Manual Tesis

Anuncio
1
INDICE
CAPITULO 1 TECNOLOGÍAS DE REDES
Objetivo 1.1 ........................................................................................................................ 13
Explica la función de los siguientes protocolos
TCP/IP suite, TCP, FTP, UDP, DHCP, TFTP, DNS, HTTP(S), ARP, SIP (VoIP), RTP
(VoIP), SSH, POP3, NTP, IMAP4, Telnet, SMTP, SNMP2/3, ICMP, IGMP, TLS
Objetivo 1.2 ........................................................................................................................ 16
Identificar los puertos usados por default en TCP/ UDP
TCP ports
• NTP – 123
• FTP – 20, 21
• IMAP4 – 143
• SSH – 22
• HTTPS – 443
• TELNET – 23
UDP ports
• SMTP – 25
• TFTP – 69
• DNS – 53
• DNS – 53
• HTTP – 80
• BOOTPS/DHCP – 67
• POP3 – 110
• SNMP – 161
Objetivo 1.3 ........................................................................................................................ 17
Identificar el formato de las direcciones para IPv6, IPv4, MAC addressing
Objetivo 1.4 ........................................................................................................................ 18
Dado un escenario, evaluar el uso apropiado de las siguientes tecnologías y esquemas de
direccionamiento
Tecnologías de direccionamiento: Subnetting, Classful vs. classless (e.g. CIDR,
Supernetting), NAT, PAT, SNAT, Public vs. Private, DHCP (static, dynamic APIPA).
Esquemas de direccionamiento: Unicast, Multicast, Broadcast.
Objetivo 1.5 ........................................................................................................................ 24
Identificar los protocolo más comunes de ruteo para IPv4 y Ipv6
Link state: OSPF, IS-IS.
Distance vector: RIP, RIPv2, BGP.
Hybrid: EIGRP
Objetivo 1.6 ........................................................................................................................ 28
Explicar el propósito y propiedades del routing
IGP vs. EGP
• Estático vs dinámico
• Próximo salto
• Entendiendo las tablas de ruteo
2
Objetivo 1.7 ........................................................................................................................ 29
Compara las características de los siguientes estándares de comunicación inalámbricas
802.11 a/b/g/n: velocidades, distancias, canales, frecuencias
Autentificación y encriptación: WPA, WEP, RADIUS, TKIP.
CAPITULO 2 MEDIOS DE TRANSMISIÓN Y TOPOLOGÍAS DE REDES
Objetivo 2.1 ........................................................................................................................ 34
Categorías de cables y sus propiedades
Tipos: CAT3, CAT5, CAT5e, CAT6, STP, UTP, fibra óptica multimode y monomodo,
coaxial RG-59 y RG-6, Serial, Plenum vs. Non-plenum.
Propiedades: velocidades, distancias, tolerancia a EMI y crosstalk.
Objetivo 2.2 ........................................................................................................................ 37
Identificar los siguientes conectores: RJ-11, RJ-45, BNC, SC, ST, LC, RS-232.
Objetivo 2.3 ........................................................................................................................ 40
Identificar las siguientes topologías: estrella, malla, bus, anillo, punto a punto, hibrida
Objetivo 2.4 ........................................................................................................................ 47
Dado un escenario diferencia e implementa el estándar de cableado apropiado.
568A, 568B, cable recto vs cable cross over, rollover, loopback.
Objetivo 2.5 ........................................................................................................................ 50
Tecnologías WAN tipos y sus propiedades
Frame relay, E1/T1, ADSL, SDSL, VDSL, cable modem, satellite, E3/T3, OC-x, wireless,
ATM, SONET, MPLS, ISDN BRI, ISDN PRI, POTS, PSTN.
Objetivo 2.6 ........................................................................................................................ 54
Tecnologías LAN tipos y sus propiedades:
Tipos: Ethernet, 10BaseT, 100BaseTX, 100BaseFX, 1000BaseT, 1000BaseX, 10GBaseSR,
10GBaseLR, 10GBaseER, 10GBaseSW, 10GBaseLW, 10GBaseEW, 10GBaseT.
Objetivo 2.7 ........................................................................................................................ 57
Explica las topologías lógicas y sus características.
Punto a punto, cliente / servidor, VPN, VLAN.
Objetivo 2.8 ........................................................................................................................ 62
Instalación de cableado.
Patch panels, 66 blocks, MDFs, IDFs.
CAPITULO 3 COMPONENTES DE UNA RED
Objetivo 3.1 ........................................................................................................................ 66
3
Instalación, configuración y diferencias de los siguientes componentes
Hub, repetidor, modem, NIC, switch, puente, access point, router, firewall, servidor DHCP.
Objetivo 3.2 ........................................................................................................................ 74
Identificar las funciones de los siguientes dispositivos de red.
Switch multicapa, IDS/IPS, balanceador de carga, multifuncionales, servidor DNS, servidor
proxy, CSU/DSU.
Objetivo 3.3 ........................................................................................................................ 76
Explica las implementaciones avanzadas de un switch
PoE, Spanning tree, VLAN, enlace troncal, port mirroring, port authentication.
Objetivo 3.4 ........................................................................................................................ 81
Implementación básica de una red inalámbrica
Instalación del cliente, instalación y configuración de un punto de acceso.
CAPITULO 4 MANEJO DE UNA RED
Objetivo 4.1 ........................................................................................................................ 86
Explica la función de las capas del modelo OSI
Capa1-física, capa2-enlace, capa3-red, capa4- transporte, capa5-sesión, capa6-presentación,
capa 7-aplicación.
Objetivo 4.2 ........................................................................................................................ 93
Identifica los tipos de documentación
Diagramas físicos y lógicos de una red, políticas, procedimientos y configuraciones,
cableado, baseline.
Objetivo 4.3 ........................................................................................................................ 93
Dado un escenario, evalúe una red basándose en su configuración y documentación
Compare diagramas de cableado, topologías físicas y lógicas, baselines, políticas,
procedimientos y configuraciones.
Objetivo 4.4 ........................................................................................................................ 96
Monitorear el comportamiento de la red para determinar su desempeño y revisar salidas de
conectividad utilizando:
Monitores de red: (verificadores de salida, conectividad del software)
Registros
Objetivo 4.5 ........................................................................................................................ 98
Explica los diferentes métodos y razonamientos para la optimización en el desempeño de
una red
Métodos: QoS, Traffic shaping, balanceo de carga, Monitor de red, Caching engines,
tolerancia fallos
Objetivo 4.6 ........................................................................................................................ 99
4
Método para la solución de problemas en una red.
Establecer los síntomas, identificar el área afectada, establecer que ha cambiado,
seleccionar la posible causa, implementar la solución, identificar los efectos de la solución,
documentar la solución
Objetivo 4.7 ..................................................................................................................... 101
Dado un escenario resuelva problemas comunes de conectividad en una red.
Crosstalk, atenuación, configuraciones de mascaras de red, DNS, IP, default Gateway
incorrectos.
CAPITULO 5 HERRAMIENTAS DE REDES
Objetivo 5.1 ..................................................................................................................... 105
Dado un escenario seleccione el comando adecuado e interprete su salida para verificar
problemas de conectividad.
Traceroute, ipconfig, ifconfig, ping, arp, nslookup, hostname, dig, mtr, route, nbtstat,
netstat.
Objetivo 5.2 ..................................................................................................................... 111
Explica el propósito de los scanners de red.
Packet sniffers, scanners de puertos, software para detección de intrusiones, software para
detección prevención de intrusiones.
Objetivo 5.3 ..................................................................................................................... 113
Dado un escenario utilice la herramienta apropiada de hardware
Probador de cables /certificador, generador de tonos, TDR, OTDR, adaptador loopback,
analizador de protocolos, multímetro digital, ponchadora.
CAPITULO 6 SEGURIDAD EN LAS REDES
Objetivo 6.1 ..................................................................................................................... 116
Explica la función de los siguientes componentes de seguridad:
Red basada en un firewall, host basado en un firewall, IDS, IPS, concentrador VPN.
Objetivo 6.2 ..................................................................................................................... 118
Explica las características de un firewall.
Zonas, filtrado de contenido, cortafuegos de capa de aplicación, cortafuegos de capa de red
o de filtrado de paquetes.
Objetivo 6.3 ..................................................................................................................... 121
Explica los métodos de seguridad de acceso a la red
Filtrado: ACL.
Tunelado y encriptación: SSL, L2TP, PPTP, IPSEC.
Acceso remoto: RAS, RDP, PPPoE, PPP, VNC, ICA.
Objetivo 6.4 ..................................................................................................................... 124
5
Explica los métodos de autenticación de usuarios.
PKI,kerberos, AAA: radius, TACACS+, CHAP, MS-CHAP. EAP, 802.1x.
Objetivo 6.5 ..................................................................................................................... 127
Explica los métodos de autenticación de usuarios
Seguridad física, Restricción local y acceso remoto.
Métodos seguros vs métodos inseguros: SSH; HTTPS, SNMPv3, SFTP, SCP, TELNET,
HTTP, FTP, RSH, RCP, SNMPv1/v2.
Objetivo 6.6 ..................................................................................................................... 129
Identificar las amenazas de seguridad más comunes y técnicas que las disminuyan
Amenzas: DoS, virus, gusanos, ingeniería social, atacantes, smurf.
Técnicas: Parches y actualizaciones, entrenamiento del usuario, políticas y procedimientos.
BIBLIOGRAFIA .............................................................................................................. 137
6
CAPITULO 1
TECNOLOGÍAS DE REDES
7
OBJETIVO 1.1
La suite del protocolo TCP / IP
El Transmisión Control Protocol / Internet Protocol (TCP/IP) es actualmente el protocolo de red
predominante en todas las redes, ofrece ventajas significativas sobre otros protocolos de red.
Una de ellas es que trabaja sobre una gran variedad de hardware y sistemas operativos. De este
modo puede crearse fácilmente una red heterogénea usando este protocolo. Dicha red puede
contener estaciones Mac, PC compatibles, estaciones Sun, servidores Novell, etc. Todos estos
elementos pueden comunicarse usando la misma suite de protocolos TCP/IP.
A continuación listaremos algunos de los protocolos que están incluidos en la suite de TCP / IP:
Internet Protocol (IP)
El protocolo IP es un protocolo que trabaja en la capa de red y es responsable de transportar
datos entre los diversos componentes de red.
IP trabaja en modo connection-less, una de sus funciones es el addressing.
Transmisión Control Protocol (TCP)
Trabaja en la capa de transporte del modelo OSI en modo connection-oriented, trabajando en
este modo TCP requiere que una sesión sea establecida entre dos host antes de que una
comunicación tenga lugar. TCP proporciona confiabilidad a las comunicaciones IP ya que
cuenta con control de flujo de datos, detección y corrección de errores y re-encadenamiento de
información.
User Datagram Protocol (UDP)
UDP trabaja en la capa de transporte del modelo OSI, opera de forma similar que TCP con una
notable diferencia, siendo UDP un protocolo connecction-less, no garantiza la correcta entrega
de paquetes de información.
Dado que UDP no tiene que garantizar la entrega de datos, es mucho más rápido en su tiempo de
entrega de datos y no consume tanto ancho de banda.
TCP y UDP usan IP como protocolo de transporte.
File Transfer Protocol (FTP)
El protocolo FTP trabaja en la capa de aplicación del Modelo OSI, se utiliza para transferir uno
o más archivos de una computadora a otra (lo que se conoce como uploading y downloading) y
utiliza a TCP como protocolo de transporte.
FTP cuenta con mecanismos de seguridad tales como una cuenta de usuario (username) y
contraseña. Sin embargo existen servidores donde se permite el acceso a usuarios no registrados
(anonymous logon) dando como username: anonymous y como contraseña su email.
Trivial File Transfer Protocol (TFTP)
Es una variante del FTP trabaja también en la capa de aplicación del modelo OSI pero no ofrece
los niveles de seguridad y funcionalidad que FTP. TFTP utiliza a UDP como protocolo de
transporte lo que significa que trabaja en modo connection-less.
8
Nota: para propósitos de examen habrá que recordar que FTP es más seguro que TFTP y que
este último es un protocolo connection-less UDP.
Simple Mail Transfer Protocol (SMTP)
Es un protocolo utilizado para enviar mensajes de correo electrónico entre servidores.
La mayoría de los servidores de correo que envían mensajes a través de internet utilizan SMTP,
los mensajes pueden luego ser descargados desde un cliente de correo usando protocolos como
IMAP o POP3. SMTP es generalmente utilizado además para enviar mensajes desde un cliente
al servidor de correo. Trabaja en la capa de aplicación del modelo OSI y utiliza a TCP como
protocolo de transporte de datos.
Hypertext Transfer Protocol (HTTP)
El Protocolo de Transferencia de HiperTexto (Hypertext Transfer Protocol) es un sencillo
protocolo cliente-servidor que articula los intercambios de información entre los clientes web y
los servidores http mediante un URL( Uniform resource locutor). Http es connection-less y
utiliza UDP como protocolo de transporte.
Hypertext Transfer Protocol Secure (HTTPS)
El http envía sus solicitudes en modo texto por lo que, para empresas de e-commerce esto
implica un riesgo, la solución es utilizar el protocolo HTTPS el cual utiliza un sistema conocido
como SSL (Secure Sockets Layer), este sistema en cripta la información que se envían tanto el
cliente como el servidor. Al igual que HTTP, HTTPS utiliza a UDP como protocolo de
transporte y trabaja en la capa de aplicación del modelo OSI.
Post Office Protocol (POP) e Internet Message Access Protocol (IMAP4).
Tanto POP como IMAP son mecanismos para descargar emails desde un servidor. Aunque los
email circulan a través de la red mediante SMTP, los usuarios no siempre los leen
inmediatamente así que se almacenan y para poder acceder a ellos se utilizan POP o IMAP.
Telnet
Telnet utiliza TCP como protocolo de transporte, trabaja en la capa de aplicación del modelo
OSI. La función de telnet es establecer sesiones con un servidor remoto con lo cual podremos
ejecutar algunos comandos en ese servidor. Telnet comúnmente se utiliza para acceder a
servidores Unix y Linux.
Secure Shell (SSH).
Uno de los problemas con telnet es que no es seguro y como alternativa se utiliza este protocolo,
realiza las mismas funciones que telnet, pero éste cuenta con mecanismos de seguridad, la
información que transmite se encuentra encriptada.
Internet Control Message Protocol (ICMP)
ICMP es un protocolo que trabaja con IP, proporciona detección de errores y trabaja en la capa
de red del modelo OSI.
9
Address Resolution Protocol / Reverse Address Resolution Protocol (ARP / RARP)
ARP convierte direcciones IP a direcciones MAC (MAC address).
Network Time Protocol (NTP)
Se usa para sincronizar la hora de los clientes instalados en las pc y en los servidores,
tomando como referencia otro servidor o fuente de tiempo (como puede ser un receptor de
satélite). Esto provee al cliente de una exactitud en la sincronización del orden de los
milisegundos en la LAN y de centésimas en las WAN relativos a un servidor primario
sincronizado a la escala UTC. La escala UTC se usa en la mayoría de las naciones, y se
basa en la rotación de la Tierra alrededor del Sol.
Transport Layer Security (TLS)
El protocolo es una evolución del protocolo SSL (Secure Sockets Layer).
Los objetivos del protocolo son varios:
•
•
•
•
Seguridad criptográfica. El protocolo se debe emplear para establecer una
conexión segura entre dos partes.
Interoperabilidad. Aplicaciones distintas deben poder intercambiar parámetros
criptográficos sin necesidad de que ninguna de las dos conozca el código de la otra.
Extensibilidad. El protocolo permite la incorporación de nuevos algoritmos
criptográficos.
Eficiencia. Los algoritmos criptográficos son costosos computacionalmente, por lo
que el protocolo incluye un esquema de cache de sesiones para reducir el número de
sesiones que deben inicializarse desde cero (usando criptografía de clave pública).
Internet Group Management Protocol (IGMP)
Este protocolo está íntimamente ligado a IP. Se emplea en máquinas que emplean IP
multicast. El IP multicast es una variante de IP que permite emplear datagramas con
múltiples destinatarios.
RTP (VoIP)
RTP son las siglas de Real-time Transport Protocol. Es un protocolo de nivel de sesión
utilizado para la transmisión de información en tiempo real, como por ejemplo audio y
video en una video conferencia.
Esta desarrollado por el grupo de trabajo de transporte de audio y video del IETF,
publicado por primera vez como estándar en 1996 como la RFC 1889, y actualizado
posteriormente en 2003 en la RFC 3550, que constituye el estándar de Internet STD 64.
Inicialmente se publicó como protocolo multicast, aunque se ha usado en varias
aplicaciones unicast. Se usa frecuentemente en sistemas de streaming, junto a RTSP,
videoconferencia y sistemas push to talk (en conjunción con H.323 o SIP).
10
SIP (VoIP)
Session Initiation Protocol (SIP o Protocolo de Inicio de Sesiones) es un protocolo
desarrollado por el IETF MMUSIC Working Group con la intención de ser el estándar para
la iniciación, modificación y finalización de sesiones interactivas de usuario donde
intervienen elementos multimedia como el video, voz, mensajería instantánea, juegos
online y realidad virtual.
La sintaxis de sus operaciones se asemeja a las de HTTP y SMTP, los protocolos utilizados
en los servicios de páginas web y de distribución de e-mails respectivamente. Esta similitud
es natural ya que SIP fue diseñado para que la telefonía se vuelva un servicio más en
internet.
OBJETIVO 1.2
Funciones de los puertos para TCP/ UDP
Cada protocolo o aplicación de TCP / UDP tiene un puerto asociado. Cuando algún
paquete de información es recibido el objetivo del número de puerto es revisar el protocolo
o servicio de destino, por ejemplo el http tiene asignado el puerto 80 y cuando un
navegador solicita o recibe una aplicación web, lo hace a través de ese puerto.
TCP / IP tiene 65535 puertos disponibles donde los puertos del 0 al 1023 son conocidos
como well kwnon ports.
La tabla 1.2-1 muestra los puertos asociados a los servicios, los cuales son cuestionados en
el examen de certificación.
Tabla 1.2-1 Algunos de los llamados well kwon ports
Protocolo
FTP
SSH
TELNET
SMTP
DNS
BOOTPS/DCHP
TFTP
HTTP
POP3
NNTP
NTP
IMAP4
SNMP
HTTPS
Puerto asociado
21
22
23
25
53
67
69
80
110
119
123
143
161
443
Servicio TCP / UDP
TCP
TCP
TCP
TCP
UDP
UDP
UDP
TCP / UDP
TCP
TCP
TCP
TCP
UDP
TCP
11
OBJETIVO 1.3
Direcciones IP
Con TCP/IP para ser capaz de identificar una máquina en internet, a cada interfaz de red de la
máquina o host se le asigna una dirección, la dirección IP o dirección de internet. Cuando la
máquina está conectada a más de una red se le denomina "multi-homed" y tendrá una dirección
IP por cada interfaz de red. La dirección IP consiste en un par de números:
IP dirección = Network ID y el HostID .
La parte de la dirección IP correspondiente al número de red está administrada centralmente por
el InterNIC (Internet Network Information Center) o a la IANA (Internet Assigned Numbers
Authority) y es única en internet.
IPv4
Las direcciones IP son números de 32 bits (separados en 4 octetos) aunque representados
habitualmente en formato decimal.
Veamos el siguiente IP en formato binario (32 bits) y su equivalente en decimal
BINARIO
10010100 11011111 10001010 10010101
DECIMAL
148.223.138.149
IPv6
Aunque el IPv4 ha servido y funcionado bien durante muchos años, ha comenzado a llegar su
fin. El principal problema con IPv4 simple y sencillamente es que ya no es capaz de cubrir la
demanda de direcciones IP.
A diferencia del IPv4 que utiliza 32 bits, el IPv6 utiliza 128 bits lo que proporciona:
340 282 366 920 938 463 463 374 607 431 768 211 456 direcciones posibles.
Un IPv6 tiene una nomenclatura diferente al usado en IPv4 está compuesto de 8 pares de
octetos expresados en hexadecimal y separados por “: “por ejemplo:
42DE : 7E55 : 63F2 : 21AA : CBD4 : D773 : CC21 : 554F
Direcciones MAC
El direccionamiento a través de las MACs, se da en la capa 2 del modelo OSI, los switches
de manera particular las utilizan.
La dirección MAC (Media Access Control address o dirección de control de acceso al
medio) es un identificador de 48 bits (6 bytes) que corresponde de forma única a una tarjeta
o interfaz de red. Es individual, cada dispositivo tiene su propia dirección MAC
determinada y configurada por el IEEE (los últimos 24 bits) y el fabricante (los primeros 24
bits). Las direcciones se muestran generalmente en formato hexadecimal, con cada octeto
separado por un guión o dos puntos. Un ejemplo de una dirección MAC sería "00-08-744C-7F-1D".
12
OBJETIVO 1.4
Direccionamiento IP
Uno de los aspectos más importantes de las comunicaciones en una internetwork es el
esquema de direccionamiento lógico.
El direccionamiento IP es el método utilizado para identificar hosts y dispositivos de red.
La cantidad de host conectados a internet continúa creciendo y el esquema de
direccionamiento IP tuvo que ser adaptado para hacer frente a este crecimiento.
Para enviar y recibir mensajes en una red IP, cada host de red debe tener asignada una única
dirección IP de 32 bits. Dado que los números binarios extensos son difíciles de leer y
comprender para un ser humano, las direcciones IP generalmente muestran una notación
decimal punteada. En la notación decimal punteada, cada uno de los cuatro octetos se
convierte a un número decimal separado por un punto decimal. Por ejemplo, la dirección
IP:
11000000.10101000.00000001.01101010 se representa como 192.168.1.106 en la notación
decimal punteada.
Las direcciones IP son jerárquicas. Una jerarquía es como un árbol genealógico, con los
padres en la parte superior y los hijos conectados a ellos, debajo. Para una red, esto
significa que parte del número de 32 bits identifica la red (padre) mientras que el resto de
los bits identifican el host (hijo). En los comienzos de internet, eran tan pocas las
organizaciones que necesitaban conectarse que las redes eran asignadas sólo mediante los
primeros 8 bits (primer octeto) de la dirección IP. Esto dejaba a los 24 bits restantes para
ser utilizados para direcciones host locales.
La designación de red de ocho bits inicialmente tuvo sentido, porque en un principio la
gente pensaba que internet estaría compuesta de algunas grandes universidades, gobiernos y
organizaciones militares. La utilización de sólo 8 bits para el número de red permitía la
creación de 256 redes separadas, cada una con más de 16 millones de hosts.
Pronto resultó evidente que más organizaciones, y eventualmente personas, se conectarían a
internet para investigar y comunicarse con otros. Se requerían más redes y debía crearse
una manera de asignar más números de redes, algunas soluciones han sido la
implementación del subnetting y VLSM, aunque el direccionamiento IPv4 será sustituido
por IPv6.
13
Subnetting, redes con clase y sin clase
A medida que las redes fueron evolucionando se fue presentando un gran problema, las
direcciones. Una primera solución a este problema fue ofrecida por el subnetting
(implementacion de subredes).
Este método consiste en dividir una red en varias más pequeñas lo que permite optimizar el
uso de las direcciones IP. La idea es tomar mediante el manejo de la máscara de subred
una <parte de red> de una dirección IP y asignar las direcciones IP de esa <parte de red> a
varias redes físicas, que serán ahora referidas como subredes, protocolos de ruteo como RIP
v1 e IGRP utilizaban este “direccionamiento con clase”.
El desarrollo inicial del direccionamiento con clase resolvió el problema de agotamiento de
IP temporalmente. Una década más tarde, fue evidente que el espacio de dirección IP se
estaba reduciendo rápidamente. En respuesta, el Grupo de trabajo de ingeniería de internet
(IETF) introdujo Classless Inter-domain Routing (CIDR), que utilizaba una máscara de
subred de longitud variable (VLSM) para ayudar a conservar el espacio de dirección.
Con la introducción de CIDR y VLSM, los ISP ahora podían asignar una parte de una red
con clase a un cliente y otra parte diferente a otro cliente. Esta asignación no contigua de
direcciones de los ISP era análoga al desarrollo de los protocolos de enrutamiento sin clase.
Para comparar: los protocolos de enrutamiento con clase siempre resumen el borde con
clase y no incluyen la máscara de subred en actualizaciones de enrutamiento. Los
protocolos de enrutamiento sin clase sí incluyen la máscara de subred en las actualizaciones
de enrutamiento y no deben realizar el resumen.
NAT
La traducción de direcciones de red (NAT) le permite a un grupo considerable de usuarios
privados acceder a internet compartiendo un pequeño grupo de direcciones IP públicas. La
traducción de direcciones es similar al modo en que trabaja un sistema telefónico en una
compañía. A medida que la compañía suma empleados, en algún momento deja de colocar
una línea telefónica pública directamente al escritorio de cada empleado. En su lugar,
utiliza un sistema que le permite asignarle un número de extensión a cada empleado. La
compañía puede hacer esto ya que no todos los empleados utilizan el teléfono al mismo
tiempo. El uso de extensiones privadas permite a la compañía comprar una cantidad menor
de líneas telefónicas externas a la compañía telefónica.
NAT funciona de manera similar al sistema telefónico de una compañía. Una de las razones
principales por las que NAT fue desarrollada es para ahorrar direcciones IP registradas.
NAT también puede brindar seguridad a las pc, los servidores y los dispositivos de red al
evitar que sus direcciones actuales de host IP tengan acceso directo a Internet.
14
La figura 1.4-1 muestra el funcionamiento de NAT
Figura 1.4-1 Funcionamiento de NAT
La principal ventaja de NAT es la reutilización de la dirección IP y la posibilidad de
compartir de direcciones IP universalmente únicas entre varios hosts de una sola LAN.
NAT también sirve a usuarios de manera transparente. En otras palabras, ellos no necesitan
saber sobre NAT para conectarse a Internet desde una red privada. Por último, NAT ayuda
a proteger a los usuarios de una red privada del acceso exterior.
NAT tiene algunas desventajas, entre ellas:
El impacto de NAT en determinadas aplicaciones que tienen direcciones IP en el contenido
del mensaje. Estas direcciones IP también deben ser traducidas, lo que aumenta la carga en
la CPU del router. Esta carga de trabajo adicional en routers dificulta el rendimiento de la
red.
NAT oculta direcciones IP privadas de las redes privadas. Funciona como un control de
acceso que puede ser conveniente pero que también puede ser contraproducente si se desea
acceso remoto legítimo desde internet a un dispositivo en la red privada.
15
PAT
Cuando una organización tiene un pequeño grupo de direcciones IP registrado o quizás
apenas una sola dirección IP, lo mismo puede permitir que varios usuarios accedan
simultáneamente a la red pública con un mecanismo denominado sobrecarga de NAT o
traducción de direcciones de puerto (PAT).
PAT traduce múltiples direcciones locales en una sola dirección IP global. Cuando un host
de origen envía un mensaje a un host de destino, utiliza una combinación de dirección IP y
número de puerto para mantener un registro de cada conversación individual con el host de
destino. En PAT, el gateway traduce la combinación de dirección de origen local y puerto
en el paquete a una única dirección IP global y un número único de puerto por encima de
1024. A pesar de que cada host es traducido en la misma dirección IP global, el número de
puerto asociado a la conversación es único.
El tráfico de respuesta es direccionado a la dirección IP traducida y al número de puerto
utilizado por el host. Una tabla en el router contiene una lista de las combinaciones de
dirección IP interna y número de puerto que son traducidas a la dirección externa. El tráfico
de respuesta es dirigido a la dirección interna y al número de puerto correspondiente. Dado
que existen más de 64 000 puertos disponibles, es muy poco probable que a un router se le
acaben las direcciones, lo que sí puede suceder con la NAT dinámica.
Como la traducción es específica para la dirección local y el puerto local, cada conexión,
que genera un nuevo puerto de origen, requiere una traducción individual. Por ejemplo,
10.1.1.1:1025 requiere una traducción individual desde 10.1.1.1:1026.
La traducción sólo está en el lugar durante la conexión, de modo que un determinado
usuario no mantiene la misma combinación de dirección IP global y número de puerto
luego de que finaliza la conversación.
Los usuarios en la red externa no pueden iniciar una conexión de manera confiable a un
host en una red que utiliza PAT. No sólo es imposible predecir el número de puerto local o
global del host, sino que además un gateway no crea una traducción a menos que un host en
la red interna inicie la comunicación.
SNAT (Static Network Address translation)
SNAT es utilizado cuando necesitas que un servicio de una IP homologada siempre sea la
misma. ejemplo tienes tu IP 200.33.0.1 y cuando llegan peticiones al puerto 80 las
direcciona a la 192.168.0.2 puerto 25; esto se utiliza mas cuando es acceso a servidores de
consulta.
DHCP
DHCP (Dynamic Host Configuration Protocol) es un protocolo de red que permite a los
nodos de una red IP obtener sus parámetros de configuración automáticamente. Se trata de
un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de
16
direcciones IP dinámicas y las va asignando a los clientes conforme éstas van estando
libres, sabiendo en todo momento quién ha estado en posesión de esa IP, cuánto tiempo la
ha tenido y a quién se la ha asignado después
Sin DHCP, cada dirección IP debe configurarse manualmente en cada computadora y, si la
computadora se mueve a otra subred, se debe configurar otra dirección IP diferente. El
DHCP le permite al administrador supervisar y distribuir de forma centralizada las
direcciones IP necesarias y automáticamente asignar y enviar una nueva IP si la
computadora es conectada en un lugar diferente de la red.
Esquema de direccionamiento
En una red IPv4, los hosts pueden comunicarse de tres maneras diferentes:
Unicast: el proceso por el cual se envía un paquete de un host a un host individual.
Broadcast: el proceso por el cual se envía un paquete de un host a todos los hosts de la red.
Multicast: el proceso por el cual se envía un paquete de un host a un grupo seleccionado de
hosts.
Estos tres tipos de comunicación se usan con diferentes objetivos en las redes de datos. En
los tres casos, se coloca la dirección IPv4 del host de origen en el encabezado del paquete
como la dirección de origen.
Tráfico unicast
La comunicación unicast se usa para una comunicación normal de host a host, tanto en una
red de cliente/servidor como en una red punto a punto. Los paquetes unicast utilizan la
dirección host del dispositivo de destino como la dirección de destino y pueden enrutarse a
través de una internetwork. Sin embargo, los paquetes broadcast y multicast usan
direcciones especiales como la dirección de destino. Al utilizar estas direcciones especiales,
los broadcasts están generalmente restringidos a la red local. El ámbito del tráfico multicast
también puede estar limitado a la red local o enrutado a través de una internetwork.
Transmisión de broadcast
Dado que el tráfico de broadcast se usa para enviar paquetes a todos los hosts de la red, un
paquete usa una dirección de broadcast especial.
La transmisión de broadcast se usa para ubicar servicios/dispositivos especiales para los
cuales no se conoce la dirección o cuando un host debe brindar información a todos los
hosts de la red.
Algunos ejemplos para utilizar una transmisión de broadcast son:


