los cuales hacen

referencia a host, grupos de host, servicios, contactos, comandos, etc. Al definir objetos
se está especificando qué se quiere monitorizar y el cómo.
212
* Para monitorizar un servicio (http, smtp, dns, etc.) se ha de definir el objeto en el

fichero conf.d/services_nagios2.cfg. Posibles parámetros que pueden definir un
objeto son: service_description, check_period, contact_groups, notification_options,
check_command, etc.
* Para monitorizar una máquina debe estar definida en el fichero conf.d/host.cfg.

Algunos parámetros que se pueden encontrar son: hostgroup_name, alias,
contact_groups, members, etc.
* Para indicar las personas que recibiran las alertas se debe editar el fichero
contacts.cfg. Nomalmente las alertas se enviarán por correo electrónico. Algunos
parámetros que acompañan a la definición de los encargados de la administración
son: contact_name, alias, host_notification_period, service_notification_commands,
etc.
* Un equipo debe pertenecer a un grupo de equipos. Estos se definen en el fichero

hostgroups_nagios2.cfg.
* Un comando se utiliza para comprobar el funcionamiento de un servicio. Es

posible definir nuevos comandos lo que proporciona una gran flexibilidad a Nagios.
Se definen en el fichero commands.cfg. Los parámetros que nos encontramos son:
command_name, y command_line.
* Un periodo de tiempo se puede definir para cada día de la semana y estar asociado
a una tarea determinada. Se definen en el fichero timeperiods.cfg y allí se pueden
encontrar los parámetros timeperiod_name, alias, monday, tuesday, etc.
Edita el fichero contacts_nagios para especificar quien recibirá las alertas, cambiando el
nombre, el alias, y la dirección de email. En el campo members de los grupos de
contacto especifica el mismo nombre que antes. Cada usuario que aquí especificamos
debe tener una cuenta en el servidor, y debe pertenecer al grupo nagios. Para ello:
useradd –m –G nagios nombre_usuario

passwd nombre_usuario
Para añadir este usuario usaremos el mismo comando que antes pero sin la opción –c.
htpasswd /etc/nagios3/htpasswd.users nombre_usuario
Para monitorizar un host denominado PC habría que modificar los siguientes ficheros:
conf.d/hostgroups_nagios2.cfg conf.d/hosts.cfg conf.d/services_nagios2.cfg
define hostgroup { define host { define service {
hostgroup_name maquinas_PC use generic-host use generic-service
alias Web PCs host_name PC host_name PC
contact_groups nombre_ contacto alias alias_del_PC service_description PING
members PC address 10.1.2.33 is_volatile 0
} check_command check-host-alive check_period 24x7
max_check_attempts 15 max_check_attempts 4
notification_interval 300 retry_check_interval 2
notification_period 24x7 contact_groups nombre_contacto
notification_options d,u,r notification_period 24x7
} check_command ↵
chequear_ping!100.0,20%!500.0,60%
}
213
Para comprobar si hemos cometido algún error ejecuta el siguiente comando:
nagios3 –v /etc/nagios3/nagios.cfg
En el caso de no obtener errores tan sólo hay que reiniciar el servicio.
Supongamos que queremos supervisar un servidor web que existe en nuestra intranet de
modo que si en algún momento deja de funcionar nos llegue un correo electrónico.
Hay que crear una definición de host para el servidor y una definición de servicio http.
Introduce en los siguientes ficheros:

define hostgroup { define host {
hostgroup_name Servidoresweb use generic-host En el primer define service
alias Web servers host_name la_web cambia la palabra http-servers
members la_web alias servidor_web a la_web.
} address 10.1.2.3
check_command check-host-alive
max_check_attempts 15
contact_groups nombre_contacto
}
Si se desea supervisar un servidor de correo:

define hostgroup { define host { define service {
hostgroup_name Servidoresmail use generic-host use generic-service
alias Mail servers host_name servidor_correo host_name servidor_correo
members servidor_correo address 10.1.2.4 service_description SMTP
} check_command check-host-alive is_volatile 0
max_check_attempts 15 contact_groups nombre_contacto
contact_groups nombre_contacto check_command chequear_smtp
} }
En el fichero services_nagios2.cfg se ha introducido el servicio para smtp, de la misma

forma hay que hacerlo para pop e imap. En la última línea de la definición del servicio
se especifica que se va a usar el comando chequear_xxx, el cual hay que haberlo
definido en el fichero commands.cfg de la siguiente forma:
define command {
command_name chequear_smtp
command_line $USER1$/check_smtp –H $HOSTADDRESS$
}
Si se desea supervisar un servidor de nombres:
Se realiza de la misma forma que en el caso anterior pero en el campo check_command

de la definición del servicio se debe poner chequear_dns!dirección_del_servidor_dns, y
en la definición del comando: command_line $USER1$/check_dns –H $ARG1$
214
Nagios es una herramienta muy potente, quizás algo complicada de configurar al

principio, pero existe bastante bibliografía acerca de ella, y abundante documentación
en Internet.
Figura 80.6
215
PRÁCTICA Nº 81
Supervisión de redes con MRTG.
MRTG (Multi-Router Traffic Grapher) genera
gráficos para visualizar el rendimiento de la red.
Instalar mrtg se puede hacer desde el gestor de

paquetes (figura 1), pero también será necesario
instalar el servicio snmpd en la máquina que
supervisará y en las supervisadas.
Para comprobar que snmp funciona escribir:

