NETWORKING

9 Ingeniera de Sistemas e Informtica -ISIN-

NETWORKING
TABLA DE CONTENIDOS
Presentacin Objetivos del mdulo Introduccin UNIDAD I: INTRODUCCION AL NETWORKING CAP. I: Introduccin CAP. II: Stack de Protocolos TCP/IP CAP. III: Administracin de Direccionamiento IP UNIDAD II: ELEMENTOS DE UNA INTERNETWORK CAP. I: Red IP CAP. II: Red de Servicios UNIDAD III: CONFIGURACION DE DISPOSITIVOS CISCO CAP. I: Configuracin Basica CAP. II: Configuracion de Interfaces CAP. III: Configuracin de rutas estaticas CAP. IV: Listas de control de acceso ACL UNIDAD IV: INSTALACION Y CONFIGURACION DE SERVIDORES. CAP. I: Instalacion y configuracin de servidores de Intranet CAP. II: Instalacion y configuracin de servidores de Internet UNIDAD V: INSTALACION DE UNA CENTRAL IP CAP. I: Requisitos de hardware para instalar Asterisk CAP. II: Requisitos de librerias y paquetes adicionales CAP. III: Instalacion de Asterisk

NETWORKING
PRESENTACIN DEL MODULO El uso diario de computadoras, telefonos moviles y demas dispositivos tecnologicos de telecomunicacin hacen necesario de un entorno en el que todos estemos interconectados para compartir informacin, acceder a aplicaciones o por simple confort al descargar musica o ver imgenes o videos. Es por lo dicho que la conectividad y por tanto el Networking son temas relevantes para un profesional cuyo trabajo depende en gran medida de estos temas. La disciplina de los sistemas informaticos hoy no es un tema apartado de las telecomunicaciones, por el contrario los sistemas desarrollados por un Ingeniero de Sistemas Informaticos deben introducirse en la Internetwork para que sea accedido por los usuarios que estan ya sea dispersos por una ciudad, por el pais o por todo el mundo. Para acceder a los servicios y sistemas de interes se necesita tanto de la infraestructura IP como la de servicios que asi lo permitan, por ejemplo para acceder al sitio web diseado se requerira la parte IP como infraestructura basica para el transporte de paquetes de informacin y de un servidor web que permita enviar ese sitio a los clientes remotos via el protocolo http. Es sin duda una tematica que concentrara todos los apspectos necesarios para mantenernos comunicados y disfrutar de los sistemas, aplicaciones y servicios diseados por nosotros. Bienvenidos al inmenso mundo del Networking, en el que se conjugaran tematicas tan diversas y a la vez tan complementarias que nos ayudaran a entender al interaccion del ser humano con al tecnologa de telecomunicacin. No quiero terminar esta presentacion sin antes agradecer pblicamente a dos ex alumnos: Marcelo Burgos y Angel Chamba. Distinguidos profesionales que en su oportunidad fueron dirigidos por mi persona y de cuyos trabajos he extrado gran parte del material de este modulo. A ellos mi eterna gratitud por brindarme su amistad y confianza.

NETWORKING

OBJETIVOS DEL MODULO

OBJETIVO GENERAL Capacitar al estudiante en cada uno de los topicos del Networking, utilizando para ello un enfoque meramente practico y de aprender haciendo. OBJETIVOS ESPECIFICOS 1. Introducir al estudiante en todos los conceptos necesarios para entender los diferentes topicos que incluye el Networking. 2. Capacitar al estudiante en las diferentes tecnologas de acceso y de core para proporcionar transmisin de datos o Internet, asi como tambien conocer las tecnologas sobre la red de servicios dentro de un entorno global de telecomunicaciones.

3. Configurar un switch o router cisco desde cero, para ello se empezara por lo basico, ruteo estatico, y control de trafico por listas de acceso. 4. Instalar y configurar servidores de Intranet r internet bajo plataforma Linux, o cualquier distribucin libre de Unix. Para ello se utilizara los fuentes de los programas. 5. Instalar Asterisk en un servidor de minimos requerimientos de hardware para convertirla en una central IP con o sin salida a la PSTN.

NETWORKING

INTRODUCCIN
El Networking es la disciplina que se ocupa del estudio de la conectividad entre dispositivos de red y la prestacin de servicios a los usuarios de tal infraestructura. En la primera unidad se hace un recuento de los conocimientos basicos necesarios para abordar las tematicas del Networking como el stack de protocolos TCP/IP y el direccionamiento IP. En la segunda unidad se revisa los elementos de una internetwork, en al que se divide la misma en dos grandes campos: La Red IP y La Red de Servicios. LA primera trata de las tecnologas que permiten conecar dispositivos IP y que los usuarios accedan a la misma. La segunda, la red de servicios tarat sobre como ofrecer los mismos alos clientes, es decir, como hacerle util a la infraestructura IP. En la tercera unidad , ya enmarcada dentro de un carcter meramente practico trata sobre al configuracin de dispositivos Cisco, tematica indispensable para entender la red IP. Se detalla la configuracin basica, la configuracin de interfaces, el ruteo estatico y el control de trafico usando ACLs. En la cuarta y quinta unidades se trata a profundidad las instalacion y configuracin de servidores bajo plataforma Linux. Se divide en dos grupos: Los servidores de Intranet (Firewall, proxy, dhcp, nfs) y Los servidores de Internet (DNS, Correo, Web, FTP). Por ultimo, en la sexta unidad se aborda las centrales telefoncias IP, como complemento perfecto para la red de servicios, se trata el tema utilizando para el proposito plataforma Unix y el software Asterisk como forma de implementacion.

NETWORKING
UNIDAD I INTRODUCCION AL NETWORKING OBJETIVO DE LA UNIDAD Introducir al estudiante en todos los conceptos necesarios para entender los diferentes topicos que incluye el Networking. CONTENIDOS: CAPT. TEMAS I II III Introduccin Stack de protocolos TCP/IP Direccionamiento IP

HORAS DE ESTUDIO O3H00 O5H00 O7H00

I Introduccin Internet no es un nuevo tipo de red fsica, sino un conjunto de tecnologas que permiten interconectar redes muy distintas entre s. Internet no es dependiente de la mquina ni del sistema operativo utilizado, de esta manera, podemos transmitir informacin entre un servidor Unix y un ordenador que utilice Windows 98, o entre plataformas completamente distintas como Macintosh, Alpha o Intel. Es ms entre una mquina y otra generalmente existirn redes distintas: redes Ethernet, redes Token Ring e incluso enlaces va satlite, como vemos, est claro que no podemos utilizar ningn protocolo que dependa de una arquitectura en particular lo que estamos buscando es un mtodo de interconexin general que sea vlido para cualquier plataforma, sistema operativo y tipo de red. La familia de protocolos que se eligieron para permitir que Internet sea una Red de redes es TCP/IP. Ntese aqu que hablamos de familia de protocolos ya que son muchos los protocolos que la integran, aunque en ocasiones para simplificar hablemos sencillamente del protocolo TCP/IP. El protocolo TCP/IP tiene que estar a un nivel superior del tipo de red empleado y funcionar de forma transparente en cualquier tipo de red. Y a un nivel inferior de los programas de aplicacin (pginas WEB, correo electrnico) particulares de cada sistema operativo. Todo esto nos sugiere el siguiente modelo de referencia:
Capa de aplicacin (HTTP, SMTP, FTP, TELNET...) Capa de transporte (UDP, TCP) Capa de red (IP) Capa de acceso a la red (Ethernet, Token Ring...) Capa fsica (cable coaxial, par trenzado...)

NETWORKING
El nivel ms bajo es la capa fsica. Aqu nos referimos al medio fsico por el cual se transmite la informacin. Generalmente ser un cable aunque no se descarta cualquier otro medio de transmisin como ondas o enlaces va satlite. La capa de acceso a la red determina la manera en que las estaciones (ordenadores) envan y reciben la informacin a travs del soporte fsico proporcionado por la capa anterior. Es decir, una vez que tenemos un cable, cmo se transmite la informacin por ese cable? Cundo puede una estacin transmitir? Tiene que esperar algn turno o transmite sin ms? Cmo sabe una estacin que un mensaje es para ella?. Pues bien, son todas estas cuestiones las que resuelve esta capa. Las dos capas anteriores quedan a un nivel inferior del protocolo TCP/IP, es decir, no forman parte de este protocolo. La capa de red define la forma en que un mensaje se transmite a travs de distintos tipos de redes hasta llegar a su destino. El principal protocolo de esta capa es el IP aunque tambin se encuentran a este nivel los protocolos ARP, ICMP e IGMP. Esta capa proporciona el direccionamiento IP y determina la ruta ptima a travs de los encaminadores (routers) que debe seguir un paquete desde el origen al destino. La capa de transporte (protocolos TCP y UDP) ya no se preocupa de la ruta que siguen los mensajes hasta llegar a su destino. Sencillamente, considera que la comunicacin extremo a extremo est establecida y la utiliza. Adems aade la nocin de puertos, como veremos ms adelante. Una vez que tenemos establecida la comunicacin desde el origen al destino nos queda lo ms importante, qu podemos transmitir? La capa de aplicacin nos proporciona los distintos servicios de Internet: correo electrnico, pginas Web, FTP, TELNET. II. Stack de Protocolos TCP/IP Hay algunas discusiones sobre como encaja el modelo TCP/IP dentro del modelo OSI. Como TCP/IP y modelo OSI no estn delimitados con precisin no hay una respuesta que sea la correcta. El modelo OSI no est lo suficientemente dotado en los niveles inferiores como para detallar la autntica estratificacin en niveles, necesitara tener una capa extra (el nivel de Interred) entre los niveles de transporte y red. Protocolos especficos de un tipo concreto de red, que se sitan por encima del marco de hardware bsico, pertenecen al nivel de red, pero sin serlo. Ejemplos de estos protocolos son el ARP (Protocolo de resolucin de direcciones) y el STP (Spanning Tree Protocol). De todas formas, estos son protocolos locales, y trabajan por debajo de las capas de Interred. Cierto es que situar ambos grupos (sin mencionar los protocolos que forman parte del nivel de Interred pero se sitan por encima de los protocolos de Interred, como ICMP) todos en la misma capa puede producir confusin, pero el modelo OSI no llega a ese nivel de complejidad para ser ms til como modelo de referencia.

NETWORKING
El siguiente diagrama intenta mostrar la pila TCP/IP y otros protocolos relacionados con el modelo OSI original: 7 Aplicacin 6 Presentacin 5 Sesin 4 Transporte 3 Red 2 Enlace datos ej. HTTP, DNS, SMTP, SNMP, FTP, Telnet, SSH y SCP, NFS, RTSP, Feed, Webcal ej. XDR, ASN.1, SMB, AFP ej. TLS, SSH, ISO 8327 / CCITT X.225, RPC, NetBIOS ej. TCP, UDP, RTP, SCTP, SPX ej. IP, ICMP, IGMP, X.25, CLNP, ARP, RARP, BGP, OSPF, RIP, IGRP, EIGRP, IPX, DDP de ej. Ethernet, Token Ring, PPP, HDLC, Frame Relay, RDSI, ATM, IEEE 802.11, FDDI ej. cable, radio, fibra ptica Tabla 1.1: Protocolos por capa del modelo OSI Normalmente, los tres niveles superiores del modelo OSI (Aplicacin, Presentacin y Sesin) son considerados simplemente como el nivel de aplicacin en el conjunto TCP/IP. Como TCP/IP no tiene un nivel de sesin unificado sobre el que los niveles superiores se sostengan, estas funciones son tpicamente desempeadas (o ignoradas) por las aplicaciones de usuario. La diferencia ms notable entre los modelos de TCP/IP y OSI es el nivel de Aplicacin, en TCP/IP se integran algunos niveles del modelo OSI en su nivel de Aplicacin. 2.1 Capa de Red La familia de protocolos TCP/IP fue diseada para permitir la interconexin entre distintas redes. El mejor ejemplo de interconexin de redes es Internet se trata de un conjunto de redes unidas mediante encaminadores o routers. En una red TCP/IP es posible tener, por ejemplo, servidores web y servidores de correo para uso interno. A continuacin veremos un ejemplo de interconexin de 3 redes. Cada host (ordenador) tiene una direccin fsica que viene determinada por su adaptador de red. Estas direcciones se corresponden con la capa de acceso al medio y se utilizan para comunicar dos ordenadores que pertenecen a la misma red. Para identificar globalmente un ordenador dentro de un conjunto de redes TCP/IP se utilizan las direcciones IP (capa de red). Observando una direccin IP sabremos si pertenece a nuestra propia red o a una distinta (todas las direcciones IP de la misma red comienzan con los mismos nmeros, segn veremos ms adelante).

1 Fsico

NETWORKING
Host A R1 B R2 C D Direccin fsica 00-60-52-0B-B7-7D 00-E0-4C-AB-9A-FF A3-BB-05-17-29-D0 00-E0-4C-33-79-AF B2-42-52-12-37-BE 00-E0-89-AB-12-92 A3-BB-08-10-DA-DB B2-AB-31-07-12-93 Direccin IP 192.168.0.10 192.168.0.1 10.10.0.1 10.10.0.7 10.10.0.2 200.3.107.1 200.3.107.73 200.3.107.200 Red Red 1 Red 2

Red 3

Tabla 1.2 Direcciones IP

Figura 1.1 Interconexin de tres redes El concepto de red est relacionado con las direcciones IP que se configuren en cada ordenador, no con el cableado. Es decir, si tenemos varias redes dentro del mismo cableado solamente los ordenadores que permanezcan a una misma red podrn comunicarse entre s. Para que los ordenadores de una red puedan comunicarse con los de otra red es necesario que existan routers que interconecten las redes. Un router no es ms que un ordenador con varias direcciones IP, una para cada red, que permita el trfico de paquetes entre sus redes.

NETWORKING
La capa de red se encarga de fragmentar cada mensaje en paquetes de datos llamados datagramas IP y de enviarlos de forma independiente a travs de la red de redes. Cada datagrama IP incluye un campo con la direccin IP de destino. Esta informacin se utiliza para enrutar los datagramas a travs de las redes necesarias que los hagan llegar hasta su destino. En el ejemplo anterior, supongamos que el ordenador 200.3.107.200 (D) enva un mensaje al ordenador con 200.3.107.73 (C). Como ambas direcciones comienzan con los mismos nmeros, D sabr que ese ordenador se encuentra dentro de su propia red y el mensaje se entregar de forma directa. Sin embargo, si el ordenador 200.3.107.200 (D) tuviese que comunicarse con 10.10.0.7 (B), D advertira que el ordenador destino no pertenece a su propia red y enviara el mensaje al router R2 (es el ordenador que le da salida a otras redes). El router entregara el mensaje de forma directa porque B se encuentra dentro de una de sus redes (la Red 2). 2.2 Capa de Transporte La capa de red transfiere datagramas entre dos ordenadores a travs de la red utilizando como identificadores las direcciones IP. La capa de transporte aade la nocin de puerto para distinguir entre los muchos destinos dentro de un mismo host. No es suficiente con indicar la direccin IP del destino, adems hay que especificar la aplicacin que recoger el mensaje. Cada aplicacin que est esperando un mensaje utiliza un nmero de puerto distinto; ms concretamente, la aplicacin est a la espera de un mensaje en un puerto determinado (escuchando un puerto). Pero no slo se utilizan los puertos para la recepcin de mensajes, tambin para el envo: todos los mensajes que enve un ordenador debe hacerlo a travs de uno de sus puertos. El siguiente diagrama representa una transmisin entre el ordenador 194.35.133.5 y el 135.22.8.165. El primero utiliza su puerto 1256 y el segundo, el 80.

La capa de transporte transmite mensajes entre las aplicaciones de dos ordenadores. Por ejemplo, entre nuestro navegador de pginas web y un servidor de pginas web, o entre nuestro programa de correo electrnico y un servidor de correo. 2.2.1 Puertos Un ordenador puede estar conectado con distintos servidores a la vez; por ejemplo, con un servidor de noticias y un servidor de correo. Para distinguir las distintas conexiones dentro de un mismo ordenador se utilizan los puertos. Un puerto es un nmero de 16 bits, por lo que existen 65536 puertos en cada ordenador. Las aplicaciones utilizan estos puertos para recibir y transmitir mensajes.

NETWORKING
Los nmeros de puerto de las aplicaciones cliente son asignados dinmicamente y generalmente son superiores al 1024. Cuando una aplicacin cliente quiere comunicarse con un servidor, busca un nmero de puerto libre y lo utiliza. En cambio, las aplicaciones servidoras utilizan unos nmeros de puerto prefijados: son los llamados puertos well-known (bien conocidos). A continuacin se enumeran los puertos well-known (ms conocidos): Palabra clave Puerto Descripcin Reserved Reserved TCP Port Service Multiplexer Remote Job Entry Echo Discard Active Users Daytime Quote of the Day Character Generator File Transfer [Default Data] File Transfer [Control] Telnet Simple Mail Transfer Time Host Name Server Who Is Domain Name Server Bootstrap Protocol Server Trivial File Transfer Gopher Finger World Wide Web HTTP Device Control Protocol SUPDUP NIC Host Name Server ISO-TSAP Genesis Point-to-Point Trans Net Remote Telnet Service Post Office Protocol Version 2 Post Office Protocol Version 3 SUN Remote Procedure Call Authentication Service Simple File Transfer Protocol Network News Transfer Protocol Network Time Protocol

0/tcp 0/udp tcpmux 1/tcp rje 5/tcp echo 7/tcp/udp discard 9/tcp/udp systat 11/tcp/udp daytime 13/tcp/udp qotd 17/tcp/udp chargen 19/tcp/udp ftp-data 20/tcp ftp 21/tcp telnet 23/tcp smtp 25/tcp time 37/tcp/udp nameserver 42/tcp/udp nicname 43/tcp/udp domain 53/tcp/udp bootps 67/udp/udp tftp 69/udp gopher 70/tcp finger 79/tcp www-http 80/tcp dcp 93/tcp supdup 95/tcp hostname 101/tcp iso-tsap 102/tcp gppitnp 103/tcp rtelnet pop2 pop3 sunrpc auth sftp nntp ntp 107/tcp/udp 109/tcp 110/tcp 111/tcp/udp 113/tcp 115/tcp/udp 119/tcp 123/udp

10

NETWORKING
pwdgen netbios-ns netbiosdgm netbiosssn snmp snmptrap irc 129/tcp 137/tcp/udp 138/tcp/udp Password Generator Protocol NETBIOS Name Service NETBIOS Datagram Service

139/tcp/udp NETBIOS Session Service 161/udp 162/udp 194/tcp SNMP SNMPTRAP Internet Relay Chat Protocol

Tabla 1.8 Puertos de capa transporte Los puertos tienen una memoria intermedia (buffer). De tal forma que las aplicaciones transmiten la informacin a los puertos. Aqu se va almacenando hasta que pueda enviarse por la red. Una vez que pueda transmitirse, la informacin ir llegando al puerto destino donde se ir guardando hasta que la aplicacin est preparada para recibirla. Los dos protocolos principales de la capa de transporte son UDP y TCP. El primero ofrece una transferencia de mensajes no fiable y no orientada a conexin y el segundo, una transferencia fiable y orientada a conexin. III. Direccionamiento IP

La direccin IP es el identificador de cada host dentro de la red. Cada host conectado a una red tiene una direccin IP asignada, la cual debe ser distinta a todas las dems direcciones que estn vigentes en ese momento en el conjunto de redes visibles por el host. En el caso de Internet, no puede haber dos ordenadores con 2 direcciones IP (pblicas) iguales. Pero s podramos tener dos ordenadores con la misma direccin IP siempre y cuando pertenezcan a redes independientes entre s (sin ningn camino posible que las comunique). Las direcciones IP se clasifican en: Direcciones IP pblicas. Son visibles en todo Internet. Un ordenador con una IP pblica es accesible (visible) desde cualquier otro ordenador conectado a Internet. Para conectarse a Internet es necesario tener una direccin IP pblica. Direcciones IP privadas (reservadas). Son visibles nicamente por otros hosts de su propia red o de otras redes privadas interconectadas por routers. Se utilizan en las empresas para los puestos de trabajo. Los ordenadores con direcciones IP privadas pueden salir a Internet por medio de un router (o proxy) que tenga una IP pblica. Sin embargo, desde Internet no se puede acceder a ordenadores con direcciones IP privadas (Al menos no directamente). Direcciones IP estticas (fijas). Un host que se conecte a la red con direccin IP esttica siempre lo har con una misma IP. Las direcciones IP pblicas estticas son las que utilizan los servidores

11

NETWORKING
de Internet con objeto de que estn siempre localizables por los usuarios de Internet. Estas direcciones hay que contratarlas. Direcciones IP dinmicas. Un host que se conecte a la red mediante direccin IP dinmica, cada vez lo har con una direccin IP distinta. Las direcciones IP pblicas dinmicas son las que se utilizan en las conexiones a Internet mediante un mdem. Los proveedores de Internet utilizan direcciones IP dinmicas debido a que tienen ms clientes que direcciones IP. Las direcciones IP estn formadas por 4 bytes (32 bits). Se suelen representar de la forma a.b.c.d donde cada una de estas letras es un nmero comprendido entre el 0 y el 255. Las direcciones IP tambin se pueden representar en hexadecimal, desde la 00.00.00.00 hasta la FF.FF.FF.FF o en binario, desde la 00000000.00000000.00000000.00000000 hasta la 11111111.11111111.11111111.11111111. Las tres direcciones siguientes representan a la misma mquina (podemos utilizar la calculadora cientfica de Windows para realizar las conversiones). (decimal) 128.10.2.30 (hexadecimal) 80.0A.02.1E (binario) 10000000.00001010.00000010.00011110 Cuntas direcciones IP existen? Si calculamos 2 elevado a 32 obtenemos ms de 4000 millones de direcciones distintas. Sin embargo, no todas las direcciones son vlidas para asignarlas a hosts. Las direcciones IP no se encuentran aisladas en Internet, sino que pertenecen siempre a alguna red. Todas las mquinas conectadas a una misma red se caracterizan en que los primeros bits de sus direcciones son iguales. De esta forma, las direcciones se dividen conceptualmente en dos partes: el identificador de red y el identificador de host. Dependiendo del nmero de hosts que se necesiten para cada red, las direcciones de Internet se han dividido en las clases primarias A, B y C. La clase D est formada por direcciones que identifican no a un host, sino a un grupo de ellos. Las direcciones de clase E no se pueden utilizar (estn reservadas).