Asignar direcciones de capa superior a direcciones de capa inferior
Solicitar una dirección
17

Intercambiar información de enrutamiento por medio de protocolos de enrutamiento
Cuando un host necesita información envía una solicitud, llamada consulta, a la dirección
de broadcast. Todos los hosts de la red reciben y procesan esta consulta. Uno o más hosts
que poseen la información solicitada responderán, típicamente mediante unicast.
De forma similar, cuando un host necesita enviar información a los hosts de una red, éste
crea y envía un paquete de broadcast con la información.
A diferencia de unicast, donde los paquetes pueden ser enrutados por toda la internetwork,
los paquetes de broadcast normalmente están restringidos a la red local. Esta restricción
depende de la configuración del router que bordea la red y del tipo de broadcast.
Transmisión de multicast
La transmisión de multicast está diseñada para conservar el ancho de banda de la red IPv4.
Ésta reduce el tráfico al permitir que un host envíe un único paquete a un conjunto
seleccionado de hosts. Para alcanzar hosts de destino múltiples mediante la comunicación
unicast, sería necesario que el host de origen envíe un paquete individual dirigido a cada
host. Con multicast, el host de origen puede enviar un único paquete que llegue a miles de
hosts de destino.
Algunos ejemplos de transmisión de multicast son:




Distribución de audio y video
Intercambio de información de enrutamiento por medio de protocolos de
enrutamiento
Distribución de software
Suministro de noticias
Clientes Multicast
Los hosts que desean recibir datos multicast específicos se denominan clientes multicast.
Los clientes multicast usan servicios iniciados por un programa cliente para subscribirse al
grupo multicast.
Cada grupo multicast está representado por una sola dirección IPv4 de destino multicast.
Cuando un host IPv4 se suscribe a un grupo multicast, el host procesa paquetes dirigidos a
esta dirección multicast y paquetes dirigidos a su dirección unicast exclusivamente
asignada. IPv4 ha apartado un bloque especial de direcciones desde 224.0.0.0 a
239.255.255.255 para direccionamiento de grupos multicast.
18
OBJETIVO 1.5
OSPF
Open Shortest Path es un protocolo de enrutamiento jerárquico de pasarela interior o IGP
(Interior Gateway Protocol), que usa el algoritmo Dijkstra enlace-estado (LSA - Link State
Algorithm) para calcular la ruta más corta posible. Usa cost como su medida de métrica.
Además, construye una base de datos enlace-estado (link-state database, LSDB) idéntica en
todos los enrutadores de la zona.
OSPF es probablemente el tipo de protocolo IGP más utilizado en grandes redes. Puede
operar con seguridad usando MD5 para autentificar a sus puntos antes de realizar nuevas
rutas y antes de aceptar avisos de enlace-estado. Como sucesor natural de RIP, acepta
VLSM o sin clases CIDR desde su inicio. A lo largo del tiempo, se han ido creando nuevas
versiones, como OSPFv3 que soporta IPv6 o como las extensiones multidifusión para
OSPF (MOSPF), aunque no están demasiado extendidas. OSPF puede "etiquetar" rutas y
propagar esas etiquetas por otras rutas.
IS-IS
IS-IS (Intermediate System to Intermediate System) es un protocolo OSI de
encaminamiento jerárquico de pasarela interior o IGP (Interior Gateway Protocol), que usa
el estado de enlace para encontrar el camino más corto mediante el algoritmo SPF (Shortest
Path First).
El protocolo tiene un gran parecido con OSPF ya que en ambos se utiliza el estado de
enlace para la búsqueda de caminos (utilizan puentes designados para eliminar bucles) y la
asignación de redes en grupos para mejorar la eficiencia de la red. Pero IS-IS tiene ciertas
ventajas respecto a OSPF tales como compatibilidad con IPv6 o que permite conectar redes
con protocolos de encaminamiento distintos. Admite VLSM.
RIP1
RIPv1 fue el primer y único protocolo de enrutamiento IP disponible durante los comienzos
del networking. RIPv1 no envía información de máscara de subred en sus actualizaciones
de enrutamiento y, por lo tanto, no es compatible con VLSM y CIDR.
RIPv1 resume automáticamente las redes en el límite con clase y trata todas las redes como
si fueran clases A, B y C predeterminadas. Mientras que sean redes contiguas, como
192.168.1.0, 192.168.2.0 y sucesivas, esta función no plantea problemas graves.
Sin embargo, si las redes no son contiguas, por ejemplo, si las redes 192.168.1.0 y
192.168.2.0 están separadas por la red 10.0.1.0, es posible que RIPv1 no notifique las rutas
correctamente.
De forma predeterminada, RIPv1 envía broadcasts de las actualizaciones de enrutamiento a
todos los routers conectados cada 30 segundos.
19
RIP2
RIPv2 tiene muchas funciones de RIPv1. También incluye mejoras importantes. RIPv2 es
un protocolo de enrutamiento sin clase compatible con VLSM y CIDR. En las
actualizaciones de v2, se incluye un campo de máscara de subred que permite el uso de
redes no contiguas. RIPv2 también puede desactivar la sumarización automática de rutas.
Ambas versiones de RIP envían la tabla de enrutamiento completa en actualizaciones a
todas las interfaces involucradas. RIPv1 envía broadcasts de estas actualizaciones a
255.255.255.255. Esto requiere que todos los dispositivos de una red de broadcast, como
Ethernet, procesen los datos. RIPv2 envía multicasts de sus actualizaciones a 224.0.0.9. Los
multicasts ocupan menos ancho de banda de red que los broadcasts. Los dispositivos que no
están configurados para RIPv2 descartan los multicasts en la capa de enlace de datos.
Los atacantes generalmente introducen actualizaciones no válidas para hacer que un router
envíe datos al destino equivocado o para degradar seriamente el rendimiento de la red. La
información no válida puede aparecer en la tabla de enrutamiento debido a una
configuración incorrecta o al mal funcionamiento de un router. La encriptación de la
información de enrutamiento esconde el contenido de la tabla de enrutamiento a los routers
que no poseen la contraseña o los datos de autenticación. RIPv2 tiene un mecanismo de
autenticación, mientras que RIPv1 no lo tiene.
Aunque RIPv2 proporciona varias mejoras, no es un protocolo completamente diferente.
RIPv2 comparte muchas de las funciones de RIPv1, como:








Métrica de conteo de saltos
15 saltos como máximo
TTL equivale a 16 saltos
Intervalo predeterminado de actualización de 30 segundos
Envenenamiento de ruta, envenenamiento en reversa, horizonte dividido y esperas
para evitar bucles
Actualizaciones con el puerto UDP 520
Distancia administrativa de 120
Encabezado de mensaje con hasta 25 rutas sin autentificación
Cuando un router se inicia, cada interfaz configurada con RIP envía un mensaje de
solicitud. Este mensaje solicita que todos los vecinos de RIP envíen las tablas de
enrutamiento completas. Los vecinos compatibles con RIP envían un mensaje de respuesta
que incluye las entradas de red conocidas. El router receptor evalúa cada entrada de ruta
según los siguientes criterios:

Si la entrada de ruta es nueva, el router receptor instala la ruta en la tabla de
enrutamiento.
20


Si la ruta ya se encuentra en la tabla y la entrada viene de un origen diferente, la
tabla de enrutamiento reemplaza la entrada existente si la nueva tiene un conteo de
saltos mejor.
Si la ruta ya se encuentra en la tabla y la entrada viene del mismo origen, reemplaza
la entrada existente aunque la métrica no sea mejor.
A continuación, el router de inicio envía una triggered update a todas las interfaces
compatibles con RIP que contiene su propia tabla de enrutamiento. Se informa a los
vecinos de RIP de todas las rutas nuevas.
Mientras que los routers envíen y procesen las versiones correctas de las actualizaciones de
enrutamiento, RIPv1 y RIPv2 son totalmente compatibles. De forma predeterminada,
RIPv2 envía y recibe sólo actualizaciones de la versión 2. Si una red debe utilizar ambas
versiones de RIP, el administrador de red configura RIPv2 para que envíe y reciba ambas
versiones, 1 y 2. De forma predeterminada, RIPv1 envía actualizaciones de la versión 1,
pero recibe de las dos versiones, 1 y 2.
Dentro de una empresa, puede ser necesario utilizar ambas versiones de RIP. Por ejemplo,
es posible que parte de la red se migre a RIPv2, mientras que otra parte permanezca con
RIPv1. El reemplazo de la configuración de RIP global con comportamiento específico de
cada interfaz permite que los routers sean compatibles con ambas versiones de RIP.
Para personalizar la configuración global de una interfaz, utilice los siguientes comandos de
configuración de interfaz:
ip rip send version <1 | 2 | 1 2>
ip rip receive version <1 | 2 | 1 2>
BGP
El BGP o Border Gateway Protocol es un protocolo mediante el cual se intercambia
información de encaminamiento entre sistemas autónomos. Por ejemplo, los ISP
registrados en Internet suelen componerse de varios sistemas autónomos y para este caso es
necesario un protocolo como BGP.
Entre los sistemas autónomos de los ISP se intercambian sus tablas de rutas a través del
protocolo BGP. Este intercambio de información de encaminamiento se hace entre los
routers externos de cada sistema autónomo. Estos routers deben soportar BGP. Se trata del
protocolo más utilizado para redes con intención de configurar un EGP (external gateway
protocol)
EIGRP
Las limitaciones de RIP condujeron al desarrollo de protocolos más avanzados. Los
profesionales de networking necesitaban un protocolo que fuera compatible con VLSM y
21
CIDR, de fácil escalabilidad y que proporcionara una convergencia rápida en redes
empresariales complejas.
Cisco desarrolló EIGRP como protocolo de enrutamiento vector distancia patentado.
Cuenta con capacidades mejoradas que abordan muchas de las limitaciones de otros
protocolos de vector distancia. EIGRP comparte algunas de las características de RIP y, a
su vez, utiliza funciones avanzadas.
Aunque la configuración de EIGRP es relativamente simple, las funciones y opciones
subyacentes son complejas. EIGRP contiene muchas funciones que no posee ninguno de
los otros protocolos de enrutamiento. Todos estos factores hacen que EIGRP sea una
excelente opción para redes multiprotocolo grandes que utilizan, principalmente,
dispositivos Cisco.
Los dos objetivos principales de EIGRP son proporcionar un entorno de enrutamiento sin
bucles y una convergencia rápida. Para lograr estos objetivos, EIGRP utiliza un método
diferente al de RIP para calcular la mejor ruta. La métrica que utiliza es una métrica
compuesta que considera, fundamentalmente, el ancho de banda y el retraso. Esta métrica
es más precisa que el conteo de saltos en cuanto a la determinación de la distancia a una red
de destino.
22
Objetivo 1.6
El routing es el método por el cual los dispositivos de red direccionan mensajes a través de
las redes para que lleguen al destino correcto.
Todos los routers deben tomar decisiones de routing. Lo hacen buscando la información
guardada en sus tablas de routing. Cada router contiene una tabla de todas las redes
conectadas en forma local y de las interfaces que se conectan con él. Estas tablas de routing
contienen información sobre las rutas, o trayectorias, que el router utiliza para alcanzar
otras redes remotas que no tienen conexión local.
Un administrador puede asignar estas rutas al router en forma estática, o bien, otro router
puede asignarlas en forma dinámica a través de un programa denominado protocolo de
routing.
Cada router utiliza una tabla de routing para decidir dónde enviar los paquetes. La tabla de
routing contiene un conjunto de rutas en donde cada ruta describe qué gateway o interfaz
necesita el router para llegar hasta una red específica.
Una ruta tiene cuatro componentes principales:




Valor de destino
Máscara
Gateway o dirección de interfaz
Costo de la ruta o métrica
Rutas de conexión directa
Cuando el router se enciende, se habilitan las interfaces configuradas. A medida que entran
en funcionamiento, el router guarda en la tabla de routing las direcciones de red local que
se conectan directamente como rutas conectadas. En el caso de los routers Cisco, estas rutas
se identifican en la tabla de routing con el prefijo C. Estas rutas se actualizan en forma
automática cada vez que se desactiva o se vuelve a configurar la interfaz.
Rutas estáticas
Un administrador de red puede configurar en forma manual una ruta estática en una red
específica. Una ruta estática no cambia hasta que el administrador la vuelve a configurar en
forma manual. Estas rutas se identifican en la tabla de routing con el prefijo S.
Rutas actualizadas en forma dinámica (Rutas dinámicas)
Los protocolos de routing crean y mantienen en forma automática las rutas dinámicas. Los
protocolos de routing se implementan en programas que se ejecutan con routers y que
intercambian información de routing con otros routers de la red. Las rutas actualizadas en
forma dinámica se identifican en la tabla de routing con el prefijo que corresponde al tipo
23
de protocolo de routing creado por la ruta; por ejemplo, se usa R para el Protocolo de
Información de Routing (RIP, Routing Information Protocol).
Los protocolos dinámicos de ruteo son divididos en las categorías que se muestran en la
figura 1.6-1:
Figura 1.6-1 División de los protocolos de ruteo
La diferencia entre IGP y EGP es el routing interior o exterior de un sistema autónomo
(AS). Un sistema autónomo es una colección de redes o subredes que están en el mismo
dominio administrativo. IGP opera y rutea sin un AS mientras que EGP trabaja fuera o
entre más de un AS.
El protocolo más popular de EGP es BGP (border Gateway protocol) el cuál es típicamente
usado por ISP’s o grandes corporaciones.
Pasando a la categoría IGP podemos ver en la figura 1.6-2 que tiene dos categorías: los
protocolos de Distancia de vector (DV) y los de Link state (LS)
Figura 1.6-2 Protocolos de ruteo DV y LS
Como podemos ver en la categoría de vector de distancia están IGRP y RIP versiones 1 y 2,
en la categoría link state se encuentra OSPF e IS-IS.
Cisco tiene un protocolo híbrido denominado EIGRP.
24
Objetivo 1.7
Se ha desarrollado una cantidad de estándares para garantizar que los dispositivos
inalámbricos puedan comunicarse. Éstos especifican el espectro de RF usado, las
velocidades de transmisión de datos, la manera en que se transmite la información y otras
cuestiones. La principal organización responsable de la creación de los estándares técnicos
inalámbricos es IEEE.
El estándar IEEE 802.11 rige el entorno WLAN. Existen cuatro enmiendas al estándar
IEEE 802.11 que describen diferentes características para las comunicaciones inalámbricas.
Las enmiendas actualmente disponibles son 802.11a, 802.11b, 802.11g y 802.11n (802.11n
no está ratificada en el momento de escribir este documento). Estas tecnologías se conocen
grupalmente con el nombre Wi-Fi, amplia fidelidad.
Otra organización, conocida como Wi-Fi Alliance, es responsable de probar los
dispositivos LAN inalámbricos de distintos fabricantes. El logotipo Wi-Fi en un dispositivo
significa que ese equipo cumple los estándares y debe interoperar con otros dispositivos del
mismo estándar.
En la tabla 1.7-1 se muestra un resumen de las características de estándar IEEE 802.1.
Tabla 1.7-1 Estándares comunes de IEEE para WAN
Tabla 1.7-1
25
Encriptación en una WLAN
La autenticación y el filtrado MAC pueden evitar que un atacante se conecte a una red
inalámbrica, pero no evitarán que intercepte los datos transmitidos. Dado que no existen
límites distintivos en una red inalámbrica y que el tráfico se transmite por aire, es fácil para
un atacante interceptar o detectar tramas inalámbricas. La encriptación es el proceso de
transformar datos de manera que, aunque sean interceptados, queden inutilizables.
Protocolo de equivalencia por cable (WEP, Wired Equivalency Protocol)
El protocolo de equivalencia por cable (WEP) es una característica avanzada de seguridad
que encripta el tráfico de la red a medida que éste se desplaza por el aire. El WEP utiliza
claves pre configuradas para encriptar y descifrar datos.
Una clave WEP se introduce como una cadena de números y letras, y generalmente consta
de 64 ó 128 bits. En algunos casos, el WEP admite también claves de 256 bits. Para
simplificar la creación y la introducción de estas claves, muchos dispositivos incluyen la
opción por contraseña. La opción por contraseña es una fácil manera de recordar la palabra
o frase usada para generar automáticamente una clave.
A fin de que el WEP funcione, el AP (y cualquier otro dispositivo inalámbrico que tenga
habilitado el acceso a la red) deberá tener la misma clave WEP introducida. Sin esta clave,
los dispositivos no podrán comprender las transmisiones inalámbricas.
El WEP es una excelente manera de evitar que los atacantes intercepten datos. Sin
embargo, existen puntos débiles dentro del WEP, por ejemplo el uso de una clave estática
en todos los dispositivos con WEP habilitado. Existen aplicaciones disponibles que los
atacantes pueden utilizar para descubrir la clave WEP. Estas aplicaciones se encuentran
disponibles fácilmente en Internet. Una vez que el atacante ha extraído la clave, tiene
acceso completo a toda la información transmitida.
Una manera de superar este punto débil es cambiar la clave frecuentemente. Otra manera es
usar una forma de encriptación más avanzada y segura, conocida como acceso protegido
Wi-Fi (WPA, Wi-Fi Protected Access).
Acceso protegido Wi-Fi (WPA)
El WPA también utiliza claves de encriptación de 64 a 256 bits. Sin embargo, el WPA, a
diferencia del WEP, genera nuevas claves dinámicas cada vez que un cliente establece una
conexión con el AP. Por esta razón el WPA se considera más seguro que el WEP, ya que es
mucho más difícil de decodificar.
26
Protocolos de autenthication
RADIUS
RADIUS (acrónimo en inglés de Remote Authentication Dial-In User Server). Es un
protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad
IP. Utiliza el puerto 1813 UDP para establecer sus conexiones.
Cuando se realiza la conexión con un ISP mediante módem, DSL, cablemódem, Ethernet o
Wi-Fi, se envía una información que generalmente es un nombre de usuario y una
contraseña. Esta información se transfiere a un dispositivo NAS (Servidor de Acceso a la
Red o Network Access Server (NAS)) sobre el protocolo PPP, quien redirige la petición a
un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la
información es correcta utilizando esquemas de autenticación como PAP, CHAP o EAP. Si
es aceptado, el servidor autorizará el acceso al sistema del ISP y le asigna los recursos de
red como una dirección IP, y otros parámetros como L2TP, etc.
Una de las características más importantes del protocolo RADIUS es su capacidad de
manejar sesiones, notificando cuando comienza y termina una conexión, así que al usuario
se le podrá determinar su consumo y facturar en consecuencia; los datos se pueden utilizar
con propósitos estadísticos.
TKIP
TKIP (Temporal Key Integrity Protocol) es también llamado hashing de clave WEP WPA,
incluye mecanismos del estándar emergente 802.11i para mejorar el cifrado de datos
inalámbricos. WPA tiene TKIP, que utiliza el mismo algoritmo que WEP, pero construye
claves en una forma diferente.
Estas tecnologías son fácilmente implementadas usando la interfaz gráfica de usuario (GUI)
del AP de Cisco Systems, y recibió inicialmente el nombre WEP2. TKIP es una solución
temporal que resuelve el problema de reutilización de clave de WEP. WEP utiliza
periódicamente la misma clave para cifrar los datos.
El proceso de TKIP comienza con una clave temporal de 128 bits que es compartida entre
los clientes y los puntos de acceso. Combina la clave temporal con la dirección MAC del
cliente. Luego agrega un vector de inicialización relativamente largo, de 16 octetos, para
producir la clave que cifrará los datos. Este procedimiento asegura que cada estación utilice
diferentes streams claves para cifrar los datos. El hashing de clave WEP protege a los
vectores de inicialización (IVs) débiles para que no sean expuestos haciendo hashing del IV
por cada paquete.
Utiliza el RC4 para realizar el cifrado, que es lo mismo que el WEP. Sin embargo, una gran
diferencia con el WEP es que cambia las claves temporales cada 10.000 paquetes. Esto
proporciona un método de distribución dinámico, lo que mejora significativamente la
seguridad de la red.
27
CAPITULO 2
MEDIOS DE TRANSMISIÓN Y TOPOLOGÍAS
DE REDES
28
Objetivo 2.1
Existen tres tipos de cables de par trenzado: par trenzado no blindado, par trenzado
blindado y par trenzado
Figura 2.1-1 Cables par trenzado
apantallado. (Vea la figura 2.1-1)
El cable de par trenzado no
blindado (UTP, Unshielded
Twisted Pair) es el tipo de cable
de red más común en
Norteamérica y muchas otras
áreas. Los cables blindados
(ScTP y F-UTP) se utilizan casi
exclusivamente
en
países
europeos.
El cable UTP no es costoso,
ofrece un amplio ancho de
banda y es fácil de instalar. Este
tipo de cable se utiliza para
conectar estaciones de trabajo,
hosts y dispositivos de red.
Puede
incluir
diferentes
cantidades de pares dentro de la
funda, pero el número de pares
más común es cuatro. Cada par se identifica por un código de color específico.
Con el tiempo, se han desarrollado muchas categorías diferentes de cables UTP. Cada
categoría de cable ha sido desarrollada para una tecnología específica, y la mayoría ya no se
encuentra en hogares u oficinas. Los tipos de cables que aún se encuentran comúnmente
incluyen las categorías 3, 5, 5e y 6.
Existen entornos eléctricos en los que las interferencias EMI y RFI son tan poderosas que
se requiere una pantalla para posibilitar la comunicación (por ejemplo, en una fábrica
ruidosa). En esta instancia puede ser necesario utilizar un cable que incluya una pantalla,
como el cable de par trenzado blindado (STP) y el cable de par trenzado apantallado
(ScTP). Lamentablemente, los cables STP y ScTP son muy costosos, no son tan flexibles y
tienen requisitos adicionales, debido al blindaje, que dificultan el trabajo con ellos.
Todas las categorías de cable UTP para datos terminan, tradicionalmente, en un conector
RJ-45.
29
Cable coaxial
Al igual que el par trenzado, el cable coaxial también transmite los datos en forma de
señales eléctricas. Proporciona un blindaje mejorado en comparación con el cable UTP, por
lo que tiene una menor relación señal/ruido y, por lo tanto, puede transportar más datos. A
menudo se utiliza para conectar un televisor a la fuente de la señal, ya sea una salida de
televisión por cable, televisión satelital o antena convencional. También se utiliza en los
NOC para conectar el sistema de terminación de módems de cable (CMTS) y para conectar
algunas interfaces de alta velocidad. (Vea la figura 2.1-2)
Figura 2.1-2 Cable coaxial
A pesar de que el cable coaxial ha mejorado las características de la transmisión de datos, el
cableado de par trenzado lo ha reemplazado en las redes de área local. Algunas de las
razones para el reemplazo son que, en comparación con el UTP, el cable coaxial es
físicamente más difícil de instalar, más costoso y menos útil para la resolución de
problemas.
Cable de fibra óptica
A diferencia del UTP y el cable coaxial, los cables de fibra óptica transmiten datos por
medio de pulsos de luz. A pesar de que no se suele utilizar en entornos domésticos o de
empresas pequeñas, el cableado de fibra óptica es ampliamente utilizado en entornos
empresariales y en grandes centros de datos.
El cable de fibra óptica está elaborado con vidrio o plástico, los cuales no conducen la
electricidad. Esto implica que son inmunes a la EMI y son adecuados para la instalación en
entornos donde la interferencia es un problema.
Además de su resistencia a la EMI, los cables de fibra óptica admiten un gran ancho de
banda, lo que los hace muy adecuados para backbones de datos de alta velocidad. Los
backbones de fibra óptica pueden encontrarse en muchas corporaciones y también son
utilizados para conectar ISP en Internet.
30
Cada circuito de fibra óptica consta en realidad de dos cables. Uno se utiliza para transmitir
datos y el otro para recibirlo.
Hay dos formas de cable de fibra óptica: multimodo y monomodo. (Vea la figura 2.1-3)
Figura 2.1-3 Cable de fibra óptica
Multimodo
De las dos formas de fibra óptica, el cable multimodo es el menos costoso y el más
ampliamente utilizado. La fuente de luz que produce los pulsos de luz generalmente es un
LED. Se denomina multimodo debido a que cuenta con múltiples rayos de luz, cada uno de
los cuales transporta datos que se transmiten por el cable simultáneamente. Cada rayo de
luz toma un camino separado a través del núcleo multimodo. Los cables de fibra óptica
multimodo generalmente son adecuados para enlaces de hasta 2000 metros. Sin embargo,
los adelantos en la tecnología aumentan continuamente esta distancia.
Monomodo
Los cables de fibra óptica monomodo se construyen de forma tal que la luz pueda seguir un
único camino a través de la fibra. La fuente de luz para los cables de fibra óptica
monomodo generalmente es un láser LED, que es significativamente más costoso e intenso
que los LED comunes. Debido a la intensidad del láser LED, se pueden obtener velocidades
de datos mayores y distancias más extensas. Las fibras monomodo pueden transmitir datos
a lo largo de aproximadamente 3000 metros y se utilizan para el cableado de backbone,
incluso para la interconexión de varios NOC. Como en el caso anterior, los adelantos en la
tecnología aumentan continuamente esta distancia.
31
Cables Plenum vs no plenum
El espacio muerto que hay en muchas construcciones entre el falso techo y el piso de arriba
se utiliza para que circule aire frío y caliente a través del edificio, las normas de incendios
indican instrucciones muy específicas sobre el tipo de cableado que se puede mandar a
través de esta zona, debido a que cualquier humo o gas en el plenum puede mezclarse con
el aire que se respira en el edificio.
El cableado de tipo plenum contiene materiales especiales en su aislamiento y en 1a clavija
del cable. Estos materiales están certificados como resistentes al fuego y producen una
mínima cantidad de humo; esto reduce los humos químicos tóxicos.
El cable plenum se puede utilizar en espacios plenum y en sitios verticales (en una pared,
por ejemplo) sin conductos. Sin embargo, el cableado plenum es más caro y menos flexible
que el PVC.
Para instalar el cable de red en la oficina sería necesario consultar las normas de la zona
sobre electricidad y fuego para la regulación y requerimientos específicos.
Los cables no plenum como el pvc es un tipo de plástico utilizado para construir el aíslante
y la clavija del cable en la mayoría de los tipos de cable coaxial.
El cable de PVC es flexible y se puede instalar fácilmente a través de la superficie de una
oficina. Sin embargo, cuando se quema, desprende gases tóxicos.
32
Objetivo 2.2
Conector RJ-11
En aspecto similar al RJ-45 pero más chico, se utiliza en la conexión de líneas telefónicas y
módems. La figura 2.2-1 muestra un ejemplo de ellos
Figura 2.2-1 Conector RJ11
Conector RJ-45
Estos conectores son muy similares a los para las líneas telefónicas, su diferencia física es su
tamaño además el RJ-45 utiliza 8 cables en vez de 4 que utiliza el cableado telefónico, y nos
permiten velocidades que van desde los 10 Mbps. hasta 1000 Mbps. según sea el cable UTP que
utilicemos y el equipo de comunicación al que nos vamos a conectar. (Vea la figura 2.2-2)
Figura 2.2-2 Conector RJ45
Conectores de Fibra óptica
Existen actualmente varios tipos de conectores para el cableado de fibra óptica a continuación
discutiremos algunos de ellos, y es importante que ustedes puedan reconocerlos por su forma
física para cuestión de examen, ya que podrían encontrarse con algunas preguntas al respecto de
estos conectores y el cableado de fibra óptica
Conectores ST
Conector con ferrule de zirconio y pulido convexo, en versiones plástico o metal. Utilizan un
método de enroscado para su conexión (Vea la figura 2.2-3)
Figura 2.2-3 Conector ST
33
Conectores SC
Conector con ferrule de zirconio y pulido angular convexo a 8 (Vea la figura 2.2-4)
Figura 2.2-4 Conector SC
Conector LC
Figura 2.2-5 Conector LC
El conector LC se asemeja a un pequeño conector SC.
Lucent Technologies ha desarrollado el conector LC para su uso en
entornos Telco.
El conector LC se ha normalizado como FOCIS 10 (conector de fibra
óptica Intermateability Standards) en EIA/TIA-604-10.
(Vea la figura 2.2-5)
Conector RS-232
El RS-232 es una interfaz que designa una norma
para el intercambio serie de datos binarios entre un
DTE (Equipo terminal de datos) y un DCE.
Figura 2.2-6 Conector RS-232 de 9
pines
El RS-232 consiste en un conector tipo DB-25 (de 25
pines), aunque es normal encontrar la versión de 9
pines (vea la figura 2.2-6), más barato e incluso más
extendido para cierto tipo de periféricos (como el
ratón serie del PC).
34
Objetivo 2.3
Topologías
En una red simple, compuesta por sólo algunas computadoras, es sencillo visualizar cómo
se conectan los diferentes componentes. A medida que las redes crecen, es más difícil
recordar la ubicación de cada componente y cómo está conectado a la red. Las redes
conectadas por cable requieren mucho cableado y varios dispositivos de red para
proporcionar conectividad a todos los hosts de la red.
Cuando se instala una red, se crea un mapa de la topología física para registrar dónde está
ubicado cada host y cómo está conectado a la red. El mapa de la topología física también
muestra dónde están los cables y las ubicaciones de los dispositivos de networking que
conectan los hosts. En estos mapas de la topología, se utilizan íconos para representar los
dispositivos físicos reales. Es muy importante mantener y actualizar los mapas de la
topología física para facilitar futuras tareas de instalación y resolución de problemas.
Además del mapa de la topología física, a veces es necesario tener también una
representación lógica de la topología de red. Un mapa de la topología lógica agrupa los
hosts según el uso que hacen de la red, independientemente de la ubicación física que
tengan. En el mapa de la topología lógica se pueden registrar los nombres de los hosts, las
direcciones, la información de los grupos y las aplicaciones.
Las figuras 2.3-1, 2.3-2 ilustran la diferencia entre los mapas de topología lógica y
física.
Figura 2.3-1 Ejemplo de una topología física
35
Figura 2.3-2 Ejemplo de una topología lógica
Topología de bus
La topología de bus tiene todos sus nodos conectados directamente a un enlace y no tiene
ninguna otra conexión entre nodos. Físicamente cada host está conectado a un cable coaxial
común (trunk o backboone) usando conectores tipo T, por lo que se pueden comunicar
directamente, aunque la ruptura del cable hace que los hosts queden desconectados.
La topología de bus permite que todos los dispositivos de la red puedan ver todas las
señales de todos los demás dispositivos, lo que puede ser ventajoso si desea que todos los
dispositivos obtengan esta información. Sin embargo, puede representar una desventaja, ya
que es común que se produzcan problemas de tráfico y colisiones, que se pueden paliar
segmentando la red en varias partes. Para evitar rebotes de una señal se debe utilizar un
terminador al final de cada punta.
La implementación más común de una topología de bus es el estándar IEEE 802.3 (vea la
figura 2.3-3).
Figura 2.3-3
36
En la tabla 2.3-1 puede ver las ventajas y desventajas de la topología de bus
Tabla 2.3-1
Ventajas
Comparado con otras topologías esta es fácil de
instalar y configurar
Requiere menos cantidad de cable que cualquier
otra topología.
No utiliza ningún equipo especializado para su
configuración o comunicación de red.
Desventajas
Habrá una interrupción en la comunicación de la
red al agregar o quitar computadoras.
Por estar todas las computadoras conectadas al
mismo cable o bus, una ruptura en el cable haría
que toda la red perdiera comunicación.
Es difícil localizar un punto de falla en redes
grandes utilizando esta topología.
Topología de anillo (Ring)
Las estaciones están unidas unas con otras formando un círculo por medio de un cable
común (vea la figura 2.3-4). El último nodo de la cadena se conecta al primero cerrando el
anillo. Las señales circulan en un sólo sentido alrededor del círculo, regenerándose en cada
nodo. Con esta metodología, cada nodo examina la información que es enviada a través del
anillo. Si la información no está dirigida al nodo que la examina, la pasa al siguiente en el
anillo. La desventaja del anillo es que si se rompe una conexión, se cae la red completa.
Uno de las desventajas que tiene esta topología es al querer agregar o quitar alguna computadora
ya que por obvias razones se tiene que interrumpir el trabajo de la red.
Figura 2.3-4
Una red de anillo comúnmente es cableada de forma de estrella, en una red token ring se utiliza
una unidad denominada MSAU (multistation access unit) que sería el equivalente a un hub o
switch de las redes ethernet generando de forma interna la circulación de los datos, así como al
colocar más de un msau los puertos ring in (RI) y ring out (RO) de cada msau deben estar
conectados a otro msau el puerto RI debe estar conectado al ultimo msau en el puerto RO y el
RO del primer msau debe estar conectado al último msau al puerto RI para de esta forma cerrar
el círculo, en la siguiente tabla podemos observar algunas de las ventajas y desventajas de las
redes de anillo.
37
En la tabla 2.3-2 puede ver las ventajas y desventajas de la topología de anillo
Tabla 2.3-2
Ventajas
Las fallas en el cableado son fáciles de localizar,
haciendo la resolución de problemas fácil en esta
topología de red
Son moderadamente fáciles de instalar
Desventajas
Al expandir o crecer la red se generan problemas
de conectividad o suspensión del servicio de la red
en todas las terminales.
Un falla en cualquier segmente del cable haría que
toda la red fuera inaccesible.
Topología de estrella (Star)
En una topología de estrella todas las computadoras y otros componentes de red están
conectados a un punto central mediante un hub o switch. Cada elemento necesita un cable
que debe ser conectado al hub o switch con lo que se crea una conexión punto a punto
entre ese elemento y el hub (vea la figura 2.3-5).
Figura 2.3-5
Aunque la topología de estrella requiere más cable que una de bus, ésta tiene una tolerancia
a fallos mayor, por ejemplo si un cable se rompe sólo dejará de funcionar el dispositivo que
esté conectado a él, también es las más fácil de expandir en el número de computadoras o
periféricos ya que en comparación con cualquiera de las otras topologías al colocar o quitar
una computadora de la red no existirá interrupción en el servicio de red.
En la actualidad esta topología es la de mayor implementación aunque hay que tomar en
consideración que por la mayor cantidad de cable que se utiliza y el uso de otros
componentes el costo de implantación es también mayor.
En la tabla 2.3-3 puede ver las ventajas y desventajas de la topología de estrella
38
Tabla 2.3-3
Ventajas
La topología de estrella es fácil de expandir sin
causar interrupción en el servicio de la red.
La falla de cable afecta únicamente a la
computadora o equipo conectado a ese cable.
Fácil de localizar las fallas, y de corregir los
problemas de comunicación.
Desventajas
Requiere más cable que cualquier otra topología de
red.
El utilizar un sólo concentrador o hub para la
comunicación de la red, permite un sólo punto de
falla en toda la red, ya que si el concentrador o
switch falla toda la red quedaría sin servicio.
Es una topología difícil de implementar comparada
con las anteriores.
Topología de malla ( Mesh )
En una topología de malla, cada computadora se enlaza directamente con las demás
computadoras. Las ventajas son que, como cada computadora se conecta físicamente a los
demás, se crea una conexión redundante lo que significa que si algún enlace deja de
funcionar la información puede circular a través de cualquier cantidad de enlaces hasta
llegar a destino. Además, esta topología permite que la información circule por varias rutas
a través de la red (vea la figura 2.3-6).
Figura 2.3-6
Aunque es la topología que mayor rango de tolerancia ofrece, su desventaja física principal
es que sólo funciona con una pequeña cantidad de computadoras, ya que de lo contrario la
cantidad de medios necesarios para los enlaces, y la cantidad de conexiones con los enlaces
se torna abrumadora veamos:
Para cada n computadoras tendrás n*(n-1) / 2 conexiones, por ejemplo en el gráfico de la
topología de malla se tienen 5 computadoras por lo que se tendrán 5*(5-1) / 2 =10
conexiones.
Como se puede comprender a mayor cantidad de computadoras se tengan, el número de
conexiones crece considerablemente por lo que la localización de puntos de falla es muy
difícil, además de que es la que mayor cantidad de cable requiere y es una de la una de las
más caras de implementar por la cantidad de conexiones.
39
En la tabla 2.3-4 puede ver las ventajas y desventajas de la topología de malla.
Tabla 2.3-4
Ventajas
Provee redundancia entre equipos conectados
y tolerancia a fallos.
La red puede ser expandida sin interrupción
en los servicios de red.
Desventajas
Requiere más cable que cualquier otra
topología de red.
La implementación es muy complicada.
Topología punto-a-punto
La topología punto-a-punto (point-to-point o PTP) conecta dos nodos directamente. Por
ejemplo, dos computadoras comunicándose por módems, una terminal conectándose con
una mainframe, o una estación de trabajo comunicándose a lo largo de un cable paralelo
con una impresora.
En un enlace PTP, dos dispositivos monopolizan un medio de comunicación. Debido a que
no se comparte el medio, no se necesita un mecanismo para identificar las computadoras, y
por lo tanto, no hay necesidad de direccionamiento.
Topología híbrida
En una topología híbrida, se combinan dos o más topologías para formar un diseño de red
completo. Raras veces, se diseñan las redes utilizando un solo tipo de topología. Por
ejemplo, es posible que desee combinar una topología en estrella con una topología de bus
para beneficiarse de las ventajas de ambas (vea la figura 2.3-7).
Importante: En una topología híbrida, si un solo equipo falla, no afecta al resto de la red.
Figura 2.3-7 topología híbrida
Normalmente, se utilizan dos tipos de topología híbridas: topología en estrella-bus y
topología en estrella-anillo.
40
En estrella-bus: En una topología en estrella-bus, varias redes de topología en estrella están
conectadas a una conexión en bus. Cuando una configuración en estrella está llena,
podemos añadir una segunda en estrella y utilizar una conexión en bus para conectar las dos
topologías en estrella.
En una topología en estrella-bus, si un equipo falla, no afectará al resto de la red. Sin
embargo, si falla el componente central, o concentrador, que une todos los equipos en
estrella, todos los equipos adjuntos al componente fallarán y serán incapaces de
comunicarse.
En estrella-anillo: En la topología estrella-anillo, los equipos están conectados a un
componente central al igual que en una red en estrella. Sin embargo, estos componentes
están enlazados para formar una red en anillo.
Al igual que la topología en estrella-bus, si un equipo falla, no afecta al resto de la red.
Utilizando el paso de testigo, cada equipo de la topología en estrella-anillo tiene las mismas
oportunidades de comunicación. Esto permite un mayor tráfico de red entre segmentos que
en una topología en estrella-bus.
Topologías punto a multipunto
En caso que la cantidad de colisiones sean las suficientes para afectar el normal desempeño
de la red, se debe pasar a una topología de concentración de las comunicaciones ubicando
en el centro un dispositivo con la inteligencia y capacidad de administrar estas
comunicaciones adecuadamente y restringiendo las colisiones a un conjunto de dispositivos
determinado (llamado dominio de colisión). Estos dispositivos deben entonces conmutar las
comunicaciones y/o encaminarlas convenientemente entre un punto central y varios
(Multipuntos), estas operaciones son realizadas por switches (para la conmutación) si es
una sola red LAN o se utilizan routers (para el encaminamiento) si hay que conectar varias
redes LAN entre sí.
41
Objetivo 2.4
El cableado es una parte integral de la construcción de cualquier red. Cuando se instala el
cableado es importante seguir los estándares de cableado, que fueron desarrollados para
garantizar que las redes de datos funcionen de acuerdo con niveles acordados de
rendimiento.
Los estándares de cableado son un conjunto de especificaciones para la instalación y
evaluación de los cables. Los estándares especifican los tipos de cables que deben utilizarse
en entornos específicos, materiales conductores, diagrama de pines, tamaños de cable,
blindaje, longitudes de cables, tipos de conectores y límites de rendimiento.
Existen muchas organizaciones diferentes que participan en la creación de estándares de
cableado. Si bien algunas de estas organizaciones tienen jurisdicción local únicamente,
muchas ofrecen estándares que se adoptan en todo el mundo.
En la figura 2.4-1 se muestran algunas de estas organizaciones y las áreas que administran.
Figura 2.4-1 Organizaciones que determinan los estándares de cableado
Normas 58A y 58B
El cable de par trenzado es el más utilizado en las instalaciones de redes. La organización
TIA/EIA define dos patrones o esquemas de cableado diferentes, llamados T568A y
T568B. Cada esquema de cableado define el diagrama de pines o el orden de las
conexiones de cable, en el extremo del cable.
Ambos esquemas son similares, excepto en que el orden de terminación de dos de los
cuatro pares está invertido.
42
Este la figura 2.4-2 muestra la codificación de
color y la forma en que se invierten los dos
pares.
Figura 2.4-2 T568A y T568B
En una instalación de red se debe seleccionar
y seguir uno de los dos esquemas de cableado
(T568A o T568B). Es importante utilizar el
mismo esquema de cableado para todas las
terminaciones del proyecto. Si trabaja sobre
una red existente, utilice el esquema de
cableado ya empleado.
Al utilizar los estándares de cableado T568A y
T568B, se pueden crear dos tipos de cables: un cable directo y un cable cruzado. Estos
dos tipos de cables pueden encontrarse en las instalaciones de datos.
Cables directos
El cable directo es el tipo de cable más común. Asigna un cable a los mismos pines en
ambos extremos del cable. Es decir: si se usa T568A en un extremo del cable, también se
usa T568A en el otro extremo. Si se usa T568B en un extremo del cable, se usa T568B en
el otro. Esto significa que el orden de las conexiones (el diagrama de pines) de cada color
es exactamente el mismo en ambos extremos.
El tipo de cable directo (T568A o T568B) utilizado en la red define el esquema de cableado
de ésta.
Cable cruzado
El cable cruzado utiliza ambos esquemas de cableado. T568A en un extremo del cable y
T568B en el otro extremo del mismo cable. Esto implica que el orden de las conexiones en
un extremo del cable no coincide con el orden de las conexiones en el otro.
Los cables directos y cruzados tienen usos específicos en la red. El tipo de cable necesario
para conectar dos dispositivos depende de qué pares de cables utilice el dispositivo para
transmitir y recibir datos.
Se asocian pines específicos en el conector a una función de transmisión y a una función de
recepción. El dispositivo determinará cuál será el pin de transmisión y cuál el de recepción.
Dos dispositivos conectados directamente y que utilizan pines diferentes para transmitir y
recibir se denominan dispositivos disímiles. Requieren un cable directo para intercambiar
datos. Los dispositivos conectados directamente y que utilizan los mismos pines para
transmitir y recibir se conocen como dispositivos similares. Éstos requieren un cable
cruzado para intercambiar datos
43
Dispositivos disímiles
Los pines del conector de datos RJ-45 de una PC utilizan los pines 1 y 2 para la
transmisión, y 3 y 6 para la recepción. Los pines en el conector de datos de un switch
utilizan los pines 1 y 2 para la recepción, y los pines 3 y 6 para la transmisión. Los pines
utilizados para la transmisión en la PC corresponden a los utilizados para la recepción en el
switch. Por lo tanto, se requiere un cable directo.
El cable conectado al pin 1 (pin de transmisión) de la PC en un extremo del cable está
conectado al pin 1 (pin de recepción) en el switch, en el otro extremo del cable.
Éstos son algunos ejemplos de dispositivos disímiles que requieren un cable directo:
Puerto de switch a puerto de router
Puerto de hub a PC.
Dispositivos similares
Si una PC está conectada directamente a otra PC, los pines 1 y 2 en ambos dispositivos son
pines de transmisión, y los pines 3 y 6 son de recepción.
Un cable cruzado asegura que el cable verde conectado a los pines 1 y 2 (pines de
transmisión) en una PC se conecte a los pines 3 y 6 (pines de recepción) en la otra PC.
Si se utilizara un cable directo, el cable conectado al pin 1, el pin de transmisión, en la PC1
estaría conectado al pin 1, el pin de transmisión, en la PC2. No es posible recibir datos en
un pin de transmisión.
Éstos son otros ejemplos de dispositivos similares que requieren un cable cruzado:
Puerto de switch a puerto de switch
Puerto de switch a puerto de hub
Puerto de hub a puerto de hub
Puerto de router a puerto de router
PC a puerto de router
PC a PC
Si se utiliza el tipo de cable incorrecto, no funcionará la conexión entre los dispositivos.
Algunos dispositivos detectan automáticamente qué pines se utilizan para transmitir y
recibir, y ajustan sus conexiones internas respectivamente.
Roll over
El cable rollover se trata de un cable transpuesto, es decir, el pin 1 de un extremo está
conectado al pin 8 del otro; el pin 2 al pin 7 o lo que es lo mismo, cada pin de un conector
con su opuesto en el otro. Se puede utilizar cualquiera de los estándares utilizados
anteriormente. (568-A y 568-B).
44
Objetivo 2.5
Packet switching
Paradigma de comunicaciones mediante el cual cada paquete de un mensaje recorre una
ruta entre sistemas anfitriones (hosts), sin que esa ruta (path) este previamente definida.
Su contenido puede ir desde un texto corto a un voluminoso conjunto de textos, gráficos
estáticos o en movimiento, sonido, etc.
Circuit switching network
Red de conmutación de circuitos Tipo de red de área amplia (WAN) ejemplificada por el
sistema telefónico mundial, en la cual las estaciones originaria y receptora están vinculadas
por un simple circuito físico creado por complejos mecanismos de conmutación.
ISDN
El ISDN le permite a su línea de teléfono transmitir voz, datos e imágenes simultáneamente
es una alternativa para las conexiones WAN por medio de módems lentos pero tiene un alto
precio.
Para tener este servicio se necesita de una línea telefónica especial la cual puede ser
contratada con su distribuidor local.
ISDN tiene dos interfaces estándar – Basic Rate Interface (BRI) y Primary Rate
Interface (PRI).
BRI Utiliza 3 canales, 2 de ellos conocidos como (B) de 64kbps cada uno y un delta (D) de
16Kbps.
Los canales B pueden transmitir voz o datos y el canal D es usado para señalización.
Los 2 canales B pueden usarse por separado o combinarse para transmitir a una velocidad
de 128Kbps
PRI Es una forma de ISDN que generalmente trabaja sobre una línea T1 y puede
proporcionar una velocidad de transmisión de 1.544 Mbps.
PRI está compuesta por 23 canales B y un canal D.
Tabla 2.5-1 Comparación entre BRI y PRI
Características
Velocidad
Canales
Portador de transmisión
PRI
1.544Mbps
23B+D
T1
BRI
128 Kbps
2B+D
PSTN
45
T-carrier lines
T- carrier líneas son unas líneas que pueden ser contratadas con su compañía telefónica
soportan la transmisión de voz y datos.
Existen 4 tipos de líneas T:
T1. Estas líneas ofrecen una transmisión de 1.544Mbps y son usadas comúnmente para la
conexión de LANs.
T2 ofrecen una velocidad de 6.312Mbps utilizando 96 canales B
T3 ofrecen una velocidad de hasta 44.736Mbps utilizando 672 canales B
T4 ofrecen una transmisión de hasta 274.176Mbps usando 4032 Kbps canales B
FDDI (Distributed Data Interface)
La red FDDI (Interfaz de Datos sobre Fibra Distribuida) es una red en anillo dual con
velocidad de transmisión de 100 Mbps sobre fibra óptica. La especificación FDDI es un
estándar ANSI.
FDDI es capaz de soportar un gran número de estaciones con pequeños retrasos. FDDI
puede conectar hasta 500 nodos y la longitud máxima de las fibras es 200 Km. La distancia
entre nodos sucesivos no puede sobrepasar los 2 Km.
SONET
La red óptica sincronía (SONET, Synchronous Optical Network originalmente propuesto
por Bellcore (Bell comunication research), normalizada por ANSI; define un estándar para
señales ópticas, una estructura de trama para el multiplexado de trafico digital y un tráfico
de operaciones.
SONET se ideo para proporcionar una especificación que aproveche las ventajas que
proporciona la transmisión digital de alta velocidad a través de fibra óptica.
SONET es una tecnología de la capa física diseñada para proporcionar una transmisión
universal y los multiplexores forman planos, con proporciones en la transmisión del
Gigabyt por segundo, funcionamiento sofisticado y sistemas de dirección. Esta tecnología
es regularizada por las normas nacionales americanas instituya (ANSI) T1 comité.
Una tecnología parecida es el SDH, es regularizada por la unión de las telecomunicaciones
internacionales (ITU) y es muy similar a SONET sólo que su jerarquía del multiplexado es
una jerarquía de SONET.
En la tabla 2.5-2 se muestra un resumen de las velocidades de transmisión de SONET a
través de unos canales de transmisión conocidos como OC (optical carriers)
46
Tabla 2.5-2 Velocidades OC-x
Portadora óptica
Velocidad binaria (Mbps)
OC-1
51,84
OC-3
155,52
OC-12
622,08
OC-24
1244,16
OC-48
2488,32
OC-192
9953,28
X.25
X.25 es la especificación para redes públicas de conmutación de paquetes que trabajan
sobre SVC’s Switched Virtual Circuits (Circuitos Virtuales Conmutados).
X.25 propiamente dicho corresponde a la capa 3 y se la denomina PLP (Packet Layer
Protocol).
La norma X.25 y sus protocolos de soporte definen sólo la comunicación entre estos 2
dispositivos, no interesa cómo es la red en su interior. La red puede ser Frame Relay, ATM,
TCP/IP u otra.
X.25 utiliza packet switching lo que significa que utiliza diferentes rutas para obtener la
mejor conexión entre el componente que envía y el que recibe.
MPLS
Es un mecanismo de transporte de datos estándar creado por la IETF y definido en el RFC 3031.
Opera entre la capa de enlace de datos y la capa de red del modelo OSI. Fue diseñado para
unificar el servicio de transporte de datos para las redes basadas en circuitos y las basadas en
paquetes. Puede ser utilizado para transportar diferentes tipos de tráfico, incluyendo tráfico de
voz y de paquetes IP.
xDSL
DSL sigla de Digital Subscriber Line (Línea de abonado digital) es un término utilizado para
referirse de forma global a todas las tecnologías que proveen una conexión digital sobre línea de
abonado de la red telefónica local: ADSL, ADSL2, ADSL2+ SDSL, IDSL, HDSL, SHDSL,
VDSL y VDSL2.
Tienen en común que utilizan el par trenzado de hilos de cobre convencionales de las líneas
telefónicas para la transmisión de datos a gran velocidad, su rango es de 5.5 km sin necesidad
de utilizar un repetidor.
47
La diferencia entre ADSL y otras DSL es que la velocidad de bajada y la de subida no son
simétricas, es decir que normalmente permiten una mayor velocidad de bajada que de subida.
Broad Band Cable.
Usado por el común de las personas (megared por ejemplo utiliza esta tecnología) y muchas
empresas, proporciona acceso a internet mediante el uso de un cable coaxial y un modem, las
compañías que venden este servicio ofrecen velocidades de 256, 512, 1024, 2028 Mbps.
POST
POTS es el acrónimo de Plain Old Telephone Service (viejo servicio telefónico, conocido
también como Servicio Telefónico Tradicional), que se refiere a la manera en cómo se ofrece el
servicio telefónico analógico (o convencional) por medio de hilos de cobre. En castellano, se
denomina RTB.
Este servicio es conocido como viejo o tradicional debido a que es el usado desde la invención
del teléfono, ya que en las últimas décadas la introducción de medios electrónicos y
computacionales ha supuesto la creación de la telefonía digital.
Satellite
La tecnología satelital permite tener acceso a internet, mediante un modem satelital se envían
señales desde una pc a un satélite, las velocidades de descarga son de 1.5 Mbps y 128 Kbps de
subida. Esta tecnología resulta muy útil por ejemplo en zonas rurales sonde no se cuenta con
tecnología DSL o cableado convencional.
Wireless
La comunicación inalámbrica o wireless es el tipo de comunicación en la que no se utiliza un
medio de propagación físico, sino se utiliza la modulación de ondas electromagnéticas, las
cuales se propagan por el espacio sin un medio físico que comunique cada uno de los extremos
de la transmisión.
En general, la tecnología inalámbrica utiliza ondas de radiofrecuencia de baja potencia y una
banda específica, de uso libre para transmitir, entre dispositivos.
Estas condiciones de libertad de utilización, sin necesidad de licencia, han propiciado que el
número de equipos, especialmente computadoras, que utilizan las ondas para conectarse, a
través de redes inalámbricas haya crecido notablemente.
Para tener conexión se utilizan access point que normalmente vienen con antena omni 2 Dbi,
muchas veces desmontables, en las cuales se puede hacer enlaces por encima de los 50 metros.
48
Objetivo 2.6
Estándar IEEE 802.3
El estándar 802.3 define los rangos de los sistemas de redes en la actualidad, y están basados en
la velocidad, topología física, y consideraciones de implementación que se deben seguir para la
instalación de una red.
10baseT
El estándar 10baseT nos permite una velocidad máxima de 10Mbps. Utiliza cable de par
trenzado para realizar la conexión, y la máxima distancia por segmento es de 100 metros, las
redes 10BaseT utilizan una topología de estrella realizando una conexión punto a punto entre el
equipo o periférico al hub o switch, las redes 10BaseT pueden utilizar distintos tipos de
categoría de cable par trenzado incluyendo categorías 3,4 y 5.
10 BaseFL
El comité de IEEE publicó una especificación para Ethernet en cable de fibra óptica El
resultado, 10 BaseFL (10 Mbps, banda base sobre cable de fibra óptica) es una red Ethernet
que suele utilizar cable de fibra óptica para conectar los equipos y los repetidores.
La principal razón para utilizar 10BaseFL es para trabajar con cables largos entre
repetidores, como puede ser entre edificios.
Algunas de sus características son:
Longitud máxima del segmento: 2.000 metros.
Atenuación máxima: 3,75 dB/km para las transmisiones con una longitud de onda de 850
nm; 1,5 dB/km para transmisiones en 1300 nm
Número máximo de concentradores (hub) encadenados: 4
La Regla 5-4 para las redes de cableado UTP
Igual que en las implementaciones de cable coaxial, existen reglas a seguir para implementar
una red de cableado utp o par trenzado, la cual se maneja de la siguiente manera, un total de 5
segmentos se pueden utilizar utilizando un máximo de 4 repetidores, con la diferencia que los 5
segmentos pueden tener población o periféricos conectados.
Fast Ethernet
Actualmente es una de las redes más utilizadas para empresas y hogares, ya que su
implementación ha bajado en cuanto a costo y facilidad de instalación. Ya que hoy en día
muchas de las aplicaciones que utilizamos requieren de un gran ancho de banda para transmitir
sus datos, podremos encontrar en casi cualquier empresa implementaciones de redes con el
estándar de fast ethernet, el cual es una variación del estándar IEEE 802.3 y se conoce como
802.3U y que tiene las siguientes variaciones.
49