Figura 81.1
snmpwalk –v1 –c public localhost
Se puede sustituir localhost por la máquina que se quiere monitorizar. La opción –c

public es la contraseña por defecto de snmp.
Para crear el fichero de configuración de mrtg se puede utilizar el script cfgmaker del
siguiente modo:
#cfgmaker --output =/etc/mrtg.cfg -

--global options[_]: growright, bits, avgpeak, printrouter
--global Workdir:/var/www/mrtg
--comunity=public
Host_a_analizar
Donde la opción community especifica el nombre comunitario SNMP, global especifica

los parámetros de configuración para cada servidor, Workdir directorio donde se
guardarán las imágenes generadas por mrtg, output especifica el lugar donde se
guardará el archivo de configuración, Host_a_analizar puede ser el nombre del host o
por ejemplo password@localhost.
Para iniciarlo: #mrtg /etc/mrtg.conf
Si da un error de la variable LANG se puede solucionar con:
#env LANG=C mrtg /etc/mrtg.cfg
Ubuntu crea un crontab en /etc/cron.d/mrtg que se ejecuta periódicamente para

actualizar los gráficos de las estadísticas.
Existen muchos ejemplos en Internet para el contenido del fichero mrtg.conf según lo
que se quiera monitorizar. ¿Cómo sería el fichero mrtg.conf si se quiere monitorizar el
uso de CPU de una máquina? ¿Y para la supervisión de la memoria?
216
PRÁCTICA Nº 82
Monitorización de redes: Ntop y Argus.
Ntop es una herramienta para la monitorización en tiempo real del uso de la red. Se
puede descargar desde http://www.ntop.org en versión para Linux y para Windows.
Para crear las bases de datos necesarias para su funcionamiento hay que escribir en la
consola:
#ntop -A
Para ejecutar el programa:
#ntop -w 3100 -W 3103 -i eth0 -d -L

-a /var/www/log/ntop.log
Las opciones elegidas para la carga del programa son las siguientes:
-w 3100: El servidor web escucha en el puerto 3100. 

-W 3103: El servidor web SSL escucha en el puerto 3103. 
-i eth0: Captura el tráfico de la tarjeta de red eth0. 
-d: Modo demonio. 
-L: Habilita la salida de información hacia el syslog. 
-a : Ruta hacia la página web de ntop. 
Ntop posee una interfaz via web, para ello bastará escribir en la URL del navegador
http://localhost:3100 (figura 1), y se mostrará las estadísticas del tráfico de red. En la
parte superior tiene un menú bastante completo (figura 2).
Figura 82.2
Figura 82.1
217
En la figura 3 se puede observar las máquinas que han generado tráfico, sus direcciones
físicas y lógicas, ancho de banda consumido, etc. En la figura 4 se obtiene una
estadística por protocolos.
Figura 82.3
Figura 82.4
Argus es una herramienta de monitorización gratuita que permite auditar el tráfico IP

basada en un servidor y varios clientes. Puede ser descargada desde la página web:
http://www.qosient.com/argus/. Este programa se ejecuta como una tarea en
background, y escucha directamente de la interfaz de red de la máquina. Se puede
configurar con condiciones de filtrado como direcciones de máquinas, protocolos,
puertos, etc.
El servidor se instala en la máquina cuyo tráfico se desea registrar, y los clientes

analizan los datos que proporciona el servidor a través del puerto 561. El fichero de
configuración se encuentra en /etc/argus.conf.
Para analizar los datos existen varias herramientas: ra, rabins, racount, ragrep, rasort,
ratopf, racluster.
Para capturar todo el tráfico que circula por nuestra red:
# argus -w Nombre_Fichero &
Para capturar todo el tráfico ip pero no el udp:

#argus -w FicheroSalida ip and not udp &
Ratop soporta el análisis en tiempo real de los datos:
#ratop –S direccion_equipo_remoto
Ragraph proporciona una interfaz gráfica con información del tráfico de red.
218
Aplicaciones multimedia de tiempo real
APLICACIONES MULTIMEDIA
DE TIEMPO REAL
Las aplicaciones multimedia son altamentes sensibles a los retardos (tiempo desde que
el emisor transmite un paquete hasta que llega al receptor), y a sus fluctuaciones,
aunque pueden tolerar la pérdida de datos. Un retardo inferior a 150 milisegundos no es
percibido por el oido humano, sin embargo para retardos superiores a 400 milisegundos
la sensación es desastrosa, de hecho las aplicaciones de telefonía por Internet desechan
los paquetes que superan este límite.
El retardo entre extremos se puede calcular como la suma de los retardos de

transmisión, de procesamiento en las colas de los routers y switches, de
propagación en los enlaces y de procesamiento en los sistemas finales.
La fluctuación en el retardo de paquetes puede ser eliminada utilizando números de

secuencia, y marcas de tiempo en las cabeceras de los paquetes, y mediante retardos
de reproducción. Los retardos de reproducción se basan en comprimir o alargar los
tiempos en que el interlocutor está en silencio.
En telefonía por Internet es habitual tomar 8000 muestras de la voz por segundo, y se
agrupan cada 160 bytes, lo que significa que cada 20mseg se transmite un paquete. El
receptor sabe que cada 20 mseg le tiene que llegar un paquete, pero como cada paquete
puede viajar por un camino distinto por Internet llegarán desordenados, y el receptor
deberá ordenarlos para ser reproducidos.
Los protocolos para aplicaciones interactivas en tiempo real más utilizados son: RTP
(protocolo de tiempo real), RTCP (RTP Control Protocol), RSTP (protocolo de
transmisión en tiempo real), SIP (protocolo de iniciación de sesiones), y H.323. RTP
permite el encapsulamiento del audio o video, RSTP permite interactividad con el
usuario, SIP permite establecer, mantener y finalizar llamadas sobre IP, y H.323 es una
alternativa a SIP que obliga a usar RTP para encapsular el tráfico de datos.
RTP está definido en el RFC 1889, y es utilizado para transportar flujos de audio y
video, pero al utilizar como protocolo de la capa de transporte UDP no es posible
asegurar que los paquetes lleguen a tiempo de ser reproducidos en el cliente. No existe
un número de puerto específico para este protocolo, así que es el desarrollador de la
aplicación el que lo decide.
La cabecera RTP ocupa 12 bytes y tiene los siguientes campos:
Bits de versión, Tipo de Nº de secuencia Marca de Identificador de la fuente

padding, codificación de 16 bits tiempo de sincronización
extensión, audio / video 32 bits SSRC
CSRC, 8 bits 32 bits
8 bits
219
• El tipo de codificación es un número que indica el formato de los datos de audio

o de video que se transportan. Posibles valores para el audio son: 0 PCM, 1
1016, 2 G.721, 3 GSM, 4 G.723, 7 LPC, 8 PCMA, 9 G.722, 12 TPSO, 13 VSC,
14 MPEG, 15 G.728. Y posibles valores para el video son: 24 HDCC, 25 CellB,
26 JPEG, 27 CUSM, 28 NV, 29 PicW, 30 CPV, 31 H.261, 32 MPEG 1, 33
MPEG 2, 34 H.263.
• El número de secuencia es un número que se va incrementando en una unidad

por cada paquete RTP.
• Marca de tiempo es el instante de muestreo del primer byte del paquete.
• SSRC: Es un número aleatorio que identifica a cada flujo de datos.
En el caso de que existan varios emisores (CSRC >1) la señal a reproducir en el cliente
será una mezcla de las diferentes señales recibidas. En este caso hay un campo más al
final identificando los SSRC de las fuentes.
RTCP ofrece estadísticas generadas por el emisor y por el receptor acerca de paquetes
perdidos y recibidos. Utiliza el puerto utilizado por RTP+1.
RTSP está definido en el RFC 2326, y se utiliza para controlar la transmisión del flujo,
es decir, informa al emisor si el receptor ha pulsado sobre el botón de pausa, el botón de
play, o simplemente se detiene definitivamente el visionado de la película. Por lo tanto
los mensajes enviados por RTSP van paralelos al flujo de los datos que pueden ir
encapsulados por ejemplo en RTP.
RTSP está encapsulado en un paquete TCP con número de puerto destino 554, y no
especifica si se debe usar UDP o TCP para encapsular los datos, ni tampoco si se ha de
usar un bufer. Las órdenes mandadas desde el cliente al servidor mediante RTSP son
enviadas en texto plano, y siguen la siguiente secuencia:
1.- El cliente envía una petición de

descripción acerca de un archivo
multimedia que se encuentra almacenado
en el servidor, y está identificado mediante
una URL.
220
2.- El servidor le contesta con un archivo de

descripción indicando los flujos multimedia que
contiene el archivo multimedia. En la figura se
observa la respuesta con el archivo de descripción de
la sesión.
3.- El cliente envía al servidor una petición

de un fichero identificado mediante una
URL, especificando también cómo será
transportado el flujo de datos, número de
puerto al que debe ser mandado, y si hay que
usar UDP o RTP.
4.- El servidor contesta con un valor para status igual a