Clase A B C

Rango de direcciones reservadas de redes 10.0.0.0 172.16.0.0 - 172.31.0.0 192.168.0.0 - 192.168.255.0 Tabla 1.3 Rango de Direcciones IP

12

NETWORKING
0 12 34 Clase A 0 Red Clase B 1 0 Red Clase C 1 1 0 Red Clase D 1 1 1 0 grupo de multicast (multidifusin) Clase E 1 1 1 1 (direcciones reservadas: no se pueden utilizar) Tabla 1.4 Tipo de direcciones IP Direcciones IP especiales y reservadas No todas las direcciones comprendidas entre la 0.0.0.0 y la 223.255.255.255 son vlidas para un host: algunas de ellas tienen significados especiales. Las principales direcciones especiales se resumen en la siguiente tabla. Su interpretacin depende del host desde el que se utilicen. 8 host host host 16 24 3 1

Nmero Formato Rango de Nmero de Clase (r=red, direcciones de de redes hosts por h=host) redes red 16.777.214 0.0.0.0 - 127.0.0.0 A r.h.h.h 128 128.0.0.0 16.384 65.534 B r.r.h.h 191.255.0.0 192.0.0.0 2.097.152 254 C r.r.r.h 223.255.255.0 224.0.0.0 D grupo 239.255.255.255 no 240.0.0.0 E vlidas 255.255.255.255 Tabla 1.5 IPs Reservadas

Mscara de subred 255.0.0.0 255.255.0.0 255.255.255.0 -

Bits de Bits de Significado red host todos 0 Mi propio host cualquier Loopback (mi 127 valor vlido host) de host

Ejemplo 0.0.0.0 propio 127.0.0.1

Tabla 1.6 Rango de direcciones reservadas de redes

13

NETWORKING
Las direcciones de redes siguientes se encuentran reservadas para su uso en redes privadas (intranets). Una direccin IP que pertenezca a una de estas redes se dice que es una direccin IP privada. Por ejemplo, si estamos construyendo una red privada con un nmero de ordenadores no superior a 254 podemos utilizar una red reservada de clase C. Al primer ordenador le podemos asignar la direccin 192.168.23.1, al segundo 192.168.23.2 y as sucesivamente hasta la 192.168.23.254. Como estamos utilizando direcciones reservadas, tenemos la garanta de que no habr ninguna mquina conectada directamente a Internet con alguna de nuestras direcciones. De esta manera, no se producirn conflictos y desde cualquiera de nuestros ordenadores podremos acceder a la totalidad de los servidores de Internet. CASO PRCTICO.- Una empresa dispone de una lnea frame relay con direcciones pblicas contratadas desde la 194.143.17.8 hasta la 194.143.17.15 (la direccin de la red es 194.143.17.8, su direccin de broadcasting 194.143.17.15 y su mscara de red 255.255.255.248). La lnea frame relay est conectada a un router. Disear la red para: 3 servidores (de correo, web y proxy) 20 puestos de trabajo Los 20 puestos de trabajo utilizan direcciones IP privadas y salen a Internet a travs del Proxy. En la configuracin de red de cada uno de estos 20 ordenadores se indicar la direccin "192.168.1.1" en el cuadro "Puerta de enlace". La puerta de enlace (puerta de salida o gateway) es el ordenador de nuestra red que nos permite salir a otras redes. El Proxy tiene dos direcciones IP, una de la red privada y otra de la red pblica. Su misin es dar salida a Internet a la red privada, pero no permitir los accesos desde el exterior a la zona privada de la empresa. Los 3 servidores y el router utilizan direcciones IP pblicas, para que sean accesibles desde cualquier host de Internet. La puerta de enlace de Proxy, Correo y Web es 194.143.17.9 (Router). Obsrvese que la primera y ltima direccin de todas las redes son direcciones IP especiales que no se pueden utilizar para asignarlas a hosts. La primera es la direccin de la red y la ltima, la direccin de difusin o broadcasting. La mscara de subred de cada ordenador se ha indicado dentro de su red despus de una barra: PC1, PC2, ... , PC20 y Proxy (para su IP 192.168.1.1) tienen la mscara 255.255.255.0 y Router, Web, Correo y Proxy (para su IP 194.143.17.10), la mscara 255.255.255.248.

14

NETWORKING

Figura 1.2 Tres Servidores y 20 estaciones de trabajo Clculo de la direccin de difusin Ya hemos visto que el producto lgico binario (AND) de una IP y su mscara devuelve su direccin de red. Para calcular su direccin de difusin, hay que hacer la suma lgica en binario (OR) de la IP con el inverso (NOT) de su mscara. En una red de redes TCP/IP no puede haber hosts aislados: todos pertenecen a alguna red y todos tienen una direccin IP y una mscara de subred (si no se especifica se toma la mscara que corresponda a su clase). Mediante esta mscara un ordenador sabe si otro ordenador se encuentra en su misma subred o en otra distinta. Si pertenece a su misma subred, el mensaje se entregar directamente. En cambio, los hosts estn configurados en redes distintas, el mensaje se enviar a la puerta de salida o router de la red del host origen. Este router pasar el mensaje al siguiente de la cadena y as sucesivamente hasta que se alcance la red del host destino y se complete la entrega del mensaje.

15

NETWORKING

Los proveedores de Internet habitualmente disponen de una o ms redes pblicas para dar acceso a los usuarios que se conectan por mdem. El proveedor va cediendo estas direcciones pblicas a sus clientes a medida que se conectan y liberndolas segn se van desconectando (direcciones dinmicas). Supongamos que cierto ISP (proveedor de servicios de Internet) dispone de la red 63.81.0.0 con mscara 255.255.0.0. Para uso interno utiliza las direcciones que comienzan por 63.81.0 y para ofrecer acceso a Internet a sus usuarios, las direcciones comprendidas entre la 63.81.1.0 hasta la 63.81.255.254 (las direcciones 63.81.0.0 y 63.81.255.255 estn reservadas). Si un usuario conectado a la red de este ISP tiene la direccin 63.81.1.1 y quiere transferir un archivo al usuario con IP 63.81.1.2, el primero advertir que el destinatario se encuentra en su misma subred y el mensaje no saldr de la red del proveedor (no atravesar el router). Las mscaras 255.0.0.0 (clase A), 255.255.0.0 (clase B) y 255.255.255.0 (clase C) suelen ser suficientes para la mayora de las redes privadas. Sin embargo, las redes ms pequeas que podemos formar con estas mscaras son de 254 hosts y para el caso de direcciones pblicas, su contratacin tiene un coste muy alto. Por esta razn suele ser habitual dividir las redes pblicas de clase C en subredes ms pequeas. A continuacin se muestran las posibles divisiones de una red de clase C. La divisin de una red en subredes se conoce como subnetting.

16

NETWORKING
Nm. Nmero de Mscara de Binario de hosts subred subredes por subred 255.255.255.0 00000000 1 254 255.255.255.128 10000000 2 126 255.255.255.192 11000000 4 255.255.255.224 11100000 8 255.255.255.240 11110000 16 255.255.255.248 11111000 32 62 30 14 6 Ejemplos de subredes (x=a.b.c por ejemplo, 192.168.1) x.0 x.0, x.128 x.0, x.64, x.128, x.192 x.0, x.32, x.64, x.96, x.128, ... x.0, x.16, x.32, x.48, x.64, ... x.0, x.8, x.16, x.24, x.32, x.40, ... x.0, x.4, x.8, x.12, x.16, x.20, ... ninguna posible ninguna posible

255.255.255.252 11111100 64 255.255.255.254 11111110 128 255.255.255.255 11111111 256

2 0 0

Tabla 1.7 - Divisin de una red en subredes (subnetting) Obsrvese que en el caso prctico que explicamos un poco ms arriba se utiliz la mscara 255.255.255.248 para crear una red pblica con 6 direcciones de hosts vlidas (la primera y ltima direccin de todas las redes se excluyen). Las mscaras con bytes distintos a 0 o 255 tambin se pueden utilizar para particionar redes de clase A o de clase B, sin embargo no suele ser lo ms habitual. Por ejemplo, la mscara 255.255.192.0 dividira una red de clase B en 4 subredes de 16382 hosts (2 elevado a 14, menos 2) cada una.

EJERCICIOS Calcular la direccin de red y direccin de broadcasting (difusin) de las mquinas con las siguientes direcciones IP y mscaras de subred (si no se especifica, se utiliza la mscara por defecto):
18.120.16.250: mscara 255.0.0.0, red 18.0.0.0, broadcasting

18.255.255.255
18.120.16.255

255.255.0.0:

red

18.120.0.0,

broadcasting

18.120.255.255
155.4.220.39: mscara 255.255.0.0, red 155.4.0.0, broadcasting

155.4.255.255
194.209.14.33:

mscara 255.255.255.0, broadcasting 194.209.14.255

red

194.209.14.0,

17

NETWORKING
190.33.109.133 / 255.255.255.0: red 190.33.109.0, broadcasting

190.33.109.255 Suponiendo que nuestro ordenador tiene la direccin IP 192.168.5.65 con mscara 255.255.255.0, indicar qu significan las siguientes direcciones especiales:

0.0.0.0: nuestro ordenador 0.0.0.29: 192.168.5.29 192.168.67.0: la red 192.168.67.0 255.255.255.255: broadcasting a la red 192.168.5.0 (la nuestra) 192.130.10.255: broadcasting a la red 192.130.10.0 127.0.0.1: 192.168.5.65 (loopback)

Calcular la direccin de red y direccin de broadcasting (difusin) de las mquinas con las siguientes direcciones IP y mscaras de subred:
190.33.109.133

/ 255.255.255.128: red 190.33.109.128, broadcasting 190.33.109.255 (133=10000101, 128=10000000, 127=01111111) 192.168.20.25 / 255.255.255.240: red 192.168.20.16, broadcasting 192.168.20.31 (25=00011001, 240=11110000, 16=00010000, 31=00011111) 192.168.20.25 / 255.255.255.224: red 192.168.20.0, broadcasting 192.168.20.31 (25=00011001, 224=11100000, 31=00011111) 192.168.20.25 / 255.255.255.192: red 192.168.20.0, broadcasting 192.168.20.63 (25=00011001, 192=11000000, 63=00111111) 140.190.20.10 / 255.255.192.0: red 140.190.0.0, broadcasting 140.190.63.255 (020=00010100, 192=11000000, 063=00111111) 140.190.130.10 / 255.255.192.0: red 140.190.128.0, broadcasting 140.190.191.255 (130=10000010, 192=11000000, 128=10000000, 063=00111111, 191=10111111) 140.190.220.10 / 255.255.192.0: red 140.190.192.0, broadcasting 140.190.255.255 (220=11011100, 192=11000000, 063=00111111, 255=11111111)

Viendo las direcciones IP de los hosts pblicos de una empresa observamos que todas estn comprendidas entre 194.143.17.145 y 194.143.17.158, Cul es (probablemente) su direccin de red, broadcasting y mscara? Pasamos a binario las dos direcciones. La primera tiene que estar prxima a la direccin de red y la ltima, a la direccin de broadcasting: 194.143.017.145 11000010.10001111.00010001.10010001 194.143.017.158 11000010.10001111.00010001.10011110

18

NETWORKING
Podemos suponer que la direccin de red es 194.143.17.144 y la de broadcasting, 194.143.17.159: 194.143.017.144 11000010.10001111.00010001.10010000 194.143.017.159 11000010.10001111.00010001.10011111 <-------------RED-------------><-->HOST Entonces la mscara ser: 255.255.255.240 11111111.11111111.11111111.11110000 <-------------RED-------------><-->HOST

ACTIVIDADES: Bibliografa de la Unidad 1. Savage, S.L. (1998): Insight.xla: Business Analysis Software for Microsoft Excel. Duxbury Press. 2. Gedam, S.G.; Beaudet, S.T. (2000): Monte Carlo Simulation using Excel Spreadsheet for Predicting Reliability of a Complex System. Proceedings Annual Reliability and Maintainability Symposium. 3. http://random.mat.sbg.ac.at/links/index.html Pgina web de la WWW Virtual Library dedicada a nmeros aleatorios y simulacin MC 4. http://csep1.phy.ornl.gov/mc/mc.html Libro electrnico sobre simulacin MC

CRITERIOS DE EVALUACIN: Prueba escrita Tareas de aplicacin Exposicin grupal

19

NETWORKING
UNIDAD II ELEMENTOS DE UNA INTERNETWORK OBJETIVO DE LA UNIDAD Capacitar al estudiante en las diferentes tecnologas de acceso y de core para proporcionar transmisin de datos o Internet, asi como tambien conocer las tecnologas sobre la red de servicios dentro de un entorno global de telecomunicaciones. CONTENIDOS: CAPT. I II I. Red IP 1.1 Dispositivos de Capa 2. Se distinguen dos tipos: Bridges Switches Bridges (Puentes) Union de dos segmentos fisicos homogeneos para formar un solo segmento logico. Cada segmento (puerto) cuenta con un ancho de banda dedicado. Nivel de enlace de datos. Switches En esencia son bridges con muchos puertos Contienen una matriz para transmisin de paquetes Gran capacidad de localizacion de direcciones y envio de paquetes. Los mas usados son switches capa 2, que unicamente permiten concentrar y reenviar el trafico, no realizan ruteo. Ventajas y Desventajas de los Bridges y Switches Ventajas Independencia de los niveles superiores Separacion de segementos fisicos de la red Filtraje de trafico Extensin de la LAN Faciles de instalar y mantener Desventajas Imposibilidad de conectar redes heterogeneas de forma eficiente No son escalables en redes muy grandes por no segmentar el broadcast No pueden tener mas de un camino alterno para enviar la informacin No pueden balancear la carga. Red IP Red de Servicios TEMAS HORAS DE ESTUDIO O4H00 10H00

20

NETWORKING
1.2 Dispositivos de Acceso RAS (Remote Access Server) Como se aprecia en el grafico, este dispositivo de acceso permite conectarse al Internet a usuarios via Dial Up. Para esto, al marcar la PBX le contestara una central telefonica Analogica o Digital, la misma que enrutara la llamada al RAS, dispositivo que verifica la identidad del usuario y asigna la IP publica que le permitira al cliente acceder a la Internet.

CMTS (Sitema de Terminacion de red HFC) Este tipo de equipos de acceso permiten que accedan a Internet a cablemodems y mtas que se enganchan a la red HFC. Estos equipos necesitan calibrar una seal de down y up con el equipo del cliente, luego del cual este ultimo pide una direccion IP y un archivo de configuracin, el mismo que contiene la informacin sobre su ancho de banda y permisos otorgados.

21

NETWORKING

MPLS Y RED SDH

En la figura de arriba podemos observar un equipo de transporte MPLS de la marca Tellabs y nodos A111 de la red SDH, tambien equipote transporte. A estos equipos se conectan los DSLAM para permitir el acceso a los clientes mediante par de cobre y obtener velocidades en funcion de su template.

22

NETWORKING
1.2 Dispositivos de Capa 3 (Backbone) Introduccin a los routers de una Wan Un router es un tipo especial de computador. Cuenta con los mismos componentes bsicos que un PC estndar de escritorio. Cuenta con una CPU, memoria, bus de sistema y distintas interfaces de entrada/salida. Sin embargo, los routers estn diseados para cumplir algunas funciones muy especficas que, en general, no realizan los computadores de escritorio. Por ejemplo, los routers conectan y permiten la comunicacin entre dos redes y determinan la mejor ruta para la transmisin de datos a travs de las redes conectadas. Al igual que los computadores, que necesitan sistemas operativos para ejecutar aplicaciones de software, los routers necesitan el software denominado Sistema operativo de internetworking (IOS) para ejecutar los archivos de configuracin. Estos archivos de configuracin contienen las instrucciones y los parmetros que controlan el flujo del trfico entrante y saliente de los routers. Especficamente, a travs de los protocolos de enrutamiento, los routers toman decisiones sobre cul es la mejor ruta para los paquetes. El archivo de configuracin especifica toda la informacin necesaria para una correcta configuracin y uso de los protocolos enrutados y de enrutamiento seleccionados, o habilitados, en el router. Este curso mostrar cmo usar los comandos IOS para crear archivos de configuracin a fin de que el router ejecute varias funciones de red esenciales. El archivo de configuracin del router puede parecer complejo a primera vista, pero, al terminar el curso, no lo parecer tanto. Los principales componentes internos del router son la memoria de acceso aleatorio (RAM), la memoria de acceso aleatorio no voltil (NVRAM), la memoria flash, la memoria de slo lectura (ROM) y las interfaces. La RAM, tambin llamada RAM dinmica (DRAM), tiene las siguientes caractersticas y funciones:

Almacena las tablas de enrutamiento. Guarda el cach ARP. Guarda el cach de conmutacin rpida. Crea el buffer de los paquetes (RAM compartida). Mantiene las colas de espera de los paquetes. Brinda una memoria temporal para el archivo de configuracin del router mientras est encendido. Pierde el contenido cuando se apaga o reinicia el router.

La NVRAM tiene las siguientes caractersticas y funciones:

Almacena el archivo de configuracin inicial. Retiene el contenido cuando se apaga o reinicia el router.

La memoria flash tiene las siguientes caractersticas y funciones:

23

NETWORKING

Guarda la imagen del sistema operativo (IOS) Permite que el software se actualice sin retirar ni reemplazar chips en el procesador. Retiene el contenido cuando se apaga o reinicia el router. Puede almacenar varias versiones del software IOS. Es un tipo de ROM programable, que se puede borrar electrnicamente (EEPROM)

La memoria de slo lectura (ROM) tiene las siguientes caractersticas y funciones:

Guarda las instrucciones para el diagnstico de la prueba al inicio (POST). Guarda el programa bootstrap y el software bsico del sistema operativo. Requiere del reemplazo de chips que se pueden conectar en el motherboard para las actualizaciones del software.

Las interfaces tienen las siguientes caractersticas y funciones:

Conectan el router a la red para permitir que las tramas entren y salgan. Pueden estar en el motherboard o en un mdulo aparte.