100 BaseTX
100 BaseT4
100 BaseFX
100BaseTX
Esta es la implementación más utilizada en las redes actualmente, utiliza dos pares de cable de
categoría 5 de par trenzado y puede ser utilizado el cableado de par trenzado STP cuando se
requiere mayor protección a interferencias EMI, y se pueden obtener velocidades de hasta 100
Mbps y una longitud máxima por segmento de 100 metros.
100BaseT4
La ventaja de utilizar este estándar es para poder aprovechar el cableado ya instalado para
poder realizar conexiones a velocidades de 100 Mbps utilizando cableado de categorías como
serian 3 o 4, esta implementación utiliza los 4 pares de cables de las categorías 3,4 o 5 y
previene la transmisión de datos en modo full duplex o modo completo.
100BaseFx
El estándar IEEE 100BaseFX especifica una velocidad de 100Mbps sobre cable de fibra óptica,
este estándar puede utilizar ambos modos en la fibra óptica, modo sencillo o multimodo, y
tiene una distancia máxima del segmento de 412 metros cuando se utiliza cable de fibra
multimodo, y 10,000 metros cuando se utiliza cable de fibra de modo sencillo, en la tabla 2.6-1
podremos ver un resumen de los estándares de 100Mbps así como sus características
resumidas, es importante que recuerden las características de la tabla para cuestión de examen
ya que casi seguro podrán encontrarse con algunas preguntas referentes a ella.
Tabla 2.6-1 Comparación de Redes de 100 Mbps.
Estándar
Tipo del Cable
100BaseTX
100BaseT4
100BaseFX
Categoría 5 UTP
Categoría 2, 4, 5
UTP
Multimodo
Modo sencillo
Fibra óptica
Longitud
Segmento
100 metros
100 metros
412 metros
10,000 metros
del
Conectores
Topología
RJ-45
RJ-45
Física de estrella
Física de estrella
SC, ST, MIC
Física de estrella
Gigabit Ethernet
Este es uno de los estándares que nos ofrece una mayor velocidad de transferencia de datos a 1
Gbps o 1000 Mbps. Y existen dos estándares utilizados para la transferencia de gigabit ethernet
que son sobre cableado de fibra óptica y sobre cableado de cobre o par trenzado, obviamente el
estándar de fibra óptica es uno de los más utilizados hoy en día, aunque no hay que
menospreciar el que utiliza el cableado de par trenzado ya que su uso cada día es más habitual
en empresas donde requieren transferir gran número de archivos a una velocidad alta. Las dos
especificaciones que menciona el estándar de gigabit son 802.3Z y 802.3AB.
50
802.3Z
El estándar más ampliamente utilizado en tecnología gigabit en la actualidad es el IEEE 802.3z
sobre fibra óptica (f.o.) multimodo, 1000baseSX. Esta norma proporciona una velocidad de 1
Gbps con conexiones de hasta 550 m, solucionando el 90% de las demandas de gran ancho de
banda de las redes actuales.
Para redes Gigabit con necesidades de distancia superiores el IEEE 802.3z impone la norma
1000baseLX en f.o. multimodo (hasta 550 m) y modo sencillo (monomodo) (hasta 5 Km.).
Si deseamos usar conexiones a 1 Gbps sobre cables de cobre y equilibrados que enlacen salas
de equipos disponemos de la norma 1000baseCX, para distancias de hasta 25 m.
802.3AB
El cableado de categoría 5 es en estos momentos es el estándar predominante para LANs y se
emplea de forma abrumadora frente a otros tipos de cable tales como la fibra óptica, coaxial
delgado y categoría 6. Para poder reutilizar el cableado existente en las redes y alcanzar 1
Gbps, la IEEE impuso el estándar 802.3ab, con transceptores 1000baseT, para cableado de par
trenzado sin apantallar o sin protección, utilizando 4 pares y categoría 5, a una distancia
máxima de 100 metros. En la siguiente tabla veremos las principales de características de las
redes a 1000Mbps.
Tabla 2.6-2 Comparación de redes 1000 Mbps.
Estándar
Tipo del Cable
1000BaseLX
1000BaseSX
1000BaseCX
Multimodo
Modo Sencillo
Fibra óptica
Multimodo
Fibra óptica
STP par trenzado
Longitud
Segmento
550 Metros
5000 Metros
del
550 Metros usando
50
Micrón
multimodo
fibra
óptica
25 Metros
Conectores
Conectores de Fibra
Conectores de Fibra
Conector de 9 Pines con escudo, conector de
fibra de 8 pines tipo 2
10GBase-SR
Interfaz de nivel físico de 10 Gigabit Ethernet para redes de área local. Se trata de una
interfaz LAN serial 850-nm para fibra multimodo capaz de alcanzar una distancia de
transmisión máxima de 65 metros
10GBase-LR
Interfaz de nivel físico (PHY) de 10 Gigabit Ethernet para conexiones de área local. Se trata
de una interfaz LAN serial 1.310 nm para fibra monomodo capaz de alcanzar una distancia
de transmisión máxima de 10 kilómetros.
10GBase-ER
Interfaz de nivel físico (PHY) de 10 Gigabit Ethernet para conexiones de área local. Se trata
de una interfaz LAN serial 1.550 nm para fibra monomodo capaz de alcanzar una distancia
de transmisión máxima de 40 kilómetros.
51
Objetivo 2.7
Modelos de Redes.
Básicamente hay dos modelos de redes a escoger el denominado punto a punto (peer to
peer) y el cliente servidor (Client /Server).
El modelo a utilizar para el diseño de la red es determinado por varios factores, incluyendo
en cómo se va a utilizar la red, cuantos usuarios va a tener y algunas otras consideraciones.
Redes Punto a Punto (peer to peer)
Una red punto a punto es un modelo de red el cual ofrece un almacenamiento no centralizado de
los recursos que se encuentran en la red, cada uno de los periféricos conectados a esta LAN
ofrecen sus recursos de manera propia y controlan el acceso a los servicios que están ofreciendo
o compartiendo de forma independiente en toda la red, y no contienen un almacén centralizado
para la autentificación de los usuarios, cada equipo que comparte un recurso debe contar con su
propia base de datos de usuarios autorizados para utilizar dicho recurso, este modelo de red es de
fácil implementación en comparación con el modelo de red de cliente / servidor pero no
funciona de forma adecuada para redes grandes o con un gran número de usuarios o equipos, ya
que cuando una red de punto a punto crece se va volviendo mas y mas complicado el navegar
entre los distintos recursos que comparten los equipos que se encuentran en la red, así como
también se va volviendo sumamente complicada la administración de cuentas de usuarios y la
seguridad de la red se va viendo comprometida.
Típicamente este tipo de redes se encuentran en pequeñas empresas o casas donde están
limitados a un pequeño número de computadoras que están dentro de la red y que sólo
comparten unos cuantos recursos o directorios en la red, una regla general para instalar una de
estas redes, es no utilizar más de 10 computadoras conectadas a una red de punto a punto. Ya
que complicaría su administración y localización de recursos en la red.
Redes Cliente / Servidor (Client / Server Network)
Las redes cliente / servidor sin lugar a duda es una de las mas implementadas en la actualidad y
es una de las que podrás encontrar con mayor frecuencia al entrar a un mercado laboral, aun
cuando este modelo de redes tiende a ser más caro que un modelo de punto a punto, sus ventajas
han hecho que las empresas migren a este modelo al permitirles una mejor manera de controlar
los recursos que comparten así como también el mantener un mejor nivel de seguridad, y un
aprovechamiento óptimo de los recursos de la empresa, ya que los usuarios pierden poco tiempo
al buscar dentro de la red algún recurso compartido, como podría ser una impresora, un
directorio, un correo electrónico, etc. este modelo requiere para su implementación de personal
con cierto nivel de conocimiento en la implementación de redes cliente / servidor, así como de
un servidor dedicado, y software especializado, pero nos provee de un nivel fácil de
administración en cuanto a la seguridad de usuarios, recursos, y búsqueda de información dentro
de este modelo de red. Por eso es el modelo a escoger para trabajar en un ambiente empresarial.
52
El rol de una computadora cliente en un ambiente de este modelo se limita a solicitar la
información al servidor y presentársela al usuario en la computadora cliente. Todas las cuentas
de usuarios, así como la localización de los recursos se encuentran de forma centralizada en el
servidor, y se pueden llegar a mezclar múltiples servidores para realizar distintas tareas. Una
comparación entre los dos modelos se presenta en la siguiente tabla.
Tabla 2.7-1 Comparación de modelos de red
Característica
Tamaño
Red Punto a Punto
Restringido a un máximo de 10 computadoras
Administración
Cada equipo dentro de la red controla o maneja la administración
de sus usuarios así como de los recursos que se comparten, no se
requiere de un administrador dedicado.
Seguridad
Cada equipo y usuario es responsable por la seguridad de los
recursos y archivos que están compartiendo dentro de la red.
Costo
Costo mínimo para su implementación y puesta en funcionamiento
Implementación
Fácil de configurar y ponerla a funcionar
Red Cliente / Servidor
El tamaño de la red está únicamente
limitado por el tamaño del servidor y el
hardware de comunicaciones que se está
utilizando, por esta razón se pueden tener
miles de equipos conectados a esta red.
Un
administrador
dedicado
con
conocimiento en redes cliente / servidor
es requerido para el manejo y
mantenimiento de la red.
La seguridad es manejada de forma
centralizada pero se requiere de un
administrador con conocimientos para
una correcta implementación.
Requiere de equipo dedicado y hardware
especializado y la administración
aumenta el costo de la red.
Requiere de un procedimiento complejo
para su implementación, así como
personal calificado para su correcta
configuración.
VPN
Figura 2.7-1
Al utilizar una VPN,
se crea un túnel
virtual mediante un
enlace
entre
las
direcciones de origen
y destino. Todo el
flujo de datos entre el
origen y el destino
está encriptado y
encapsulado con un
protocolo seguro. Este
paquete seguro se
transmite a través de
la red. Cuando llega al
extremo receptor, se
desencapsula
y
desencripta (vea la figura 2.7-1).
VPN
Las VPN son aplicaciones cliente/servidor, de manera que los empleados a distancia deben
instalar el cliente de la VPN en sus computadoras para establecer una conexión segura con
la red de la empresa (vea la figura 2.7-2).
53
Una vez que los
trabajadores
a
distancia
están
conectados a la red de
la empresa a través de
una VPN, pasan a ser
parte de la red y
tienen acceso a todos
los servicios y los
recursos que tendrían
disponibles
si
se
encontraran
físicamente
conectados a la LAN.
Figura 2.7-2 VPN
VLAN
Los hosts y los servidores conectados a switches de Capa 2 son parte del mismo segmento
de la red. Esta disposición presenta dos problemas considerables:
Los switches inundan todos los puertos con las transmisiones de broadcast, lo que consume
ancho de banda innecesario. A medida que aumenta la cantidad de dispositivos conectados
a un switch, se genera más tráfico de broadcast y se desperdicia más ancho de banda.
Todos los dispositivos conectados a un switch pueden enviar y recibir tramas de todos los
demás dispositivos del mismo switch.
Una de las mejores prácticas de diseño de red establece que el tráfico de broadcast debe
quedar restringido al área de la red en la que resulta necesario. También existen razones
comerciales por las cuales ciertos hosts se comunican entre ellos, pero otros no. Por
ejemplo, es posible que los miembros del departamento de contabilidad sean los únicos
usuarios que necesiten acceso al servidor de contabilidad. En una red conmutada, redes de
área local virtuales (VLAN) se crean de modo que contengan broadcast y agrupen a los
hosts en comunidades de interés.
Una VLAN es un dominio lógico de broadcast que puede abarcar diversos segmentos de
una LAN física. Esto le permite a un administrador agrupar estaciones por función lógica,
por equipos de trabajo o por aplicaciones, independientemente de la ubicación física de los
usuarios.
54
La siguiente figura 2.7-3 muestra el funcionamiento de la VLAN.
Figura 2.7-3 VLAN
La diferencia entre una red física y una red virtual o lógica puede ilustrarse mediante el
siguiente ejemplo:
Los estudiantes de una escuela se dividen en dos grupos. Los estudiantes del primer grupo
se identifican con tarjetas rojas. Los del segundo grupo se identifican con tarjetas azules. El
director anuncia que los estudiantes con tarjetas rojas sólo pueden hablar con los
compañeros que también tengan tarjetas rojas, y que los estudiantes con tarjetas azules sólo
pueden hablar con sus compañeros poseedores de tarjetas azules. Ahora los estudiantes
están separados lógicamente en dos grupos virtuales, o VLAN.
Según esta agrupación lógica, un broadcast se transmite sólo al grupo con tarjetas rojas,
aunque ambos grupos están ubicados físicamente en la misma escuela.
Este ejemplo también ilustra otra función de las VLAN. Los broadcasts no se envían entre
distintas VLAN, están restringidos a la misma VLAN.
Cada VLAN funciona como una LAN individual. Una VLAN abarca uno o más switches,
lo que permite que los dispositivos host funcionen como si estuvieran en el mismo
segmento de la red.
Una VLAN tiene dos funciones principales:
Contiene broadcasts.
Agrupa dispositivos. Los dispositivos ubicados en una VLAN no son visibles para los
dispositivos ubicados en otra VLAN.
55
Es necesario que el tráfico cuente con un dispositivo de Capa 3 para poder transmitirlo
entre VLAN.
En una red conmutada, un dispositivo puede asignarse a una VLAN según su ubicación, su
dirección MAC, su dirección IP o las aplicaciones que utiliza con más frecuencia. Los
administradores pueden asignar la membresía a una VLAN de forma estática o dinámica.
La membresía estática a una VLAN requiere que el administrador asigne de forma manual
cada puerto a una VLAN específica. Por ejemplo, el puerto fa0/3 puede asignarse a la
VLAN 20. Cualquier dispositivo que se conecte al puerto fa0/3 es miembro de la VLAN 20
de forma automática.
Este tipo de membresía a una VLAN es el más fácil de configurar y también es el más
difundido; sin embargo, requiere un mayor grado de apoyo administrativo en caso de
adiciones, traslados y cambios. Por ejemplo, el traslado de un host de la VLAN a otra
requiere reconfigurar manualmente el puerto del switch para asignarlo a la nueva VLAN o
conectar el cable de la estación de trabajo a otro puerto del switch de la nueva VLAN.
La membresía a una VLAN determinada es totalmente transparente para los usuarios. Los
usuarios que trabajen en un dispositivo conectado a un puerto del switch no tienen forma de
saber que son miembros de una VLAN.
56
Objetivo 2.8
Terminación de un cable UTP
Los cables UTP y STP generalmente se terminan con un conector RJ-45.
El conector RJ-45 se considera un componente macho, engarzado en el extremo del cable.
En la vista frontal de un conector macho con los contactos metálicos hacia arriba, las
ubicaciones de los pines se enumeran desde el 8, a la izquierda, hasta el 1, a la derecha.
El jack es considerado el componente hembra y se ubica en los dispositivos de red,
tomacorrientes o paneles de conexión. El conector RJ-45 del cable se enchufa en el jack.
Se pueden comprar cables que ya incluyen los conectores RJ-45 en los extremos. También
se puede realizar la terminación manualmente, en el lugar, utilizando una tenaza
engarzadora. Al terminar manualmente un cable UTP con un conector RJ-45, destrence
solamente una pequeña porción de cable para minimizar el crosstalk. También asegúrese de
que los cables queden completamente introducidos en el extremo del conector y de que el
conector RJ-45 esté engarzado en la funda del cable. Esto asegura un buen contacto
eléctrico y proporciona solidez a la conexión del cable.
Terminación de cables UTP en paneles de conexión y jacks de pared
En un NOC, los dispositivos de
red generalmente están
conectados a paneles de
conexión. Éstos actúan como
conmutadores que conectan los
cables de las estaciones de trabajo
a otros dispositivos. La
utilización de paneles de
conexión permite reorganizar
rápidamente el cableado físico de
la red a medida que se añade o se
reemplaza el equipamiento. Estos
paneles de conexión utilizan jacks
RJ-45 para una conexión rápida
en el frente, pero requieren que
estos cables estén perforados en
el lado reverso del jack RJ-45.
(Vea la figura 2.8-1)
Figura 2.8-1 Panel de conexión
Los paneles de conexión ya no están confinados a las instalaciones de redes empresariales.
Pueden encontrarse en empresas pequeñas e incluso en hogares, donde actúan como punto
central de conexión para los sistemas de datos, teléfono y también de audio.
57
Figura 2.8-2 Jacks
El jack RJ-45 tiene ocho conductores y
tiene un cableado acorde a T568A o
T568B (vea la figura 2.8-2). En el panel
de conexión, se requiere un dispositivo
conocido
como
herramienta
de
perforación para insertar los cables en el
conector. Los colores de los cables deben
coincidir
con
el
conector
de
desplazamiento del aislamiento (IDC)
adecuado antes de la perforación. La
herramienta de perforación también
recorta todo exceso de cable.
No se requiere una herramienta de
perforación para terminar la mayor parte de los jacks de pared. Para terminar estos
conectores, se destrenzan los cables y se colocan en el IDC apropiado. Al colocar la tapa en
el jack, se empujan los cables en el IDC y se corta el aislamiento de los cables. Luego, gran
parte de estos conectores requiere que el instalador recorte manualmente cualquier exceso
de cable.
En todos los casos, si se destrenza más cable del necesario puede aumentar la cantidad de
crosstalk y degradarse el rendimiento general de la red.
Cuando se realiza la terminación de un cable nuevo o reparado, es importante verificar que
el cable funcione correctamente y cumpla con los estándares de conectividad. Esto puede
realizarse por medio de una serie de pruebas.
La primera prueba es una inspección visual, en la que se verifica que todos los cables estén
conectados de acuerdo con el estándar T568A o B.
Pruebas del cable
Además de hacer un examen visual, realice una verificación eléctrica del cable para
determinar si hay problemas o fallas en la instalación del cableado de red. A
continuación presentamos algunas herramientas que pueden emplearse en el diagnóstico
de cables (vea las herramientas en la figura 2.8-3 en la siguiente página):



Analizadores de cables
Certificadores de cable
Multímetros
58
Figura 2.8-3 Herramientas de diagnóstico de cables
El analizador de cables se utiliza para realizar el diagnóstico inicial. La primera prueba se
denomina prueba de continuidad y verifica que exista conectividad de extremo a extremo.
También puede detectar fallas de cableado, como aberturas y cortocircuitos.
Un circuito queda abierto cuando el cable no está presionado adecuadamente en el conector
y no hay contacto eléctrico. Una abertura también puede producirse cuando hay una ruptura
en el cable.
El cortocircuito ocurre cuando los conductores de cobre se tocan entre sí. A medida que el
pulso eléctrico viaja a través del cable, se cruza al cable que está en contacto. Esto crea una
ruta no deseada en el flujo de la señal hacia su destino.
Un analizador de cables también puede crear mapas de cableado para verificar que los
cables estén correctamente terminados. Un mapa de cableado muestra qué pares de cables
se conectan a qué pines en los conectores y sockets. La prueba del mapa de cableado
verifica que los ocho cables estén conectados a los pines correctos e indica si hay fallas de
cableado, como pares divididos o inversiones.
Si se detecta alguna de estas fallas, la mejor forma de corregirla es volver a realizar la
terminación del cable.
En la siguiente figura se muestra las fallas de cables anteriormente mencionadas
Figura 2.8-4 Fallas de cableado
59
CAPITULO 3
COMPONENTES DE UNA RED
60
Objetivo 3.1
HUBS (Concentradores)
Un hub (también llamado concentrador) es un punto central para la conexión de otros
componentes. Un hub puede tener 4 puertos aunque generalmente se utilizan los de 32.
(Vea la figura 3.1-1)
La función del hub es enviar la información que recibe de uno de sus puertos a todos los
demás, pero sólo el equipo que sea el destinatario la aceptará
A medida que se incrementa el número de dispositivos conectados al hub, aumenta el
tráfico de información y las posibilidades de colisión
Figura 3.1-1 Hub y su funcionamiento.
Switches
La conmutación es una tecnología que alivia la congestión en las LAN Ethernet, reduciendo el
tráfico y aumentando el ancho de banda. Los switches, también denominados switches de
LAN, reemplazaron a los hubs y funcionan con infraestructuras de cable existentes, de manera
que su instalación puede realizarse con un mínimo de problemas en las redes existentes.
Como en el caso de los puentes o bridges, los switches conectan segmentos de la LAN, usan
una tabla de direcciones MAC para determinar el segmento en el que es necesario transmitir
un datagrama y reducen el tráfico. Los switches operan a velocidades mucho más altas que los
puentes y pueden soportar nuevas funcionalidades como por ejemplo, las LAN virtuales o
vlans.
Los switches son dispositivos de enlace de datos que, al igual que los puentes, permiten que
múltiples segmentos físicos de LAN, se interconecten para formar una sola red de mayor
tamaño. De forma similar a los puentes, los switches envían e inundan el tráfico con base a las
direcciones MAC. Dado que la conmutación se ejecuta en el hardware en lugar del software, es
significativamente más veloz.
61
Tipos de Switch
Los switches Cut-through han tenido en el pasado una ventaja de velocidad, cuando un
paquete ingresa al switch este examina únicamente la dirección de destino antes de enviarlo al
segmento de destino.
Un switch "store-and-forward", por el contrario, acepta y analiza el paquete entero antes de
enviarlo a su dirección de destino. Le toma más tiempo examinar el paquete entero, pero esto le
permite al switch determinar posibles errores o daños en los paquetes y detener su propagación
a través de la red.
Hoy, la velocidad de los switches "store-and-forward" ha alcanzado la de los switches "cutthrough" a punto tal que la diferencia entre los dos se ha vuelto mínima., también existen un
gran número de switches híbridos que mezclan arquitecturas "cut-through" y "store-andforward", tanto los switches "cut-through" como los "store-and-forward" separan una red en
dominios de colisión, permitiendo extender las reglas de diseño de redes.
FragmentFree (liberación de fragmentos): Es otro método basado en el modo "cut-through";
se trata de un compromiso que evita el reenvío de la mayor parte de los paquetes erróneos,
reduciendo al mismo tiempo la latencia en la mayoría de ellos. Con este método, se espera a
recibir los primeros 64 bytes, que es la franja de tiempo en la que ocurren las colisiones de
fragmentos, es decir, durante los primeros 51.2 ms de la recepción de los paquetes (ventana de
colisión o "collision window").
En la siguiente figura podremos ver el funcionamiento y un switch administrable.
Figura 3.2-2 Funcionamiento de un switch.
Puentes (Bridges)
La función de un bridge es conectar redes separadas uniéndolas, los bridges pueden conectar
diferentes tipos de redes (tales como Ethernet y Fast Ethernet) o redes del mismo tipo, los
bridges "mapean" las direcciones Ethernet de los nodos que residen en cada segmento de red y
luego permiten pasar a través del bridge solamente el tráfico necesario, cuando un paquete es
recibido por el bridge, el bridge determina los segmentos de origen y destino, si estos
segmentos coinciden, el paquete es descartado ("dropped" o "filtered"); si los segmentos son
distintos, entonces el paquete es transferido al segmento correcto, adicionalmente, los bridges
evitan que paquetes malos o dañados se distribuyan innecesariamente simplemente no retransmitiéndolos, los bridges son llamados dispositivos "store-and-forward" (almacena y envía)
62
porque ellos examinan el contenido del paquete ethernet completo antes de realizar las
decisiones de filtrado o envío.
Los bridges operan en la capa de enlace del modelo de referencia OSI, en el nivel de trama
MAC (Medium Access Control, Control de Acceso al Medio)
Un bridge ejecuta tres tareas básicas:
 Aprendizaje de las direcciones de nodos en cada red.
 Filtrado de las tramas destinadas a la red local.
 Envío de las tramas destinadas a la red remota.
Se distinguen dos tipos de bridge:
Locales: sirven para enlazar directamente dos redes físicamente cercanas.
Remotos o de área extensa: se conectan en parejas, enlazando dos o más redes locales,
formando una red de área extensa, a través de líneas telefónicas.
En la siguiente imagen podremos ver una figura 3.2-3 representativa de la conexión con un
bridge.
Figura 3.2-3 Puente / Bridge
Ruteadores (Routers)
Los routers trabajan de un modo similar a los switches y bridges en el sentido de que ellos
filtran el tráfico de salida de una red, estos filtran más bien por protocolos específicos que por
direcciones de paquetes, los routers nacieron como una necesidad de dividir redes lógicamente
más que físicamente, un router IP puede dividir una red en varias sub-redes de modo tal que
solamente tráfico destinado a una dirección IP particular puede pasar a través de segmentos, el
precio pagado por este tipo de inteligencia de despacho y filtrado es usualmente calculado en
términos de velocidad de la red, tal filtrado requiere más tiempo que el necesario en un switch
o un bridge, los cuales sólo miran a la dirección ethernet, pero en redes más complejas la
eficiencia de la red mejora de todas maneras, en los casos de grandes redes fuertemente
enmalladas, este determinará el mejor camino para atender una dirección considerada, en la
figura 3.2-4 podremos ver el funcionamiento de una red con routers.
63
Figura 3.2-4 Routers
Algoritmos de ruteo
El algoritmo de ruteo contiene todo o parte de los siguientes puntos:
-Optimización seleccionando la mejor ruta en todos los casos.
-Simplicidad y Robustez
-Rapidez de Convergencia: La convergencia es el acuerdo entre todos los routers para
determinar la mejor ruta
Pasarelas o Gateways
Cualquier equipo que traduzca los datos de un formato a otro se le conoce como gateway o
pasarela, algunos ejemplos de incluyen routers que traducen los datos de una red o protocolo a
otro, un bridge o puente convierte los datos entre dos sistemas de redes, y aplicaciones de
software que convierten entre dos formatos no similares o en ocasiones similares, regularmente
esta función está incorporada a otros equipos de hardware así como en algunas soluciones de
software.
NOTA: Gateways y Default Gateway (Pasarela por defecto)
No deben ustedes de confundir los conceptos de Gateway y Default Gateway, que será
discutido más adelante. El término de Default Gateway o pasarela por defecto se refiere al
equipo o router en la red que reenviara todo el tráfico de esa red hacia su destino cuando no se
encuentra en la red local o LAN.
Tarjetas de Red (NIC)
Las tarjetas de red también conocidas como Network Interface Card (NIC) son dispositivos que
nos permiten conectar nuestras computadoras a una red ya sea esta cableada o inalámbrica (vea
la figura 3.2-4).
Es importante que ustedes tomen en consideración el siguiente procedimiento para cuando
vayan a instalar una tarjeta de red o NIC a una computadora
64

Compatibilidad de su ranura de expansión, deberán verificar que la tarjeta que van a
instalar sea compatible con el sistema o computadora, aun cuando hoy en día casi todos
utilizamos la arquitectura de PCI algunos sistemas viejos podrían llegar a necesitar
tarjeta o tener ranuras ISA.