200, lo cual significa ok. El número de sesión es un
identificador de 20 dígitos único para cada hilo.
5.- El cliente envía una petición de reproducción.
6.- El servidor contesta con un ok de la misma

forma que en el punto 4.
7.- El cliente puede mandar una solicitud de pausa.
8.- El servidor contesta con un ok de la misma

forma que en el punto 4.
9.- Cuando ha terminado el reproductor, el cliente manda un mensaje teardown al

servidor.
En cualquier momento el cliente puede preguntar al servidor por los parámetros o

modificar alguno.
221
Se puede observar como los parámetros y sus valores son enviados en formato XML.
SIP está definido en el RFC 3261, y se utiliza para establecer, acordar codificaciones de
los datos y modificarlos durante la llamada, y finalizar llamadas de voz sobre IP. Es
capaz de averiguar la localización del destinatario de la llamada, ya que éste puede ser
un usuario móvil y desplazarse por diferentes redes y adquirir diferentes IPs.
Una dirección SIP es normalmente de la forma usuario@IP. Todo usuario SIP está
asociado a un registrador SIP el cual sabe en qué red está situado el usuario, de este
modo es localizado al recibir una llamada. Los mensajes se mandan en texto plano, y
necesitan de la respuesta afirmativa del otro interlocutor indicando que han sido
recibidos.
H.323 es una alternativa a SIP pero va más allá ya que también se encarga de la
señalización, registro, control de admisión, transporte, y codificadores. Obliga a que se
use RTP para encapsular el tráfico multimedia. Cada vez se usa menos a favor de SIP.
SDP Session Description Protocol, definido en el RFC 4566, y es utilizado para la

negociación de codecs de audio y vídeo. Indica el tipo de datos de multimedia (audio o
video), protocolo de transporte (RTP, UDP, H.320, etc), el formato de los datos (H.261,
MPEG, etc.), la dirección del flujo de datos en el servidor, etc. Un mensaje SDP se
compone de una serie de líneas, denominados campos los cuales están representados por
una letra:
V Versión del protocolo b Ancho de banda

o Identificador Z Tiempo de corrección
S Nombre de sesión K Clave de encriptación
I Información de la sesión a Atributos
U URI de la descripción T Tiempo de sesión
e Dirección de correo R Tiempo de repetición
p Número de teléfono m Protocolo de transporte
C Información de conexión
222
Práctica 83: RTP y RTSP
1.- Para analizar los fundamentos de RTP y RTSP vamos a capturar el tráfico de datos
generado cuando escuchamos una emisora de radio por Internet, por ejemplo Máxima
FM. Una vez que hayas localizado la pestaña escuchar en directo de la página web de
la emisora de radio y Wireshark ya esté capturando paquetes,
hacer clic sobre dicha pestaña. Transcurridos unos segundos
empezarás a escuchar la emisora, pulsa sobre la pausa y
nuevamente sobre play. Tras unos pocos segundos ya puedes
dejar de capturar paquetes. Obtendrás una captura similar a la figura 11.
Figura 83.1
2.- Identifica los paquetes que han controlado la transmisión del flujo, es decir los
paquetes en los que se solicitó el fichero de descripción de la sesión, en el que se
especificaba el transporte, en que se seleccionaba algún parámetro, donde se solicitaba
el play del flujo, etc. Rellena una tabla del siguiente estilo:
Nº del Tiempo Acción

paquete (sólo 2 decimales)
3.- ¿Tienen todos los paquetes el mismo número de sesión?
4.- ¿Sabes identificar que tipo de codificación (GSM, PCM, etc.) es utilizado para el
audio?
1
Para simplificar la figura se han eliminado los paquetes TCP.
223
5.- En el caso de haber pulsado varias veces en la pausa y posteriormente en play

supondrá que se habrán generado varios hilos. Puedes comprobar los hilos en el menú
estadísticas -> RTP -> Mostrar todos los hilos (figuras 2 y 3).
Figura 83.2
Figura 83.3
En la figura 3 se puede observar las direcciones y puertos de origen y destino, el SSRC,