Funcin de un router en una Wan Se dice que una WAN opera en la capa fsica y en la capa de enlace de datos. Esto no significa que las otras cinco capas del modelo OSI no se hallen en una WAN. Simplemente significa que las caractersticas que distinguen una red WAN de una LAN, en general, se encuentran en la capa fsica y en la capa de enlace de datos. En otras palabras, los estndares y protocolos que se usan en la capa 1 y capa 2 de las WAN son diferentes a aquellas que se utilizan en las mismas capas de las LAN. La capa fsica WAN describe la interfaz entre el equipo terminal de datos (DTE) y el equipo de transmisin de datos (DCE). Normalmente el DCE es el proveedor del servicio, mientras que el DTE es el dispositivo conectado. En este modelo, los servicios ofrecidos al DTE estn disponibles a travs de un mdem o CSU/DSU. La funcin principal de un router es enrutar. El enrutamiento se produce en la capa de red, la capa 3, pero si la WAN opera en las capas 1 y 2, un router es un dispositivo LAN o un dispositivo WAN? La respuesta es ambos, como sucede tan a menudo en el campo de las redes y telecomunicaciones. Un router puede ser exclusivamente un dispositivo LAN, o puede ser exclusivamente un dispositivo WAN, pero tambin puede estar en la frontera entre una LAN y una WAN y ser un dispositivo LAN y WAN al mismo tiempo. Una de las funciones de un router en una WAN es enrutar los paquetes en la capa 3, pero esta tambin es la funcin de un router en una LAN. Por lo tanto, el enrutamiento no es estrictamente una funcin de un router en la WAN. Cuando un router usa los protocolos y los estndares de la capa de enlace de datos y fsica asociados con las WAN, opera como dispositivo WAN. Las funciones principales de un router en una WAN, por lo tanto, no yacen en el enrutamiento sino en

24

NETWORKING
proporcionar las conexiones con y entre los diversos estndares de enlace de datos y fsico WAN. Por ejemplo, un router puede tener una interfaz RDSI que usa encapsulamiento PPP y una interfaz serial que termina en una lnea TI que usa encapsulamiento de Frame Relay. El router debe ser capaz de pasar una corriente de bits desde un tipo de servicio, por ejemplo el RDSI, a otro, como el T1, y cambiar el encapsulamiento de enlace de datos de PPP a Frame Relay. Muchos de los detalles de los protocolos WAN de Capa 1 y Capa 2 se tratarn ms adelante en este curso, pero algunos de los protocolos y estndares WAN clave aparecen en la siguiente lista de referencia. Los protocolos y estndares de la capa fsica WAN:

EIA/TIA -232 EIA/TIA -449 V.24 V.35 X.21 G.703 EIA-530 RDSI T1, T3, E1 y E3 xDSL SONET (OC-3, OC-12, OC-48, OC-192)

Los protocolos y estndares de la capa de enlace de datos WAN:

Control de enlace de datos de alto nivel (HDLC) Frame Relay Protocolo punto a punto (PPP) Control de enlace de datos sncrono (SDLC) Protocolo Internet de enlace serial (SLIP) X.25 ATM LAPB LAPD LAPF

II RED DE SERVICIOS 2.1 Servicios de Intranet 2.1.1 Servicio de filtrado de paquetes y Nat (Firewall) Linux contiene herramientas avanzadas para el filtrado de paquetes de red el proceso dentro del kernel de controlar los paquetes de red al entrar, mientras se mueven y cuando salen de la red. Los kernels anteriores al 2.4 confiaban en ipchains para el filtrado de paquetes y usaban listas de reglas aplicadas a los paquetes en cada paso del proceso de filtrado. La introduccin de kernel 2.4 trajo consigo iptables (tambin llamado netfilter), lo cual es similar a ipchains pero

25

NETWORKING
expande enormemente el mbito y el control disponible para el filtrado de paquetes de red. Filtrado de paquetes El kernel de Linux tiene incorporado la caracterstica interna de filtrar paquetes, permitiendo aceptar algunos de ellos en el sistema mientras que intercepta y para a otros. El netfilter del kernel tiene tres tablas o listas de reglas incorporadas. Son las siguientes: filter La tabla por defecto para el manejo de paquetes de red. nat NAT (acrnimo de Network Address Translation o Traduccin de direccin de red), tambin conocido como enmascaramiento de IP, es una tcnica mediante la cual las direcciones de origen y/o destino de paquetes IP son reescritas mientras pasan a travs de un dispositivo de encaminamiento (router) o muro cortafuegos. Se utiliza para permitir a mltiples anfitriones en una Red Privada con direcciones IP para Red Privada para acceder hacia una Internet utilizando una sola direccin IP pblica. mangle Usada por tipos especficos de alteracin de paquetes. Cada una de estas tablas tiene un grupo de cadenas incorporadas que corresponden a las acciones llevadas a cabo por el filtro de la red. Las cadenas internas para la tabla filtro son las siguientes:
INPUT Aplica a los paquetes recibidos a travs de una interfaz de

red. OUTPUT Esta cadena sirve para paquetes enviados por medio de la misma interfaz de red que recibi los paquetes. FORWARD Esta cadena sirve para paquetes recibidos en una interfaz de red y enviados en otra. Las cadenas internas para la tabla nat son las siguientes:
POSTROUTING Esta cadena altera paquetes antes de que sean

enviados por medio de una interfaz de red. PREROUTING Esta cadena altera paquetes recibidos por medio de una interfaz de red cuando llegan. OUTPUT Esta cadena altera paquetes generados localmente antes de que sean dirigidos por medio de una interfaz de red. Las cadenas internas para la tabla mangle son las siguientes:
PREROUTING Esta cadena altera paquetes recibidos por medio de

una interfaz de red antes de que sean dirigidos. POSTROUTING Altera los paquetes de red cuando estos son enviados. DNAT.- (acrnimo de Destination Network Address Translation o traduccin de direccin de red de destino) es una tcnica mediante la cual se hace pblico un servicio desde una Red Privada. Es decir permite redirigir puertos hacia

26

NETWORKING
direcciones IP de Red Privada. El uso de esta tcnica puede permitir a un usuario en Internet alcanzar un puerto en una Red Privada (dentro de una LAN) desde el exterior a travs de un encaminados (router) o muro cortafuegos donde ha sido habilitado un NAT. Cada paquete de red recibido o enviado desde un sistema Linux est sujeto a al menos una tabla. Sin embargo, un paquete puede estar sometido a mltiples reglas dentro de cada tabla antes de emerger al final de la cadena. La estructura y propsito de estas reglas puede variar, pero normalmente buscan identificar un paquete que viene de o se dirige hacia una direcccin IP en particular, o un conjunto de direcciones, cuando utiliza un determinado protocolo y servicio de red. Nota.- No utilice nombres de dominio completos en las reglas del cortafuegos que se guardan en los archivos /etc/sysconfig/iptables o /etc/sysconfig/ip6tables. En el ejemplo siguiente: iptables -A FORWARD -s example.com -i eth0 -j DROP example.com No es vlido porque el servicio iptables comienza antes de cualquier servicio DNS relacionado, lo que produce un error. Solamente las direcciones IP son vlidas para la creacin de reglas de cortafuegos. Independientemente de su destino, cuando un paquete cumple una regla en particular en una de las tablas, se les aplica un objetivo (target) o accin a ellos. Si la regla especifica un objetivo ACCEPT para un paquete que coincida, el paquete se salta el resto de las verificaciones de la regla y se permite que contine hacia su destino. Si una regla especifica un objetivo DROP, a ese paquete se le niega el acceso al sistema y no se enva nada de vuelta al servidor que envi el paquete. Si una regla especifica un objetivo QUEUE, el paquete se pasa al espacio del usuario. Si una regla especifica el objetivo opcional REJECT, el paquete es descartado, pero se enva un paquete de error al que envi el paquete. Cada cadena tiene una poltica por defecto de ACCEPT, DROP, REJECT, o QUEUE. Si ninguna de estas reglas en la cadena se aplican al paquete, entonces el paquete es tratado de acuerdo a la poltica por defecto. El comando iptables configura estas tablas, as como tambin configura nuevas tablas si es necesario. Estructura de las opciones iptables Muchos comandos iptables tienen la siguiente estructura: iptables [-t <table-name>] <command> <chain-name> <parameter-1> \ <option-1> <parameter-n> <option-n> La opcin <table-name> permite al usuario seleccionar una tabla diferente a la tabla predeterminada filter a usar con el comando. La opcin <command> indica una accin especfica a realizar, tal como anexar o eliminar la regla especificada

27

NETWORKING
por la opcin <chain-name>. Luego de la opcin <chain-name> se encuentran un par de parmetros y opciones que definen qu pasar cuando un paquete coincide con la regla. Cuando miramos la estructura de un comando iptables, es importante recordar que, al contrario que la mayora de los comandos, la longitud y complejidad de un comando iptables puede cambiar en funcin de su propsito. Un comando para borrar una regla de una cadena puede ser muy corto, mientras que un comando diseado para filtrar paquetes de una subred particular usando un conjunto de parmetros especficos y opciones puede ser mucho ms largo. Al crear comandos iptables puede ser de ayuda reconocer que algunos parmetros y opciones pueden crear la necesidad de utilizar otros parmetros y opciones para especificar ms an la peticin de la opcin anterior. Para construir una regla vlida, esto deber continuar hasta que todos los parmetros y opciones que requieran otro conjunto de opciones hayan sido satisfechos. Escriba iptables -h para ver una lista detallada de la estructura de los comandos iptables. Opciones de comandos Las opciones de comandos le dicen a iptables que realice una accin especfica. Solamente una opcin de comando se permite por comando iptables. Excepto el comando de ayuda, todos los comandos se escriben en maysculas. Los comandos de iptables son los siguientes:
-A Aade la regla iptables al final de la cadena especificada. Este es

el comando utilizado para simplemente aadir una regla cuando el orden de las reglas en la cadena no importa. -C Verifica una regla en particular antes de aadirla en la cadena especificada por el usuario. Este comando puede ser de ayuda para construir reglas iptables complejas pidindole que introduzca parmetros y opciones adicionales. -D Borra una regla de una cadena en particular por nmero (como el 5 para la quinta regla de una cadena). Puede tambin teclear la regla entera e iptables borrar la regla en la cadena que corresponda. -E Renombra una cadena definida por el usuario. Esto no afecta la estructura de la tabla. -F Libera la cadena seleccionada, que borra cada regla de la cadena. Si no se especifica ninguna cadena, este comando libera cada regla de cada cadena. -h Proporciona una lista de estructuras de comandos, as como tambin un resmen rpido de parmetros de comandos y opciones. -I Inserta una regla en una cadena en un punto especificado por un valor entero definido por el usuario. Si no se especifica ningn nmero, iptables colocar el comando en el tope de la cadena. -L Lista todas las reglas de la cadena especificada tras el comando. Para ver una lista de todas las reglas en todas las cadenas en la tabla por defecto filter, no especifique ninguna cadena o tabla. De lo

28

NETWORKING
contrario, la sintaxis siguiente deber utilizarse para listar las reglas en una cadena especfica en una tabla en particular: iptables -L <chain-name> -t <table-name>
-N Crea una nueva cadena con un nombre especificado por el

usuario.
-P Configura la poltica por defecto para una cadena en particular,

de tal forma que, cuando los paquetes atraviesen la cadena completa sin cumplir ninguna regla, sern enviados a un objetivo en particular, como puedan ser ACCEPT o DROP. -R Reemplaza una regla en una cadena particular. El nmero de la regla debe ser especificado despus del nombre de la cadena. La primera regla en una cadena corresponde a la regla nmero uno. -X Borra una cadena especificada por el usuario. No se permite borrar ninguna de las cadenas predefinidas para cualquier tabla. -Z Pone ceros en los contadores de byte y de paquete en todas las cadenas de una tabla en particular. Opciones de parmetros de iptables Una vez que se especifiquen ciertos comandos iptables, incluyendo aquellos para aadir, anexar, eliminar, insertar o reemplazar reglas dentro de una cadena, se requieren parmetros para construir una regla de filtrado de paquetes.
-c Resetea los contadores de una regla en particular. Este

parmetro acepta las opciones PKTS y BYTES para especificar qu contador hay que resetear. -d Configura el nombre de la mquina destino, direccin IP o red de un paquete que coincide con la regla. Cuando se coincida una red, se soportan los siguientes formatos de direcciones IP o mscaras de red: o N.N.N.N/M.M.M.M Donde N.N.N.N es el rango de direcciones IP y M.M.M.M es la mscara de la red. o N.N.N.N/M Donde N.N.N.N es el rango de direcciones IP y M es la mscara de bit. -f Aplica esta regla slo a los paquetes fragmentados. Usando la opcin ! despus de este parmetro, nicamente se harn coincidir los paquetes no fragmentados. -i Configura la interfaz de red entrante, tal como eth0 o ppp0. Con iptables, este parmetro opcional puede ser usado solamente con las cadenas INPUT y FORWARD cuando es usado con la tabla filter y la cadena PREROUTING con las tablas nat y mangle. Este parmetro tambin soporta las siguientes opciones especiales: o El caracter de exclamacin ! Invierte la directriz, es decir, se excluye de esta regla cualquier interfaz especificada. o El caracter de suma + Un caracter tipo comodn utilizado para coincidir todas las interfaces con una cadena de caracteres especificada. Por ejemplo, el parmetro -i eth+ aplicar esta regla a cualquier interfaz Ethernet pero excluir cualquier otra interfaz, tal como, ppp0.

29

NETWORKING
Si el parmetro -i se utiliza sin especificar ninguna interfaz, todas las interfaces estarn afectadas por la regla. -j Salta a un objetivo particular cuando un paquete coincide con una regla particular. Los objetivos vlidos a usar despus de la opcin -j incluyen las opciones estndar (ACCEPT, DROP, QUEUE y RETURN) as como tambin las opciones extendidas que estn disponibles a travs de los mdulos cargados por defecto con el paquete RPM de Red Hat Enterprise Linux iptables, como LOG, MARK y REJECT, entre otros. -o Configura la interfaz de red de salida para una regla y puede ser usada solamente con las cadenas OUTPUT y FORWARD en la tabla de filtro y la cadena POSTROUTING en las tablas nat y mangle. Estos parmetros de opciones son los mismos que aquellos de la interfaz de entrada (-i). -p Configura el protocolo IP para la regla, el cual puede ser icmp, tcp, udp, o all, para coincidir todos los protocolos soportados. Adems, se puede usar cualquier protocolo listado en /etc/protocols. Si esta opcin es omitida cuando se est creando una regla, la opcin all es la opcin por defecto. -s Configura la fuente para un paquete particular usando la misma sintaxis que el parmetro (-d).

Opciones de coincidencia para iptables Diferentes protocolos de red proporcionan opciones especializadas las cuales se pueden configurar para coincidir un paquete particular usando ese protocolo. Sin embargo, primero se debe especificar el protocolo en el comando iptables. Por ejemplo, -p tcp <protocol-name> (donde <protocol-name> es el protocolo objetivo), hace disponibles las opciones para ese protocolo especificado. Guardar reglas iptables Las reglas creadas con el comando iptables son almacenadas en memoria. Si el sistema es reiniciado antes de guardar el conjunto de reglas iptables, se perdern todas las reglas. Para que las reglas de filtrado de red persistan luego de un reinicio del sistema, estas necesitan ser guardadas. Para hacerlo, conctese como root y escriba: /sbin/service iptables save Esto ejecuta el script de inicio iptables, el cual ejecuta el programa /sbin/iptablessave y escribe la configuracin actual de iptables a /etc/sysconfig/iptables. El archivo /etc/sysconfig/iptables existente es guardado como /etc/sysconfig/iptables.save. La prxima vez que se inicie el sistema, el script de inicio de iptables volver a aplicar las reglas guardadas en /etc/sysconfig/iptables usando el comando /sbin/iptables-restore. An cuando siempre es una buena idea probar una regla de iptables antes de confirmar los cambios al archivo /etc/sysconfig/iptables, es posible copiar reglas

30

NETWORKING
iptables en este archivo desde otra versin del sistema de este archivo. Esto proporciona una forma rpida de distribuir conjuntos de reglas iptables a muchas mquinas. Scripts de control de iptables Hay dos mtodos bsicos para controlar iptables bajo Red Hat Enterprise Linux:

Herramienta de configuracin de nivel de seguridad (systemconfig-securitylevel) Una interfaz grfica para crear, activar y guardar reglas bsicas de cortafuegos. /sbin/service iptables <opcion> Un comando ejecutado por el usuario root capaz de activar, desactivar y llevar a cabo otras funciones de iptables a travs de su script de inicio. Reemplace <opcion> en el comando con alguna de las directivas siguientes:
o start

o o

Si se tiene un cortafuegos o firewall (es decir, /etc/sysconfig/iptables existe), todos los iptables en ejecucin son detenidos completamente y luego arrancados usando el comando /sbin/iptables-restore. La directriz start slo funcionar si no se carga el mdulo del kernel ipchains. stop Si el cortafuegos est en ejecucin, se descartan las reglas del cortafuegos que se encuentran en memoria y todos los mdulos iptables y ayudantes son descargados. Si se cambia la directiva IPTABLES_SAVE_ON_STOP dentro del archivo de configuracin /etc/sysconfig/iptables-config de su valor por defecto a yes, se guardan las reglas actuales a /etc/sysconfig/iptables y cualquier regla existente se mover al archivo /etc/sysconfig/iptables.save. restart Si el cortafuegos est en ejecucin, las reglas del mismo que se encuentran en memoria se descartan y se vuelve a iniciar el cortafuegos si est configurado en /etc/sysconfig/iptables. La directriz restart slo funcionar si no est cargado el mdulo del kernel ipchains. Si la directiva IPTABLES_SAVE_ON_RESTART dentro del archivo de configuracin /etc/sysconfig/iptables-config se cambia de su valor por defecto a yes, las reglas actuales son guardadas a /etc/sysconfig/iptables y cualquier regla existente se mover al archivo /etc/sysconfig/iptables.save. status Imprime el estado del cortafuegos una lista de todas las reglas activas al indicador de comandos. Si no se cargan o configuran reglas del cortafuegos, tambin indica este hecho. Una lista de las reglas activas, conteniendo direcciones IP dentro de listas de reglas a menos que el valor por defecto para IPTABLES_STATUS_NUMERIC sea cambiado a no dentro del archivo de configuracin /etc/sysconfig/iptables-config. panic Descarta todas las reglas del cortafuegos. La poltica de todas las tablas configuradas est establecida a DROP. save Guarda las reglas del cortafuegos a /etc/sysconfig/iptables usando iptables-save.

31

NETWORKING
2.1.2 Servicio Proxy El trmino en ingles Proxy tiene un significado muy general y al mismo tiempo ambiguo, aunque invariablemente se considera un sinnimo del concepto de Intermediario. Se suele traducir, en el sentido estricto, como delegado o apoderado (el que tiene el poder sobre otro). Un Servidor Intermediario (Proxy) se define como una computadora o dispositivo que ofrece un servicio de red que consiste en permitir a los clientes realizar conexiones de red indirectas hacia otros servicios de red. Durante el proceso ocurre lo siguiente: Cliente se conecta hacia un Servidor Intermediario (Proxy). Cliente solicita una conexin, fichero u otro recurso disponible en un servidor distinto. Servidor Intermediario (Proxy) proporciona el recurso ya sea conectndose hacia el servidor especificado o sirviendo ste desde un cach. En algunos casos el Servidor Intermediario (Proxy) puede alterar la solicitud del cliente o bien la respuesta del servidor para diversos propsitos.

Los Servidores Intermediarios (Proxies) generalmente se hacen trabajar simultneamente como muro cortafuegos operando en el Nivel de Red, actuando como filtro de paquetes, como en el caso de iptables, o bien operando en el Nivel de Aplicacin, controlando diversos servicios, como es el caso de TCP Wrapper. Dependiendo del contexto, el muro cortafuegos tambin se conoce como BPD o Border Protection Device o simplemente filtro de paquetes. Una aplicacin comn de los Servidores Intermediarios (Proxies) es funcionar como cach de contenido de Red (principalmente HTTP), proporcionando en la proximidad de los clientes un cach de pginas y ficheros disponibles a travs de la Red en servidores HTTP remotos, permitiendo a los clientes de la red local acceder hacia stos de forma ms rpida y confiable. Cuando se recibe una peticin para un recurso de Red especificado en un URL (Uniform Resource Locator) el Servidor Intermediario busca el resultado del URL dentro del cach. Si ste es encontrado, el Servidor Intermediario responde al cliente proporcionado inmediatamente el contenido solicitado. Si el contenido solicitado no estuviera disponible en el cach, el Servidor Intermediario lo traer desde servidor remoto, entregndolo al cliente que lo solicit y guardando una copia en el cach. El contenido en el cach es eliminado luego a travs de un algoritmo de expiracin de acuerdo a la antigedad, tamao e historial de respuestas a solicitudes (hits) (ejemplos: LRU, LFUDA y GDSF).

32

NETWORKING
Los Servidores Intermediarios para contenido de Red (Web Proxies) tambin pueden actuar como filtros del contenido servido, aplicando polticas de censura de acuerdo a criterios arbitrarios. 2.1.2.1 Squid.

Squid es un Servidor Intermediario (Proxy) de alto desempeo que se ha venido desarrollando desde hace varios aos y es hoy en da un muy popular y ampliamente utilizado entre los sistemas operativos como GNU/Linux y derivados de Unix. Es muy confiable, robusto y verstil y se distribuye bajo los trminos de la Licencia Pblica General GNU (GNU/GPL). Siendo sustento lgico libre, est disponible el cdigo fuente para quien as lo requiera. Entre otras cosas, Squid puede funcionar como Servidor Intermediario (Proxy) y cach de contenido de Red para los protocolos HTTP, FTP, GOPHER y WAIS, Proxy de SSL, cach transparente, WWCP, aceleracin HTTP, cach de consultas DNS y otras muchas ms como filtracin de contenido y control de acceso por IP y por usuario. Squid consiste de un programa principal como servidor, un programa para bsqueda en servidores DNS, programas opcionales para reescribir solicitudes y realizar autenticacin y algunas herramientas para administracin y herramientas para clientes. Al iniciar Squid da origen a un nmero configurable (5, de modo predefinido a travs del parmetro dns_children) de procesos de bsqueda en servidores DNS, cada uno de los cuales realiza una bsqueda nica en servidores DNS, reduciendo la cantidad de tiempo de espera para las bsquedas en servidores DNS. NOTA ESPECIAL: Squid no debe ser utilizado como Servidor Intermediario (Proxy) para protocolos como SMTP, POP3, TELNET, SSH, IRC, etc. Si se requiere intermediar para cualquier protocolo distinto a HTTP, HTTPS, FTP, GOPHER y WAIS se requerir implementar obligatoriamente un enmascaramiento de IP o NAT (Network Address Translation).