Recursos del sistema, al igual que otros dispositivos o periféricos de nuestra
computadora las tarjetas de red o NIC requieren de IRQ y una dirección de I/O si la
tarjeta de red después de instalarla no opera o funciona de forma correcta es muy
probable que tengan conflictos de direcciones IRQ o I/O

Compatibilidad del Medio, deberán verificar que tipo de medio de conexión está
utilizando la red a la que la computadora se va a interconectar, aun cuando hoy en día
es más común ver redes con cableado de par trenzado y conectores RJ45, recuerden
que existen otros tipos de cableado y conectores que ustedes podrían utilizar como son
coaxial, fibra óptica, o bien inalámbrico.
Figura 3.2-4 Tarjeta de Red o NIC
WAP’s (Wireless Access Point- Accesos inalámbricos a redes)
Este tipo de equipo conocido como Access Point o acceso a la red inalámbrica nos provee de
conectividad inalámbrica para todos nuestros equipos que tengan algún tipo de tarjeta o medio
inalámbrico para conectarse a nuestra red, estos equipos vienen en dos modelos que son
Wireless B que es el estándar para 802.11b que nos permite comunicaciones de 11 Mbps. y el
nuevo estándar que se está utilizando que es el 802.11g que nos permite conexiones de hasta
54Mbps. La figura 3.2-5 nos muestra un Access point linksys.
Figura 3.2-5 Access Point
65
Módems
El módem una abreviación de modulador / demodulador es un equipo que permite la
conversión de señales digitales generadas por una computadora o equipo digital en señales
analógicas que puedan viajar en sobre líneas telefónicas convencionales, el módem que recibe
la señal convierte la señal analógica en señal digital que pueda entender o utilizar una
computadora o equipo digital, este tipo de transmisión se ha utilizado por varios años para
conectarse a lo que actualmente se conocen como ISP (Internet Service Provider o proveedor
de Servicios de Internet ), es un excelente mecanismo para conectar nuestras computadoras a
una red ya sea internet o a la red de nuestro trabajo.
Los módems pueden venir en versiones internas que se colocan en puertos ISA, PCI o puertos
de módem y en versiones externas las cuales se colocan en puertos como los seriales (COM1,
COM2, etc.) y en puertos USB para los equipos portátiles se pueden colocar en tarjetas
PCMCIA o bien pueden venir integrados dentro de la misma computadora portátil.
La configuración para estos equipos puede variar mucho dependiendo del módem que se desee
utilizar, por ejemplo para los módems internos se requiere de asignarles un IRQ y una
dirección de memoria de I / O.
A continuación se muestra una tabla de la asignación de recursos de los puertos seriales, la cual
es importante que memoricen por que pueden encontrar algunas preguntas en su examen sobre
este tema.
Tabla 3.2-1 Recursos utilizados para los puertos Seriales
Puerto
Com1
Com2
Com3
Com4
IRQ
4
3
4
3
Dirección I/O
03F8
02F8
03E8
02E8
Serial I/F Asociado
1
2
1
2
Para los módems externos, no se requiere de una configuración muy sofisticada si estos están
conectados a los puertos seriales físicos de la computadora, ya que al momento de colocar el
dispositivo e indicar la búsqueda de nuevo hardware a nuestra computadora sólo nos solicitara
los controladores del fabricante y podremos utilizar el dispositivo ya que utiliza los recursos
que ya se le han asignado a los puertos seriales, cuando estos módems o dispositivos se
conectan se requiere de configurar también el IRQ y la dirección de I/O así como colocar el
controlador especifico del equipo que estamos conectando.
Existen dos factores que afectan de forma directa la comunicación o velocidad de nuestra
transmisión cuando utilizamos módems una de ellas sería la velocidad del módem en sí, y la
otra la velocidad de nuestros puertos UART (Universal Asynchronous Receiver /
Transmitter) estos chips en nuestra computadora controlan la velocidad en la que el puerto
serial se podrá comunicar con cualquier dispositivo, normalmente ustedes podrán localizar la
información de fabricación de su chip dándole un vistazo a la documentación con la que viene
su motherboard o computadora, en la tabla 3.2-2 podremos ver las características y velocidades
de los Chips UART.
66
Tabla 3.2-2 Velocidad de los Chips UART
Chip UART
8250
16450
16550
16650
16750
16950
Velocidad (Kbps)
9600
9600
115,200
430,800
921,600
921,600
Transceiver (media converters),
Es un componente que sirve de interface entre la red y un nodo local.
Un ejemplo puede ser una MAU la cual conecta una computadora a una red ethernet, un
transceiver generalmente convierte a diferentes tipos de conectores como el AUI y el
RJ45.Los transceiver trabajan en la capa física (capa 1) del modelo OSI. En la figura 3.26 se muestra un transceiver
Figura 3.2-6 Transceiver
Firewall
Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o
negando las transmisiones de una red a la otra. Un uso típico es situarlo entre una red local
y la red internet como dispositivo de seguridad para evitar que los intrusos puedan acceder
a información confidencial.
Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de
una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o
denegar una comunicación el firewall examina el tipo de servicio al que corresponde, como
pueden ser el web, el correo o el IRC. Además, el firewall examina si la comunicación es
entrante o saliente y dependiendo de su dirección puede permitirla o no.
De este modo un firewall puede permitir desde una red local hacia internet servicios de
web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo. También
podemos configurar los accesos que se hagan desde Internet hacia la red local y podemos
denegarlos todos o permitir algunos servicios como el de la web, (si es que poseemos un
servidor web y queremos que accesible desde Internet). Dependiendo del firewall que
tengamos también podremos permitir algunos accesos a la red local desde Internet si el
usuario se ha autentificado como usuario de la red local.
67
Un firewall puede ser un dispositivo, software o hardware, es decir, un dispositivo que se
conecta entre la red y el cable de la conexión a internet (vea la figura 3.2-7) , o bien un
programa que se instala en la máquina que tiene el módem que conecta con internet, incluso
podemos encontrar computadoras muy potentes y con software específicos que lo único que
hacen es monitorizar las comunicaciones entre redes.
Figura 3.2-7 Firewall
Existen 4 categorías de firewall:



Packet filtering firewall
Circuit level firewall
Application level firewall
Stateful inspection firewall
68
Objetivo 3.2
Multilayer Switch
Mientras que muchos switches operan a nivel 2 (enlace de datos) según el modelo OSI,
algunos incorporan funciones de router y operan a nivel 3 (red) también. De hecho, un
multilayer switch o switch de nivel 3 es increíblemente similar a un router. Cuando un
router recibe un paquete, mira dentro de él y verifica las direcciones de origen y destino
para determinar el camino que el paquete debería tomar. Un switch estándar utiliza la
dirección MAC para determinar el origen y destino de un paquete, lo cual es puramente
nivel 2.
La diferencia fundamental entre un router y un multilayer switch es que estos últimos
tienen hardware optimizado para pasar datos igual de rápido que los switches de nivel 2.
Sin embargo, toman decisiones de cómo debe ser transmitido el tráfico a nivel 3, igual que
un router. Dentro de un entorno LAN, un multilayer switch es normalmente más rápido que
un router porque está construido en la electrónica que usan los switches.
La manera que tienen los multilayer switches de tratar los paquetes y gestionar el tráfico es
muy similar a la de los routers. Ambos usan un protocolo de enrutamiento y una tabla de
rutas para determinar el mejor camino. Sin embargo, un switch de nivel 3 tiene la habilidad
de reprogramar el hardware de una forma dinámica con la información de rutas que tiene.
Esto es lo que le permite procesar los paquetes mucho más deprisa. En los multilayer
switches actuales, la información que se recibe de los protocolos de routing, es usada para
actualizar las tablas hardware de almacenamiento caché.
Equipos multifuncionales en red
Son equipos conectados en red los cuales tienen integrados copiadoras, scanner, impresoras
etc, Estos equipos permiten optimizar espacio y recursos, imagine tener por separado
impresora, fax, scanner o una copiadora, todos estos equipos pueden llegar a ocupar mucho
espacio y si se requirieran conectar en red se tendrían probablemente que cablear y ocupar
más recursos. Por lo anterior si desea optimizar espacio y recursos, un equipo
multifuncional resulta una buena opción.
IDS / IPS
Los sistemas IDS/IPS son un paso más adelante en la seguridad perimetral, son el paso
siguiente, a los firewalls.
Los ids/ips suponen un paso avanzando en la seguridad perimetral, estos sistemas una vez
actualizados son capaces de reconocer vulnerabilidades de las aplicaciones más comunes a
puertos abiertos en el firewall, la diferencias son básicamente dos
Los IDS, solo detectan las posibles causas, fallos o vulnerabilidades éstos únicamente la
detectan e informan al administrador.
69
Los IPS no solo detectan si no que son capaces de poder detener la falla o la vulnerabilidad.
Servidor DNS
Un servidor DNS (Domain Name System) se utiliza para proveer a las computadoras de los
usuarios (clientes) un nombre equivalente a las direcciones IP. El uso de este servidor es
transparente para los usuarios cuando éste está bien configurado, ejemplo
www.hotmail.com el servidor DNS lo traduce a la IP 64.4.20.169.
Load Balancer
Un balanceador de carga fundamentalmente es un dispositivo de hardware o software que
se pone al frente de un conjunto de servidores que atienden una aplicación y, tal como su
nombre lo indica, asigna o balancea las solicitudes que llegan de los clientes a los
servidores usando algún algoritmo (desde un simple round robin hasta algoritmos más
sofisticados).
Bandwidth Shaper
Es una herramienta usada para optimizar el desempeño de una red, intenta controlar el
tráfico en redes para así lograr optimizar o garantizar el rendimiento, baja latencia, y/o un
ancho de banda determinado retrasando paquetes. La catalogación de tráfico propone
conceptos de clasificación, colas, imposición de políticas, administración de congestión,
calidad de servicio (QoS) y regulación. Por otra parte, esto consiste en una práctica
utilizada por diversos ISPs para no sobrepasar sus capacidades de servicio.
Servidor Proxy
El Servidor Proxy se utiliza para almacenar la información que es consultada con mayor
frecuencia en páginas de internet, por un período de tiempo, con el fin de aumentar la
velocidad de acceso. Al mismo tiempo libera la carga de los enlaces hacia Internet.
DSU / CSU
El DSU/CSU (Data Service Unit/Channel Service Unit) o mejor conocido como DTU (Data
Terminal Unit) es un equipo de interconexión que opera en la capa de enlace de datos. Un
DSU/CSU es básicamente un modem digital que enlaza dos o más redes que tengan
servicios digitales tales como E0s, E1/T1s, Frame Relay, etc. Un CSU provee además
acondicionamiento y ecualización de la línea, así como pruebas de loopback. Un DSU (el
cual puede contener las características de un CSU) convierte las señales de datos de un
equipo DTE (Data Terminal Equipment) (ej una computadora) en señales digitales
bipolares requeridas en la red digital, realiza la sincronización de relojes y regenera la
señal.
70
Objetivo 3.3
Spanning tree protocol STP
El protocolo de Spanning Tree (STP, Spanning Tree Protocol) proporciona un mecanismo
de desactivación de enlaces redundantes en una red conmutada. El STP proporciona la
redundancia requerida para brindar fiabilidad sin crear bucles de conmutación.
(Vea la figura 3.3-1)
El STP es relativamente autosuficiente y requiere poca configuración. La primera vez que
se encienden los switches con STP activado, buscan bucles en la red de conmutación. Los
switches que detecten un posible bucle bloquean algunos de los puertos de conexión, y
dejan otros activos para enviar tramas.
Figura 3.3-1
El STP define una estructura que abarca todos los switches de una red conmutada en
estrella. Los switches verifican la red constantemente para garantizar que no haya bucles y
que todos los puertos funcionen correctamente.
Para evitar los bucles de conmutación, el STP:



Obliga a ciertas interfaces a ingresar en un estado de espera o bloqueo
Deja a otras interfaces en estado de envío
Reconfigura la red activando la ruta en espera correspondiente, si la ruta de envío
deja de estar disponible
71
VLAN
Los hosts y los servidores conectados a switches de Capa 2 son parte del mismo segmento
de la red. Esta disposición presenta dos problemas considerables:
Los switches inundan todos los puertos con las transmisiones de broadcast, lo que consume
ancho de banda innecesario. A medida que aumenta la cantidad de dispositivos conectados
a un switch, se genera más tráfico de broadcast y se desperdicia más ancho de banda.
Todos los dispositivos conectados a un switch pueden enviar y recibir tramas de todos los
demás dispositivos del mismo switch.
Una de las mejores prácticas de diseño de red establece que el tráfico de broadcast debe
quedar restringido al área de la red en la que resulta necesario. También existen razones
comerciales por las cuales ciertos hosts se comunican entre ellos, pero otros no. Por
ejemplo, es posible que los miembros del departamento de contabilidad sean los únicos
usuarios que necesiten acceso al servidor de contabilidad. En una red conmutada, redes de
área local virtuales (VLAN) se crean de modo que contengan broadcast y agrupen a los
hosts en comunidades de interés.
Una VLAN es un dominio lógico de broadcast que puede abarcar diversos segmentos de
una LAN física. Esto le permite a un administrador agrupar estaciones por función lógica,
por equipos de trabajo o por aplicaciones, independientemente de la ubicación física de los
usuarios. (Vea la figura 3.3-2)
Figura 3.3-2 VLAN
La diferencia entre una red
física y una red virtual o lógica
puede ilustrarse mediante el
siguiente ejemplo:
Los estudiantes de una escuela
se dividen en dos grupos. Los
estudiantes del primer grupo se
identifican con tarjetas rojas.
Los del segundo grupo se
identifican con tarjetas azules.
El director anuncia que los
estudiantes con tarjetas rojas
sólo pueden hablar con los
compañeros que también tengan
tarjetas rojas, y que los estudiantes con tarjetas azules sólo pueden hablar con sus
compañeros poseedores de tarjetas azules. Ahora los estudiantes están separados
lógicamente en dos grupos virtuales, o VLAN.
Según esta agrupación lógica, un broadcast se transmite sólo al grupo con tarjetas rojas,
aunque ambos grupos están ubicados físicamente en la misma escuela.
72
Enlace Troncal
Una VLAN tiene tres funciones principales:



Limita el tamaño de dominios de broadcast
Mejora el rendimiento de la red
Proporciona un nivel de seguridad
A fin de aprovechar todos los beneficios de las VLAN, éstas se extienden por diversos
switches.
Los puertos del switch pueden configurarse para dos funciones diferentes. Un puerto se
clasifica como puerto de acceso o puerto de enlace troncal.
Puerto de acceso
Un puerto de acceso pertenece sólo a una VLAN. Por lo general, los dispositivos
individuales como las PC o los servidores se conectan a este tipo de puerto. Si un hub
conecta varias PC a un único puerto de acceso, todos los dispositivos conectados al hub son
miembros de la misma VLAN. (Vea la figura 3.3-3)
Puerto de enlace troncal
Figura 3.3-3 Puertos de acceso
Un puerto de enlace
troncal es un enlace punto
a punto entre el switch y
otro dispositivo de red.
Los enlaces troncales
transmiten el tráfico de
diversas VLAN mediante
un único enlace, y
permiten que las VLAN
se extiendan por toda la
red. Los puertos de enlace
troncal son necesarios
para transmitir el tráfico
de diversas VLAN entre
dispositivos al conectar dos switches entre sí, un switch a un router o un host NIC
compatible con los enlaces troncales definidos en 802.1Q.
Sin los puertos de enlace troncal, cada VLAN requiere una conexión separada entre
switches. Por ejemplo, una empresa con 100 VLAN requiere 100 enlaces de conexión. Este
tipo de disposición no es fácil de escalar y resulta muy costosa. Los enlaces troncales
ofrecen una solución a este problema al transportar tráfico de diversas VLAN a través del
mismo enlace.
73
Cuando se transmiten diversas VLAN por el mismo enlace, éstas deben contar con
identificación. Un puerto de enlace troncal es compatible con el etiquetado de tramas. El
etiquetado de tramas agrega información sobre las VLAN a la trama.
IEEE 802.1Q es el método estandarizado y aprobado para llevar a cabo el etiquetado de
tramas. Cisco ha desarrollado un protocolo de etiquetado de tramas patentado denominado
enlace Inter-Switch (ISL, Inter-Switch Link). Los switches de mayor nivel, como la serie
Catalyst 6500, aún son compatibles con ambos protocolos de etiquetado. Sin embargo, la
mayor parte de los switches LAN -como el 2960- son compatibles con 802.1Q únicamente.
Autenticación de puertos
Existen algunas formas de colocar seguridad en sus switches, la primera es implementar
seguridad en cada puerto de cada switch, la cual es una buena idea siempre y cuando su red
tuviera pocos switches. Si su red estuviera poblada de una gran cantidad de switches la
seguridad de puertos puede ser implementada utilizando la autenticación 802.1x (Vea la
figura 3.3-4)
Figura 3.3-4
Como puede notar todos los clientes deben autentificarse en el servidor antes de conectarse
al switch de la red.
PoE
La alimentación a través de Ethernet (Power over Ethernet, PoE) es una tecnología que
incorpora alimentación eléctrica a una infraestructura LAN estándar. Permite que la
alimentación eléctrica se suministre al dispositivo de red como, por ejemplo, un teléfono IP
o una cámara de red, usando el mismo cable que se utiliza para una conexión de red.
Elimina la necesidad de utilizar tomas de corriente en las ubicaciones de la cámara y
permite una aplicación más sencilla de los sistemas de alimentación ininterrumpida (SAI)
para garantizar un funcionamiento las 24 horas del día, 7 días a la semana.
Power over Ethernet se regula en una norma denominada IEEE 802.3af, y está diseñado de
manera que no haga disminuir el rendimiento de comunicación de los datos en la red o
reducir el alcance de la red. La corriente suministrada a través de la infraestructura LAN se
74
activa de forma automática cuando se identifica un terminal compatible y se bloquea ante
dispositivos preexistentes que no sean compatibles. Esta característica permite a los
usuarios mezclar en la red con total libertad y seguridad dispositivos preexistentes con
dispositivos compatibles con PoE.
Actualmente existen en el mercado varios dispositivos de red como switches o hubs que
soportan esta tecnología. Para implementar PoE en una red que no se dispone de
dispositivos que la soporten directamente se usa una unidad base (con conectores RJ45 de
entrada y de salida) con un adaptador de alimentación para recoger la electricidad y una
unidad terminal (también con conectores RJ45) con un cable de alimentación para que el
dispositivo final obtenga la energía necesaria para su funcionamiento.
Port Mirroring
Figura 3.3-5
Port mirroring es una función que
copia el tráfico de un puerto
específico a otro puerto. Este
mecanismo ayuda a prevenir
errores de redes o paquetes
anormales que pueden interrumpir
la transmisión de datos.
(Vea la figura 3.3-5)
75
Objetivo 3.4
La tecnología inalámbrica ofrece muchas ventajas en comparación con las tradicionales
redes conectadas por cable.
Una de las principales ventajas es la capacidad de brindar conectividad en cualquier
momento y lugar. La extendida implementación de la conexión inalámbrica en lugares
públicos, conocidos como puntos de conexión, permite a las personas conectarse a Internet
para descargar información e intercambiar mensajes de correo electrónico y archivos.
La instalación de la tecnología inalámbrica es simple y económica. El costo de dispositivos
inalámbricos domésticos y comerciales continúa disminuyendo. Sin embargo, a pesar de la
disminución del costo, las capacidades y la velocidad de transmisión de datos han
aumentado, lo que permite conexiones inalámbricas más confiables y rápidas.
La tecnología inalámbrica permite que las redes se amplíen fácilmente, sin limitaciones de
conexiones de cableado. Los usuarios nuevos y los visitantes pueden unirse a la red rápida
y fácilmente.
Configuración de un punto de acceso
Una vez que se eligieron el estándar, la configuración y la asignación de canales
inalámbricos, es hora de configurar el AP. Un AP linksys cuenta con una interfaz gráfica
que se puede acceder mediante un navegador web tal y como se muestra en la figura 3.4-1.
Figura 3.4-1 Interfaz de configuración de un AP linksys
76
Presentamos a continuación algunas opciones de configuración de linksys:
Modo inalámbrico
La mayoría de los dispositivos AP domésticos puede admitir varios modos, principalmente
802,11g, 802.11g y 802.11n. A pesar de que todos estos modos utilizan el rango de 2,4
GHz, cada uno usa una tecnología diferente para obtener el máximo rendimiento. El tipo de
modo habilitado en el AP depende del tipo de host que se conecte a él. Si sólo se conecta un
tipo de host al dispositivo AP, configure el modo que lo admita. Si se van a conectar
distintos tipos de host, seleccione el modo Mixto. Cada modo incluye cierta cantidad de
gasto. Al habilitar el modo Mixto, el rendimiento de la red disminuirá debido al gasto en el
que se habrá incurrido para admitir todos los modos.
SSID
El SSID se utiliza para identificar la WLAN. Todos los dispositivos que deseen participar
en la WLAN deben tener el mismo SSID. Para permitir una fácil detección de la WLAN
por parte de los clientes se transmite el SSID. Se puede deshabilitar la característica de
transmisión del SSID. Si no se transmite el SSID los clientes inalámbricos necesitarán
configurar este valor manualmente.
Canal inalámbrico
La elección del canal para un AP debe estar relacionada con las otras redes inalámbricas
que lo rodean. Los BSS adyacentes deben utilizar canales que no se superpongan a fin de
optimizar el rendimiento. La mayoría de los AP actualmente ofrece una opción de
configuración manual del canal o permite al AP localizar automáticamente el canal menos
saturado o el que ofrezca el máximo rendimiento.
La mayoría de los routers integrados ofrece conectividad por cable o inalámbrica y sirve
como AP en la red inalámbrica. Las configuraciones básicas (como contraseñas,
direcciones IP y configuraciones DHCP) son las mismas, independientemente de si el
dispositivo se utiliza para conectar hosts con cable o host inalámbricos. Las tareas de
configuración básicas, como cambiar la contraseña por defecto, se deben realizar antes de
que el AP se conecte a una red activa.
Cuando se utiliza la función inalámbrica de un router integrado se requieren parámetros de
configuración adicionales, como la configuración de un modo inalámbrico, SSID, y canales
inalámbricos para utilizar.
Configuración del cliente inalámbrico
Un host inalámbrico o STA se define como cualquier dispositivo que contenga una NIC
inalámbrica y un software cliente inalámbrico. Este software cliente le permite al hardware
participar en la WLAN. Los dispositivos que son STA incluyen: computadoras portátiles,
PDA, computadoras de escritorio, impresoras, proyectores y teléfonos Wi-Fi.
77
A fin de que una STA se conecte a la WLAN, la configuración del cliente debe coincidir
con la del AP. Esto incluye el SSID, las configuraciones de seguridad y la información del
canal, si éste se configuró manualmente en el AP. Estas configuraciones están especificadas
en el software cliente que administra la conexión cliente.
El software cliente inalámbrico utilizado puede estar integrado por software al sistema
operativo del dispositivo o puede ser un software de utilidad inalámbrica, independiente y
descargable, diseñado específicamente para interactuar con la NIC inalámbrica.
Software integrado de utilidad inalámbrica
El software cliente inalámbrico de Windows XP es un ejemplo de una utilidad inalámbrica
cliente popular que se incluye como parte del sistema operativo del dispositivo. El software
cliente es un software básico de administración que puede controlar la mayoría de las
configuraciones cliente-inalámbrico. Es fácil de usar y ofrece un proceso de conexión
simple (vea la figura 3.4-2).
Figura 3.4-2 Interfaz de configuración de un cliente linksys
Software de utilidad inalámbrica independiente
El software de utilidad inalámbrica, como el suministrado con la NIC inalámbrica, está
diseñado para funcionar con esa NIC específica. Generalmente ofrece funcionalidad
mejorada en comparación con el software de utilidad inalámbrica de Windows XP e
incluye las siguientes características:
78



Información de enlace: muestra la potencia y la calidad actuales de una única red
inalámbrica
Perfiles: permite opciones de configuración, como el canal y el SSID que se
especificarán para cada red inalámbrica
Relevamiento del sitio: permite la detección de todas las redes inalámbricas
cercanas
No se permite al software de utilidad inalámbrica y al software cliente de Windows XP
administrar la conexión inalámbrica al mismo tiempo. Para la mayoría de las situaciones
Windows XP no es suficiente. Sin embargo, si se deben crear perfiles múltiples para cada
red inalámbrica, o si son necesarias configuraciones avanzadas, es mejor usar la utilidad
provista con la NIC.
Una vez que se configure el software cliente, verifique el enlace entre el cliente y el AP.
Abra la pantalla de información del enlace inalámbrico para mostrar datos como la
velocidad de transmisión de datos de la conexión, el estado de conexión y el canal
inalámbrico usado. Si está disponible, la característica Información de enlace muestra la
potencia de señal y la calidad de la señal inalámbrica actuales.
Además de verificar el estado de la conexión inalámbrica, verifique que los datos puedan
transmitirse. Una de las pruebas más comunes para verificar si la transmisión de datos se
realizó correctamente es la prueba de ping. Si el ping se realiza correctamente se puede
realizar la transmisión de datos.
Si el ping no se realiza correctamente de origen a destino haga ping en el AP desde el
cliente inalámbrico para garantizar que la conectividad inalámbrica esté disponible. Si esto
también falla, el problema se encuentra entre el cliente inalámbrico y el AP. Controle la
información de configuración y pruebe restablecer la conectividad.
Si el cliente inalámbrico puede conectarse correctamente al AP, controle la conectividad
desde el AP hasta el siguiente salto en la ruta hacia el destino. Si esto se realiza
correctamente, entonces el problema seguramente no está en la configuración del AP sino
en otro dispositivo de la ruta hacia el destino o en el dispositivo de destino.
79
CAPITULO 4
MANEJO DE UNA RED
80
Objetivo 4.1
Introducción
Una de las necesidades primordiales de un sistema de comunicaciones es el establecimiento
de estándares, sin ellos sólo podrían comunicarse entre sí equipos del mismo fabricante y
que usaran la misma tecnología.
En un principio, las computadoras eran elementos aislados, constituyendo cada una de ellas
una estación de trabajo independiente, una especie de "isla informática". Cada computadora
precisaba sus propios periféricos y contenía sus propios archivos
A medida que las empresas e instituciones ampliaban su número de computadoras fue
necesario unir estos entre sí, surgiendo el concepto de "redes de computadoras" y de
"trabajo en red" (networking), para poder de esta forma compartir archivos y periféricos
entre los diferentes computadoras
Pero cada una confiaba la implementación de sus redes a empresas diferentes, cada una de
ellas con unos modelos de red propietarios (modelos con hardware y software propios, con
elementos protegidos y cerrados), que usaban protocolos y arquitecturas diferentes.
Si esta situación era difícil de por sí, el colmo fue cuando surgió la necesidad de unir entre
sí estas redes diferentes.
(Había diferencias de: procesador central, velocidad, memoria, dispositivos de
almacenamiento, interfaces para comunicaciones, códigos de caracteres, y S.O. entre otros.)
Fue entonces cuando las empresas se dieron cuenta de que necesitaban salir de los sistemas
de networking propietarios, optando por una arquitectura de red con un modelo común que
hiciera posible interconectar varias redes sin problemas
En 1977 la Organización Internacional de Estándares (ISO), integrada por industrias
representativas del medio, creó un subcomité para desarrollar estándares de comunicación
de datos que promovieran la accesibilidad universal y una interoperabilidad entre productos
de diferentes fabricantes.
El resultado de estos esfuerzos es el Modelo de Referencia Interconexión de Sistemas
Abiertos (OSI).
Estructura en capas
El proceso de intercomunicación entre dos computadoras es complejo y difícil de entender
en su totalidad, pues son muchos los elementos que intervienen en el esquema de
intercambio de datos entre equipos diferentes.
Para poder simplificar el estudio y la implementación de la arquitectura necesaria, la ISO
dividió el modelo de referencia OSI en capas, entendiéndose por "capa" una entidad que
realiza de por sí una función específica
81
Cada capa define los procedimientos y las reglas (protocolos normalizados) que los
subsistemas de comunicaciones deben seguir para poder comunicarse con sus procesos
correspondientes de los otros sistemas.
Esto permite que un proceso que se ejecuta en una computadora, pueda comunicarse con un
proceso similar en otra computadora, si tienen implementados los mismos protocolos de
comunicaciones de capas OSI.
En el modelo de referencia OSI, hay siete capas numeradas, cada una de las cuales ilustra
una función de red particular, en la siguiente tabla se muestra cada una de las capas del
modelo OSI
Tabla 4.1-1 Capas del Modelo OSI
7.-Capa de Aplicación Application
6.-Capa de Presentación  Presentation
5.-Capa de Sesión  Session
4.-Capa de Transporte  Tansport
3.-Capa de Red Network
2.-Capa de Enlace  Data Link
1.-Capa de Fisica  Physical
Cada capa individual del modelo OSI tiene un conjunto de funciones que debe realizar para
que los paquetes de datos puedan viajar en la red desde el origen hasta el destino.
Las cuatro capas inferiores (Física, de Enlace de Datos, de Red y de Transporte) se van a
encargar de la transmisión de los datos (segmentación, empaquetamiento, enrutamiento,
verificación y transmisión por los medios físicos), sin importarles el tipo de datos que se
transmiten ni la aplicación que los envía o recibe.
Por su parte, las tres capas superiores (de Sesión, de Presentación y de Aplicación) se
encargan del establecimiento de sesiones de comunicación entre aplicaciones, del formateo,
cifrado y compresión de datos y de suministrar los mismos a las aplicaciones de usuario de
forma adecuada.
Capa Física: La misión principal de esta capa es transmitir bits por un canal de
comunicación, de manera que cuanto envíe el emisor llegue sin alteración al receptor.
La capa física proporciona sus servicios a la capa de enlace de datos, definiendo las
especificaciones eléctricas, mecánicas, de procedimiento y funcionales para activar,
mantener y desactivar el enlace físico entre sistemas finales, de la velocidad de transmisión,
si esta es unidireccional o bidireccional (simplex, duplex o flull-duplex) relacionando la
agrupación de circuitos físicos a través de los cuales los bits son movidos.
Las características tales como niveles de voltaje, temporización de cambios de voltaje,
velocidad de datos físicos, distancias de transmisión máximas, conectores físicos y
otros atributos similares se definen a través de las especificaciones de la capa física.
82
A continuación se describen las funciones de esta capa:






Definir conexiones físicas entre computadoras.
Describir el aspecto mecánico, eléctrico y funcional de la interface física.
Definir la técnica de transmisión. (Topología)
Definir el tipo de transmisión.
Definir la codificación de línea.
Definir la velocidad de transmisión.
Capa Enlace de datos: La capa de enlace proporciona sus servicios a la capa de red,
suministrando un tránsito de datos confiable a través de un enlace físico. Al hacerlo, la capa de
enlace de datos se ocupa del direccionamiento físico, el acceso a la red, agrupa la información
a transmitir en bloques (Frames), e incluye a cada uno una suma de control que permitirá al
receptor comprobar su integridad. Los datagramas recibidos son comprobados por el receptor.
Si algún datagrama se ha corrompido se envía un mensaje de control al remitente solicitando su
reenvío. El protocolo PPP es ejemplo de esta capa.Por lo tanto, su principal misión es convertir
el medio de transmisión en un medio libre de errores de cualquier tipo.
La capa de enlace puede considerarse dividida en dos subcapas:
Control lógico de enlace LLC (Logical Link Control) define la forma en que los datos son
transferidos sobre el medio físico, proporcionando servicio a las capas superiores.
Control de acceso al medio MAC (Medium Access Control). Se encarga de arbitrar la
utilización del medio físico cuando varios equipos compiten por su utilización simultánea. El
mecanismo CSMA/CD ("Carrier Sense Multiple Access with Collision Detection") utilizado en
Ethernet es un típico ejemplo de esta subcapa.
Las principales funciones de la capa de enlace son:
 Establece los medios necesarios para una comunicación confiable y eficiente entre dos
máquinas en red.
 Agrega una secuencia especial de bits al principio y al final del flujo inicial de bits de los
paquetes, estructurando este flujo bajo un formato predefinido llamado trama o marco.
(frame en ingles)Suelen ser de unos cientos de bytes.
 Sincroniza el envío de las tramas, transfiriéndolas de una forma confiable libre de errores.
Para detectar y controlar los errores se añaden bits de paridad, se usan CRC (Códigos
Cíclicos Redundantes) y envío de acuses de recibo positivo y negativo, y para evitar
tramas repetidas se usan números de secuencia en ellas.
 Envía los paquetes de nodo a nodo usando ya sea un circuito virtual o como datagramas.
 Controla la congestión de la red.
 Regula la velocidad de tráfico de datos.
 Controla el flujo de tramas mediante protocolos que prohíben que el remitente envíe
tramas sin la autorización explícita del receptor, sincronizando así su emisión y
recepción.
83
 Se encarga de la de secuencia, de enlace lógico y de acceso al medio (soportes físicos de la
red).
 Detectar errores en el nivel físico.
Capa de red: La capa de red proporciona sus servicios a la capa de transporte, siendo una capa
compleja que proporciona conectividad y selección de ruta entre dos sistemas de hosts que
pueden estar ubicados en redes geográficamente distintas.
Es la responsable de las funciones de conmutación y encaminamiento de la información,
proporcionando los procedimientos precisos necesarios para el intercambio de datos entre el
origen y el destino, por lo que es necesario que conozca la topología de la red, con objeto de
determinar la ruta más adecuada.
Podemos resumir las funciones de la capa de red en los siguientes puntos:
 Divide los mensajes de la capa de transporte en unidades más complejas, denominadas
paquetes (datagramas), y los ensambla al final.
 Debe conocer la topología de la subred y manejar el caso en que la fuente y el destino
estén en redes distintas.
Para ello, se encarga de encaminar la información a través de la sub-red, mirando las
direcciones del paquete para determinar los métodos de conmutación y enrutamiento, y
rutea los paquetes de la fuente al destino a través de ruteadores intermedios.
 Envía los paquetes de nodo a nodo usando ya sea un circuito virtual o como datagramas.
 Debe controlar la congestión de la subred.
 En esta capa es donde trabajan los routers.
 Esta capa conmuta, en ruta y controla la congestión de los paquetes de información en una
sub-red.
Capa de transporte: La capa de transporte proporciona sus servicios a la capa de sesión,
efectuando la transferencia de datos entre dos entidades de sesión, también se ocupa de
garantizar la fiabilidad del servicio, describe la calidad y naturaleza del envío de datos. Esta
capa define cuando y como debe utilizarse la retransmisión para asegurar su llegada.
Segmenta los datos originados en el host emisor y los re ensambla en una corriente de datos
dentro del sistema del host receptor.
Al proporcionar un servicio de comunicaciones, la capa de transporte establece, mantiene
y termina adecuadamente los circuitos virtuales. Al proporcionar un servicio confiable, se
utilizan dispositivos de detección y recuperación de errores de transporte.
Se conocen con el nombre de circuitos virtuales a las conexiones que se establecen dentro de
una subred, y en ellos no hay la necesidad de tener que elegir una ruta nueva para cada paquete,
ya que cuando se inicia la conexión se determina una ruta de la fuente al destino, ruta que es
usada para todo el tráfico posterior.
Flow Control
Además de estos servicios la capa de transporte también es responsable por el flujo de datos de
la red (flow control), esta es la parte donde el dispositivo receptor pueda aceptar los datos y la
84
cantidad de los mismos, existen dos métodos actualmente para el manejo del flujo de datos que
son buffering y windowing
Buffering. Cuando se utiliza Buffering los datos son almacenados temporalmente y
esperan al dispositivo destino esté disponible para recibir los datos, este es un excelente método
para los dispositivos que no pueden aceptar los datos tan rápido como son enviados.
Windowing. En un ambiente windowing, los datos son enviados en grupos que sólo
requieren de un aviso o acknowledgment. El tamaño de la ventana (esto quiere decir cuántos
segmentos pueden caber en un sólo aviso o acknowledgment) es definido en la capa de sesión
cuando dos dispositivos establecen su comunicación, como es de imaginarse la necesidad de un
sólo aviso por cada 5 segmentos puede reducir considerablemente la sobrecarga de la red.
Podemos resumir las funciones de la capa de transporte en los siguientes puntos:
 Incluye controles de integración entre usuarios de la red para prevenir perdidas o doble
procesamiento de transmisiones.
 Controla el flujo de transacciones y direccionamiento de maquinas a procesos de usuario.
 Asegura que se reciban todos los datos y en el orden adecuado, realizando un control de
extremo a extremo.
 Acepta los datos del nivel de sesión, fragmentándolos en unidades más pequeñas,
llamadas segmentos, en caso necesario y los pasa al nivel de red.
 Realiza funciones de control y numeración de unidades de información, fragmentación y
re ensamblaje de mensajes.
 Se encarga de garantizar la transferencia de información a través de la sub-red.
Capa de sesión: La capa de sesión proporciona sus servicios a la capa de presentación,
proporcionando el medio necesario para que las entidades de presentación en cooperación
organicen y sincronicen su diálogo y procedan al intercambio de datos.
Sus principales funciones son:
 Establece, administra y finaliza las sesiones entre dos hosts que se están comunicando.
 Si por algún motivo una sesión falla por cualquier causa ajena al usuario, esta capa
restaura la sesión a partir de un punto seguro y sin pérdida de datos o si esto no es
posible termina la sesión de una manera ordenada checando y recuperando todas sus
funciones, evitando problemas en sistemas transaccionales
 Sincroniza el diálogo entre las capas de presentación de los dos hosts y administra su
intercambio de datos, estableciendo las reglas o protocolos para el dialogo entre
maquinas y así poder regular quien habla y por cuánto tiempo o si hablan en forma
alterna, es decir, las reglas del dialogo que son acordadas.
 Ofrece disposiciones para una eficiente transferencia de datos, clase de servicio y un
registro de excepciones acerca de los problemas de la capa de sesión, presentación y
aplicación.
 Manejo de tokens. Los tokens son objetos abstractos y únicos que se usan para controlar
las acciones de los participantes en la comunicación.
85
 Hacer checkpoints, que son puntos de recuerdo en la transferencia de datos.
 Referencia a los dispositivos por nombre y no por dirección.
 Permite escribir programas que correrán en cualquier instalación de red.
Capa de presentación: La capa de presentación proporciona sus servicios a la capa de
aplicación, garantizando que la información que envía la capa de aplicación de un sistema pueda
ser entendida y utilizada por la capa de aplicación de otro, estableciendo el contexto sintáctico
del diálogo. Su tarea principal es aislar a las capas inferiores del formato de los datos de la
aplicación, transformando los formatos particulares (ASCII, EBCDIC, etc.) en un formato
común de red.
Es también las responsable de la obtención y de la liberalización de la conexión de sesión
cuando existan varias alternativas disponibles.
Por ello, de ser necesario, la capa de presentación realiza las siguientes operaciones:
 Traducir entre varios formatos de datos utilizando un formato común, estableciendo la
sintaxis y la semántica de la información transmitida. Para ello convierte los datos desde
el formato local al estándar de red y viceversa.
 Definir la estructura de los datos a transmitir. Por ejemplo, en el caso de un acceso a base
de datos, definir el orden de transmisión y la estructura de los registros.
 Definir el código a usar para representar una cadena de caracteres (ASCII, EBCDIC, etc).
 Dar formato a la información para visualizarla o imprimirla.
 Comprimir los datos si es necesario.
 Aplicar a los datos procesos criptográficos.
Capa de aplicación: La capa de aplicación es la capa del modelo OSI más cercana al usuario, y
está relacionada con las funciones de más alto nivel que proporcionan soporte a las aplicaciones
o actividades del sistema, suministrando servicios de red a las aplicaciones del usuario y
definiendo los protocolos usados por las aplicaciones individuales. Es el medio por el cual los
procesos de aplicación de usuario acceden al entorno OSI.
Su función principal es proporcionar los procedimientos precisos que permitan a los usuarios
ejecutar los comandos relativos a sus propias aplicaciones.
Los procesos de las aplicaciones se comunican entre sí por medio de las entidades de aplicación
asociadas, estando éstas controladas por protocolos de aplicación, y utilizando los servicios del
nivel de presentación.
Difiere de las demás capas debido a que no proporciona servicios a ninguna otra capa OSI, sino
solamente a aplicaciones que se encuentran fuera del modelo OSI. La capa de aplicación
establece la disponibilidad de los diversos elementos que deben participar en la comunicación,
sincroniza las aplicaciones que cooperan entre sí y establece acuerdos sobre los procedimientos
de recuperación de errores y control de la integridad de los datos.
86
Algunos ejemplos de procesos de aplicación son:






Programas de hojas de cálculo.
Programas de procesamiento de texto.
Transferencia de archivos (ftp).
Login remoto (rlogin, telnet).
Correo electrónico (mail - smtp).
Páginas web (http).
A continuación se muestra la tabla 4.1-2 que resume las funciones de cada capa y muestra los
dispositivos y protocolos que trabajan en cada una de ellas
Tabla 4.1-2 Resumen de las funciones del modelo OSI
Capa
Nombre
Función
1
Físico
Se ocupa de la transmisión del flujo de bits a
través del medio.
2
Enlace
3
Red
4
Transporte
5
Sesión
6
Presentación
Divide el flujo de bits en unidades con formato
(tramas) intercambiando estas unidades
mediante el empleo de protocolos
Establece las comunicaciones y determina el
camino que tomarán los datos en la red
La función de este nivel es asegurar que el
receptor reciba exactamente la misma
información que ha querido enviar el emisor, y
a veces asegura al emisor que el receptor ha
recibido la información que le ha sido enviada.
Envía de nuevo lo que no haya llegado
correctamente
Establece la comunicación entre las
aplicaciones, la mantiene y la finaliza en el
momento adecuado. Proporciona los pasos
necesarios para entrar en un sistema utilizando
otro. Permite a un mismo usuario, realizar y
mantener diferentes conexiones a la vez
(sesiones).
Conversión entre distintas representaciones de
datos y entre terminales y organizaciones de
sistemas de ficheros con características
diferentes.
7
Aplicación
Este nivel proporciona unos servicios
estandarizados para poder realizar unas
funciones específicas en la red. Las personas
que utilizan las aplicaciones hacen una petición
de un servicio (por ejemplo un envío de un
fichero). Esta aplicación utiliza un servicio que
le ofrece el nivel de aplicación para poder
realizar el trabajo que se le ha encomendado
(enviar el fichero)
Dispositivo y
Protocolo
Cables, tarjetas y
repetidores (hub)
RS-232, X.21
Puentes (bridges)
HDLC y LLC
Encaminador (router)
IP, IPX
Pasarela (gateway)
UDP, TCP, SPX
Pasarela
Compresión,
encriptado, VT100,
MPEG, AVI, MP3, Etc.
X.400, HTTP, SMTP,
POP, IMAP etc
87
Objetivos 4.2 y 4.3
Diagramas físicos y lógicos de una red
La documentación de una red es imprescindible para poder llevar a cabo actualizaciones,
detección y solución de fallas, es necesario diseñar y documentar los mapas de las
topologías física y lógica de la red antes de adquirir el equipo de networking y de conectar
los hosts. Algunos aspectos que se deben considerar son:




Control de la temperatura: todos los dispositivos tienen rangos específicos de temperatura y
requisitos de humedad para funcionar correctamente
Disponibilidad y ubicación de los tomacorrientes
Longitud del cableado
Verificar que la instalación eléctrica sea la adecuada.
También es importante realizar los diagramas físicos y lógicos de la red, ya que con ello se
tendrán perfectamente ubicadas a cada computadora, switch, servidores etc. Así como sus
direcciones ip, con lo cual se simplifica la solución de problemas de conectividad.
A continuación se detallan las características de éstos documentos
Configuración física de la red:




Ubicación física de los dispositivos (por ejemplo, routers, switches y hosts)
Modo de interconexión de todos los dispositivos
Ubicación y longitud de todo el cableado
Configuración de hardware de los dispositivos finales, como hosts y servidores
Figura 4.2.3-1 Diagrama físico de una red
Configuración lógica de la red:





Ubicación y tamaño de los dominios de broadcast y de colisiones
Esquema de direccionamiento IP
Esquema de denominación
Configuración del uso compartido
Permisos
88
Figura 4.2.3-2 Diagrama lógico de una red
Una vez que los hosts se comunican a través de la red, es importante documentar el
rendimiento de la red. Esto se conoce como determinación de la línea de base (baseline en
ingles) para la red y se utiliza como indicación de un funcionamiento normal.
Al comparar el rendimiento futuro de la red con la línea de base, se puede evaluar si existe
algún problema. También a nivel de servidores de Microsoft es necesario documentar las
políticas de seguridad que se implementan, los tipos de cuenta y permisos de cada una, cada
cuando se deben cambiar las contraseñas de las cuentas de usuarios.
Diagramas de cableado
Figura 4.2.3-3 Diagrama de las normas T568A y T568B
El cableado estructurado para redes de
computadores tiene dos tipos de normas, la
EIA/TIA-568A (T568A) y la EIA/TIA568B (T568B). Se diferencian por el orden
de los colores de los pares a seguir en el
armado de los conectores RJ45. Si bien el
uso de cualquiera de las dos normas es
indiferente, generalmente se utiliza la
T568B para el cableado recto.
Es importante contar con diagramas de las
normas mencionadas, ya que ellos
permitirán configurar de manera adecuada
los distintos tipos de cable que se necesiten,
algunos técnicos elaboran cables rectos sin utilizar las normas T568A o T568B, solamente
se aseguran de que los pares coincidan en ambos extremos, lo cual puede repercutir en el
desempeño de la red.
89
Políticas, procedimientos y configuraciones.
Cuando se haga documentación de una red, se debe estar seguro de documentar cualquier
política de seguridad. A continuación mencionamos algunas políticas que debe documentar:
Políticas de Password: Estas políticas determinan que passwords son válidos en la red local,
en este documento se especifica la longitud, caracteres que se utilizan y algún orden o
secuencia en que los caracteres deben colocarse, así como la frecuencia en que éstas deben
cambiarse.
Derechos de usuario: En sistemas Windows server se utilizan los derechos, determinan
alguno privilegios a ciertos usuarios, por ejemplo el administrador de la red puede ser el
único en tener los derechos para cambiar los protectores de pantalla de la red local, por lo
que, en el servidor deberá configurarse su cuenta de usuario para que pueda llevar a cabo
ésta tarea, así como documentar la política usada
.
Políticas de firewall: Un política de seguridad muy importante es la del firewall, se deben
especificar perfectamente que puertos son los que deben de estar abiertos. Una mala
configuración puede ocasionar bloquear tráfico deseado o ser susceptible a algún ataque
externo.
Políticas de restricción de software: Estas políticas determinan que software debe estar
instalado en las computadoras, para algunas empresas por ejemplo el uso de programas
como Messenger está prohibido por ocasionar pérdida de tiempo chateando en horas trabajo
por parte de los empleados, mientras que en algunas otras empresas su uso es de vital
importancia para la comunicación entre empleados o brindar servicios como soporte
técnico.
90
Objetivo 4.4
Para cubrir éste objetivo deberá entender e identificar algunas formas en que un error de
sistema o componente de red ocurre, mediante algunos indicadores físicos, registros de
sistema entre otros.
Revisando indicadores físicos.
Cuando inicias soporte a una red, varios indicadores pueden ayudarte a determinar el
problema. Estos indicadores son una combinación de varios elementos físicos y lógicos.
En el nivel físico se pueden detectar los problemas observando las luces de los dispositivos,
a continuación se explican algunos de ellos:
Luces
Las luces son una herramienta muy poderosa a la hora de determinar errores de
conectividad en una red. Routers, switches y tarjetas de red están equipados de leds que
indican su estado de funcionamiento.
Una led con luz verde indica que el dispositivo esta encendido, un led con luz verde
parpadeando indica hay actividad (por ejemplo en los puertos de un hub o switch) una luz
ámbar indica que hay colisiones en un dispositivo, obviamente la ausencia de luz en los
leds indica que por alguna causa el dispositivo no está funcionando.
Avisos de errores
Un aviso de error indica un funcionamiento inadecuado de un dispositivo de la red, estos
avisos se manifiestan mediante un cuadro de diálogo en la computadora, generalmente en
esos avisos se muestra un número el cual se debe consultar en la documentación que se
adjunta en el dispositivo, en él cada fabricante detalla cada código de error, de esta manera
los técnicos podrán dar solución de manera adecuada.
Registros de error
Son similares a los avisos de error, los registros de error guardan una lista de errores
encontrados en un dispositivo. Estos registros deberían proporcionar la hora en que sucedió
el problema, la naturaleza del mismo y quizás indicar el procedimiento para resolver el
problema. Desafortunadamente los registros de error no contienen suficiente información
para resolver el problema, deberá seguramente consultar documentación adicional y valerse
de otras herramientas para poder diagnosticar y resolver el problema.
Los sistemas operativos Windows tienen un mecanismo de registro de errores llamado
“Event Viewer” el cual es útil e importante en la resolución de problemas de éstos sistemas
operativos.
91
Es recomendado que utilice el Event Viewer cuando tenga que resolver problemas
relacionados a éstos sistemas operativos, especialmente cuando se trata de servidores.
El Event Viewer es una aplicación que los registros binarios almacenados en <windows
directory>\system32\config folder.
No necesita ingresar a la carpeta config para ver los registros almacenados, Event Viewer
proporciona una consola que brinda la información almacenada en esa carpeta.
Hay tres principales tipos de registros en los sistemas operativos Windows los cuales si
usted es administrador de un sistema operativo Windows server deberá monitorear:
El registro de sistema: Graba los eventos que son proporcionados por el sistema operativo y
contienen mensajes de error acerca de driver que no fueron cargados, servicios que fallaron
en la carga inicial o información acerca de cualquier cosa que suceda en el sistema
operativo.
El registro de seguridad: Contiene todos los eventos relacionados a la seguridad, aquí se
registran los usuarios que se loguean o el acceso a archivos o carpetas.
El registro de aplicación: contiene eventos que han sido generados por aplicaciones que
corren o se detienen en el sistema operativo, por ejemplo si tiene instalado SQL server o
Exchange, estas aplicaciones guardaran sus errores en este registro.
Para utiliza el Event Viewer relice lo siguiente:
Figura 4.4-1 Event Viever
1 De clic en menú INICIO, de clic con el botón derecho
en Equipo.
2 Expanda el Event Viewer dando clic en el signo + .
92
Objetivo 4.5
QoS
Quality of Service es usado para controlar el ancho de banda de la red, es usado en
aplicaciones como voice sobre IP or streaming multimedia en los cuales el administrador de
red deberá asegurar el suficiente ancho de banda para éstas aplicaciones y por tanto puedan
funcionar de forma adecuada.
Monitor de red
Es una herramienta que viene incorporada en los sistemas operativos Windows, sólo
captura y despliega los frames que son enviados o provienen de tu sistema.
Balanceo de carga
Es un popular método para incrementar el desempeño de algunos recursos de red como son
los sitios de comercio electrónico
El balanceo de carga se puede ejemplificar de la siguiente forma:
Puedes instalar un sitio de comercio electrónico en diversos servidores, por lo que, cuando
los usuarios acceden a él, las peticiones se reparten entre los diferentes servidores.
El beneficio del balanceo de carga es que, aunque múltiples usuarios se conecten al mismo
tiempo al sitio web, éste no decrementa su desempeño.
Tolerancia a fallos
Es algo propio de sistemas que precisan de una alta disponibilidad en función de la
importancia estratégica de las tareas que realizan, o del servicio que han de dar a un gran
número de usuarios.
La tolerancia a fallos se puede implementar en servidores al tener siempre un servidor en
reserva que actúa de forma inmediata si el primero falla.
93
Objetivo 4.6
Solución a problemas
Esta sección muestra los pasos y procedimientos que se deben realizar para resolver
problemas de nuestros equipos.
Como recomendación estudie perfectamente el orden de implementación ya que en el
examen de certificación se pide tanto que identifique que se debe realizar en cada paso
como el orden estricto que se debe seguir
1) Establecer los síntomas
Obviamente si identificas el problema podrás empezar a resolverlo.
El primer paso para solucionar algún problema es establecer los síntomas de él, la
información que necesitarás la puedes obtener de los usuarios afectados o de los mensajes
de error.
2) Identificar el área afectada
Una vez que has identificado el problema tienes que determinar la magnitud del mismo,
esto es importante por varias razones, algunos problemas son pequeños y afectan
solamente a muy pocos o a un sólo usuario así como hay problemas que afectan a toda la
red. Aquellos problemas generalmente están asociados con la infraestructura de la red
como el mal funcionamiento de un switch o hub o insuficiente ancho de banda.
El identificar el área afectada ayuda también a establecer la prioridad de su solución,
obviamente se atendería primeramente un problema que afecta a toda una red que a un sólo
usuario.
3) Establecer que ha cambiado.
Cuando una computadora o red ha sido instalada y configurada correctamente y después de
un periodo de tiempo empieza a fallar una pregunta que debes realizarte es ¿qué ha
cambiado?
Cuando busquemos cambios en una red o computadora considera lo siguiente:
¿Han instalado un nuevo software al sistema?
¿Algún dispositivo ha sido agregado?
¿Fue configurado correctamente?
¿Se eliminaron archivos del sistema?
Por ejemplo si sabes que un equipo de red sólo a sido cambiado de lugar y no funciona ya,
probablemente el problema radica en una mala conexión del cable (cambio ocurrido por el
transporte y que ocurre muy frecuentemente).
94
4) Seleccionar la posible causa
No siempre es fácil determinar la causa de un problema, ello dependerá de nuestra
experiencia y estudio que tengamos.
Por ejemplo si un usuario no puede acceder al sistema y los demás si, probablemente la
causa sea que haya introducido mal su contraseña o nombre de usuario, o algo tan trivial
como que muchas veces se tiene activada la tecla Bloq Mayús y como por ejemplo
Windows 2003 Advanced Server distinguirá mayúsculas de minúsculas no te dejará
acceder al sistema.
5) Implementar la solución
Una vez que has seleccionado la posible causa, es tiempo de tratar de corregir el problema.
Sin embargo tienes que seguir un plan que te permita corregir el problema sin afectar a
todos los demás.
Por ejemplo si la solución a un problema radica en realizar algún cambio en el servidor,
tienes que realizar respaldos, y si hay que apagar el servidor busca la hora adecuada,
imagina hacerlo en pleno día laboral.
6) Identificar los efectos de la solución
Cuando implementes una posible solución a un problema considera como puede afectar no
solamente a ese equipo si no a toda la red. No vaya a ser que la medicina resulte peor que la
enfermedad.
El desinstalar software, archivos compartidos o algún dispositivo, puede afectar el
funcionamiento de toda la red.
7) Documentar la solución
Este es uno de los pasos más importante en la solución de problemas, ya que con ello irás
formando una guía de los problemas más comunes y su solución, recuerda que siempre la
primera vez cuesta trabajo solucionar un problema que hasta ese entonces nos era
desconocido, pero una vez identificado y documentado, su solución podrá ser muy rápida.
Cuando documente toma en cuenta lo siguiente:
 Detalla cual fue el problema y su solución
 Otras posibles soluciones si es que las hay
 Quien implemento la solución
 Fecha de implementación.
95
Objetivo 4.7
A continuación se muestran algunos escenarios en los cuales deberás resolver los
problemas que ahí se plantean.
1) Acabas de terminar de instalar una red, todos los cables están correctamente, conectados
sin embargo no tienes conexión a internet
Revise la imagen y determine ¿cuál es la falla?
a) La máscara de subred no es la adecuada para la dirección IP
b) DNS no está configurado en las estaciones de trabajo
c) Se bloqueo el puerto 80
d) Default Gateway no está configurado en las estaciones de trabajo
Respuesta D.
Observe con cuidado la imagen y verá que el Default Gateway no está configurado y sin el
recuerde que no se tiene salida a internet.
2) ¿Qué representa la salida mostrada en la imagen?
a) un ping a SERVER0
b) un tracert a SERVER0
c) Es la tabla arp de SERVER0
d) Es el cache arp de SERVER0
e) Es NETBIOS name caché
Respuesta E
El NETBIOS name cache es lo que se muestra en la figura.
96
3) Eres el administrador de una red con 10 estaciones de trabajo. Una de las estaciones de
trabajo presenta problemas de comunicación con el servidor. Durante el día dicha estación
de trabajo funciona correctamente, sin embargo a partir de la tarde-noche la estación
empieza a presentar problemas ¿Cuál podría ser el problema?
a) Un puerto dañado del hub
b) Bajo voltaje
c) El cableado de la red está instalado cerca de la instalación de luz
d) El password del usuario expiró
Respuesta C
Seguramente el cableado esta junto al de la instalación eléctrica, en la noche al prender las
luces se produce los problemas de comunicación.
El colocar el cableado cerca de la instalación eléctrica produce crosstalk (lo que ocasiona
pérdida de paquetes de información).
4) Cuentas con una conexión permanente de internet, además tu red cuenta con un servidor
SMTP y un servidor web. Como administrador estás preocupado por el acceso que vía
internet que pudieran realizar los hackers a tu red. Para incrementar la seguridad cambias el
http por https para realizar el acceso al servidor web.
Después de realizar el cambio no se tiene acceso al servidor web desde Internet, pero si por
lo usuarios de la red local. ¿Cuál es la posible causa?
a) El servidor DNS está apagado
b) Se cambio accidentalmente la dirección del servidor web
c) El puerto 443 está bloqueado
d) El puesto 338 está bloqueado
Respuesta C
El https utiliza el puesto 443 por lo que sí está bloqueado, no se tendrá acceso a la red.
97
5) En la imagen mostrada, la estación de trabajo B fue cambiada al mismo segmento que la
estación de trabajo C, sin embargo la estación de trabajo B no tiene comunicación. Todas
las configuraciones de la estación de trabajo B son correctas y ninguna otra estación de
trabajo presenta algún problema.
¿Cuál podría ser la causa?
a) El hub B
b) El puente (bridge)
c) El router B
d) El cable conectado a la estación de trabajo B.
Respuesta D
El problema se aísla a una sola computadora, por lo que, seleccionar alguna de las otras
opciones implicaría que la red presentara una general.
98
CAPITULO 5
HERRAMIENTAS DE REDES
99
Objetivo 5.1
Traceroute
Traceroute es una herramienta de diagnóstico de redes que permite seguir la pista de los
paquetes que van desde un host (punto de red) a otro (vea la figura 5.1-1). Se obtiene
además una estadística del RTT o latencia de red de esos paquetes, lo que viene a ser una
estimación de la distancia a la que están los extremos de la comunicación. Esta herramienta
se llama traceroute en UNIX y GNU/linux, mientras que en Windows se llama tracert.
Figura 5.1-1 Comando tracert
Ipconfig
Ipconfig en Windows es una utilidad de línea de comandos que muestra la configuración de
red actual de una computadora local (dirección IP, máscara de red, dafault gateway, etc ),
así como controlar el servicio Windows que actúa como cliente DHCP(vea la figura 5.1-2).
Ipconfig en Mac OS X es una utilidad de línea de comandos que puede ser usada para
controlar los clientes BootP y DHCP. Como en otros sistemas operativos basado en UNIX,
en Mac OS X también se puede utilizar el comando ifconfig para un control más directo
sobre las interfaces de red.
Figura 5.1-2 Comando ipconfig
100
Ifconfig
Figura 5.1-3 Comando ifconfig
Ifconfig
es
un
programa
disponible en varias versiones del
sistema operativo UNIX, que
permite configurar o desplegar
numerosos parámetros de las
interfaces de redes, como la
dirección
IP
(dinámica o
estática), o la máscara de red(vea
la figura 5.1-3). Si se llama sin
argumentos suele mostrar la
configuración vigente de las
interfaces de red activas, con
detalles como la dirección MAC
o el tráfico que ha circulado por
las mismas hasta el momento.
Ping
La utilidad ping comprueba el estado de la conexión con uno o varios equipos remotos por
medio de los paquetes de solicitud de eco y de respuesta de eco (ambos definidos en el
protocolo de red ICMP) para determinar si un sistema IP específico es accesible en una red.
Es útil para diagnosticar los errores en redes o routers (vea la figura 5.1-4).
Muchas veces se utiliza para medir la latencia o tiempo que tardan en comunicarse dos
puntos remotos, y por ello, se utiliza entre los aficionados a los juegos en red el término
PING para referirse al lag o latencia de su conexión.
Figura 5.1-4 Comando ping
101
Arp
ARP son las siglas en inglés de Address Resolution Protocol (Protocolo de resolución de
direcciones).
Es un protocolo de nivel de red responsable de encontrar la dirección hardware (Ethernet
MAC) que corresponde a una determinada dirección IP (vea la figura 5.1-5). Para ello se
envía un paquete (ARP request) a la dirección de difusión de la red (broadcast MAC = ff ff
ff ff ff ff) que contiene la dirección IP por la que se pregunta, y se espera a que esa máquina
(u otra) responda (ARP reply) con la dirección ethernet que le corresponde. Cada máquina
mantiene una caché con las direcciones traducidas para reducir el retardo y la carga. ARP
permite a la dirección de internet ser independiente de la dirección ethernet, pero esto sólo
funciona si todas las máquinas lo soportan.
Figura 5.1-5 Comando arp
Nslookup
Nslookup es un programa, utilizado para saber si el DNS está resolviendo correctamente los
nombres y las IPs (vea la figura 5.1-6). Funciona tanto en windows como en unix para
obtener la dirección IP conociendo el nombre de dominio, y viceversa.
Figura 5.1-6 Comando nslookup
nslookup www.hotmail.com
Server:
192.168.1.1
Address:
192.168.1.1#53
Non-authoritative answer:
Name: www.hotmail.com
Address: 66.230.200.100
102
Hostname
Hostname es el programa que se utiliza para mostrar o establecer el nombre actual del
sistema (nombre de equipo). Muchos de los programas de trabajo en red usan este nombre
para identificar a la máquina (vea la figura 5.1-7).
Cuando se invoca sin argumentos, el programa muestra los nombres actuales.
hostname muestra el nombre del sistema que le devuelve la función gethostname(2).
Figura 5.1-7 Comando hostname
Route
Route es una herramienta de línea de comandos disponible tanto en Microsoft Windows
como en GNU/Linux. Nos permite manipular las tablas de enrutamiento de nuestro sistema
(vea la figura 5.1-8).
Figura 5.1- 8 Comando route
103
Netstat
Netstat (network statistics) es una herramienta de línea de comandos que muestra un listado
de las conexiones activas de un host, tanto entrantes como salientes (vea la figura 5.1-9).
Existen versiones de este comando en varios sistemas como Unix, GNU/Linux, Mac OS X,
Windows y BeOS.
La información que resulta del uso del comando incluye el protocolo en uso, las direcciones
IP tanto locales como remotas, los puertos locales y remotos utilizados y el estado de la
conexión. Existen, además de la versión para línea de comandos, herramientas con interfaz
gráfica (GUI) en casi todos los sistemas operativos desarrollados por terceros.
Figura 5.1-9 Comando netstat
Nbtstat
(NetBios Remote Machine Name Table)
Este comando sirve para obtener información de equipos remotos como:
nombre del host, IP, puertos, estado, (vea la figura 5.1-10).
Figura 5.1- 10 Comando nbtstat
104
Dig
El comando dig (Domain informatioI Groper) constituye una herramienta para realizar
consultas de diversos tipos a un servidor de DNS. Este muestra las respuestas recibidas de
acuerdo a su solicitud. Es muy útil para detectar problemas en la configuración de los
servidores de DNS debido a su flexibilidad, facilidad de uso y claridad en su salida.
En el caso de que no se indique el servidor a consultar se asumirán los especificados en
/etc/resolv.conf. Cuando no se añade ninguna opción o argumento en la línea de comando
se consultan los servidores de nombres del dominio raíz (NS query).
La forma básica de invocar a dig es:
dig <@servidor> <nombre> [tipo]
donde:
@servidor - es el nombre o la dirección IP del servidor a consultar.
nombre - es el nombre de dominio del record por el cual se quiere preguntar.
tipo - es el tipo del record por el que se consulta (ANY, NS, SOA, MX, etc.). De no
indicarse se asumirá A.
Mtr
Mtr o My traceroute es un programa que combina las funcionalidades de traceroute y ping
en una única utilidad de diagnóstico (vea la figura 5.1-11).
Básicamente, mtr prueba cada uno de los saltos que hay desde que un paquete se envía
hasta que llega a su destino, realizando pings en cada uno de ellos y sacando por pantalla
estadísticas de respuesta en porcentajes de cada uno de estos saltos cada X segundos.
Figura 5.1- 11 Comando mtr
105
Objetivo 5.2
Los scanners de red son herramientas utilizadas para analizar redes, CompTIA Network+
hace un análisis de ellos clasificándolos de la siguiente forma:



Packet sniffers
Intrusion Detection System / Intrusion Prevention System (IDS/IPS) software
Port scanners
Packet sniffers
Un packet sniffer es un programa de captura de tramas de red.
Los packet sniffers tienen diversos usos como monitorear una red para detectar y analizar
fallos o ingeniería inversa de protocolos de red. También es habitual su uso para fines
maliciosos, como robar contraseñas, interceptar mensajes de correo electrónico, espiar
conversaciones de chat, etc.
Para conseguir esto el sniffer pone la tarjeta de red o NIC en un estado conocido como
"modo promiscuo" en el cual en la capa de enlace de datos (ver niveles OSI) no son
descartadas las tramas no destinadas a la MAC address de la tarjeta; de esta manera se
puede capturar todo el tráfico que viaja por la red.
Existen packet sniffers para Ethernet/LAN y algunos de ellos son Wireshark (anteriormente
conocido como [[Ethereal ), Ettercap, TCPDump, WinDump, WinSniffer, Hunt, Darkstat,
traffic-vis, KSniffer) y para Redes inalámbricas como Kismet o Network Stumbler.
Port Scanner
El término port scanner se emplea para designar la acción de analizar por medio de un
programa el estado de los puertos de una máquina conectada a una red de comunicaciones.
Detecta si un puerto está abierto, cerrado, o protegido por un firewall.
Se utiliza para detectar qué servicios comunes está ofreciendo la máquina y posibles
vulnerabilidades de seguridad según los puertos abiertos. También puede llegar a detectar
el sistema operativo que está ejecutando la máquina según los puertos que tiene abiertos. Es
usado por administradores de sistemas para analizar posibles problemas de seguridad, pero
también es utilizado por usuarios malintencionados que intentan comprometer la seguridad
de la máquina o la red.
Existen varios programas escaneadores de puertos de red, uno de los más conocidos es
Nmap, disponible tanto para Linux como Windows.
106
IPS
Un sistema de prevención de intrusos (IPS) es un dispositivo que ejerce el control de acceso
en una red informática para proteger a los sistemas computacionales de ataques y abusos.
La tecnología de prevención de intrusos es considerada por algunos como una extensión de
los sistemas de detección de intrusos (IDS), pero en realidad es otro tipo de control de
acceso, más cercano a las tecnologías firewall.
Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para
resolver ambigüedades en el monitoreo pasivo de redes de computadoras, al situar sistemas
de detecciones en la vía del tráfico de red. Los IPS presentan una mejora importante sobre
las tecnologías de cortafuegos tradicionales, al tomar decisiones de control de acceso
basados en los contenidos del tráfico, en lugar de direcciones IP o puertos. Tiempo después,
algunos IPS fueron comercializados por la empresa One Secure, la cual fue finalmente
adquirida por NetScreen Technologies, que a su vez fue adquirida por Juniper Networks en
2004. Dado que los IPS fueron extensiones literales de los sistemas IDS, continúan en
relación.
También es importante destacar que los IPS pueden actuar al nivel de equipo, para combatir
actividades potencialmente maliciosas.
Un sistema de prevención de intrusos, al igual que un sistema de detección de intrusos,
funciona por medio de módulos, pero la diferencia es que este último alerta al
administrador ante la detección de un posible intruso (usuario que activó algún sensor),
mientras que un sistema de prevención de intrusos establece políticas de seguridad para
proteger el equipo o la red de un ataque; se podría decir que un IPS protege al equipo
proactivamente y un IDS lo protege reactivamente.
IDS
Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection
System) es un programa usado para detectar accesos no autorizados a un computador o a
una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que
usan herramientas automáticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo
del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta,
gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o
falsas alarmas.
107
Objetivo 5.3
Figura 5.3-1 Probadores de cables
Probador de cables /certificador
Existen distintos tipos probadores de cables, algunos
solo monitorean la señal eléctrica y otros son capaces de
reconocer errores tales como colisiones, congestión de
tráfico, errores de frames o protocolos. Típicamente
miden las frecuencias para determinar los MHz (vea la
figura 5.3-1).
Generador de tonos
Figura 5.3-2 Generador de tonos
Utilizado para encontrar los puntos finales de un cable. Se coloca el generador de
tonos en un punto final del cable y el localizador en el otro punto (vea la figura
5.3-2).
TDR (Time Domain Reflectometer)
Reflectómetro en el dominio del tiempo es un dispositivo que puede enviar
señales a través de un cable de red (coaxial o UTP) para verificar la
continuidad, longitud y otros atributos del cable (vea la figura 5.3-3). Los TDR
se utilizan para detectar problemas de la capa física de la red.
Figura 5.3-3 TDR
Se utiliza para:




Medir la velocidad y condición del cable
Medir cuanto tiempo toma enviar una señal a través de un cable de ida
y regreso
Medir la impedancia de un cable
Estimar la longitud de un cable
OTDR (Optical Time Domain Reflectometer)
Figura 5.3-4 OTDR
Un OTDR es un instrumento óptico-electrónico usado para
caracterizar una fibra óptica.
Un OTDR inyecta en la fibra bajo análisis una serie de pulsos
ópticos. También extrae, del mismo extremo de la fibra, luz
que ha sido dispersada y reflejada de vuelta desde puntos de
la fibra con un cambio en el índice de refracción.
Este dispositivo es el equivalente en óptica al Reflectómetro
en el Dominio del Tiempo (TDR), que mide los cambios
producidos en la impedancia de un cable (vea la figura 5.3-4).
108
La intensidad del pulso devuelto, es integrado como una función del tiempo, y representado
en función de la longitud de la fibra.
Un OTDR puede ser utilizado para estimar la longitud de la fibra, y su atenuación,
incluyendo pérdidas por empalmes y conectores. También puede ser utilizado para detectar
fallos, tales como roturas de la fibra.
Figura 5.3-5 Adaptador loopback
Adaptador loopback
Es un tipo de terminador que se conecta a la NIC para probarla, se
le configura una IP y simula como si la red estuviera conectada
(vea la figura 5.3-5)
Analizador de protocolos (sniffer)
A veces es confundido con un packed sniffer debido a que algunos productos incluyen
ambos --- un packed sniffer revisa todo el tráfico de una red --- un analizador de protocolos
como su nombre lo indica analiza protocolos, (vea la figura 5.3-6) sus funciones son las
siguientes:



Ayuda e detectar e identificar malware
Ayuda a identificar protocolos no conocidos y borrarlos posteriormente
Contiene un generador de trafico de red usado es test de penetración
Figura 5.3-6 Multímetro digital
Multímetro digital
Es un instrumento de medida que ofrece la posibilidad de medir distintos
parámetros eléctricos y magnitudes en el mismo aparato. Las más
comunes son las de voltímetro, amperímetro y óhmetro (vea la figura
5.3-6)
Punch down tool
Figura 5.3-7 Punch down tool
Las pinzas ponchadoras son de dos tipos:
 para telefonía son del tipo RJ11
 para comunicaciones son de tipo RJ45
En cualquier tipo, las pinzas son para "ponchar" (fijar) los
conectores a los cables (vea la figura 5.3-7)
.
109
CAPITULO 6
SEGURIDAD EN LAS REDES
110
Objetivo 6.1
Redes basadas en firewalls
Una red basada en un firewall es la que las compañías usan para proteger sus redes privadas
de las públicas.
Un firewall es una barrera que se coloca al frente de una red con el fin de protegerla de
ataques externos.
Host- Basado en firewall
Un host-basado en firewall es implementado en una sola máquina, actualmente todos las
computadoras que tengan instalado el sistema operativo Windows cuentan con un firewall
integrado.
Siempre es recomendable implementar un firewall a tu red o computadora vía hardware
pero a menos que seas director de la CIA o tengas información extremadamente
confidencial la implementación de un firewall vía software como el que brindan los
sistemas operativos Windows te proporcionará un nivel de seguridad bastante aceptable de
ataques externos.
Sistemas de prevención y detección de intrusiones
Si alguna vez han penetrado tu red, ¿cómo podrías saberlo? Aunque es verdad que
mediante la búsqueda de huellas dactilares se podría encontrar al atacante (si es que lo hizo
directamente en una máquina de tu red) la realidad es que el ataque seguramente se infiltro
de forma externa, sin embargo los atacantes pueden dejar rastros que te permitan saber
cómo obtuvieron acceso.
Una excelente herramienta para hacer labor de detective es conocida como IDS (Intrusion
Detection System).
Los firewalls estas diseñados para bloquear el tráfico de red no deseado, pero los IDS son
más que una herramienta auditora: te permiten seguir la pista de toda la actividad de tu red,
de tal forma que puedes detectar si alguien ha violado tu seguridad.
Los IDS son una tecnología reciente por lo que los administradores de redes se encuentran
desarrollando formas para combinar los IDS con los firewalls existentes.
Nota: Un IDS no sustituye a un firewall más bien se complementan
Hay dos formas que los sistemas IDS pueden detectar ataques o intrusiones. La primera
está basada en la firma de una intrusión la cual es conocida como misuse-detection IDS
(MD-IDS), las firmas reconocen un uso indebido de a red con lo que las IDS envían una
alarma.
111
La segunda forma es buscar anomalías en la actividad de la red “AD-IDS”(anomalydetection IDS). Un AD-IDS básicamente lo que hace es buscar cualquier actividad anormal
en la red, si descubre alguna envía una alerta.
En la figura 6.1-1 se muestra el funcionamiento de un sistema IDS
Figura 6.1-1 IDS
Cuando un IDS se mueve para prevenir un ataque, se dice que es un IPS (Intrusion
Protecion System), por ejemplo si se detecta un ataque por el puerto 21 tu IDS cierra
temporalmente ese puerto.
Concentradores VPN
Un concentrador VPN es un componente el cual crea acceso remoto para redes privadas
virtuales. La empresa Cisco fabrica concentradores VPN los cuales soportan hasta 10 000
conexiones remotas simultáneas.
Figura 6.1-2Concentrador VPN
La encriptación para los accessosremotos VPN a través de un
concentrador
se realizan mediante
IPsec o SSL, y la authentication puede
llevarse a cabo vía Active Directory ,
Kerberos, RADIUS o RSA.
En la figura 6.1-2 se muestra la
interacción de un concentrador VPN en
una red.
112
Objetivo 6.2
Introducción a los firewalls
Un cortafuegos (o firewall en inglés) es un elemento de hardware o software que se utiliza
en una red de computadoras para controlar las comunicaciones, permitiéndolas o
prohibiéndolas según las políticas de red que haya definido la organización responsable de
la red. Su modo de funcionar es indicado por la recomendación RFC 2979, que define las
características de comportamiento y requerimientos de interoperabilidad. La ubicación
habitual de un cortafuegos es el punto de conexión de la red interna de la organización con
la red exterior, que normalmente es Internet; de este modo se protege la red interna de
intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades
de los sistemas de la red interna.
Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de
una red a la otra y en función de lo que sean permite o deniega su paso.
También es frecuente conectar a los cortafuegos a una tercera red, llamada zona
desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben
permanecer accesibles desde la red exterior.
Un cortafuegos correctamente configurado añade protección a una instalación informática,
pero en ningún caso debe considerarse suficiente. La seguridad informática abarca más
ámbitos y más niveles de trabajo y protección.
Cortafuegos de capa de red o de filtrado de paquetes
Las reglas acerca del filtrado de paquetes a través de un router para rehusar/permitir el
trafico, está basado en un servicio en especifico desde entonces muchos servicios vierten su
información en numerosos puertos TCP/UDP conocidos.
Por ejemplo, un servidor Telnet esta a la espera para conexiones remotas en el puerto 23
TCP y un servidor SMTP espera las conexiones de entrada en el puerto 25 TCP. Para
bloquear todas las entradas de conexión Telnet, el router simplemente descarta todos los
paquetes que contengan el valor del puerto destino TCP igual a 23. Para restringir las
conexiones Telnet a un limitado número de servidores internos, el router podrá rehusar el
paso a todos aquellos paquetes que contengan el puerto destino TCP igual a 23 y que no
contengan la dirección destino IP de uno de los servidores permitidos.
Algunas características típicas de filtrado que un administrador de redes podría solicitar en
un router filtra-paquetes para perfeccionar su funcionamiento serian:


Permitir la entrada de sesiones Telnet únicamente a una lista específica de
servidores internos.
Permitir la entrada de sesiones FTP únicamente a los servidores internos
especificados.
113



Permitir todas las salidas para sesiones Telnet.
Permitir todas las salidas para sesiones FTP.
Rehusar todo el trafico UDP.
Cortafuegos de capa de aplicación
Trabaja en la capa de aplicación (nivel 7 OSI) de manera que los filtrados se pueden
adaptar a características propias de los protocolos de este nivel. Por ejemplo, si se trata de
tráfico HTTP, se pueden realizar filtrados según la URL a la que se está intentando acceder.
Un cortafuegos a nivel 7 de tráfico HTTP suele denominarse proxy, y permite que los host
de una organización entren a internet de una forma controlada.
Un cortafuegos personal es un caso particular de cortafuegos que se instala como software
en un host, filtrando las comunicaciones entre dicho host y el resto de la red y viceversa.
Ventajas de un cortafuego
Protege de intrusiones.- El acceso a ciertos segmentos de la red de una organización sólo se
permite desde máquinas autorizadas de otros segmentos de la organización o de internet.
Protección de información privada.- Permite definir distintos niveles de acceso a la
información, de manera que en una organización cada grupo de usuarios definido tendrá
acceso sólo a los servicios y la información que le son estrictamente necesarios.
Optimización de acceso.- Identifica los elementos de la red internos y optimiza que la
comunicación entre ellos sea más directa. Esto ayuda a reconfigurar los parámetros de
seguridad.
Limitaciones de un cortafuegos Un cortafuegos no puede proteger contra aquellos ataques
cuyo tráfico no pase a través de él.
El cortafuegos no puede proteger de las amenazas a las que está sometido por ataques
internos o usuarios negligentes. El cortafuego no puede prohibir a espías corporativos
copiar datos sensibles en medios físicos de almacenamiento (diskettes, memorias, etc.) y
sustraerlas del edificio.
El cortafuegos no puede proteger contra los ataques de ingeniería social.
El cortafuegos no puede proteger contra los ataques posibles a la red interna por virus
informáticos a través de archivos y software. La solución real está en que la organización
debe ser consciente en instalar software antivirus en cada máquina para protegerse de los
virus que llegan por cualquier medio de almacenamiento u otra fuente.
El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos cuyo
tráfico esté permitido. Hay que configurar correctamente y cuidar la seguridad de los
servicios que se publiquen a Internet.
114
Políticas del cortafuegos Hay dos políticas básicas en la configuración de un cortafuegos
que cambian radicalmente la filosofía fundamental de la seguridad en la organización:
Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido.
El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los
servicios que se necesiten.
Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado.
Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso,
mientras que el resto del tráfico no será filtrado.
La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico
potencialmente peligroso, mientras que en la política permisiva es posible que no se haya
contemplado algún caso de tráfico peligroso y sea permitido por omisión.
DMZ
En seguridad informática, una zona desmilitarizada (DMZ, demilitarized zone) o red
perimetral es una red local que se ubica entre la red interna de una organización y una red
externa, generalmente internet. El objetivo de una DMZ es que las conexiones desde la red
interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ
sólo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con
la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red
externa a la vez que protegen la red interna en el caso de que intrusos comprometan la
seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la
red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se
convierte en un callejón sin salida.
La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos
desde fuera, como servidores de e-mail, Web y DNS.
Las conexiones que se realizan desde la red externa hacia la DMZ se controlan
generalmente utilizando port address translation (PAT).
Una DMZ se crea a menudo a través de las opciones de configuración del cortafuegos,
donde cada red se conecta a un puerto distinto de éste. Esta configuración se llama
cortafuegos en trípode (three-legged firewall). Un planteamiento más seguro es usar dos
cortafuegos, donde la DMZ se sitúa en medio y se conecta a ambos cortafuegos, uno
conectado a la red interna y el otro a la red externa. Esta configuración ayuda a prevenir
configuraciones erróneas accidentales que permitan el acceso desde la red externa a la
interna. Este tipo de configuración también es llamado cortafuegos de subred monitoreada
(screened-subnet firewall).
115
Objetivo 6.3
ACL
Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es un concepto de
seguridad informática usado para fomentar la separación de privilegios. Es una forma de
determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de
ciertos aspectos del proceso que hace el pedido.
Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como routers y
switches. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red
de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por
ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para
activar o mantener una conexión) en ISDN.
VPN
Una VPN es una red privada que se extiende, mediante un proceso de encapsulación y en
su caso de encriptación, de los paquetes de datos a distintos puntos remotos mediante el uso
de unas infraestructuras públicas de transporte.
Los paquetes de datos de la red privada viajan por medio de un "túnel" definido en la red
pública.
Las VPN pueden enlazar por ejemplo oficinas corporativas con sus socios, con usuarios
móviles, con oficinas remotas mediante los protocolos como internet, IP, Ipsec, Frame
Relay, ATM.
L2TP
L2TP fue concebido a partir de la unión de esfuerzos de Microsoft y Cisco Systems.
Microsoft ya tenía PPTP como protocolo de tunelado y Cisco estaba trabajando en L2F, y
de esa comunión nació el borrador de L2TP.
L2TP al igual que PPTP, se utiliza para encapsular PPP con toda la funcionalidad que eso
conlleva. Pero para ello, L2TP define sus propios mecanismos y resulta independiente de
IP. Esto significa que se amplía el abanico de posibilidades para el transporte pudiendo
elegir entre tecnologías como ATM, Frame Relay o incluso IP. Cuando se utiliza IP para el
transporte, L2TP puede ser utilizado como un protocolo de tunelado a través de Internet.
PPTP
El protocolo PPTP resulta ser uno de los más sencillos protocolos para el tunelado de
paquetes, si no el que más. Fue propuesto por un grupo de empresas entre las que se
encuentran 3Com y Microsoft y su inclusión en los sistemas operativos de esta última lo ha
convertido en una solución muy extendida para redes privadas virtuales y mucho más para
acceso remoto seguro, ya que en un principio tan sólo se soportaba esta segunda opción.
116
PPTP encapsula paquetes PPP usando una versión modificada de GRE y utiliza los
mecanismos de autenticación propios de PPP tales como PAP, CHAP o MS-CHAP.
Además en las VPN que utilizan esta tecnología, es habitual que exista cifrado de datos
mediante el protocolo MPPE también desarrollado por Microsoft.
IPSEC
Durante el diseño de IPv4 no se desarrollaron mecanismos de seguridad propios de IP. A la
hora de diseñar IPv6 en cambio sí que se tuvo en cuenta la seguridad. El paquete de
medidas conjuntas que proporciona seguridad a IPv6 se denomina IPsec y puede ser
introducido en IPv4 mediante modificaciones en la pila de protocolos de los sistemas
operativos. De esta manera, no hace falta migrar por completo a IPv6 para beneficiarnos del
uso de IPsec. IPsec proporciona autenticación, integridad de los datos y confidencialidad en
redes IP a nivel de paquete. Esta tecnología tiene muchas aplicaciones y una de las
principales es sin duda la creación de redes privadas virtuales.
RAS
Es una conexión de acceso por discado desde módems de computadoras de escritorio,
portátiles y de mano a través de la Red Pública de Telefonía Conmutada (PSTN, por sus
siglas en inglés) a un ISP determinado a lo largo de líneas telefónicas regulares.
RDP
Los servicios de Windows Terminal Services de Windows 2000 Server y Windows Server
2003, tienen la finalidad de permitir conexiones interactivas remotas desde un cliente
conectado a la red mediante el protocolo TCP/IP.
Escritorio remoto (Remote Desktop) de Windows XP, se basa en dicha tecnología para
ejecutar aplicaciones en un equipo remoto que utilice Windows XP Professional, desde
cualquier otro cliente que utilice como sistema operativo Microsoft Windows.
Estas características están disponibles a través del protocolo de escritorio remoto (RDP), un
protocolo de presentación que permite que un terminal basado en Windows u otros clientes
también bajo Windows, puedan comunicarse con un servidor Terminal Server.
RDP funciona a través de cualquier conexión TCP/IP, incluida una conexión de acceso
telefónico, una red de área local (LAN), una red de área extensa (WAN), una red digital de
servicios integrados (ISDN), DSL o una red privada virtual (VPN).
PPPoE
Las conexiones telefónicas a internet recurren al protocolo punto a punto (PPP). PPPoE es
un método de administrar protocolos PPP a través de Ethernet.
117
PPPoE proporciona autenticación de sesiones mediante el protocolo de autenticación de
contraseñas (PAP o Password Authentication Protocol) o CHAP (Challenge Handshake
Authentication Protocol).
PPP
El PPP es el producto del grupo de trabajo IETF (Internet Engineering Task Force), y es
básicamente un protocolo de enlace de datos para líneas punto a punto.
PPP provee un protocolo de encapsulación tanto sobre enlaces sincrónicos orientados a
bits, como sobre enlaces asincrónicos con 8 bits de datos sin paridad.
PPP puede operar a través de cualquier interfaz DTE/DCE. Estos enlaces deben ser FullDuplex pero pueden ser dedicados, o de circuitos conmutados.
VNC
VNC son las siglas en inglés de Virtual Network Computing (Computación en Red
Virtual).
VNC es un programa de software libre basado en una estructura cliente-servidor el cual nos
permite tomar el control de un servidor remotamente a través de un host cliente. También
llamado software de escritorio remoto. VNC permite que el sistema operativo en cada
computadora sea distinto: Es posible compartir la pantalla de una máquina de "cualquier"
sistema operativo conectando desde cualquier otro host o dispositivo que disponga de un
cliente VNC portado.
La versión original del VNC se desarrolló en Reino Unido, concretamente en los
laboratorios AT&T, en Cambridge. El programa era de código abierto por lo que cualquiera
podía modificarlo y existen hoy en día varios programas para el mismo uso.
ICA
Independent Computing Architecture es un protocolo diseñado por Citrix Systems el cual
proporciona comunicación entre servidores y clientes.
Citrix WinFrame permite a los clientes ejecutar procesos en un servidor remoto al pasar
sólo pulsaciones de teclas, el movimiento del mouse (ratón) y vídeo a través de una
conexión, normalmente ISDN (RDSI) o acceso telefónico. Esto reduce la sobrecarga para el
cliente y permite sistemas más antiguos y más lentos que obtiene rendimiento mucho
mayor.
118
Objetivo 6.4
PKI La tecnología PKI permite a los usuarios autenticarse frente a otros usuarios y usar la
información de los certificados de identidad (por ejemplo, las claves públicas de otros
usuarios) para cifrar y descifrar mensajes, firmar digitalmente información, garantizar el no
repudio de un envío, y otros usos.
En una operación criptográfica que use infraestructura PKI, intervienen conceptualmente
como mínimo las siguientes partes:



Un usuario iniciador de la operación
Unos sistemas servidores que dan fe de la ocurrencia de la operación y garantizan la
validez de los certificados implicados en la operación (autoridad de certificación,
Autoridad de registro y sistema de Sellado de tiempo)
Un destinatario de los datos cifrados/firmados/enviados garantizados por parte del
usuario iniciador de la operación (puede ser él mismo).
PAP fue diseñado de manera sencilla y es un protocolo de dos pasos. El host que está
conectando y se puede decir que actúa como cliente, envía un nombre de usuario y una
contraseña al sistema servidor. Este último, responde si aprueba o no la conexión,
convirtiéndose en el propio autenticador de la misma. PAP resulta ser un protocolo bastante
inseguro, puesto que envía la información en texto plano.
CHAP es un protocolo similar a PAP, pero resulta más seguro al incorporar un tercer paso
para la autenticación. Es un protocolo de desafío y respuesta, lo que significa que el
servidor envía un mensaje de desafío al cliente y este calcula la respuesta mediante MD5 El
desafío consiste en un identificador de sesión y una cadena arbitraria. Con ellos, el cliente
elabora una respuesta mediante un condensado en MD5 de estos dos elementos más la
contraseña. Dicha respuesta incluye también fuera del condensado MD5 el nombre de
usuario (vea la figura 6.4-1).
Una vez que el servidor recibe la respuesta del cliente, la puede comparar con el resultado
esperado y aceptar o no la conexión. Como el desafío y la respuesta se elaboran con
sistemas de condensado de un sólo sentido, el servidor no podrá deshacer el condensado de
la respuesta del cliente. Por lo que deberá elaborar el mismo condensado él mismo.
Es fácil darse cuenta de que este esquema depende de que el servidor y el cliente compartan
cierta información de antemano, porque en otro caso el condensado no podría coincidir.
Esta información compartida es la contraseña de usuario.
Figura 6.4-1 Funcionamiento de CHAP
.
119
MS-CHAP funciona en esencia como lo hace CHAP. Como en CHAP, el autenticador
envía al cliente un desafío que consiste en un identificador de sesión y una cadena
arbitraria. El cliente remoto debe incluir en la respuesta el nombre de usuario y un
condensado MD4 que incluye la cadena arbitraria, el identificador de sesión y un
condensado MD4 a su vez de la contraseña.
Este esquema en el que en el condensado de la respuesta se incluye el condensado de la
contraseña, permite que el servidor almacene las contraseñas a su vez condensadas en lugar
de hacerlo en texto plano. De este modo, el servidor podrá reproducir el proceso para
comparar el resultado con la respuesta del cliente sin necesidad de tener la contraseña
original en texto plano, resultando así un poco más seguro ante ataque (vea la figura 6.4-2).
Figura 6.4-2 ilustra el funcionamiento de MS-CHAP.
MS-CHAP proporciona también códigos de error y mensajes nuevos que no se
encontraban en CHAP. Algunos de estos mensajes permiten cosas como el cambio de
contraseña o la posibilidad de detectar contraseñas expiradas.
Una vez que una conexión PPP ha sido negociada, autenticada y establecida, el protocolo
comienza a transferir datos entre los dos puntos. Cada paquete que se transmite se
encapsula en el origen con una cabecera PPP que es retirada por el sistema que lo recibe.
De esta manera se obtiene la carga útil de PPP que como ya se ha dicho puede incluir
protocolos diversos (IP,IPX...).
RADIUS (acrónimo en inglés de Remote Access Dial-In User Server). Es un protocolo
de autentificación, autorización y accounting para aplicaciones de acceso a la red o
movilidad IP.
Cuando se realiza la conexión con un ISP mediante módem, DSL, cable módem o Wi-Fi, se
debe introducir un nombre de usuario y una contraseña. Esta información se transfiere a un
dispositivo NAS (Servidor de Acceso a la Red) sobre el protocolo PPP, después a un
servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la
información es correcta utilizando esquemas de autentificación como PAP, CHAP o EAP.
120
Si es aceptado, el servidor autorizará el acceso al sistema del ISP y seleccionará una
dirección IP, parámetros L2TP, etc.
Al servidor RADIUS también se le notifica cuando comienza y termina la sesión, así que al
usuario se le podrá facturar en consecuencia; o los datos se pueden utilizar con propósitos
estadísticos.
RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie
PortMaster de sus Servidores de Acceso a la Red (NAS), más tarde se publicó como RFC
2138 y RFC 2139. Actualmente existen muchos servidores RADIUS, tanto comerciales
como de código abierto. Las prestaciones pueden variar, pero la mayoría pueden gestionar
los usuarios en archivos de texto, servidores LDAP, bases de datos varias, etc.
RADIUS es extensible; la mayoría de fabricantes de software y hardware RADIUS
implementan sus propios dialectos.
TACACS+ (acrónimo de Terminal Access Controller Access Control System) es un
protocolo de autenticación remota que se usa para gestionar el acceso (proporciona
servicios separados de autenticación, autorización y registro) a servidores y dispositivos de
comunicaciones.
TACACS+ está basado en TACACS, pero, a pesar de su nombre, es un protocolo
completamente nuevo e incompatible con las versiones anteriores de TACACS.
Kerberos es un protocolo de autenticación de redes que permite a dos comunicantes en una
red insegura demostrarse su identidad mutuamente de manera segura.
El Instituto Tecnológico de Massachussets (MIT) desarrolló Kerberos para proteger los
servicios de red proporcionados por el proyecto Athena. El MIT distribuye una
implementación de Kerberos libremente bajo una licencia similar a la de BSD.
EAP Extensible Authentication Protocol.
Uno de los elementos básicos del 802.1x y desarrollado como mejora del Point to Point
Protocol (PPP - RFC 1661). PPP utiliza como método de autenticación "username" y
"password". Actualmente existe la necesidad de ampliar dicho método a otros, que resulten
más seguros o cómodos para el usuario.
Así fue diseñado EAP, basado en el protocolo PPP y proporcionando un marco
generalizado para diversos métodos de autenticación. EAP sirve como soporte a protocolos
propietarios de autenticación, gestiona las contraseñas en mecanismos de desafío-respuesta
y es capaz de trabajar con tecnología de clave pública.
121
Objetivo 6.5
Seguridad Física
La seguridad física es un tema que muchas empresas olvidan, se preocupan por tener un
antivirus, por tener los equipos actualizados y perfectamente configurados, sin embargo
dejan los servidores al alcance de cualquiera, de forma personal he visto como en algunas
empresas los servidores o routers se encuentran junto al escritorio de la secretaria incluso
personal trabajando en ellos como si se tratara de cualquier máquina.
Ante tales circunstancias es muy fácil desconectar o des configurar dichos equipos con
todas las consecuencias que ello implica. Lo ideal es que se cuente con un cuarto aislado al
cual solo tengan acceso el o los administradores de la red.
Adicionalmente se pueden agregar otras medidas de seguridad que a continuación veremos
Barrera Física
Un centro de cómputo debe tener más de una barrera física para sus servidores y routers, la
primera barrera es delimitar un perímetro de acceso, el cual puede implicar el uso de
biométricos (lectores de huellas digitales, o retinas) para identificar a las personas
autorizadas que pueden ingresar al cuarto donde se encuentran los servidores. También
puede incluir el uso de cámaras de vigilancia.
Una segunda línea de defensa es colocar chapas en las puertas de acceso al cuarto de los
servidores y una tercera línea de defensa en colocar bajo llave el site donde se encuentran
nuestros equipos.
La figura 6.5-1 muestra un ejemplo de la implementación de una barrera física de 3 niveles
Figura 6.5-1 Barrera física
122
Restricción local y acceso remoto
El control de acceso es una parte fundamental en cualquier programa de seguridad, ya
hemos hablado de la implementación de seguridad a través de barreras físicas, ahora es
tiempo de pensar quien puede acceder al servidor.
Cuando el acceso es local, solo los administradores de la red pueden loguearse en el
servidor directamente (En el mundo de Microsoft server las cuentas por default que pueden
loguearse en el dominio son las de los administradores).
El acceso remoto requiere especial cuidado, algunas ocasionas las necesidades de una
empresa requieren que otras personas puedan acceder al servidor de forma remota para
consultar algún dato de importancia por ejemplo un vendedor, en estos casos como
administradores de red se debe garantizar que solo las personas designadas accedan al
servidor y solo a los recursos que necesite utilizar o consultar, Windows 2003 y 2008 server
permiten implementar excelentes mediadas de seguridad para acceso remoto mediante las
cuentas de usuario.
Métodos seguros e inseguros
Algunas aplicaciones que se utilizan para tener acceso a una red pueden generar problemas
de seguridad, ya que mediante un snnifer se puede capturar el tráfico de la red y si los datos
no están encriptados pueden obtener información valiosa o infiltrarse en los servidores, por
lo anterior se listan a continuación una serie de protocolos y aplicaciones inseguras y por
cual se recomienda cambiar con el fin de incrementar la seguridad en sus conexiones. (Vea
la tabla 6.5-1)
Tabla 6.5-1 Protocolos inseguros y seguros
Método inseguro
http
Telnet
FTP
SNMP (v1 y v2)
Método seguro
https
SSH
SFTP
SNMP (v3)
123
Objetivo 6.6
Sin importar si están conectadas por cable o de manera inalámbrica, las redes de
computadoras cada vez se tornan más esenciales para las actividades diarias. Tanto las
personas como las organizaciones dependen de sus computadores y de las redes para
funciones como correo electrónico, contabilidad, organización y administración de
archivos. Las intrusiones de personas no autorizadas pueden causar interrupciones costosas
en la red y pérdidas de trabajo. Los ataques a una red pueden ser devastadores y pueden
causar pérdida de tiempo y de dinero debido a los daños o robos de información o de
activos importantes.
Los intrusos pueden obtener acceso a la red a través de vulnerabilidades del software,
ataques al hardware o incluso a través de métodos menos tecnológicos, como el de adivinar
el nombre de usuario y la contraseña de una persona. Por lo general, a los intrusos que
obtienen acceso mediante la modificación del software o la explotación de las
vulnerabilidades del software se los denomina piratas informáticos.
Una vez que el pirata informático obtiene acceso a la red, pueden surgir cuatro tipos de
amenazas:




Robo de información
Robo de identidad
Pérdida/manipulación de datos
Interrupción del servicio
Las amenazas de seguridad causadas por intrusos en la red pueden originarse tanto en
forma interna como externa.
Amenazas externas
Las amenazas externas provienen de personas que trabajan fuera de una organización. Estas
personas no tienen autorización para acceder al sistema o a la red de la computadora. Los
atacantes externos logran ingresar a la red principalmente desde internet, enlaces
inalámbricos o servidores de acceso dial-up.
Amenazas internas
Las amenazas internas se originan cuando una persona cuenta con acceso autorizado a la
red a través de una cuenta de usuario o tiene acceso físico al equipo de la red. Un atacante
interno conoce la política interna y las personas por lo general, conocen información
valiosa y vulnerable y saben cómo acceder a ésta.
Sin embargo, no todos los ataques internos son intencionales, en algunos casos la amenaza
interna puede provenir de un empleado confiable que capta un virus o una amenaza de
seguridad mientras se encuentra fuera de la compañía y, sin saberlo, lo lleva a la red
interna.
124
Para un intruso, una de las formas más fáciles de obtener acceso, ya sea interno o externo,
es el aprovechamiento de las conductas humanas. Uno de los métodos más comunes de
explotación de las debilidades humanas se denomina ingeniería social.
Ingeniería social
Ingeniería social es un término que hace referencia a la capacidad de algo o alguien para
influenciar la conducta de un grupo de personas. En el contexto de la seguridad de
computadores y redes, la ingeniería social hace referencia a una serie de técnicas utilizadas
para engañar a los usuarios internos a fin de que realicen acciones específicas o revelen
información confidencial.
A través de estas técnicas, el atacante se aprovecha de usuarios legítimos desprevenidos
para obtener acceso a los recursos internos y a información privada, como números de
cuentas bancarias o contraseñas.
Los ataques de ingeniería social aprovechan el hecho de que a los usuarios generalmente se
los considera uno de los enlaces más débiles en lo que se refiere a la seguridad. Los
ingenieros sociales pueden ser internos o externos a la organización; sin embargo, por lo
general no conocen a sus víctimas cara a cara.
Tres de las técnicas más comúnmente utilizadas en la ingeniería social son: pretextar,
suplantación de identidad y vishing. (Vea la figura 6.6-1)
Figura 6.6-1 Uso de ingeniería social para obtener una contraseña
Figura 6.6-2 Virus, gusanos, caballos de troya
La ingeniería social es una amenaza de seguridad común que
se basa en la debilidad humana para obtener los resultados
deseados.
Además de la ingeniería social, existen otros tipos de ataques
que explotan las vulnerabilidades del software de
computadoras. Algunos ejemplos de técnicas de ataque son:
virus, gusanos y caballos de Troya. (Figura 6.6-2)
125
Todos estos son tipos de software maliciosos que se introducen en un host. Pueden dañar
un sistema, destruir datos y también denegar el acceso a redes, sistemas o servicios.
También pueden enviar datos y detalles personales de usuarios de PC desprevenidos a
delincuentes. En muchos casos, pueden replicarse y propagarse a otros hosts conectados a
la red.
En algunas ocasiones estas técnicas se utilizan en combinación con la ingeniería social para
engañar a un usuario desprevenido a fin de llevar a cabo el ataque.
Virus
Un virus es un programa que se ejecuta y se propaga al modificar otros programas o
archivos. Un virus no puede iniciarse por sí mismo, sino que debe ser activado. Una vez
que está activado, un virus no puede hacer más que replicarse y propagarse. A pesar de ser
simple, hasta este tipo de virus es peligroso, ya que puede utilizar rápidamente toda la
memoria disponible e interrumpir completamente el sistema. Un virus más peligroso puede
estar programado para borrar o dañar archivos específicos antes de propagarse. Los virus
pueden transmitirse mediante documentos adjuntos a correos electrónicos, archivos
descargados, mensajes instantáneos, disquetes, cd o dispositivos usb.
Gusanos
Un gusano es similar a un virus pero, a diferencia de éste, no necesita adjuntarse a un
programa existente. Un gusano utiliza la red para enviar copias de sí mismo a cualquier
host conectado. Un gusano puede ejecutarse independientemente y propagarse rápidamente.
No requieren necesariamente activación o intervención humana. Los gusanos que se
propagan por sí mismos por la red pueden tener un impacto mucho mayor que un simple
virus y pueden infectar rápidamente grandes partes de Internet.
Caballos de Troya
Un caballo de Troya es un programa que no se replica por sí mismo y que se escribe para
asemejarse a un programa legítimo, cuando en realidad se trata de una herramienta de
ataque. Un caballo de Troya se basa en su apariencia legítima para engañar a una víctima a
fin de que inicie el programa. Puede ser relativamente inofensivo o contener códigos que
pueden dañar el contenido del disco duro de la computadora. Los troyanos también pueden
crear una puerta trasera en un sistema para permitir que los piratas informáticos obtengan
acceso.
Denegación de servicio (DoS)
Por lo general, el objetivo de un atacante es interrumpir el funcionamiento normal de una
red. Este tipo de ataque a menudo se lleva a cabo con el fin de interrumpir el
funcionamiento de una organización.
Los ataques DoS son ataques agresivos sobre una computadora personal o un grupo de
computadoras con el fin de denegar el servicio a los usuarios a quienes está dirigido. Los
126
ataques DoS tienen como objetivo sistemas de usuarios finales, servidores, routers y
enlaces de red.
Figura 6.6-3
En general, los ataques
DoS tienen como fin:
Inundar un sistema o una
red con tráfico a fin de
evitar que el tráfico de red
legítimo fluya.
Interrumpir las conexiones
entre un cliente y un
servidor para evitar el
acceso al servicio. (Figura
6.6-3)
Existen varios tipos de ataques DoS. Los administradores de redes deben estar al tanto de
los tipos de ataques DoS que se pueden producir a fin de asegurarse de que sus redes estén
protegidas. Dos tipos comunes de ataques DoS son:
Flooding SYN (sincrónica): se envía una gran cantidad de paquetes a un servidor, para
solicitar una conexión de cliente. Los paquetes contienen direcciones IP de orígenes no
válidos. El servidor se ocupa de responder a estas solicitudes falsas y, por lo tanto, no
puede responder a las solicitudes legítimas.
Ping of death: se envía a un dispositivo un paquete con un tamaño mayor que el máximo
permitido por el IP (65 535 bytes). Esto puede hacer que el sistema receptor colapse.
Políticas de seguridad
No se pueden eliminar o evitar completamente los riesgos de seguridad. Sin embargo, tanto
la administración como la evaluación efectiva de riesgos pueden minimizar
significativamente los riesgos de seguridad existentes. Para minimizar los riesgos es
importante comprender que no existe un único producto que pueda asegurar una
organización. La verdadera seguridad de redes proviene de una combinación de productos y
servicios junto con una política de seguridad exhaustiva y un compromiso de respetar esa
política.
Una política de seguridad es una declaración formal de las normas que los usuarios deben
respetar a fin de acceder a los bienes de tecnología e información. Puede ser tan simple
como una política de uso aceptable o contener muchas páginas y detallar cada aspecto de
conectividad de los usuarios, así como los procedimientos de uso de redes. La política de
seguridad debe ser el punto central acerca de la forma en la que se protege, se supervisa, se
evalúa y se mejora una red. Mientras que la mayoría de los usuarios domésticos no tiene
una política de seguridad formal por escrito, a medida que una red crece en tamaño y en
alcance, la importancia de una política de seguridad definida para todos los usuarios
aumenta drásticamente. Algunos de los puntos que deben incluirse en una política de
127
seguridad son: políticas de identificación y autenticación, políticas de contraseñas, políticas
de uso aceptable, políticas de acceso remoto y procedimientos para el manejo de incidentes.
Cuando se desarrolla una política de seguridad es necesario que todos los usuarios de la red
la cumplan y la sigan para que sea efectiva.
La política de seguridad debe ser el punto central acerca de la forma en la que se protege, se
supervisa, se evalúa y se mejora una red. Los procedimientos de seguridad implementan
políticas de seguridad. Los procedimientos definen la configuración, el inicio de sesión, la
auditoría y los procesos de mantenimiento de los hosts y dispositivos de red. Incluyen la
utilización tanto de medidas preventivas para reducir el riesgo como de medidas activas
acerca de la forma de manejar las amenazas de seguridad conocidas. Los procedimientos de
seguridad abarcan desde tareas simples y poco costosas, como el mantenimiento de las
versiones actualizadas de software, hasta implementaciones complejas de firewalls y
sistemas de detección de intrusiones.
Algunas de las herramientas y aplicaciones de seguridad utilizadas en la protección de
redes incluyen:






Parches y actualizaciones de software
Protección contra virus
Protección contra spyware
Bloqueadores de correo no deseado
Bloqueadores de elementos emergentes
Firewalls.
Parches y actualizaciones
Uno de los métodos más comunes que utiliza un pirata informático para obtener acceso a
los hosts y/o a las redes es atacar las vulnerabilidades del software. Es importante mantener
las aplicaciones de software actualizadas con los últimos parches y actualizaciones de
seguridad a fin de ayudar a evitar las amenazas. Un parche es un pequeño código que
corrige un problema específico. Por otro lado, una actualización puede incluir funciones
adicionales al paquete de software y también parches para problemas específicos.
Los proveedores de SO (sistemas operativos, como Linux, Windows, etc.) y aplicaciones
proporcionan continuamente actualizaciones y parches de seguridad que pueden corregir
vulnerabilidades conocidas del software. Además, los proveedores lanzan, por lo general,
conjuntos de parches y actualizaciones, conocidos como paquetes de servicios.
Afortunadamente, muchos sistemas operativos ofrecen una función de actualización
automática que permite que las actualizaciones de SO y las aplicaciones se descarguen e
instalen automáticamente en un host.
128
CONCLUSIONES
Para poder realizar el programa de preparación del examen Network + se utilizó Access
como base de datos para almacenar las preguntas del mismo.
La interfaz fue desarrollada en Visual Basic 2005, dicha interfaz hace una conexión a la
base de datos para obtener las preguntas del examen, el manejo del programa es bastante
intuitivo y le permite al aspirante tanto evaluar sus conocimientos adquiridos como tener
una idea aproximada del tipo de preguntas que tendrá que responder en el examen real.
Las preguntas del programa fueron obtenidas del examen muestra Test King, el cual brinda
preguntas del mismo tipo que el examen real. También se tomaron preguntas de otros
simuladores como el sybex y troytec y de los libros de consulta.
Para grabar los videos que acompañan la tesis y que explican el funcionamiento del
programa se utilizó el programa Camtasia.
Para realizar la tesis se tomo como referencia el manual Delux de Sybex, la Guía de
Estudio de Mc Graw hill, entre otros.
Además se siguió el orden del temario tal y como la empresa CompTIA lo indica (en
http://www.comptia.org/certifications/testprep.aspx puede descargar los objetivos en
ingles) de tal forma que el lector puede ubicar sin ningún problema los temas tal y como el
temario de Network+ lo indica.
Cabe mencionar que ostento dicha certificación y además cuento con experiencia
impartiendo el curso por lo que garantizo que si el aspirante estudia y comprende los temas
expuestos en la presente tesis, así como si obtiene un porcentaje del 90% en el programa
simulador del examen, aprobará el examen de certificación.
Finalmente a quien desee hacer más completo el simulador, podría entre otras cosas
almacenar los resultados en una base de datos, crear cuentas de usuario y generar reportes
con los resultados de los exámenes.
En cuanto al contenido de la tesis, ésta cubre los objetivos que la certificación Network+ en
su versión 2009 indica, generalmente las certificaciones se actualizan en promedio cada 3
años por lo que, en ese periodo de tiempo este documento indudablemente servirá de base
para quien quiera presentar el examen de certificación, pero indudablemente el aspirante
deberá completar su preparación con los nuevos temas y de ser posible actualizarse este
documento.
129
APENDICE A
TEST NP+ v1
130
TEST NP+ v1
El Test NP+ v1 es un programa que permitirá al estudiante prepararse para presentar el
CompTIA Network +, su base de datos esta actualizada para presentar el examen en su
versión 2009.
El programa está elaborado en Visual Basic .Net de la suite Visual Studio 2005, se utiliza
Access como base de datos y se utiliza una conexión ODBC para enlazarla con el
programa.
Funcionamiento general del programa
El siguiente diagrama de flujo muestra el funcionamiento general de programa
131
132
Base de datos
La base de datos utilizada para almacenar las preguntas del programa de examen como se
mencionó está elaborada en Access 2007.
Nombre de la base de datos: exámenes.mdb
Tabla: preguntas
Estructura de la tabla:
CAMPO
id
pregunta
a
b
c
correcta
TIPO DE DATO
Auto numérico
Memo
Memo
Memo
Memo
Texto
DESCRIPCION
Este campo contiene el número de pregunta
Este campo contiene la pregunta que el usuario deberá responder
Este campo contiene una de las respuestas que el usuario deberá elegir
Este campo contiene una de las respuestas que el usuario deberá elegir
Este campo contiene una de las respuestas que el usuario deberá elegir
Este campo contiene cual de las 3 opciones es la correcta
133
Descarga del controlador
Visual Básic .Net no tiene conexión nativa con mysql, para solucionar este problema
mysql desarrolló un controlador denominado mysql-connector-odbc.
Para descargarlo realice lo siguiente:
Acceda a la página de mysql en www.mysql.com
De clic en Downloads busque MySQL Connectors y de clic en Connector/ODBC.
Seleccione en plataforma Microsoft Windows
De clic en download en Windows (x86, 32-bit), MSI Installer (el común de los sistemas
operativos esta 32 bits, sistema operativo es de 64 bits descargue Windows (x86, 64-bit),
MSI Installer)
Instalación del controlador
De doble clic en el archivo de instalador mysql-connector-odbc-5.1.6-win32 (en su caso la
versión del controlador puede cambiar).
En la ventana que aparezca de clic en Ejecutar
Aparece la primera ventana del asistente de instalación, de clic en Next
Seleccione Typical y de clic en Next
De clic en Install
Cuando finalice el proceso de instalación de clic en Finish
Crear la cadena OBDC
De clic en Botón de Inicio / Panel de control / Herramientas Administrativas /
Orígenes de datos ODBC
Aparecerá la ventana Administrador de orígenes de datos ODBC en esa ventana de clic en
la ficha DNS de Sistema
De clic en el botón Agregar
En la lista que aparezca busque y selecciones MysSQL ODBC 5.1 Driver de clic en
Finalizar.
En la ventana que aparezca deberá configurar los siguientes parámetros
Data Source Name:
Server:
User:
Password:
Database:
Permitir el acceso vía remota a la base de datos
134
Videos
En la carpeta videos del CD que acompaña a la tesis encontrará los siguientes videos en los
cuales se explica el funcionamiento y configuración del programa.
Instalacion.avi
Este video muestra el procedimiento de instalación del programa, así como las
configuraciones necesarias para su correcto funcionamiento.
Funcionamiento.avi
Este video muestra el funcionamiento del programa.
CódigoFuente.avi
En este video se explica el código fuente y la función de los controles del programa.
135
BIBLIOGRAFIA
[1] BOSH, Arán A. 3ra edición. Fundamentos de las redes. Mcgraw-Hill
[2] DEAN, Tamara. 2009. CompTIA Network+ 2009 in Depth. USA. Cengage Learning.
[3] GLEN, E. Clarke. Fourth Edition 2009. CompTIA Network+ Study Certification
Study Guide. USA, Mcgraw-Hill.
[4] LAMMLE, Todd. 2009. CompTIA Network+ Deluxe, Deluxe Study Guide. USA.
Wiley Publishing,Inc.
[5] MEYERS,Mike. Second Edition. CompTIA Network+® Guide to Managing and
Troubleshooting Networks. USA, Mcgraw-Hill.
[6] RAYA, José L. Cuarta Edición 2006. Redes locales. España. Alfa-Omega.
[7] Vilmar, Anthony. 2005. CompTIA Network+ Self Study Guide. USA. Thomson
Delmar Learning.
Direcciones electrónicas consultadas
[1] http://www.comptia.org
[2] http://www.testking.com
[3] http://www.vue.com
136
Descargar