el número de paquetes RTP enviados, así como el jitter (fluctuación) de los flujos de
datos. Al pulsar en el botón analizar se obtiene la figura 4 que proporciona información
con los números de secuencia de cada paquete RTP, así como las diferencias de tiempo
entre ellos, y la tasa de Kbps conseguida. Para tener una visión de la distribución
temporal de cómo han llegado los paquetes se puede pulsar sobre gráfica (figura 5).
Figura 83.5
Figura 83.4
6.- Obtén el valor de la fluctuación media (varianza) del retardo tomando como mínimo
10 paquetes. Para ello puedes simplificarlo haciendo una media aritmética o si lo
prefieres geométrica.
224
7.- Tomando un mínimo de 10 paquetes RTP ¿Cuántos bytes se han transmitido en total
en el conjunto de paquetes tomados? ¿Qué tasa de transmisión resulta?
8.- ¿Qué aplicación multimedia está especificada que se abra en el fichero de

descripción de la sesión para reproducir el flujo de datos?
9.- ¿Cuál es el nombre de la sesión? Lo puedes localizar en la pestaña Owner/Creator

del paquete que contiene el fichero de descripción de la sesión.
10.- ¿Qué aplicación se ha abierto para reproducir el sonido?
11.- Si observas el flujo de datos es transmitido por Akamaistream.net. ¿Qué es

Akamaistream? ¿Qué otras emisoras emiten a través de este servicio? ¿Cuál es la URL
utilizada? Usa esta dirección en otro reproductor como VLC, Quicktime, RealPlayer,
etc ¿escuchas correctamente el audio?
12.- Selecciona un paquete RTP y pulsa con el botón derecho. En el menú que se
muestra hacer clic en seguir el hilo TCP.
225
Práctica 84: SIP
Cuando un usuario A quiere establecer una comunicación con un usuario B debe

enviarle una petición Invite, para ello se la hace llegar a su proxy, el cual averigua,
preguntando a su servidor DNS, donde está situado el proxy del usuario B y se la
remite, y este a su vez localiza al usuario B y se la hace llegar (pasos 1 al 5 de la figura
1). La comunicación entre los usuarios A y B se realiza a partir de este momento a
través de los proxys (pasos 6 a 8).
Servidor DNS
Proxy A Proxy B
Usuario A Usuario B
Hay seis tipos de solicitudes y 6 clases de respuestas SIP:
Tipos de solicitudes Tipos de respuestas SIP

INVITE = Establece una sesión. 1xx = Respuestas informativas.
ACK = Confirma una solicitud. 2xx = Respuestas de éxito.
INVITE BYE = Finaliza una sesión. 3xx = Respuestas de redirección.
CANCEL = Cancela el establecimiento de una sesión. 4xx = Errores de solicitud.
REGISTER = Comunica la localización de usuario. 5xx = Errores de servidor.
OPTIONS = Capacidades de envío y recepción. 6xx = Errores globales.
Una sesión de llamada SIP entre 2 teléfonos es establecida como sigue:

El teléfono llamante envía un “invite”
El teléfono al que se llama envía una respuesta informativa 100 – Tratando – retorna.
Cuando el teléfono al que se llama empieza a sonar una respuesta 180 – sonando – es
retornada.
Cuando el receptor levanta el teléfono, el teléfono al que se llama envía una respuesta
200 – OK
El teléfono llamante responde con un ACK – confirmado
Ahora la conversación es transmitida como datos vía RTP
Cuando la persona a la que se llama cuelga, una solicitud BYE es enviada al teléfono
llamante
El teléfono llamante responde con un 200 – OK.
227
Los pasos que se realizan en una comunicación SIP se pueden describir de la siguiente
forma:
1.- Hay muchas aplicaciones que soportan SIP. Busca en Internet, y haz un listado de
aplicaciones que actuan como servidores y como aplicaciones clientes, indicando para
qué plataformas están diseñadas (Windows, Linux, MAC).
228
Proyectos finales
PRÁCTICA Nº 85
PROYECTO SISTEMAS DE COMUNICACIÓN
Una empresa denominada “AO S.L.” se dedica al negocio de alquiler de oficinas, y para
ello dispone de un edificio de 5 plantas (planta baja más 4 plantas). El flujo de
empresas que requieren los servicios de AO S.L. es dinámico, es decir, según los
vaivenes de la economía hay más o menos empresas, las cuales requieren más o menos
despachos. En el momento actual hay 6 empresas que tienen despachos alquilados.
Se pide desarrollar un proyecto de todos los sistemas de comunicación del edificio

siguiendo la normativa de cableado estructurado, sabiendo que:
1. No se debe permitir la comunicación entre los equipos informáticos de distintas

empresas.
2. En las dependencias donde se sitúen los servidores, debe haber una conexión
por fibra óptica, y las demás deben ser Fast Ethernet.
3. La conexión entre los equipos de los distintos armarios se realizará utilizando la

fibra óptica correspondiente al cableado vertical.
4. Cada despacho debe tener varias tomas.
5. Un despacho (de los grandes) por cada planta estará reservado a alojar
servidores de las diferentes empresas que se quieran instalar. Su mantenimiento lo
realiza la empresa propietaria del edificio.
6. Cada una de las 6 empresas ya instaladas tienen varios despachos asignados.