Algoritmos de cach utilizados por Squid. A travs de un parmetro (cache_replacement_policy) Squid incluye soporte para los siguientes algoritmos para el cach: LRU Acrnimo de Least Recently Used, que traduce como Menos Recientemente Utilizado. En este algoritmo los objetos que no han sido accedidos en mucho tiempo son eliminados primero, manteniendo siempre en el cach a los objetos ms recientemente solicitados. sta poltica es la utilizada por Squid de modo predefinido.

33

NETWORKING
LFUDA Acrnimo de Least Frequently Used with Dynamic Aging, que se traduce como Menos Frecuentemente Utilizado con Envejecimiento Dinmico. En este algoritmo los objetos ms solicitados permanecen en el cach sin importar su tamao optimizando la eficiencia (hit rate) por octetos (Bytes) a expensas de la eficiencia misma, de modo que un objeto grande que se solicite con mayor frecuencia impedir que se pueda hacer cach de objetos pequeos que se soliciten con menor frecuencia. GDSF Acrnimo de GreedyDual Size Frequency, que se traduce como Frecuencia de tamao GreedyDual (codicioso dual), que es el algoritmo sobre el cual se basa GDSF. Optimiza la eficiencia (hit rate) por objeto manteniendo en el cach los objetos pequeos ms frecuentemente solicitados de modo que hay mejores posibilidades de lograr respuesta a una solicitud (hit). Tiene una eficiencia por octetos (Bytes) menor que el algoritmo LFUDA debido a que descarta del cach objetos grandes que sean solicitado con frecuencia.

2.1.3 Servicio DHCP Muchas veces, tenemos que manejar redes TCP/IP medianamente grandes, digamos que tenemos una red con 200 mquinas; o ms extensas con 500, 1000 o ms mquinas. La gran pesadilla de los administradores es el tener una red de este tamao y que al menos cada mquina haya que darle mantenimiento al ao. Esto en una red de 500 mquinas representa casi atender 2 mquinas diariamente. Bsicamente muchas empresas dedican enormes recursos a esta labor, personal que est slo para reinstalar mquinas, ya el personal no tiene tiempo ni de pensar en soluciones. Muchas veces est en instalar thinclients que no se puedan daar y as disminuir la cantidad de soporte. En todo caso, siempre hay que recordar que la labor de un administrador es tratar de minimizar el tiempo de trabajo, no slo para dedicarse a navegar por la red y chatear sino para tener tiempo disponible para atender los problemas cuando vengan. Esto es sumamente importante. Un administrador que tenga que trabajar continuamente las 8 horas del da, realmente est teniendo o una sobrecarga o est administrando mal. Se estima que un administrador de linux debe ser capaz de manejar fcilmente un promedio

34

NETWORKING
de 10 servidores. Por supuesto depende de su capacidad.. pero si tenemos 2 servidores y no damos abasto, consideremos que algo estamos haciendo mal. Una de las funciones principales de un administrador es el definir qu direcciones IP asignar a cada mquina. Por supuesto, los servidores siempre llevan direcciones IPs fijas, pero la parte ms positiva es que normalmente en una empresa los servidores son pocos. Entindase por poco a que comparativamente contra la cantidad de estaciones de trabajo hay pocos servidores. Ahora, cmo manejamos 200 direcciones IPs para una red? Pues existe una variante muy antigua, la del lpiz y el papel, mantenemos una lista grandsima de varias pginas con todas las direcciones IPs asignadas a las diferentes mquinas de usuario. De forma tal que cuando haya que reinstalarle, sencillamente miramos en esas 10 o 20 pginas con letra chiquita el nombre de la persona y obtenemos la direccin, o mejor an, cuando tenemos que poner una nueva mquina tenemos que quitar la IP de la vieja y asignarle la IP a la nueva, cambiando el listado completo por una IP. Existe una segunda variante y es usar DHCP. DHCP viene de Dynamic Host Configuration Protocol. Es un servidor muy simple que permite asignar de forma automtica direcciones IPs a las mquinas que as lo soliciten. El DHCP es super antiguo pero por eso no deja de ser muy bueno, tiene variadsimos usos, y nosotros lo veremos para asignar direcciones IPs a una red LAN. Existen tres mtodos de asignacin en el protocolo DHCP: Asignacin manual: La asignacin utiliza una tabla con direcciones MAC (acrnimo de Media Access Control Address, que se traduce como direccin de Control de Acceso al Medio). Slo los anfitriones con una direccin MAC definida en dicha tabla recibir el IP asignada en la misma tabla. sto se hace a travs de los parmetros hardware ethernet y fixed-address. Asignacin automtica: Una direccin de IP disponible dentro de un rango determinado se asigna permanentemente al anfitrin que la requiera. Asignacin dinmica: Se determina arbitrariamente un rango de direcciones IP y cada anfitrin conectado a la red est configurado para solicitar su direccin IP al servidor cuando se inicia el dispositivo de red, utilizando un intervalo de tiempo controlable (parmetros default-leasetime y max-lease-time) de modo que las direcciones IP no son permanentes y se reutilizan de forma dinmica. 2.1.4 Servicio NFS NFS, acrnimo de Network File System, es un popular protocolo utilizado para compartir volmenes entre mquinas dentro de una red de manera transparente, ms comnmente utilizado entre sistemas basados sobre UNIX. Es til y fcil de utilizar, sin embargo no en vano es apodado cariosamente como "No File

35

NETWORKING
Security". NFS no utiliza un sistema de contraseas como el que tiene SAMBA, solo una lista de control de acceso determinada por direcciones IP o nombres. Es por esto que es importante que el administrador de la red local o usuario entienda que un servidor NFS puede ser un verdadero e inmenso agujero de seguridad si este no es configurado apropiadamente e implementado detrs de un contrafuego o firewall. Un Sistema de archivos de red (NFS) permite a los hosts remotos montar sistemas de archivos sobre la red e interactuar con esos sistemas de archivos como si estuvieran montados localmente. Esto permite a los administradores de sistemas consolidar los recursos en servidores centralizados en la red.

2.2

Servicios de Internet

2.2.1 Servidor de Nombres de Dominio (DNS) Nombres de Dominio Las direcciones IP son la base de la internet, sin embargo, normalmente nosotros no usamos las direcciones IP sino que nos referimos por nombres a los sitios. Estos nombres son conocidos por nombre de dominios. Los nombres de dominios se separan por niveles, estos niveles se separan por puntos, por ejemplo ecualinux.com es un dominio de segundo nivel (ecualinux . com) y .com es un dominio de primer nivel. Existen una cantidad limitada y normalizada de nombres de dominios de primer nivel. Estos son por ejemplo: .com .net .org .biz .name .info Estos dominios de primer nivel pueden ser adquiridos por quien desee y por supuesto existe control para evitar nombres repetidos. Este control se realiza a travs de la centralizacin de los dominios en registrars (registradoras autorizadas) y los dominios son manejados por verisign-grs. Existen dominios de pases que son llamados ccTLD (country code top level domains), estos dominios son manejados normalmente por entidades autorizadas dentro de cada pas. Los dominios se rigen por una convencin ISO que clasifica a los pases por un cdigo de dos letras: .ec .co .pe

36

NETWORKING
.nl .de .es .us .ca .cu .fr .de Etctera. Tambin existen varios dominios con efectos restringidos: .int : dominios para organizaciones internacionales, normalmente afiliadas a la UNESCO. .mil : dominios para las instituciones militares. .edu : dominios para instituciones educativas. .gov : dominios para instituciones gubernamentales. Este manejo de dominios debe interpretarse como la bsqueda en una gua telefnica. Uno tiene un nombre y pregunta en la gua por el telfono. As mismo se hace con los dominios, uno tiene un nombre de dominio y la mquina nuestra pregunta en su "gua" por la IP de ese dominio. Los dominios son un artilugio creado para memorizar fcilmente una direccin de internet. La entidad autorizada para registrar dominios se llama Internic. Ellos realmente no registran dominios de internet sino que delegan en ciertas organizaciones llamadas registrars para realizar el registro. Internic cobra por cada dominio registrado 2USD por ao. Verisign es la empresa que mantiene una lista centralizada de todos los dominios y cobra igualmente 2USD por cada uno registrado. Esto es, cualquier precio por encima de los 4USD que nosotros paguemos por un dominio consideremos que lo estamos dando como lucro a alguien. Por supuesto, los registrars autorizados por Internic tienen gastos de mantenimiento que hacen que un dominio no cueste exactamente 4USD sino posiblemente un poquito ms. Anteriormente exista solamente una empresa registradora, esta se llama Network Solutions, ellos al tener el monopolio del registro de dominios vendan a precios exhorbitantes superando los 50USD por cada ao que se registrara un dominio. Para evitar el monopolio es que se autorizaron a operar otros registrars, que estn enlazados entre ellos a travs de verisign-grs, esto es, cuando alguien registra un dominio, el registrar primero verifica en verisign-grs si ese dominio no lo acaba de registrar alguien y sino, lo asigna a esta persona y le reporta a verisign-grs que lo registr para su cliente. Los rangos de precios de los registrars son variables, todo depende, hay registrars que cobran cerca de los 35USD/ao, otros que cobran menos de

37

NETWORKING
10usd/ao por dominio. Todo depende de la fama que tengan en el mercado y de cmo vean la posibilidad de lucrar. Todo registrar autorizado debe tener un convenio con otro registrar, de forma tal que en el evento inusual de que vayan a la quiebra y tengan que cerrar, los dominios seran asignados por verisign-grs al registrar de respaldo. Esto es, si hay un registrar X y uno Y, y nosotros tenemos registrados 200 dominios con Y, y resulta que Y se va a la quiebra, no debemos preocuparnos, nuestros 200 dominios (y todos los dominios que registr Y) pasarn automticamente a ser parte de X el cual nos brindar el mismo nivel de soporte. Los dominios se pueden registrar hasta por 10 aos consecutivos y por un mnimo de 1 ao. Esto para evitar la especulacin de que alguien compre un dominio para un evento que ocurrir en agosto (por ejemplo) y en septiembre ya no quiera el dominio, no, un dominio se compra por un ao mnimo, independientemente de qu tiempo se usar. Los dominios pueden ser transferidos entre registrars, esto es, un dominio que pertenezca a network solutions (sera el que pierde el dominio, llamado: losing registrar) y lo querramos transferir a enom (el que gana el dominio, llamado: gaining registrar) seguira un proceso muy simple. Solicitamos la transferencia del dominio en el gaining registrar, este le enviar un mail a los contactos del dominio, solicitndole que aprueben comenzar la transferencia. Estas personas (los emails listados en el dominio) al aceptar esta transferencia le indicarn al gaining registrar que se comuniquen con el losing registrar. Este ltimo, en un plazo de 5 das deber liberarlo y pasar a control del registrar que gan el dominio. Las causas ms comunes del fallo de una transferencia son: El dominio expira en menos de 5 das: como el losing registrar lo puede retener por 5 das, entonces no nos dar tiempo. La persona de contacto administrativo que recibe la solicitud de transferencia a propsito o por error no aprueba el mail de transferencia El dominio se encuentra en estado (status) bloqueado.

Los dominios .com, .net, .org, .biz, .bz y algunos ms pueden ser comprados por cualquier persona natural o jurdica que est interesada dado que el dominio est disponible (no tomado). whois Bsicamente en efecto podemos determinar si un dominio existe yndonos a un registrar y preguntando por el dominio. Pero existe una forma ms directa y cmoda que es preguntando por el dominio usando la utilera whois Esta utilera la podemos instalar con el paquete jwhois Verifiquemos que lo tenemos instalado: Una vez verificado y/o instalado, podremos comenzar a preguntar por dominios. Veamos:

38

NETWORKING
whois ecualinux.com [Querying whois.internic.net] [Redirected to whois.enom.com] [Querying whois.enom.com] [whois.enom.com] Registration Service Provided By: EcuaLinux Contact: info@ecualinux.com Visit: http://www.ecualinux.com Domain name: ecualinux.com Registrant Contact: Benisa Tapia (co2pd@yahoo.com) +593.99904511 Fax: +593.32825996 Las Toronjas 02-66 Ficoa, Las Acacias Ambato, Tungurahua 00000 EC Administrative Contact: Benisa Tapia (co2pd@yahoo.com) +593.99904511 Fax: +593.32825996 Las Toronjas 02-66 Ficoa, Las Acacias Ambato, Tungurahua 00000 EC Technical Contact: Benisa Tapia (co2pd@yahoo.com) +593.99904511 Fax: +593.32825996 Las Toronjas 02-66 Ficoa, Las Acacias Ambato, Tungurahua 00000 EC Billing Contact: Benisa Tapia (co2pd@yahoo.com) +593.99904511 Fax: +593.32825996 Las Toronjas 02-66 Ficoa, Las Acacias Ambato, Tungurahua 00000 EC Status: Locked Name Servers: dns1.name-services.com dns2.name-services.com dns3.name-services.com dns4.name-services.com dns5.name-services.com Creation date: 18 Jul 2002 10:55:42 Expiration date: 18 Jul 2006 10:55:42

39

NETWORKING
Veamos poco a poco la informacin interesante, se lee de arriba a abajo y vamos viendo diferentes detalles de un dominio como:
Registrant Contact: Es el nombre del dueo, del registrante, de la persona

que registra, normalmente es alguien que tiene relacin con la empresa y en ltima instancia ser a quin se recurra para recuperar informacin perdida de un dominio o alguna otra situacin. Administrative Contact: Es el nombre del contacto administrativo, la persona que se encarga de manejar el dominio, aprobar cambios realizados, bsicamente es el administrador del dominio, puede ser alguna otra persona, pero sugiero que siempre sea el dueo (registrant) del contacto. Technical Contact: Es el nombre del contacto tcnico, bsicamente no se usa mucho. Normalmente se pone a la persona que registra el dominio (registrant). Billing Contact: Es el nombre de la persona que recibir las indicaciones de que el dominio va a expirar y los datos sobre cmo renovarlo. La informacin de renovacin tambin llegar al Admin Contact. Pero en caso de que tengamos una empresa grande con un administrador del dominio y un contador (a) siempre es bueno aqui poner al contador (a) para que sepa que no somos alarmistas, que el dominio en efecto est al expirar y deben hacer el trmite de renovacin. De los anteriormente expuestos, los ms importantes son los Registrant (dueo) y Admin (el que autoriza cambios). Y siempre debemos tener presente que un dominio nuestro o de nuestra empresa est registrado correctamente con nuestros datos y no con los de otra persona. Status: Es el estado de un dominio, bsicamente hay algunos estados pero veamos los ms importantes: o Locked: Bloqueado, indica que el dominio est activo pero que no se permiten las transferencias. Esto es para evitar que por error se aprueben las transferencias o que les vayan a robar un dominio mediante una transferencia maliciosa. Si quisiramos transferir un dominio, debemos quitarle el estado de bloqueado.
o Active: Es bsicamente igual que el anterior, slo que el dominio no est

bloqueado, es decir, puede ser transferido. Este estado es el que debemos tener cuando queremos transferir un dominio. Una vez transferido podemos bloquear nuevamente un dominio. Esto es, los estados Active y Locked son mutuamente exclusivos y podemos cambiarlos a voluntad entre uno y otro. o Registrar-Hold: Este es el estado que alcanzan los dominios cuando expiran. Una vez que un dominio expira, bsicamente no puede ser usado a no ser que se le renueve. Este periodo no tiene fecha exacta pero normalmente est entre los 30 y 120 das despus de expirado un dominio. Durante este tiempo podemos renovar al dominio por el mismo costo que nos tom registrarlo la primera vez. Durante este periodo no tenemos el dominio a nuestra disposicin, es decir, no lo podemos usar mientras no paguemos la renovacin. o Redemption Period: Periodo de redempcion, es un periodo posterior al registrar-hold que indica que el registrar ha solicitado que este dominio sea borrado de las listas, dura 30 das y durante este periodo todava se puede renovar un dominio pero por un costo de alrededor de 200USD. Casi nadie saca un dominio de redempcin sobre todo por los altos costos.

40

NETWORKING
o Pending Delete: Es el periodo inmediatamente despus del de redempcin,

bsicamente indica que el dominio ya va a ser borrado. Este periodo dura 5 das y no se puede sacar un dominio que est en este estado. A los 5 das pasar a disponibilidad de cualquier interesado. Name Servers: Son los servidores de DNS que resolvern las direcciones de nuestro dominio, podemos tener entre 2 y 13 servidores de dns para cada dominio. Tipos de DNS Los DNS se clasifican en dos tipos fundamentales: 1. DNS de cach (o forward) 2. DNS de zona Los DNS de cach son aquellos que no contienen zonas, por zonas se entienden bsicamente los records que componen un dominio, al no contener zonas (dominios) ellos tienen que preguntar a otros. Estos DNS son importantsimos, son los que usamos normalmente para preguntar por dominios en internet, por ejemplo, cuando preguntamos por www.google.com no le preguntamos a los DNS que tiene listado el dominio google.com sino que le preguntamos a unos DNS definidos por el administrador de nuestra red o por nuestro proveedor. Estos son los dns de cach. Estos DNS a su vez, verificarn con los root servers, cules son los DNS que google tiene listado para su dominio google.com y entonces acudirn prestos a preguntarle a uno de esos DNS sobre el sitio www.google.com. Por supuesto, si uno de esos DNS estuviera cado, nuestro DNS de cach ya tiene una lista de los DNS de google y por lo tanto le proceder a preguntar a otro y a otro, hasta alcanzar la respuesta. Los DNS de cach tienen una peculiaridad, es que no usan disco, bsicamente ellos almacenan toda la informacin que vamos preguntando, con el objetivo de que si la preguntamos de nuevo, ellos no tengan que salir a buscarla, sino que inmediatamente la obtienen de su cach. Es por eso que se llaman DNS de cach. Tienden a usar memoria, pero realmente no consumen demasiada, porque los tamaos de las respuestas son pequeos. Por supuesto un proveedor de internet debe tener al menos dos DNS de cach los que seguramente s consumirn memoria pues almacenarn records de muchos miles de usuarios. Pero normalmente con menos de 1GB de memoria basta. Los records cacheados son refrescados cada vez que el tiempo de vida de los records se cumplen, este valor se llama TTL. Un TTL adecuado puede ser 2 horas (7200segundos) pero algunas personas gustan de usar un da (86400segundos). El problema de un TTL de un da es que si decidimos cambiar de IP, no podremos hacerlo rpidamente pues algunos DNS de cach tendrn una respuesta cacheada por un da y durar un da el cambio de IP.

41

NETWORKING
Es por esto ltimo que algunos proveedores dicen que el cambio de DNS toma 24 horas o ms, es porque el TTL puede ser alto y al estar cacheado por cientos o miles de DNS alrededor del mundo, estos no volvern a preguntar por ese record en un da ya que considerarn vlida una respuesta mientras el TTL no sea cero. Records de un DNS Las respuestas de los DNS se definen segn un concepto que se llama records. Cada record se refiere a una propiedad de una zona (dominio) y tiene diferentes valores. Por ejemplo, los records ms conocidos son: SOA : Start Of Authority, define los valores comunes e iniciales para una zona determinada. Estos valores son un nmero de identificacin, el nombre del contacto para esa zona y algunos valores por defecto como el tiempo de vida de los records, de la zona, etc.
A : Es quiz el record ms usado, y el ms fcil de entender, definitivamente

define dado un nombre, su direccin IP. Es bsicamente el concepto fundamental de los DNS. Cuando preguntas por www.google.com realmente ests preguntando por el record A de www de la zona google.com y nos devolver una direccin IP (o varias) que se correspondan con www.google.com
CNAME : Es un concepto que indica un alias, una forma de referirte a un

dominio. Bsicamente podemos decir que mail.andinatel.com es un CNAME que apunta a www. andinatel.com. Esto genera dos bsquedas, una bsqueda preguntar por mail.andinatel.com y obtendr no una direccin IP, sino obtendr un apuntador, algo que le dir: mira, busca en www. andinatel.com y entonces tendramos que preguntar de nuevo por el record A de www. andinatel.com para obtener la IP. Es como un enlace directo, una forma de referirte a un sitio web o record de muchas formas. Es recomendable definir un record A por cada record que querramos y no estarlos enlazando mediante CNAMES.
MX : Es el segundo ms importante despus del A. Significa Mail Exchange,

intercambiador de mails. Es el record al que los sistemas de mensajera se referirn al encontrar la necesidad de enviar un mail. Los records MX se componen de dos respuestas: El record A del servidor de mensajera y un peso o prioridad. Esta prioridad existe ya que algunos sistemas de mensajera no tienen un slo servidor de mensajera sino varios, y se les pone prioridad para indicarle a los sistemas remotos cual ser el servidor prioritario, el principal, ese servidor ser el que menos valor tenga. El que un servidor tenga peso 10 no significa que el mensaje llegar ms lento o ms rpido. Sencillamente este peso permitir a los servidores remotos ordenar los potenciales servidores y tratar de enviar los mails en ese orden. Es un concepto que se usa poco, pero vale la pena conocerlo. Verifiquemos ahora algunos servidores, para realizar preguntas sobre DNS podemos hacerlo con el comando: nslookup

42

NETWORKING
Por defecto nslookup abre y cualquier pregunta que hagamos la hace en records A. Si lo ejecutamos sencillamente como nslookup, l se intentar conectar al primer servidor DNS que tengamos definido en /etc/resolv.conf. Si quisiramos hacerle preguntas especficas a un determinado servidor de DNS podramos hacerlo con: nslookup - IPDELSERVIDORAPREGUNTAR Esto sirve a veces cuando tenemos duda de que un servidor no funciona y queremos verificarlo a l, o queremos verificar contra otro. Comencemos, usemos el nslookup para preguntar por algunos records A, se ver as: nslookup >P www.elcomercio.com Server: 127.0.0.1 r Address: 127.0.0.1#53 e Non-authoritative answer: g Name: www.elcomercio.com u Address: 69.65.159.179 n t por www.elcomercio.com El servidor al que se le hizo la pregunta fu 127.0.0.1 (mi propia mquina). La respuesta que se obtuvo fu no autoritativa, esto es, la respuesta no estaba en el DNS nuestro (127.0.0.1 en mi caso) sino que estaba en un DNS externo. Nuestro nslookup mand a nuestro servidor de DNS (127.0.0.1) a buscar a internet, ste pregunt a los rootservers sobre los DNS de elcomercio.com y le pregunt a uno de los DNS de elcomercio.com sobre el record A llamado: www La respuesta fu que www.elcomercio.com (record A www, de la zona elcomercio.com) es: 69.65.159.179 Normalmente cualquier aplicacin que pregunte por un record A, usar esta IP para dirigirse hacia el sitio del dominio en cuestin. Preguntemos algo ms: www.ecualinux.com Server: 127.0.0.1 Address: 127.0.0.1#53 Non-authoritative answer: Name: www.ecualinux.com Address: 209.172.33.209

43

NETWORKING
Lo mismo de elcomercio.com, preguntar a 127.0.0.1 (nuestro servidor) sobre ecualinux.com y nuestro servidor dir que no tiene la zona en su control y por lo tanto la respuesta sali a buscarla (non-authoritative), y que la respuesta que encontr fue: 209.172.33.209 para el record A www de la zona ecualinux.com Preguntemos ahora sobre un record MX, lo primero que hay que cambiar es el tipo de A hacia MX [root@linuxcasa ~]# nslookup > set type=mx > ecualinux.com Server: 127.0.0.1 Address: 127.0.0.1#53 Non-authoritative answer: ecualinux.com mail exchanger = 10 mail.ecualinux.com. Authoritative answers can be found from: ecualinux.com nameserver = dns4.name-services.com. ecualinux.com nameserver = dns5.name-services.com. ecualinux.com nameserver = dns1.name-services.com. ecualinux.com nameserver = dns2.name-services.com. ecualinux.com nameserver = dns3.name-services.com. dns1.name-services.com internet address = 69.25.142.1 dns2.name-services.com internet address = 216.52.184.230 dns3.name-services.com internet address = 63.251.92.193 dns4.name-services.com internet address = 64.74.96.242 dns5.name-services.com internet address = 212.118.243.118 set type=mx cambiar las preguntas a tipo MX. Los records MX se preguntan para los dominios, solo para LOS DOMINIOS, por lo tanto cuando pregunten por un record mx no se pondr www ni mail, slo pongan el nombre del dominio. La respuesta bsicamente dice que para la zona ecualinux.com el mail exchanger tiene un peso 10 y es el record A: mail.ecualinux.com. Esto es, tengo un slo servidor de mensajera para mi dominio que tiene un peso 10 y es mail.ecualinux.com. El segundo paso que hara un sistema de mensajera es averiguar el record A de mail.ecualinux.com para poderse conectar a enviar el correo. El que tenga el peso 10 no significa que el correo llegar ms lento que si tuviera el peso 0 o 5, sencillamente es un valor que permitira ordenar los MX en caso de haber ms de uno. Hay una razn, y es que los pesos van de 0 a 255 Si se tiene 0 como peso y un da tengo una necesidad imperiosa de insertar un nuevo servidor MX delante del servidor actual tendra que primero cambiar el peso de este servidor actual hacia otro valor pues no puedo poner nada menor a 0. Es por esto que un valor como 5 o 10 sera bueno, pues en caso de emergencia podemos poner uno o varios valores delante.

44

NETWORKING
Ahora, ya sabemos que existen records A, SOA, CNAME, MX, etc. Dnde podemos definir estos records? Para eso tenemos que trabajar lo que son los DNS de zona. Estos DNS son los que contienen informacin especfica sobre una zona. Cuando uno compra un dominio, bsicamente le define los DNS de zona que manejarn este dominio, una vez comprado el dominio, tenemos que inmediatamente crear en esos DNS definidos por nosotros las zonas del dominio. Los DNS de zona se dividen en dos tipos:

DNS mster (maestro, principal) DNS esclavo (slave, secundario)

Los DNS de un mismo dominio, deben mantener la informacin sincronizada entre ellos para que las respuestas sean consistentemente las mismas independientemente de a cual de los DNS de un dominio le preguntemos. Cmo se mantiene la informacin sincronizada? Bsicamente, dados los DNS que tenemos para un dominio (supongamos que tendremos dos) definimos un DNS como maestro o mster, de ser posible que sea el que mejor conectividad tenga y al segundo (en general a todos los otros) le definimos como esclavo para la zona. Esclavo significa que este DNS no lo tendremos que configurar, cualquier cambio que hagamos en el mster, enseguida se reflejar de forma automtica en el esclavo. El esclavo siempre estar atento a cualquier cambio en su DNS principal, de ocurrir, l replicara esta informacin en su base de datos. De esta forma no tenemos inconsistencias, si algo est mal en nuestro DNS primario igual de mal estar en los esclavos. Si algo cambiamos o corregimos en el master, enseguida los esclavos lo cambiarn o corregirn. As nos ahorramos tener que cambiar todos y cada uno de los DNS de un dominio y con slo cambiar el mster sabremos que los esclavos tomarn los datos. 2.2.2 Servidor Web (HTTP) Conceptos generales El Servidor Apache HTTP es un servidor Web de tecnologa Open Source slido y para uso comercial desarrollado por la Apache Software Foundation (http://www.apache.org). Red Hat Enterprise Linux incluye el Servidor Apache HTTP versin 2.0 as como tambin una serie de mdulos de servidor diseados para mejorar su funcionalidad. El archivo de configuracin predeterminado instalado en el Servidor Apache HTTP funciona sin necesidad de modificarlo, en la mayor parte de los casos. Este captulo da una idea general de las directrices dentro de este archivo de configuracin (/etc/httpd/conf/httpd.conf) para ayudar a aquellos que requieren una configuracin personalizada.

45

NETWORKING
Caractersticas del Servidor Apache HTTP 2.0 El Servidor Apache HTTP 2.0, incluye las siguientes funcionalidades: Los mdulos Apache API.- se utiliza un nuevo conjunto de interfaces de programacin de aplicaciones (APIs). Filtrado.- Los mdulos pueden actuar como filtros de contenido. Soporte a IPv6.- Se soporta la prxima generacin de formato de direcciones IP. Directrices simplificadas.- Se han eliminado una serie de directrices complicadas y otras se han simplificado. Respuestas a errores en diversos idiomas.- Cuando usa documentos Server Side Include (SSI), las pginas de errores personalizables se pueden entregar en diversos idiomas Cambios en los paquetes del Servidor Apache HTTP 2.0 A partir de la versin 3 de Red Hat Enterprise Linux, los paquetes del Servidor Apache HTTP han sido renombrados, eliminado y otros se han introducido en otros paquetes. La siguiente lista contiene los cambios de los paquetes: Los paquetes apache, apache-devel y apache-manual, fueron renombrados a httpd, httpd-devel y httpd-manual repectivamente. Se ha incorporado el paquete mod_dav en el paquete httpd. Los paquetes mod_put y mod_roaming se han eliminado, ya que su funcionalidad aparece recogida en mod_dav (el cual forma parte ahora del paquete httpd). Los paquetes mod_auth_any y mod_bandwidth se han eliminado. El nmero de versin del paquete mod_ssl se ha sincronizado con el paquete httpd. Esto significa que el paquete mod_ssl para el Servidor Apache HTTP 2.0 tiene un nmero de versin menor que el paquete mod_ssl del Servidor Apache HTTP 1.3. Configurando el servicio httpd Una vez instalado apache podemos proceder a revisar la configuracin que est situada fundamentalmente en el directorio /etc/httpd, aqu veremos dos directorios bsicos de configuracin que son: conf/ conf.d/ En el directorio conf.d se ponen los archivos particulares de configuracin para cualquier mdulo o aplicacin que corra va apache. Estos archivos de configuracin deben tener de extensin .conf En el directorio conf tendremos el archivo bsico, fundamental, de configuracin que es httpd.conf. Por defecto el apache viene configurado para trabajar sin tenerse que modificar, pero siempre es bueno comprender un poquito el archivo de configuracin: Veamos este archivo: /etc/httpd/conf/httpd.conf, en este caso se ha dejado solamente las directivas de configuracin que nos interesa ver.

46

NETWORKING
Hemos removido los comentarios para facilitar la lectura: ### Section 1: Global Environment ServerTokens OS #Listen 12.34.56.78:80 Listen 80 #ServerName new.host.name:80 DocumentRoot "/var/www/html" DirectoryIndex index.html index.html.var # LogLevel: Control the number of messages logged to the error_log. # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. # LogLevel warn Alias /icons/ "/var/www/icons/" ScriptAlias /cgi-bin/ "/var/www/cgi-bin/" AddDefaultCharset ISO-8859-1 Aunque existen una enorme cantidad de directivas de configuracin del apache, las cuales podemos leer y estudiar en los mismos comentarios del archivo de configuracin y/o en el sitio web de apache, se considera importante estudiar las siguientes:
ServerTokens: Indica qu datos muestra el servidor cuando se realiza una

conexin. Por defecto apache muestra la versin del servidor apache, la versin del Sistema Operativo, etc. bsicamente expone mucha informacin sobre el sistema que no tiene por qu conocerse. Por esto, sugiero en este parmetro poner: Prod en vez de OS, de esta forma se mostrar solamente el nombre del producto (apache) mas no la versin del producto ni la versin del sistema operativo. Listen: Este parmetro no hay por qu cambiarlo, pero bsicamente indica en qu puerto ponemos al apache a escuchar (por defecto est en el puerto 80) pero tambin le podemos indicar en qu interfaz de red le ponemos. Por defecto escucha en todas las interfaces. Sugiero no tocarlo a no ser que sea necesario. ServerName: Aunque el apache le asigna el nombre al servidor apache basado en el nombre de la mquina, para acelerar el proceso de arranque y para evitar potenciales problemas, siempre es bueno poner el nombre del servidor directamente en este parmetro (www.misitio.com:80).

47

NETWORKING
DocumentRoot: Es el directorio raz del servidor apache, bsicamente cuando el servidor apache necesite buscar por /index.html para mostrarlo, realmente buscar en /var/www/html/index.html, es la base desde donde se parte para mostrar un sitio web. Sugiero dejarlo as. DirectoryIndex: Son los diferentes archivos ndice que se muestran en caso de que el cliente no especifique un archivo a mostrar. Por ejemplo: http://www.misitio.com/ mostrar realmente a http://www.misitio.com/index.html puesto que en directoryindex le hemos dicho que cuando no se especifique un archivo muestre el index.html. Le podemos poner varias opciones, pero mientras ms pongamos ms posibilidades hay de que el servidor demore buscando un archivo para mostrarlo. Y se muestra en ese orden. Por ejemplo:
o DirectoryIndex index.php index.php4 index.htm index.html : buscar

primero a index.php, si no hay ninguno, buscar index.php4, despus index.htm y por ltimo index.html para mostrarlo. LogLevel: Es el nivel de verbosidad con que se guardan los logs. Mientras ms verbosos, ms consumen recursos del disco. Normalmente lo bajo a nivel de crit (crticos) en vez de warn (warning). Alias: Sirve para enmascarar un directorio que no existe, por ejemplo cuando alguien escribe: www.misitio.com/icons realmente no hay un directorio icons, sino que es un alias hacia /var/www/icons ScriptAlias: Lo mismo que el anterior, pero le indica al servidor apache que ahi hay un directorio con archivos que puede ejecutar. AddDefaultCharset: sugiero usar por defecto ISO-8859-1 en vez del UTF-8 que viene por defecto, porque se ha verificado que algunas veces no se visulizan correctamente los caracteres con acentos.

Al realizar cualquier cambio en la configuracin del apache necesitamos reiniciarlo para que este arranque con los nuevos valores: service httpd restart

2.2.2 Servidor FTP Uno de los servicios ms antiguos pero todava ms usados para transferir archivos entre mquinas es el servicio de ftp. En el mundo de linux y open source existen una variada cantidad de servidores ftp, uno de los ms conocidos es el wu-ftpd, un servidor de ftp de la universidad de Washington que se caracterizaba por sus constantes fallos de seguridad. Otro servidor ftp popular es el proftpd, realmente sigue siendo popular y ampliamente usado, ha tenido algunos problemas de seguridad pero los resuelven muy rpidamente y realmente al momento no se conoce algo que le afecte. Ahora, definitivamente, al momento existe un nuevo servidor de FTP, nuevo relativo a los otros, pues es un servidor que lleva varios aos en el mercado. Se

48

NETWORKING
llama vsftpd y se caracteriza por no tener al momento ninguna falla de seguridad conocida. Es un servidor de ftp muy simple, y por lo tanto, dada su poca complejidad es que sus autores se basan para indicar que tendr menos fallos de seguridad ya que realmente no vara mucho en su concepcin inicial. RedHat escogi al vsftpd como su servidor ftp desde la versin 3 de RHEL, y por lo tanto aqu lo veremos. Ver capitulo de Instalacion 2.2.4 Servidor de Correo El nacimiento del correo electrnico (email) ocurri a principios de los aos 60. El buzn era un archivo en el directorio principal de un usuario al cual slo el mismo poda acceder. Las aplicaciones de correo primitivas anexaban nuevos mensajes de texto a la parte inferior de un archivo, y el usuario tena que buscar a lo largo del archivo en constante crecimiento para encontrar un mensaje particular. Este sistema slo era capaz de enviar mensajes a usuarios en el mismo sistema. Protocolos de correo electrnico Hoy da, el correo electrnico es entregado usando una arquitectura cliente/servidor. Un mensaje de correo electrnico es creado usando un programa de correo cliente. Este programa luego enva el mensaje a un servidor. El servidor luego lo redirige al servidor de correo del recipiente y all se le suministra al cliente de correo del recipiente. Para permitir todo este proceso, existe una variedad de protocolos de red estndar que permiten que diferentes mquinas, a menudo ejecutando sistemas operativos diferentes y usando diferentes programas de correo, enven y reciban correo electrnico o email. Los protocolos que se indican a continuacin son los que ms se utilizan para transferir correo electrnico. Protocolos de transporte de correo La entrega de correo desde una aplicacin cliente a un servidor, y desde un servidor origen al servidor destino es manejada por el Protocolo simple de transferencia de correo (Simple Mail Transfer Protocol o SMTP). SMTP El objetivo principal del protocolo simple de transferencia de correo, SMTP, es transmitir correo entre servidores de correo. Sin embargo, es crtico para los clientes de correo tambin. Para poder enviar correo, el cliente envia el mensaje a un servidor de correo saliente, el cual luego contacta al servidor de correo de destino para la entrega. Por esta razn, es necesario especificar un servidor SMTP cuando se est configurando un cliente de correo. Un punto importante sobre el protocolo SMTP es que no requiere autenticacin. Esto permite que cualquiera en la Internet puede enviar correo a cualquier persona o a grandes grupos de personas. Esta caracterstica de SMTP es lo que hace posible el correo basura o spam. Los servidores SMTP modernos intentan minimizar este comportamiento permitiendo que slo los hosts conocidos accedan

49

NETWORKING
al servidor SMTP. Los servidores que no ponen tales restricciones son llamados servidores open relay. Red Hat Enterprise Linux utiliza Sendmail (/usr/sbin/sendmail) como su programa SMTP por defecto. Sin embargo, tambin est disponible una aplicacin ms simple de servidor de correo llamada Postfix (/usr/sbin/postfix). Protocolos de acceso a correo Hay dos protocolos principales usados por las aplicaciones de correo cliente para recuperar correo desde los servidores de correo: el Post Office Protocol (POP) y el Internet Message Access Protocol (IMAP). A diferencia de SMTP, estos protocolos requieren autenticacin de los clientes usando un nombre de usuario y una contrasea. Por defecto, las contraseas para ambos protocolos son pasadas a travs de la red sin encriptar. POP El servidor por defecto POP bajo CentOS Linux es /usr/sbin/dovecot y es proporcionado por el paquete dovecot. Cuando se utiliza POP, los mensajes de correo son descargados a travs de las aplicaciones de correo cliente. Por defecto, la mayora de los clientes de correo POP son configurados para borrar automticamente el mensaje en el servidor de correo despus que ste ha sido transferido exitsamente, sin embargo esta configuracin se puede cambiar. POP es completamente compatible con estndares importantes de mensajera de Internet, tales como Multipurpose Internet Mail Extensions (MIME), el cual permite los anexos de correo. POP funciona mejor para usuarios que tienen un sistema en el cual leen correo. Tambin funciona bien para usuarios que no tienen una conexin permanente a la Internet o a la red que contiene el servidor de correo. Desafortunadamente para aquellos con conexiones lentas, POP requiere que luego de la autenticacin los programas cliente descarguen el contenido completo de cada mensaje. Esto puede tomar un buen tiempo si algn mensaje tiene anexos grandes. La versin ms reciente del protocolo estndar POP es POP3; sin embargo, tambin existen una variedad de variantes del protocolo POP que no son tan populares:

APOP POP3 con autenticacin MDS. En este protocolo, el cliente de correo enva un hash codificado de la contrasea al servidor en lugar de enviar una contrasea encriptada. KPOP POP3 con autenticacin Kerberos. RPOP POP3 con autenticacin RPOP, que utiliza un identificador de usuario similar a una contrasea para autenticar las peticiones POP. No obstante, este ID no esta encriptado por tanto RPOP no es ms seguro que el estndar POP.

Para aadir seguridad, es posible utilizar la encriptacin Secure Socket Layer (SSL) para la autenticacin del cliente y las sesiones de transferencias de datos.