¡Que casualidad... las 6 empresas tienen despachos en varias plantas! Puedes elegir su
localización y número.
7. Existe salida a Internet, y WIFI en todo el edificio.
8. La empresa propietaria quiere ofrecer un servicio de hosting (de pago) para

aquellas empresas interesadas, cuyos servicios serán visibles desde la intranet e Internet.
9. La empresa propietaria quiere ofrecer un servicio de espacio de almacenamiento

de datos gratuito a las empresas que lo soliciten.
229
Proyectos finales
Determinar:
1. Determinar el número de tomas de red en cada planta, y la localización de cada una

de ellas sobre el plano. ¿Cuántas tomas de red hay en el edificicio?
2. Determinar la ubicación los armarios repartidores en cada una de las plantas del
edificio.
3. Determinar en el plano la posición de los puntos de acceso inalámbricos.
4. Dispositivos a instalar en cada uno de los armarios, especificando modelo y

fabricante elegido.
5. Inventa un código para identificar cada uno de los puertos de los dispositivos del
cableado horizontal en el armario, y para las rosetas de cada despacho.
6. Identificar cada una de las tomas del cableado vertical en los dispositivos en los
armarios.
7. Haz un esquema indicando cómo están interconectados todos los dispositivos de

todo el edificio.
8. Definir las características técnicas del cableado horizontal como tipo de cable (UTP,
STP, FTP, fibra óptica, etc.), tipos de rosetas, regletas, armarios, etc.
9. Definir las características técnicas del cableado vertical como tipo de fibra
(monomodo, multimodo), etc.
10. Realiza una tabla que relacione las conexiones entre los dispositivos en los armarios
de distribución y las rosetas de los despachos, tanto de par trenzado como de fibra
óptica. Debe figurar como mínimo la siguiente información:
• Identificador de la roseta.
• Identificador dispositivo en el armario de distribución.
• Nº de puerto del dispositivo en el armario de distribución.
• Velocidad de la conexión.
• Red, subred o VLAN a la que pertenece. Este apartado lo puedes dejar en
blanco por ahora y ya lo rellenarás una vez hayas establecido las IPs a los equipos.
• Descripción.
11. Calcular aproximadamente la longitud de cada uno de los segmentos de cable

horizontal, considerando que la distribución se realizará por el falso techo, y este se
encuentra a una altura de 3m. Para calcular este apartado debes coger el plano y con la
regla calcular cada uno de los segmentos. Haz una tabla indicando distancia desde cada
una de las rosetas hasta su armario de distribución. ¿Cuál es la longitud total en cada
planta? ¿Y en todo el edificio?
12. Calcular aproximadamente la longitud del cableado vertical, y su trazado (zona de

paso entre las distintas plantas).
230
Proyectos finales
13. Según lo que has respondido en los puntos anteriores. ¿Cual es el precio de los
diferentes componentes? Haz un desglose de todos los componentes y su precio.
¿Cual es el precio total de la instalación?
14. Explica el asignamiento de direcciones IP a los equipos. ¿Qué máscara de red

tienen? ¿Qué puerta de enlace? ¿Qué direcciones de servidores DNS tienen los
equipos? En caso de que lo creas conveniente puedes hacer una tabla con todos los
datos anteriores.
15. ¿Has utilizado VLAN? ¿Por qué si/no ?
16. ¿Has utilizado subredes? ¿Por qué si/no ?
17. ¿Donde pondrías un cortafuegos para evitar determinado tráfico con Internet? ¿Qué
modelo de cortafuegos pondrías? ¿Qué reglas debería tener?
18. ¿Cómo has conseguido que el tráfico generado por una empresa no sea visto por
otra?
19.- ¿Qué precio consideras razonable para ser cobrado por el servicio de hosting?
20.- ¿Cómo se implementaría un sistema de Voz por Ip para el sistema telefónico?
21.- ¿Qué otros servicios podrían ofrecerse a las empresas (de pago o gratuitos)?
231
Proyectos finales
232
Proyectos finales
233
Proyectos finales
PRÁCTICA Nº 86
CONTROL DEL ACCESO A INTERNET