50

NETWORKING
Esto se puede activar usando el servicio pop3s o mediante el uso del programa /usr/sbin/stunnel. IMAP El servidor por defecto IMAP bajo Red Hat Enterprise Linux es /usr/sbin/imapd y es proporcionado por el paquete imap. Cuando utilice un servidor de correo IMAP, los mensajes de correo se mantienen en el servidor donde los usuarios pueden leerlos o borrarlos. IMAP tambin permite a las aplicaciones cliente crear, renombrar o borrar directorios en el servidor para organizar y almacenar correo. IMAP lo utilizan principalmente los usuarios que acceden a su correo desde varias mquinas. El protocolo es conveniente tambin para usuarios que se estn conectando al servidor de correo a travs de una conexin lenta, porque slo la informacin de la cabecera del correo es descargada para los mensajes, hasta que son abiertos, ahorrando de esta forma ancho de banda. El usuario tambin tiene la habilidad de eliminar mensajes sin verlos o descargarlos. Por conveniencia, las aplicaciones cliente IMAP son capaces de hacer cach de los mensajes localmente, para que el usuario pueda visualizar los mensajes previamente ledos cuando no se est conectado directamente al servidor IMAP. IMAP, como POP, es completamente compatible con estndares de mensajera de Internet, tales como MIME, que permite los anexos de correo. Para seguridad adicional, es posible utilizar la encriptacin SSL para la autenticacin de clientes y para las sesiones de transferencia de datos. Esto se puede activar usando el servicio imaps. Tambin estn disponibles otros clientes y servidores de correo IMAP gratutos as como tambin comerciales, muchos de los cuales extienden el protocolo IMAP y proporcionan funcionalidades adicionales. Una lista completa sobre esto se puede encontrar en http://www.imap.org/products/longlist.htm. Clasificaciones de los programas de correo En general, todas las aplicaciones de email caen en al menos una de tres clasificaciones. Cada clasificacin juega un papel especfico en el proceso de mover y administrar los mensajes de correo. Mientras que la mayora de los usuarios slo estn al tanto del programa de correo especfico que usan para recibir o enviar mensajes, cada uno es importante para asegurar que el mensaje llegue a su destino correcto. Agente de transferencia de correo Un Agente de transferencia de correo (MTA) transfiere mensajes de correo electrnico entre hosts usando SMTP. Un mensaje puede envolver a muchos MTAs a medida que este se mueve hasta llegar a su destino. Aunque la entrega de mensajes entre mquinas puede parecer bien simple, el proceso completo de decidir si un MTA particular puede o debera aceptar un mensaje para ser repartido, es ms bien complicado. Adems, debido a los problemas de spam, el uso de un MTA particular est usualmente restringido por

51

NETWORKING
la configuracin del MTA o por la configuracin de acceso a la red en la que reside el MTA. Muchos programas clientes de correo modernos pueden actuar como un MTA cuando estn enviando correo. Sin embargo, no se debera confundir esta accin con el papel de un verdadero MTA. La nica razn por la que los programas de correo cliente son capaces de enviar mensajes como un MTA es porque el host ejecutando la aplicacin no tiene su propio MTA. Esto es particularmente cierto para programas de correo cliente o para sistemas que no estn basados en el sistema operativo UNIX. Sin embargo, estos programas clientes slo envan mensajes salientes a un MTA para el cual estan autorizados a utilizar y no entregan el mensaje directamente al servidor de correos del recipiente. Agente de entrega de correos Un MTA invoca a un Agente de entrega de correos (MDA) para archivar el correo entrante en el buzn de correo del usuario. En muchos casos, el MDA es en realidad un Agente de entregas local (LDA), tal como mail o Procmail. Cualquier programa que maneje la entrega de mensajes hasta el punto en que puede ser ledo por una aplicacin cliente de correos se puede considerar un MDA. Por esta razn, algunos MTAs (tales como Sendmail y Postfix) pueden tener el papel de un MDA cuando ellos anexan nuevos mensajes de correo al archivo spool de correo del usuario. En general, los MDAs no transportan mensajes entre sistemas tampoco proporcionan una interfaz de usuario; los MDAs distribuyen y clasifican mensajes en la mquina local para que lo accese una aplicacin cliente de correo. Agente de usuario de correo Un agente de usuario de correo (MUA) es sinnimo con una aplicacin cliente de correo. Un MUA es un programa que, al menos, le permite a los usuarios leer y redactar mensajes de correo. Muchos MUAs son capaces de recuperar mensajes a travs de los protocolos POP o IMAP, configurando los buzones de correo para almacenar mensajes y enviando los mensajes salientes a un MTA. Los MUAs pueden ser de interfaz grfica, tal como Thunderbird, o tener una interfaz basada en texto muy sencilla, tal como mutt

2.3 Servicio de Voz sobre IP 2.3.1 Historia y definiciones VoIP comenz como el resultado del trabajo de un grupo de jvenes en Israel durante 1995. En aquella poca la nica comunicacin posible era de PC-a-PC. Poco ms tarde Vocaltec, Inc. anuncio el lanzamiento del primer softphone que llamaron Internet Phone Software. Este softphone estaba hecho para ser usado en una PC hogarea que tenia tarjeta de sonido, micrfono, parlantes y modem. El software funcionaba comprimiendo la seal de voz, convirtindola en paquetes

52

NETWORKING
de voz que eran enviados por Internet. El software slo funcionaba si las dos PC tenan el mismo software y el mismo hardware. En 1997 un seor llamado Jeff Pulver decide juntar por primera vez a los pocos usuarios, fabricantes, e interesados en esta tecnologa en VON, la primer feria que actualmente sigue siendo el mayor evento de VoIP. Ahora Pulver organiza VON 2 veces por ao en EEUU, y ahora tambin una vez por ao en varios pases de Europa. En 1998 VoIP dio otro gran salto. Un grupo de emprendedores comenz a fabricar los primeros ATA/gateways para permitir las primeras comunicaciones PC-atelfono convencional y finalmente las primeras comunicaciones telfonoconvencional - a - telfono-convencional (con ATAs en cada extremo). Algunos de estos emprendedores inicialmente daban el servicio sin cargo a sus clientes para que pudieran probar la calidad y la tecnologa. Estas llamadas contenan publicidad en el inicio y al final de cada comunicacin. Estos servicios solo se prestaban en EEUU y funcionaban gracias a esta publicidad. A menudo deba comenzarse la comunicacin a travs de una PC para luego pasar a un telfono convencional. En este punto VoIP sumaba el 1% del total del trfico de voz, durante 1998 tres fabricantes comenzaron a fabricar switches de layer (capa) 3 con QoS. En 1999 Cisco vende sus primeras plataformas corporativas para VoIP. Se utilizaba principalmente el protocolo H323 de sealizacin. En el ao 2000 VoIP representaba ms del 3% del trfico de voz. El mismo ao Mark Spencer un estudiante de la Universidad de Auburn crea Asterisk, la primer central telefnica / conmutador basada en Linux con una PC hogarea con un cdigo fuente abierto. Asterisk hoy ofrece una solucin freeware para hogares/pequeas empresas y soluciones IP-PBX corporativas. En 2002 el protocolo SIP comienza a desplazar al H323. En 2003 dos jvenes universitarios Jan Friis y Niklas Zenntrom crean un softphone gratuito fcilmente instalable en cualquier PC que puede atravesar todos los firewalls y routers inclusive los corporativos. Ese producto es Skype, que se propaga con una velocidad increble. En 2005 Asterisk se afianza como smbolo de VoIP donde la Empresa de Mark Spencer, Linux Support Services se convierte en Digium especializada en la venta de Hardware para Asterisk y no esperan otros fabricantes en aparecer y realizar la misma funcin que la Empresa Digium. 2.3.1.1 Descripcin de VoIp. Las redes VoIP sustituyen a los operadores de Red de Telefona Pblica Conmutada (PSTN) tradicionales y no slo abaratan los servicios de voz tradicionales, sino que proporcionan una gama mucho ms amplia de servicios: ofrecen la oportunidad de integrar la voz al conjunto de aplicaciones de protocolo de Internet. En general, esto quiere decir enviar voz en forma digital en paquetes en lugar de enviarla en forma de switcheo de circuitos como una compaa telefnica convencional o PSTN.

53

NETWORKING
Este servicio permite, por medio de cualquier tipo de conexin a Internet de banda ancha (ADSL, Cablemdem, etc.), realizar llamadas telefnicas por Internet con un Adaptador IP o Telfono IP a un costo muy econmico. Es el producto ideal para usuarios y empresas que realizan un uso intensivo del telfono para hacer llamadas de: Larga distancia Nacional. Larga distancia Internacional. Punto a punto. Integracin de los departamentos de una empresa

Una red IP es la forma ideal de integrar equipos de trabajo distribuidos geogrficamente a travs de la red de datos, haciendo posible contar con un acceso eficiente a bajo costo, sin perder ninguna de las facilidades de integrar VoIP donde paquetiza la voz por IP, mientras que la comunicacin de Telefona IP aprovecha todas las facilidades de interconexin a travs de los protocolos de Internet. 2.3.1.2 Ventajas y Desventajas de VoIP

Ventajas: Eliminacin del costo de llamadas en un aproximado 60%, ya que se utiliza la red de datos. Menor costo de instalacin, gestin y mantenimiento, no se hace planta externa. Puestos de trabajo mviles y facilidad de incorporacin de nuevos telfonos. Cualquier punto de la red sirve para conectar en cualquier momento un PC o telfono. Permite la movilidad y facilidad de traslados. Cableado ms sencillo porque hay un solo cable hasta cada puesto de trabajo.

Desventajas:

Prdida de servicio durante interrupciones. sin los telfonos de la energa VOIP sea intil, as que en caso de que de emergencias durante cortes de la energa. Con las llamadas de emergencia de VOIP, es duro localizarle y enviar ayuda en tiempo prudente. No hay protocolo estndar aplicable. 2.3.2 Componentes de Hardware para Tecnologa VoIP Una diferencia inicial entre VoIP y Telefona-IP es la interoperatividad con las redes telefnicas actuales. En el caso de IP-LAN se disponen de dos tipos de Interconexin a la PSTN: desde un switch class-4 (trnsito) y directamente desde Gateway-E1.

54

NETWORKING
VoIP es paquetizar la voz por IP, mientras que hablar de Telefona IP es aprovechar todas las facilidades con que cuentan las PBX a travs de la red IP del cliente. Componentes Fsicos

Tarjetas Analgicas Tarjeta TDM2400E

Tienen una capacidad de hasta 6 mdulos especiales (2 FXS / 4 FXO), estas tarjetas necesitan mucha energa si se usa mdulos FXS. Bsicamente es una TDM400 de alta densidad. Son buenas pero el conector que arrojan es un amphenol de 25 pares. Requieres de un MDF para distribuir tus pares. Se tiene que usar buena placa con interrupciones separadas.

Tarjeta Analgica TDM2400E.

55

NETWORKING
Tarjeta TDM11B.

TDM11B es una tarjeta PCI 2.2 perteneciente a la familia TDM400P. Est familia de tarjetas de comunicaciones soporta hasta 4 interfaces (FXS-FXO) que permiten conectar hasta 4 telfonos analgicos en un PC. Usando el Software Asterisk PBX de Digium y un equipamiento de PC estndar, cualquier usuario puede crear un entorno telefnico SOHO (Small Office Home Office) que incluye todas las sofisticadas funcionalidades de una plataforma PBX/Buzn de Voz de altas prestaciones.

Tarjeta Analgica TDM11B.

Existen dos clases de interfaz que son: FXO (Foreign Exchange Operator/Office)

Interfaz de central externa es el puerto que recibe la lnea analgica y puede conectarse a la PSTN. Es un enchufe del telfono o aparato de fax, o el enchufe de su central telefnica analgica. Enva una indicacin de colgado/descolgado (cierre de bucle). FXS (Foreign Exchange Station/Subscriber).

La interfaz de abonado externo es el puerto que efectivamente enva la lnea analgica al abonado. En otras palabras, es el enchufe de la pared que enva tono de marcado, corriente para la batera y tensin de llamada. Los canales de FXS proporcionaran normalmente: Seal para marcar. Voltaje de sonido. Deteccin de DTMF (tono del tacto).

56

NETWORKING
El esperar del mensaje. Llamar la identificacin de la lnea.

El dispositivo FXO se conecta siempre a un FXS, los dispositivos FXS abastecen a la lnea con 48 voltios de corriente continua, que los dispositivos FXO usan para alimentarse.

Tarjeta FXO -FXS. Tarjetas Digitales (ISDN Bsicas). Tarjeta ISDN AVM Fritz.

Las tarjetas AVM Fritz estn compuestas de un puerto y permite realizar dos conversaciones simultneas.

Tarjeta Digital ISDN AVM. Tarjeta QuadBri Junghanns.

Esta tarjeta contiene cuatro puertos y permite realizar hasta 8 conversaciones simultneas.

57

NETWORKING

Tarjeta Digital QuadBri Junghanns.

Tarjeta OcroBri Junghanns.

Esta tarjeta contiene ocho puertos y permite realizar hasta 16 conversaciones simultneas.

Tarjeta Digital OcroBri Junghanns. Tarjetas Digitales (Primarios E1) Tarjeta TE110P.

Esta tarjeta posee un puerto primario que permite conectar treinta conversaciones simultneas por cada primario.

58

NETWORKING

Tarjeta Digital TE110P.

Tarjeta TE210P.

Esta tarjeta posee dos puertos primarios que permite conectar sesenta conversaciones simultneas.

Tarjeta Digital TE210P.

2.3.3 Protocolos de Sealizacin de telefona tradicional Las tcnicas de sealizacin son usadas para supervisin, direccionamiento y para alerta. La supervisin involucra la deteccin de cambios en el estado de la troncal, una vez que los cambios son detectados, el circuito de supervisin genera una respuesta predeterminada como cerrar un lazo y completar la llamada.

59

NETWORKING
Sealizacin de supervisin (Analogica) (ON-HOOK)
Handset on cradle and switch hook is open Local Loop -48 DC Voltage (Battery) DC Open Circuit No Current Flow

Telephone Switch
Switch

Local Loop

Figura No. 2.18: Circuito Abierto. (OFF-HOOK)

Off-Hook Closed Circuit DC Current Dial Tone Local Loop

Telephone Switch
Switch
Local Loop

Figura No. 2.19: Circuito Cerrado.

(RINGING)
Off-Hook Closed Circuit Ring-Back Tone DC Current Local Loop

Telephone Switch
Ringing Voltage

Switch
Local Loop

Figura No. 2.20: Sealizacin.

Las seales de direccionamiento pasan los dgitos marcados a un IP/PBX o a una central, el cual se encarga de definir una ruta para el nmero requerido. La sealizacin de alerta provee sonidos (tonos) para el usuario, indicando ciertas condiciones como una llamada entrante o que el telfono marcando est ocupado o que est timbrando.

60

NETWORKING
Sealizacin Digital Sealizacin de canal asociado (CAS). CAS es la transmisin de la informacin de sealizacin dentro del canal de voz, esto significa que las seales de voz viajan al mismo canal con la informacin de supervisin, direccionamiento y seales de alerta. Tipos de sealizacin digitalCAS
Extended Super Frame

Bit A B C D
Audio Address Signaling (DTMF) Supervision On/Off Hook Address Signaling (Dial Pulse)

Frame 6th 12th 18th 24th

Figura No. 2.21: Sealizacin CAS. Sealizacin de canal comn (CCS). En contraste con CAS, CSS no tiene definido los bits asociados con los canales de voz, en vez de esto, usa protocolos de transmisin de datos para transmitir mensajes relacionados con el estado de las llamadas, callsetup, transfer, etc. Los protocolos CCS son usados comnmente con troncales de interfaces digitales, sin embargo algunos sistemas tambin permiten que se use este esquema con troncales analgicas, en este caso se requiere de una ruta para la sealizacin. 2.3.4 Protocolos de Sealizacin de telefona IP Para describir las diferentes normas, estndares y protocolos que rigen la tecnologa VoIP es indispensable la utilizacin de protocolos de sealizacin que son en si los mismos que permiten la transmisin de informacin. Debido a que existen infinidad de equipos que acceden al servicio de VoIP es necesario el uso de protocolos que a su vez son estndares para la transmisin de voz, datos, aqu uno de ellos. Protocolo SIP (SESSION INITIATION PROTOCOL). SIP es un estndar de IETF (Internet Engineering Task Force), SIP se define como una arquitectura distribuida para crear aplicaciones multimedia que incluyen voz, video, datos y conferencias para su uso ms de las redes de conmutacin de paquetes. Por otro lado RFC 3621 - SIP: Session Initiation ProtocolSIP es una aplicacin de la capa de control (sealizacin) de protocolo para crear, modificar y finalizar sesiones con uno o ms participantes. Estas sesiones de Internet incluyen llamadas telefnicas, distribucin multimedia, y conferencias

61

NETWORKING
multimedia donde el usuario puede hacer y recibir llamadas desde cualquier parte del mundo. Ventajas del Protocolo SIP.

Proporciona una descripcin de la sesin a la que el usuario est siendo invitado a asistir SIP usa una nica peticin para enviar toda la informacin requerida. Trata los servicios de voz como una aplicacin ms de red. Utiliza un nico puerto UDP (el 5060) para atender a todas las conexiones. SIP usa RTP y UDP para transportar el trfico de voz real (al igual que H.323). El direccionamiento de SIP es como URL User@host o SIP: m.burgos@aaug.com.ec E.164: 3080743 @ telefonica.com Tel: 3080743

Figura: Sealizacin SIP. SIP y los Protocolos Multimedia.

SDP

SIP

RTP

RTCP

TCP IP

UDP

Nivel de enlace y fisico

Figura: Protocolos Modelo TCP/IP.

62

NETWORKING
Transmisin de voz. UDP (User Datagram Protocol).- La transmisin se realiza sobre paquetes UDP, pues aunque UDP no ofrece integridad en los datos, el aprovechamiento del ancho de banda es mayor que con TCP. RTP (Routing Table Protocol).- Maneja los aspectos relativos a la temporizacin, marcando los paquetes UDP con la informacin necesaria para la correcta entrega de los mismos en recepcin. 2.1.1.1.1 Control de la transmisin. RTCP (Real Time Control Protocol).- Se utiliza principalmente para detectar situaciones de congestin de la red y tomar, en su caso, acciones correctas. IP (Internet Procolos).- La parte IP del protocolo de comunicaciones TCP/IP. Implementa el nivel de red (capa 3 de la pila de protocolos OSI), que contiene una direccin de red y se utiliza para enrutar un paquete hacia otra red o subred. TCP (Transmission Control Protocol).- Protocolo de comunicacin que permite comunicarse a los ordenadores a travs de Internet. Asegura que un mensaje es enviado completo y de forma fiable. Se trata de un protocolo orientado a conexin. SIP (Session Initiation Protocol).- Es un protocolo de sealizacin para conferencia, telefona, presencia, notificacin de eventos y mensajera instantnea a travs de Internet. SDP (Session Description Protocol).- Que est descrito en la RFC 2327 y se usa junto con RTSP. Se encarga de dar informacin sobre la sesin: nmero de flujos tipo de contenido, duracin, ancho de banda, etc. Es un protocolo basado en texto que puede ir incluido dentro de la sealizacin de RTSP o ser descargado mediante otros protocolos.

Protocolo MGCP (Media Gateway Control Protocol). Es un protocolo utilizado dentro de VoIP. Este protocolo se interna desarrollado principalmente para hacer frente a las exigencias del transportista basado en redes de telefona IP. Un MGCP principalmente se ocupa de todas la convocatoria de transformacin de la vinculacin con la red IP a travs de constantes comunicaciones con un dispositivo de sealizacin IP, por ejemplo, un servidor SIP o H.323. MGCP se compone de una convocatoria de agente, un MG (media gateway) que realiza la conversin de seales de los medios de comunicacin entre circuitos y paquetes.

63

NETWORKING

Figura: Funcionamiento MGCP. Protocolo IAX (Protocolo Inter Asterisk Exchange). Es el protocolo utilizado por Asterisk, con cdigo abierto patrocinado por la Empresa Digium. Se usa para habilitar conexiones de VoIP entre los servidores del Asterisk, y entre los servidores y clientes que tambin usan el protocolo de IAX. Los objetivos del IAX son: Minimizar el ancho de banda usado en las transmisiones de control y multimedia de Vo-IP Evitar problemas de NAT (Network Address Translation). Soporte para transmitir planes de marcacin Ahora la mayora normalmente se refiere a IAX2, la segunda versin del protocolo de IAX. El protocolo de IAX ha quedado obsoleto en comparacin del IAX2.

Protocolo IAX2 (Protocolo Inter Asterisk Exchange V2). Es un protocolo de comunicacin de voz IP que se usa en Asterisk, una centralita de cdigo abierto y libre que permite conexiones entre servidores Asterisk y clientes.

64

NETWORKING
Fue creado por Mark Spencer para la sealizacin de VoIP en Asterisk. El protocolo crea sesiones internas y dichas sesiones pueden utilizar cualquier cdec que pueda transmitir voz o vdeo. Entre sus ventajas se cuentan: No tiene problemas con NAT. Utiliza un nico puerto UDP (el 4569) para atender a todas las conexiones. Es ligero y fcil de implementar. Es robusto y muy simple de usar a comparacin de otros protocolos. Supone la menor sobrecarga de red. Soporta Trunking ya que un simple enlace permite enviar datos de sealizacin por mltiples canales.

Figura: Funcionamiento IAX. Protocolo QoS (Quality Of Service). Quality Of Service que en castellano quiere decir "Calidad de Servicio", mediante la calidad de servicio podemos aprovechar al mximo los recursos disponibles de red, y categorizar el trfico. Basado en determinados parmetros. Con esto se consigue disminuir el trfico, ya sea generado desde la red local, o proveniente de Internet. La implantacin de un sistema de (QoS) se hace indispensable cuando es necesario dotar a nuestra infraestructura de un servicio constante, impidiendo la saturacin y dotando a nuestra red local de un sistema de control de trfico.

65

NETWORKING
La (QoS) es el rendimiento de extremo a extremo de los servicios electrnicos tal como lo percibe el usuario final. Los parmetros de QoS son: el retardo, la variacin del retardo y la prdida de paquetes. Una red debe garantizar que puede ofrecer un cierto nivel de calidad de servicio para un nivel de trfico que sigue un conjunto especfico de parmetros. La implementacin de polticas de calidad de servicio se puede enfocar en varios puntos segn los requerimientos de la red, los principales son: Asignar ancho de banda en forma diferenciada. Evitar y/o administrar la congestin en la red. Manejar prioridades de acuerdo al tipo de trfico. Modelar el trfico de la red. Factores que afectan al Qos (Quality Of Service). En una red VoIP, es importante considerar todos los factores que afectaran la calidad de voz. A continuacin los factores ms importantes. Codec.

Ante de que la voz sea transmitida sobre una red IP, primero debe ser digitalizado. Los cdigos estndares comunes son listados. Hay una correlacin general entre la calidad de voz y la velocidad de datos: la velocidad de datos ms alta, la calidad de voz ms alto. Cdigo Estndar G.711 G.726 G.728 G.729 Algoritmo PCM (Pulse Code Modulation) ADPCM (Adaptive Differential Pulse Code Modulation) LD-CELP (Low Delay Code Excited Linear Prediction) CS-ACELP (Conjugate Structure Algebra CELP G.723.1 MP-MLQ (Multi-Pulse Maximum ) 6.3 Kbps 5.3 Kbps Tarifa de Datos 64 Kbps 16.24.32.40 Kbps

16 Kbps 8 Kbps

Tabla: Codec con sus algoritmos y Tarifas de Datos. Prdida de Trama.

Las tramas VoIP tienen que atravesar una red IP, el cual no es del todo cierto. Las tramas se pueden perder como resultado de una congestin de red o corrupcin

66

NETWORKING
de datos. Adems, para trfico de tiempo real como la voz, la retransmisin de tramas perdidas en la capa de transporte no es prctico por ocasionar retardos adicionales. Para combatir mejor las rfagas de errores, la interpolacin es usualmente usada. Basadas en las muestras de voz previas, el decodificador predecir cuales tramas perdidas debieran ser. Esta tcnica es conocida como Packet Loss Concealment (PLC). Retardo.

Una vez establecidos los retardos de procesado, retardos de trnsito la conversacin se considera aceptable por debajo de los 150 ms. Los tipos de retardo se clasifican en dos tipos: Retardo fijo, se adiciona directamente al total del retardo de la conexin. Retardo variable, se adiciona por demoras en las colas de los buffer, se nota como (n). A continuacin se identifican todos los posibles retardos, fijos o variables, en una red. Retardo por paquetizacin.- Es la demora para llenar un paquete de informacin, carga til, de la conversacin ya codificada y comprimida. Este retardo es funcin del tamao de bloque requerido por el codificador de voz y el nmero de bloque de una sola trama. Ancho de Banda.

Los algoritmos de compresin usados en los enrutadores y en los gateways analizan un bloque de muestras, entregadas por el codificador de voz (voice codec). Estos bloques tienen una longitud variable que depende del codificador, por ejemplo el tamao bsico de un bloque del algoritmo g.729 es 10 ms, mientras que el tamao bsico de un bloque del algoritmo g.723.1 es 30 ms. El beneficio de la compresin de Voz es que reduce el consumo de ancho de banda.

67

NETWORKING
Bloque de muestras (Ancho de banda) PCM Ancho de VoCodecs Banda (BW) Retardo Mejor Peor

opcin opcin

G.711 PCM G.726 ADPCM G.727 E-ADPCM G.729 CS-ACELP G.728 LD-CELP

64 Kbps 16, 24, 32, 40 Kbps 16, 24, 32, 40 Kbps 8 Kbps 16 Kbps

0.75ms 10ms 3-5ms 10ms 2.5ms 10ms 2.5ms 10ms

MP-MLQ G723.1 6.3 / 5.3 Kbps /G.723.1 CELP

30ms

5ms

20ms

Tabla: Ancho de Banda requerido por los Vocadecs actuales La VoIP otorga ms eficiencia a la hora de realizar una transmisin de voz, ya que se aprovecha el mejor ancho de banda. Eco.

Eco es cuando una persona est teniendo una conversacin por telfono, esto va ser reflejada en el telfono de tal forma que podamos escucharnos a nosotros mismos. Existen dos factores que constituyen el eco, el retardo introducido por red que transmite la conversacin y puntos de la ruta que refleja la seal de la voz.

2.3.5 ASTERISK Asterisk es una aplicacin software libre de una central telefnica (PBX) desarrollado por la empresa americana Digium, se puede conectar un nmero determinado de telfonos para hacer llamadas entre s e incluso conectar a un proveedor de VoIp. Posee licencia GPL. Asterisk incluye muchas caractersticas anteriormente slo disponibles en caros sistemas propietarios PBX: buzn de voz, conferencias, IVR, distribucin automtica de llamadas, y otras muchas ms. Los usuarios pueden crear nuevas

68

NETWORKING
funcionalidades escribiendo un dialplan en el lenguaje de script de Asterisk o aadiendo mdulos escritos en lenguaje C o en cualquier otro lenguaje de programacin soportado por Linux. Quiz lo ms interesante de Asterisk es que soporta muchos protocolos Voip como pueden ser SIP, H.323, IAX y MGCP. Asterisk puede interoperar con terminales IP actuando como un registrador y como gateway entre ambos. Para conectar telfonos normales analgicos hacen falta unas tarjetas telefnicas FXS (Foreign Exchange Station) o FXO (Foreign Exchange Office) fabricadas por Digium o por otros fabricantes, ya que para conectar el servidor a una lnea externa no vale con un simple mdem. Funcionalidades que brinda Asterisk. Asterisk es capaz de trabajar con prcticamente todos los estndares de telefona tradicional. Lneas analgicas. Lneas digitales: E1, T1. Soporta casi todos los protocolos de VoIp: SIP. IAX2. MGCP. Cisco Skinny. Trabaja con IVR (Interactive Voice Responce) recepcin y gestin de llamadas con mens interactivos. Tambin trabaja con Buzn de Voz en la que los mensajes son enviados por Email o tambin por SMS.

69

NETWORKING

Figura: Esquema conceptual de las Funcionalidades del Asterisk. Caractersticas del Asterisk. La solucin de telefona basada en Asterisk dispone de un extenso conjunto de funciones. Asterisk ofrece las funciones propias, adems caractersticas avanzadas, pudiendo trabajar tanto con sistemas de telefona estndar tradicionales con sistemas de Voz sobre IP. Asterisk est dotado con caractersticas como: 1. 2. 3. 4. 5. 6. Sistema de contestador automtico (Voicemail, buzn de voz) etc. IVR: Interactive Voice Response. (Pulse 1 si conoce la extensin). ACD: Colas de distribucin de llamadas automticas: Call centres. Integracin con BD. Medios fsicos: FXO, FXS, IP, C-T1, E1. Protocolos: SIP, H323.IAX.

70

NETWORKING
SIPX SIP P4 A 2.4 HG, 512 MB EN RAM, 80GB DIS DURO SI Seleccin de rutas, Desvo, Conferencias, ASTERISK SIP, H323, SCCP, MGCP, IAX PII A 300MHz, 128MB EN RAM, 4GB DISC DURO SI YATE SIP, H323, IAX PII A 300MHz, 128MB EN RAM SI

Protocolos Requerimiento de Hardware Correo de voz y Operadora Automtica Funcionalidad

Interfaces PSTN Escalabilidad

Seleccin de Seleccin de rutas, Desvo, rutas, Desvo, Captura Captura Conferencia Conferencia E1, T1, BRI, FXO E1, T1, BRI, FXO E1, T1, BRI, FXO Hasta 4000 Hasta 2000 Hasta 2000 puertos con P4 puertos con P4. puertos con P4. Tabla: Tipos de PBX.

Servicios que brinda el Asterisk. Los servicios que nos brinda el Asterisk permitir configurar varios servicios de este modo poder centralizar de mejor manera un ambiente de tecnologa como es la VO IP. A continuacin los servicios: Crear cuentas de voicemail por usuario. Permite crear N nmero de extensiones SIP o IAX2. Permite hacer la configuracin de tus extensiones IP. Permite administrar las trncales IAX o SIP. En el caso de tarjetas E1/T1 permite administrar los DID. Permite hacer grupos de llamadas o de extensiones. Configurar las llamadas entrantes, si mandarlas a una extensin, o a la recepcionista digital o a un grupo de extensiones. Permite recibir faxes y mandarlos por correo como PDF. Genera reportes de las llamadas hechas por extensiones o de las que entraron. Subir msica para dejar las llamadas en espera. Realiza reportes comparativos entre llamadas, para ver la utilizacin de lneas. Cuartos de conferencia dependiendo de los telfonos IP.

Canales Un canal es el equivalente a una lnea telefnica en la forma de un circuito de voz digital Este generalmente consiste de una seal analgica en un sistema POTS o alguna combinacin de CODEC y protocolos de sealizacin (GSM con SIP, Ulaw con IAX). En un principio las conexiones eran siempre analgicas y por eso, ms susceptibles a ruidos y ecos. Recientemente la telefona paso para el sistema digital, donde la seal analgica es codificada en forma digital usando

71

NETWORKING
normalmente PCM (Pulse Code Modulation). Esto permite que el canal de voz sea codificado en 64 Kilobits/segundo sin ser compactado. Canales para la red de telefona pblica. Digium Zaptel .chan_zaptel TE410P 4xE1/T1 TE412P 4xE1/T1 T450P 4xE1/T1 TE407P 4xE1/T1 con supresin de eco TE205P 2xE1/T1 TE207P 2xE1/T1 con supresin de eco TE210P 2xE1/T1 TDM400P 4 puertas analgicas FXS o FXO TDM800P 8 puertas analgicas TDM2400 24 puertas analgicas FXS o FXO Canales para voz sobre IP chan_sip: Sesion Initiation Protocol. chan_iax: Inter Asterisk Exchange Protocol 2 chan_h323: ITU H.323 chan_mgcp 2910834 IETF MGCP. chan_sccp: Cisco SCCP. Canales internos para Asterisk chan_agent: un canal de agente DAC (Dial String Agent). chan_console: cliente de consola de Linux, driver para placas de sonido. chan_local: hace un loop en el plan de discado Codecs y conversores de CODEC. Estos CODECs realmente lo podemos utilizar para que al momento de realizar varias llamadas en una red de datos es por eso que con CODECs ocupamos menor ancho de banda. Algunos CODECs como el g.729 permite codificar a 8 kilobits por segundo, una comprensin de 8 para 1. Ejemplos: Ulaw, Alaw, Gsm, Ilbc y G729. Asterisk soporta los siguientes CODECs: G.711: ulaw usado en USA (64 kbps). G.711: alaw usado en Europa y Brasil (64 Kbps). G.723.1 Modo Pass-Through. G.729 Precisa adquisicin de licencia, a menos que se utilice pass-thru (8 Kbps).

72

NETWORKING
GSM (12 13 Kbps). iLBC (15Kbps). LPC10 (2.5 Kbps). Speex (2.15 2.44 Kbps). SCCP (Cisco Skinny). Bibliografa de la Unidad 1. Ecuaciones Diferenciales. DENNIS ZILL 2. Circuitos Elctricos. RICHARD DORF 3. Ingeniera de Control Moderna. OGATA KATSUHIKO

CRITERIOS DE EVALUACIN: Prueba escrita Tareas de aplicacin

73

NETWORKING
UNIDAD III CONFIGURACION DE DISPOSITIVOS CISCO OBJETIVO DE LA UNIDAD Configurar un switch o router cisco desde cero, para ello se empezara por lo basico, ruteo estatico, y control de trafico por listas de acceso. CONTENIDOS: CAPT. TEMAS I II III IV Configuracin Basica Configuracin de Interrfaces Configuracin de rutas estaticas Configuracin de ACLs

HORAS DE ESTUDIO 08H00 05H00 05H00 08H00

I. Configuracin Basica Todos los cambios de configuracin hechos mediante la interfaz de lnea de comando (CLI) en un router Cisco, se realizan desde el modo de configuracin global. Se ingresa a otros modos de operacin ms especficos segn sea el cambio de configuracin requerido, pero dichos modos especficos son todos subconjuntos del modo de configuracin global. Los comandos del modo de configuracin global se utilizan en un router para ejecutar comandos de configuracin que afectan al sistema como un todo. El siguiente comando lleva al router al modo de configuracin global y permite ingresar comandos desde la terminal: Router#configure terminal Router(config)# El modo de configuracin global, a menudo abreviado como 'global config', es el modo de configuracin principal. Estos son algunos de los modos de operacin a los que se puede ingresar desde el modo de configuracin global:

Modo de interfaz Modo de lnea Modo router Modo de subinterfaz Modo de controlador

Al ingresar a estos modos especficos, la peticin de entrada del router cambia para sealar el modo de configuracin en uso. Todo cambio de configuracin que se realice, tendr efecto nicamente en las interfaces o procesos relativos a ese modo particular. Al escribir exit desde alguno de estos modos de configuracin especficos, el router regresa al modo de configuracin global. Al presionar Control-Z, se sale

74

NETWORKING
por completo del modo de configuracin y el router vuelve al modo EXEC privilegiado. 1.1 Configuracin del nombre de router Se debe asignar un nombre exclusivo al router, como la primera tarea de configuracin. Esto se realiza en el modo de configuracin global, mediante los siguientes comandos: Router(config)#hostname Tokyo Tokyo(config)# Al presionar la tecla Enter, la peticin de entrada ya no mostrar el nombre de host por defecto ('Router'), sino el nombre de host que se acaba de configurar, 'Tokio', en el ejemplo anterior. 1.2 Configuracin de contraseas de router Las contraseas restringen el acceso a los routers. Se debe siempre configurar contraseas para las lneas de terminales virtuales y para la lnea de consola. Las contraseas tambin se usan para controlar el acceso al modo EXEC privilegiado, a fin de que slo los usuarios autorizados puedan hacer cambios al archivo de configuracin. Aunque es opcional, se recomienda configurar una contrasea para la lnea de comando. Los siguientes comandos se utilizan para fijar dicha contrasea. Router(config)#line console 0 Router(config-line)#password <password> Router(config-line)#login Se debe fijar contraseas en una o ms de las lneas de terminales virtuales (VTY), para habilitar el acceso remoto de usuarios al router mediante Telnet. Normalmente, los routers Cisco permiten cinco lneas de VTY identificadas del 0 al 4, aunque segn el hardware particular, puede haber modalidades diferentes para las conexiones de VTY. Se suele usar la misma contrasea para todas las lneas, pero a veces se reserva una lnea mediante una contrasea exclusiva, para que sea posible el acceso al router aunque haya demanda de ms de cuatro conexiones. Los siguientes comandos se utilizan para establecer contraseas en las lneas de VTY: Router(config)#line vty 0 4 Router(config-line)#password <password> Router(config-line)#login Los comandos enable password y enable secret se utilizan para restringir el acceso al modo EXEC privilegiado. El comando enable password se utiliza slo si no se ha configurado previamente enable secret. Se recomienda habilitar siempre enable secret, ya que a diferencia de enable password, la contrasea

75

NETWORKING
estar siempre cifrada. Estos son los comandos que se utilizan para configurar las contraseas: Router(config)#enable password<password> Router(config)#enable secret<password> En ocasiones es deseable evitar que las contraseas se muestren en texto sin cifrar al ejecutar los comandos show running-config o show startup-config. El siguiente comando se utiliza para cifrar las contraseas al mostrar los datos de configuracin: Router(config)#service password-encryption El comando service password-encryption aplica un cifrado dbil a todas las contraseas sin cifrar. El comando enable secret <password> usa un fuerte algoritmo MD5 para cifrar.

1.3 Uso de los comandos show Los numerosos comandos show se pueden utilizar para examinar el contenido de los archivos en el router y para diagnosticar fallas. Tanto en el modo EXEC privilegiado como en el modo EXEC de usuario, el comando show ? muestra una lista de los comandos show disponibles. La lista en el modo EXEC privilegiado es considerablemente ms larga que en el modo EXEC de usuario.

show interfaces: Muestra las estadsticas completas de todas las interfaces del router. Para ver las estadsticas de una interfaz especfica, ejecute el comando show interfaces seguido de la interfaz especfica y el nmero de puerto. Por ejemplo: Router#show interfaces serial 0/1

show controllers serial: muestra informacin especfica de la interface de hardware. El comnado debe incluir el nmero de puerto y/o de ranura de la interfaz. Por ejemplo: Router#show controllers serial 0/1

show clock: Muestra la hora fijada en el router show hosts: Muestra la lista en cach de los nombres de host y sus direcciones show users: Muestra todos los usuarios conectados al router show history: Muestra un historial de los comandos ingresados show flash: Muestra informacin acerca de la memoria flash y cules archivos IOS se encuentran almacenados all show version: Despliega la informacin acerca del routery de la imagen de IOS que est corriendo en al RAM. Este comando tambin muestra el valor del registro de configuracin del router show ARP: Muestra la tabla ARP del router

76

NETWORKING

show protocols: Muestra el estado global y por interface de cualquier protocolo de capa 3 que haya sido configurado show startup-configuration: Muestra el archivo de configuracin almacenado en la NVRAM show running-configuration: Muestra el contenido del archivo de configuracin activo o la configuracin para una interfaz especfica o informacin de un map class

1.4 Cambios en la Configuracin Si es necesario modificar una configuracin, se debe ir al modo de operacin apropiado e ingresar el comando correspondiente. Por ejemplo, para activar una interfaz, ingrese al modo de configuracin global, luego al modo de configuracin de interfaces, y ejecute el comando no shutdown. Para comprobar los cambios, use el comando show running-config. Este comando mostrar la configuracin en uso. Si las variables que se muestran no son las esperadas, es posible corregir el entorno efectuando uno o ms de los siguientes pasos:

Ejecute la forma no de un comando de configuracin. Vuelva a cargar el sistema para regresar a la configuracin original de configuracin almacenada en la NVRAM. Copie un archivo de configuracin desde un servidor TFTP. Elimine el archivo de configuracin de inicio con erase startup-config, luego reinicie el router e ingrese al modo de configuracin inicial (setup).

Para guardar las variables en la configuracin de inicio en NVRAM, ejecute el siguiente comando al estar en EXEC privilegiado: Router#copy running-config startup-config 1.5 Configuracin del mensaje del da (MOTD) El mensaje de inicio de sesin se muestra al usuario al momento de hacer login en el router, y se usa para comunicar informacin de inters a todos los usuarios de la red, tales como avisos de prximas interrupciones del sistema. Todos pueden ver los mensajes de inicio de sesin. Por lo tanto, se debe poner especial atencin a la redaccin de dichos mensajes. "Bienvenido" es una invitacin a entrar al router, y probablemente no sea un mensaje apropiado. Un mensaje de inicio de sesin debe advertir que slo los usuarios autorizados deben intentar el acceso. Un mensaje del estilo "Este es un sistema protegido, ingrese nicamente si est autorizado!" advierte a los visitantes que el ir ms all est prohibido y es ilegal. Se puede configurar un mensaje del da (MOTD), para que sea mostrado en todas las terminales conectadas.

77

NETWORKING
Ingrese al modo de configuracin global para configurar un texto como mensaje del da (MOTD). Use el comando banner motd, seguido de un espacio y un delimitador, como por ejemplo el signo numeral (#). Escriba el mensaje del da (MOTD) seguido de un espacio y de nuevo el delimitador. Siga estos pasos para crear y mostrar un mensaje del da: 1. Ingrese al modo de configuracin global, mediante el comando configure terminal. 2. Escriba el comando banner motd # Escriba aqu el mensaje del da #. 3. Guarde los cambios mediante el comando copy running-config startupconfig. 1.6 Resolucin de nombres de host y configuracin de tablas de hosts La resolucin de nombres de host es el mecanismo que utiliza un computador para relacionar un nombre de host con una direccin de IP. Para poder usar nombres de host para comunicarse con otros dispositivos de IP, los dispositivos de red, como los routers, deben poder vincular los nombres de host con las direcciones de IP. Una lista de nombres de host y sus direcciones de IP asignadas se denomina tabla de host. Una tabla de host puede incluir todos los dispositivos de una red. Cada direccin de IP individual puede estar vinculada a un nombre de host. El software Cisco IOS mantiene un archivo de vnculos entre los nombres de host y las direcciones de IP, el cual es utilizado por los comandos EXEC. Este cach agiliza el proceso de conversin de nombres a direcciones. Los nombres de host, a diferencia de los nombres DNS, slo tienen vigencia en el router en el que estn configurados. La tabla de host permite que el administrador de red pueda escribir tanto el nombre del host, como puede ser Auckland, como la direccin de IP, para conectarse por Telnet a un host remoto. Para asignar nombres de host a direcciones, primero ingrese al modo de configuracin global. Ejecute el comando ip host seguido del nombre de destino y todas las direcciones de IP con las que se puede llegar al dispositivo. Esto asigna el nombre del host a cada una de sus direcciones IP. Para llegar al host, use un comando telnet o ping con el nombre del router o una direccin de IP que est vinculada al nombre del router. El procedimiento para configurar la tabla de host es: 1. Ingrese al modo de configuracin global en el router. 2. Ejecute el comando ip host seguido del nombre del router y todas las direcciones de IP asociadas con las interfaces en cada router. 3. Repita el proceso, hasta que todos los routers de la red hayan sido configurados. 4. Guarde la configuracin en la NVRAM.