Objetivo:
Se pretende controlar el acceso a Internet de las aulas de un instituto de tal modo que se
pueda conectar o desconectar las aulas de Informática a criterio del profesor. De este
modo si el profesor no quiere que sus alumnos se conecten a Internet puede desconectar
la conexión y evitar problemas con el alumnado.
Descripción general de la solución:
La solución a implementar está basada en un PC con varias tarjeras de red (tantas como
aulas a controlar mas una) con sistema operativo Linux. Las dos piezas fundamentales
para resolver el problema es el comando iptables de Linux, y una interfaz amigable de
entrada de datos para que los profesores puedan cambiar el estado de las aulas. Para
resolver esta segunda parte se debe realizar con una interfaz via Web según se muestra
en la figura 1 y 2.
Para acceder al proxy sólo se podrá

desde la página index.php que es la
encargada de la autenticación del usuario
(figura 3). Cualquier intento de acceder
a otra página del servidor sin pasar por
esta no tendrá éxito.
Figura 86.3
234
Proyectos finales
Para almacenar todos los cambios de estado de las aulas se utilizará una base de datos
con MySql.
Para poder administrar el servidor Proxy sin necesidad de estar delante de la máquina se
activará un servidor VNC, de tal modo que desde cualquier máquina con un cliente
VNC basta indicar la IP para conectarnos al servidor y controlarlo a distancia.
Preguntas a resolver:
1.- Configuración de las interfaces de red del servidor Proxy.
2.- Descripción de la estructura hardware entre el servidor Proxy y los switches,

routers, etc.
3.- Script que se ejecuta en el servidor Proxy cada vez que arranca la máquina.
4.- Descripción de la base de datos: Tablas, relaciones, usuarios de las mismas,

etc.
5.- Configuración del servidor web.
6.- Código fuente de las páginas web.
7.- Configuración necesaria en los equipos de las aulas.
235
Indice
Índice
A F
ACL estándar, 117 FEXT, 6
ACL extendidas, 116 Firma Digital, 169
ACL nombradas, 116 Fragmentación, 71
Ad−Hoc, 195 FTP, 1
AES, 168
ARP, 40
arquitectura TCP/IP, 61
G
Atenuación, 5 gateway, 42
AWG, 5
H
B
HUB, 38
Beacon, 199
BGP, 50
broadcast, 40 I
BSSID, 195 ICMP, 62, 65
IDEA, 186
C ifconfig, 19
IGP, 50
cableado estructurado, 1 IGRP, 50
calibración de campo, 6 Impedancia, 5
Certificados Digitales, 169 Infraestructura, 195
chains, 161 Infraestructura de clave pública, 170
checksum, 76 IPSec, 186
clases de redes IP, 79 IPv6, 67
Comando netsh, 12
Comando: : ROUTE, 11
Comando: ARP, 10 L
Comando: HOSTNAME, 9 L2F, 133
Comando: IPCONFIG, 9 L2Sec, 133
Comando: NBTSTAT, 10 L2TP, 133
Comando: NETSTAT, 11 lenguaje CLI, 100
Comando: PATHPING, 10
Comando: PING, 9
CommView, 31 M
Criptografía, 168
máscara de subred, 80
máscara variable, 83
D máscara wildcard, 115
MASQUERADE, 149
D.E.S., 168 MD5, 192
Diafonía, 5 MIB, 209
dirección de Broadcast, 82 Modo Transporte, 133
dirección física, 63 Modo Túnel, 133
dirección lógica, 63 MTU, 71
DMZ, 123
DNAT, 150
dominio de colisión, 56 N
dominio de difusión, 56
NAT dinámica, 159
NAT estática, 159
E NetBEUI, 87
NetBIOS, 87
EGP, 50 NetStumbler, 31
EIGRP, 50 NEXT, 6
ELFEXT, 6 ngrep, 34
Enrutamiento dinámico, 104 Nivel de aplicación, 77
enrutamiento estático, 57 Nivel de enlace, 62
estado del enlace, 49 Nivel de red, 64
237
Indice
NMAP, 28 SSTP, 139

nslookup, 23 STP, 1
SUBREDES, 79
supervisar un servidor, 214
O SWITCH, 38
OpenVPN, 141
OSPF, 50 T
tabla de enrutamiento, 19
P tablas de enrutamiento, 45
Packet Tracer, 35 TCP, 73
política de acceso, 205 tcpdump, 23, 34
Port Forwarding, 158 TIA/EIA 568, 1
POSTROUTING, 166 TIA/EIA 568A/B, 1
PPTP, 132 TKIP, 207
PREROUTING, 167 TLS, 177
protocolo, 61 trap, 217
Protocolos de enrutamiento, 49
U
R UDP, 73
R.S.A., 169 UTP, 1
redes de distribución de contenidos, 78
Reflector de Dominio del Tiempo, 5 V
reglas de filtrado, 161
RIP, 49 vector distancia, 49
Road Warrior, 141 VNC, 97
route, 19 VPN de acceso remoto, 132
VPN interna, 132
VPN punto a punto, 132
S
SET, 177 W
SHA1, 192
SMB, 87 Webmin, 176
SNAT, 148 WEP, 196
sobrecarga NAT, 159 Wireshark, 25
SSL, 177 WPA, 196

238
Indice
Julián Verón
Prácticas de Redes
86 prácticas para aprender paso a paso los
fundamentos de las comunicaciones, desde
cómo crear latiguillos e instalar rosetas hasta
cómo configurar routers Cisco, listas de control
de acceso ACL, redes privadas virtuales VPN,
redes de área local virtuales VLAN, subredes,
NAT, seguridad en la red, WIFI, Gestión de
redes con SNMP, protocolos multimedia, etc.
Cada capítulo comienza con una breve

explicación teórica, que da paso a las prácticas
que permitirán afianzar nuestros conocimientos
en este casi enigmático mundo de las redes de
ordenadores.
ISBN 978-84-692-5173-7
240

Practicas

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Practicas

Transféré par

Droits d'auteur :

Formats disponibles

PRÁCTICAS

JULIÁN VERÓN PIQUERO

No está permitida la reproducción total o parcial de este libro, ni su

DERECHOS RESERVADOS © 2009

Es de aplicación directa en la asignatura Redes Locales del ciclo de grado superior de

Se ha pretendido usar un lenguaje asequible para aquellas personas que se inician en

Comandos de red en entorno Windows:

Comandos de red en entorno Linux:

Conexiones a equipos remotos:

Listas de control de acceso (A.C.L.):

Redes de area local Virtuales (VLAN):

Redes privadas virtuales (V.P.N.):

Filtrado de paquetes: iptables de Linux:

Redes inalámbricas (WIFI):

APLICACIONES MULTIMEDIA DE TIEMPO REAL:

Indice: .................................................................................................................... 237

TIA/EIA 568 A TIA/EIA 568 B

Nº Pin Color Uso Nº Par Nº Pin Color Uso Nº Par

Para realizar un cable cruzado se deberá seguir la A en un extremo y la B en el otro.

Se van a necesitar los siguientes materiales: cable de categoría 5 (UTP o FTP),

En la figura 1.2 se puede observar un cable UTP, pues no

Cada par es de un color (naranja, verde, marrón o azul), y

En la figura 1.3 se observa como el conector antes de ser

Lo primero a realizar es pelar el cable, ordenar los ocho hilos

Antes de realizar el corte a los ocho hilos se debe tener en

Después de asegurarnos que todos los cables están en la

Una vez realizada la unión para un extremo del cable haremos

Herramienta de Conector hembra Cable de categoría 5

Para realizar su montaje se deben seguir los siguientes pasos:

1.- Eliminar unos cinco centímetros de la cubierta

2.- En el caso de que el cable tenga una malla que actúa

3.- Destrenzar los últimos dos centímetros de los cuatro

4.- Colocar los hilos en su posición atendiendo al color que está

5.- Con la ayuda de una herramienta de impacto presionar cada

Una vez se ha procedido a la instalación del cableado en un edificio es necesario

En el mercado existen tres tipos de comprobadores:

• de continuidad: que permiten comprobar si los hilos tienen algún corte

• Continuidad: para comprobar que no existen roturas, y que los hilos

• Impedancia: Todo cable eléctrico tiene una impedancia característica,

• Longitud: Todos los estándares establecen longitudes máximas para

• Atenuación: Es la resistencia que ofrece el cable a que la energía fluya

• Diafonía: Se basa en el hecho de que cualquier circulación de corriente

• Diafonía del extremo cercano (NEXT): Se mide por la diferencia entre

• Diafonía del extremo lejano (FEXT): Se mide por la diferencia entre la

• Igualdad de diafonía del extremo lejano (ELFEXT): Mide la diafonía

Se van a necesitar los siguientes materiales: certificador LT-8600, adaptadores de enlace

Unidades pantalla y remota Adaptador calibración de Kit de comunicación

Adaptadores enlace canal

1.- En la pantalla herramientas, seleccionar “Calibración en campo”.

En segundo lugar se debe configurar el equipo:

1.- Seleccionar “preferencias del equipo”.

En tercer lugar se debe seleccionar el tipo de cable:

En cuarto lugar se debe seleccionar el tipo de test:

1.- Realiza una comparativa entre los diferentes medios de transmisión:

Distancia Ancho Denominación Otras

a) ¿Para qué sirve este comando?

b) ¿Cual es el nombre de tu ordenador?

c) ¿ Tiene algún parámetro este comando?

a) Probar los siguientes ejemplos y anotar los resultados obtenidos.

b) Sustituir localhost por la dirección 64.233.183.99, y anotar las diferencias en el caso

c) ¿Qué es el ping de la muerte? ¿En qué consiste?

d) ¿Cuántos dispositivos intermedios (routers) hay hasta www.google.com?

Abrir una página web cualquiera y

a) ¿Qué MAC tienen tus