78

NETWORKING
1.7 Hacer copias de respaldo y documentar la configuracin La configuracin de los dispositivos de la red determina el comportamiento de la red. La administracin de las configuraciones de los dispositivos incluye las siguientes tareas:

Confeccionar una lista y comparar los archivos de configuracin de los dispositivos activos Almacenar los archivos de configuracin en servidores de red Instalar y actualizar software

Se deben guardar copias de respaldo de los archivos de configuracin, en caso de que surja algn problema. Dichas copias se pueden guardarse en un servidor de red, un un servidor TFTP, o en un disco que se conserve en un lugar seguro. Se debe documentar la informacin, y la misma debe tambin guardarse fuera de lnea. Se puede almacenar una copia de la configuracin en uso, en un servidor TFTP. Se puede usar el comando copy running-config tftp, como se muestra en la Figura, para almacenar la configuracin en uso del router en un servidor TFTP. Para ello, realice las siguientes tareas: Paso 1 Ejecute el comando copy running-config tftp. Paso 2 Introduzca la direccin de IP del host en el cual se almacenar la configuracin. Paso 3 Introduzca el nombre a ser asignado al archivo de configuracin. Paso 4 Confirme sus selecciones respondiendo yes (s) cada vez que se le solicite que lo haga. Se puede usar un archivo de configuracin ubicado en alguno de los servidores para configurar un router. Para ello, realice las siguientes tareas: 1. Ingrese al modo de configuracin, mediante el comando copy tftp running-config, como se muestra en la Figura. 2. Con la peticin de entrada del sistema en pantalla, seleccione un archivo de configuracin de host o de red. El archivo de configuracin de red contiene comandos relacionados con todos los routers y servidores de terminales de la red. El archivo de configuracin de host contiene comandos relativos a un router en particular. Con la peticin de entrada en pantalla, introduzca la direccin de IP opcional del host remoto en el cual se encuentra el archivo de configuracin. En la lnea de comandos del sistema, escriba la direccin IP del host remoto donde se encuentra el servidor TFTP. En este ejemplo, el router se configura desde el servidor TFTP con la direccin IP 131.108.2.155. 3. Con la peticin de entrada en pantalla, introduzca el nombre del archivo de configuracin o acepte el nombre preconfigurado. La convencin de nombres para los archivos se basa en UNIX. Los nombres preconfigurados

79

NETWORKING
de los archivos son hostname-config para el archivo de host y networkconfig para el archivo de configuracin de red. En el entorno DOS, los nombres estn limitados a ocho caracteres, ms una extensin de tres caracteres (por ejemplo, router.cfg). Confirme el nombre del archivo de configuracin y la direccin del servidor TFTP que suministra el sistema. Observe que, en la Figura, la peticin de entrada del router cambia a tokyo de forma inmediata. Esto comprueba que la reconfiguracin ocurre tan pronto como se descarga el nuevo archivo. La configuracin del router tambin se puede guardar en un disco. Para ello se efecta una captura de texto en el router, para luego guardar dicho texto en el disco o en el disco duro. Cuando sea necesario copiar el archivo nuevamente al router, use las funciones estndar de edicin de un programa emulador de terminal para pegar (paste) el archivo de comandos en el router.

II. Configuracin de Interfaces 2.1 Configuracin de una interfaz serial Es posible configurar una interfaz serial desde la consola o a travs de una lnea de terminal virtual. Siga estos pasos para configurar una interfaz serial: 1. 2. 3. 4. Ingrese al modo de configuracin global Ingrese al modo de configuracin de interfaz Especifique la direccin de la interfaz y la mscara de subred Si el cable de conexin es DCE, fije la velocidad de sincronizacin. Omita este paso si el cable es DTE. 5. Active la interfaz. A cada interfaz serial activa se le debe asignar una direccin de IP y la correspondiente mscara de subred, si se requiere que la interfaz enrute paquetes de IP. Configure la direccin de IP mediante los siguientes comandos: Router(config)#interface serail 0/0 Router(config-if)#ip address <ip address> <netmask> Las interfaces seriales necesitan una seal de sincronizacin que controle la comunicacin. En la mayora de los entornos, un dispositivo DCE, por ejemplo un CSU, proporciona dicha seal. Por defecto, los routers Cisco son dispositivos DTE, pero se pueden configurar como dispositivos DCE. En los enlaces seriales interconectados directamente, como en un entorno de laboratorio, un extremo debe considerarse como un DCE y debe proporcionar la seal de sincronizacin. Se activa la sincronizacin y se fija la velocidad mediante el comando clock rate. Las velocidades de sincronizacin disponibles (en bits por segundo) son: 1200, 2400, 9600, 19200, 38400, 56000, 64000, 72000, 125000, 148000, 500000, 800000, 1000000, 1300000, 2000000, 4000000. No obstante, es posible que algunas de estas velocidades no estn disponibles en algunas interfaces seriales, segn su capacidad.

80

NETWORKING
El estado predeterminado de las interfaces es APAGADO, es decir estn apagadas o inactivas. Para encender o activar una interfaz, se ingresa el comando no shutdown. Cuando resulte necesario inhabilitar administrativamente una interfaz a efectos de mantenimiento o de diagnstico de fallas, se utiliza el comando shutdown para desactivarla. En el entorno del laboratorio, se utilizar una velocidad de sincronizacin de 56000. Los comandos para fijar la velocidad de sincronizacin y activar una interfaz serial son los siguientes: Router(config)#interface serial 0/0 Router(config-if)#clock rate 56000 Router(config-if)#no shutdown 2.2 Configuracin de una interfaz Ethernet Se puede configurar una interfaz Ethernet desde la consola o a travs de una lnea de terminal virtual. A cada interfaz Ethernet activa se le debe asignar una direccin de IP y la correspondiente mscara de subred, si se requiere que la interfaz enrute paquetes de IP. Para configurar una interfaz Ethernet, siga estos pasos: 1. 2. 3. 4. Ingrese al modo de configuracin global Ingrese al modo de configuracin de interfaz Especifique la direccin de la interfaz y la mscara de subred Active la interfaz

El estado predeterminado de las interfaces es APAGADO, es decir estn apagadas o inactivas. Para encender o activar una interfaz, se ejecuta el comando no shutdown. Cuando resulte necesario inhabilitar administrativamente una interfaz a efectos de mantenimiento o diagnstico de fallas, se utiliza el comando shutdown para desactivarla.

2.3 Descripcin de interfaces La descripcin de las interfaces se emplea para indicar informacin importante, como puede ser la relativa a un router distante, el nmero de un circuito, o un segmento de red especfico. La descripcin de la interfaz puede ayudar a un usuario de red a recordar informacin especfica de la interfaz, como por ejemplo, a cul red atiende dicha interfaz. La descripcin es slo un comentario escrito acerca de la interfaz. Aunque la descripcin se encuentra en los archivos de configuracin en la memoria del router, no tiene efectos sobre su operacin. Las descripciones se crean siguiendo un formato estndar de acuerdo al tipo de interfaz. La descripcin puede incluir el propsito y la ubicacin de la interfaz, otros dispositivos o localidades geogrficas

81

NETWORKING
conectadas a la interfaz, y tambin identificadores de circuitos. Las descripciones permiten que el personal de apoyo comprenda mejor el alcance de los problemas relacionados con una interfaz, y permite resolver los problemas con mayor celeridad. Configuracin de la descripcin de interfaces Para configurar una descripcin de interfaz, ingrese al modo de configuracin global. Desde el modo de configuracin global, ingrese al modo de configuracin de interfaz. Use el comando description seguido de la informacin. Pasos a seguir: Ingrese al modo de configuracin global, mediante el comando configure terminal. Ingrese al modo de interfaz especfica (por ejemplo interfaz Ethernet 0) interface ethernet 0. Introduzca el comando description, seguido de la informacin que se deber mostrar. Por ejemplo, Red XYX, Edificio 18. Salga del modo de interfaz y regrese al modo EXEC privilegiado mediante el comando ctrl-z. Guarde los cambios de configuracin en la NVRAM mediante el comando copy running-config startup-config. A continuacin se da dos ejemplos de descripciones de interfaz: interface Ethernet 0 description LAN Engineering, Bldg.2 interface serial 0 description ABC network 1, Circuit 1

III. Configuracin de rutas estticas Esta seccin enumera los pasos a seguir para configurar rutas estticas y da un ejemplo de una red sencilla en la que se podran configurar rutas estticas. Siga estos pasos para configurar rutas estticas. 1. Defina todas las redes de destino deseadas, sus mscaras de subred y sus gateways. Las direcciones pueden ser una interfaz local o la direccin del siguiente salto que conduce al destino deseado. 2. Ingrese al modo de configuracin global. 3. Ejecute el comando ip route con una direccin de destino y mscara de subred, seguidos del gateway correspondiente del Paso 1. La inclusin de una distancia administrativa es opcional.

82

NETWORKING
4. Repita el Paso 3 para todas las redes de destino definidas en el Paso 1. 5. Salga del modo de configuracin global. 6. Guarde la configuracin activa en la NVRAM mediante el comando copy running-config startup-config. Configuracin de enrutamiento por defecto Las rutas por defecto se usan para enviar paquetes a destinos que no coinciden con los de ninguna de las otras rutas en la tabla de enrutamiento. Generalmente, los routers estn configurados con una ruta por defecto para el trfico que se dirige a la Internet, ya que a menudo resulta poco prctico e innecesario mantener rutas hacia todas las redes de la Internet. En realidad, una ruta por defecto es una ruta esttica especial que utiliza este formato: ip route 0.0.0.0 0.0.0.0 [ direccin-del-siguiente-salto | interfaz de salida] La mscara 0.0.0.0, cuando se ejecuta el AND lgico hacia la direccin de IP de destino del paquete, siempre obtiene la red 0.0.0.0. Si el paquete no coincide con una ruta ms especfica en la tabla de enrutamiento, ser enviado hacia la red 0.0.0.0. Siga estos pasos para configurar rutas por defecto. 1. Ingrese al modo de configuracin global. 2. Ejecute el comando ip route con 0.0.0.0 como la direccin de red de destino y 0.0.0.0 como mscara de subred. La opcin address para la ruta por defecto puede ser la interfaz del router local que est conectado a las redes externas, o puede ser la direccin IP del router del siguiente salto. En la mayora de los casos, es preferible especificar la direccin IP del router del siguiente salto. 3. Salga del modo de configuracin global. 4. Guarde la configuracin activa en la NVRAM mediante el comando copy running-config sartup-config. Verificacin de las rutas estticas Una vez configuradas las rutas estticas, es fundamental verificar que se muestren en la tabla de enrutamiento, y que el enrutamiento funcione tal como est previsto. El comando show running-config se utiliza para mostrar la configuracin activa en la RAM, a fin de verificar que se haya ingresado correctamente la ruta esttica. El comando show ip route se utiliza para comprobar que la ruta esttica se encuentre en la tabla de enrutamiento. Siga estos pasos para verificar la configuracin de las rutas estticas.

En modo privilegiado, introduzca el comando show running-config para mostrar la configuracin activa. Verifique que la ruta esttica se haya ingresado correctamente. Si la ruta fuese incorrecta, ser necesario volver al modo de configuracin global para eliminar la ruta esttica incorrecta e ingresar la ruta correcta.

83

NETWORKING

Ejecute el comando show ip route.

Verifique que la ruta configurada se encuentre en la tabla de enrutamiento.

IV. Listas de control de acceso (ACL) Los administradores de red deben buscar maneras de impedir el acceso no autorizado a la red, permitiendo al mismo tiempo el acceso de los usuarios internos a los servicios requeridos. Aunque las herramientas de seguridad, como por ejemplo: las contraseas, equipos de callback y dispositivos de seguridad fsica, son de ayuda, a menudo carecen de la flexibilidad del filtrado bsico de trfico y de los controles especficos que la mayora de los administradores prefieren. Por ejemplo, un administrador de red puede permitir que los usuarios tengan acceso a Internet, pero impedir a los usuarios externos el acceso telnet a la LAN. Los routers ofrecen funciones del filtrado bsico de trfico, como el bloqueo del trfico de Internet, mediante el uso de las listas de control de acceso (ACLs). Una ACL es una lista secuencial de sentencias de permiso o rechazo que se aplican a direcciones o protocolos de capa superior Este mdulo introduce las ACL estndar y extendidas como medio de control del trfico de red y explica de qu manera se utilizan las ACL como parte de una solucin de seguridad. Estas son las razones principales para crear las ACL:

Limitar el trfico de red y mejorar el rendimiento de la red. Al restringir el trfico de video, por ejemplo, las ACL pueden reducir ampliamente la carga de la red y en consecuencia mejorar el rendimiento de la misma. Brindar control de flujo de trfico. Las ACL pueden restringir el envo de las actualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a las condiciones de la red, se preserva el ancho de banda. Proporcionar un nivel bsico de seguridad para el acceso a la red. Por ejemplo, las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma rea. Por ejemplo, al Host A se le permite el acceso a la red de Recursos Humanos, y al Host B se le niega el acceso a dicha red. Se debe decidir qu tipos de trfico se envan o bloquean en las interfaces del router. Permitir que se enrute el trfico de correo electrnico, pero bloquear todo el trfico de telnet. Permitir que un administrador controle a cules reas de la red puede acceder un cliente. Analizar ciertos hosts para permitir o denegar acceso a partes de una red. Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos de archivos, tales como FTP o HTTP.

Si las ACL no estn configuradas en el router, todos los paquetes que pasen a travs del router tendrn acceso a todas las partes de la red

84

NETWORKING
Creacin de las ACL Las ACL se crean en el modo de configuracin global. Existen varias clases diferentes de ACLs: estndar, extendidas, IPX, AppleTalk, entre otras. Cuando configure las ACL en el router, cada ACL debe identificarse de forma nica, asignndole un nmero. Este nmero identifica el tipo de lista de acceso creado y debe ubicarse dentro de un rango especfico de nmeros que es vlido para ese tipo de lista. Despus de ingresar al modo de comando apropiado y que se decide el nmero de tipo de lista, el usuario ingresa sentencias de lista de acceso utilizando el comando access-list, seguida de los parmetros necesarios. Estando en el modo de comandos adecuado y definido el tipo de nmero de lista, el usuario tipea las condiciones usando el comando access-list seguido de los parmetros apropiados. Este es el primero de un proceso de dos pasos. El segundo paso consiste en asignar la lista a la interfaz apropiada. En TCP/IP, las ACL se asignan a una o ms interfaces y pueden filtrar el trfico entrante o saliente, usando el comando ip access-group en el modo de configuracin de interfaz. Al asignar una ACL a una interfaz, se debe especificar la ubicacin entrante o saliente. Es posible establecer la direccin del filtro para verificar los paquetes que viajan hacia dentro o fuera de una interfaz. Para determinar si la ACL controla el trfico entrante o saliente, el administrador de red necesita mirar las interfaces como si se observara desde dentro del router. Este es un concepto muy importante. Una lista de acceso entrante filtra el trfico que entra por una interfaz y la lista de acceso saliente filtra el trfico que sale por una interfaz. Despus de crear una ACL numerada, se la debe asignar a una interfaz. Una ACL que contiene sentencias ACL numeradas no puede ser alterada. Se debe borrar utilizando el comando no access-listlist-number y entonces proceder a recrearla. Es necesario utilizar estas reglas bsicas a la hora de crear y aplicar las listas de acceso.

Una lista de acceso por protocolo y por direccin. Se deben aplicar las listas de acceso estndar que se encuentran lo ms cerca posible del destino. Se deben aplicar las listas de acceso extendidas que se encuentran lo ms cerca posible del origen. Utilice la referencia de la interfaz entrante y saliente como si estuviera mirando el puerto desde adentro del router. Las sentencias se procesan de forma secuencial desde el principio de la lista hasta el final hasta que se encuentre una concordancia, si no se encuentra ninguna, se rechaza el paquete. Hay un deny any (denegar cualquiera)implcito al final de todas las listas de acceso. Esto no aparece en la lista de configuracin. Las entradas de la lista de acceso deben realizar un filtro desde lo particular a lo general. Primero se deben denegar hosts especfico y por ltimo los grupos o filtros generales.

85

NETWORKING

Primero se examina la condicin de concordancia. El permiso o rechazo se examina SLO si la concordancia es cierta. Nunca trabaje con una lista de acceso que se utiliza de forma activa. Utilice el editor de texto para crear comentarios que describan la lgica, luego complete las sentencias que realizan esa lgica. Siempre, las lneas nuevas se agregan al final de la lista de acceso. El comando no access-listx elimina toda la lista. No es posible agregar y quitar lneas de manera selectiva en las ACL numeradas. Una lista de acceso IP enva un mensaje ICMP llamado de host fuera de alcance al emisor del paquete rechazado y descarta el paquete en la papelera de bits. Se debe tener cuidado cuando se descarta una lista de acceso. Si la lista de acceso se aplica a una interfaz de produccin y se la elimina, segn sea la versin de IOS, puede haber una deny any (denegar cualquiera) por defecto aplicada a la interfaz, y se detiene todo el trfico. Los filtros salientes no afectan al trfico que se origina en el router local.

Funcin de la mscara wildcard Una mscara wildcard es una cantidad de 32-bits que se divide en cuatro octetos. Una mscara wildcard se compara con una direccin IP. Los nmeros uno y cero en la mscara se usan para identificar cmo tratar los bits de la direccin IP correspondientes. El trmino mscara wildcard es la denominacin aplicada al proceso de comparacin de bits de mscara y proviene de una analoga con el "wildcard" (comodn) que equivale a cualquier otro naipe en un juego de pquer. Las mscaras wildcard no guardan relacin funcional con las mscaras de subred. Se utilizan con distintos propsitos y siguen distintas reglas. Las mscaras de subred y las mscaras de wildcard representan dos cosas distintas al compararse con una direccin IP. Las mscaras de subred usan unos y ceros binarios para identificar las porciones de red, de subred y de host de una direccin IP. Las mscaras de wildcard usan unos y ceros binarios para filtrar direcciones IP individuales o en grupos, permitiendo o rechazando el acceso a recursos segn el valor de las mismas. La nica similitud entre la mscara wildcard y la de subred es que ambas tienen 32 bits de longitud y se componen de unos y ceros. Para evitar la confusin, se substituirn las X por 1 en los grficos de mscaras wildcard. La mscara en la Figura se escribe como 0.0.255.255. Un cero significa que se deje pasar el valor para verificarlo. Las X (1) significan impedir que se compare el valor. Durante el proceso de mscara wildcard, la direccin IP en la sentencia de la lista de acceso tiene la mscara wildcard aplicada a ella. Esto crea el valor de concordancia, que se utiliza para comparar y verificar si esta sentencia ACL debe procesar un paquete o enviarlo a la prxima sentencia para que se lo verifique. La segunda parte del proceso de ACL consiste en que toda direccin IP que una sentencia ACL en particular verifica, tiene la mscara wildcard de esa sentencia aplicada a ella. El resultado de la direccin IP y de la mscara debe ser igual al valor de concordancia de la ACL ACL Este proceso se ilustra en la animacin de la Figura.

86

NETWORKING
Hay dos palabras clave especiales que se utilizan en las ACL, las opciones any y host. Para explicarlo de forma sencilla, la opcin any reemplaza la direccin IP con 0.0.0.0 y la mscara wildcard por 255.255.255.255. Esta opcin concuerda con cualquier direccin con la que se la compare. La mscara 0.0.0.0 reemplaza la opcin host. Esta mscara necesita todos los bits de la direccin ACL y la concordancia de direccin del paquete. Esta opcin slo concuerda con una direccin. ACL Estandar Las ACL estndar verifican la direccin origen de los paquetes IP que se deben enrutar. Con la comparacin se permite o rechaza el acceso a todo un conjunto de protocolos, segn las direcciones de red, subred y host. Por ejemplo, se verifican los paquetes que vienen en Fa0/0 para establecer la direccin origen y el protocolo. Si se les otorga el permiso, los paquetes se enrutan a travs del router hacia una interfaz de salida. Si se les niega el permiso, se los descarta en la interfaz entrante. En la versin 12.0.1 del IOS de Cisco, se usaron por primera vez nmeros adicionales (1300 al 1999) para las ACLs estndar pudiendo as proveer un mximo posible de 798 ACLs estndar adicionales, a las cuales se les conoce como ACLs IP expandidas. (tambin entre 1300 y 1999 en IOS recientes) En la primera sentencia ACL, cabe notar que no hay mscara wildcard. En este caso donde no se ve ninguna lista, se utiliza la mscara por defecto, que es la 0.0.0.0. Esto significa que toda la direccin debe concordar o que esta lnea en la ACL no aplica y el router debe buscar una concordancia en la lnea siguiente de la ACL. La sintaxis completa del comando ACL estndar es: Router(config)#access-listaccess-list-number {deny | permit | remark} source [source-wildcard ] [log] El uso de remark facilita el entendimiento de la lista de acceso. Cada remark est limitado a 100 caracteres. Por ejemplo, no es suficientemente claro cual es el propsito del siguiente comando: access-list 1 permit 171.69.2.88 Es mucho mas fcil leer un comentario acerca de un comando para entender sus efectos, as como sigue: access-list 1 remark Permit only Jones workstation through access-list 1 permit 171.69.2.88 La forma no de este comando se utiliza para eliminar una ACL estndar. sta es la sintaxis: Router(config)#no access-listaccess-list-number El comando ip access-group relaciona una ACL existente a una interface:

87

NETWORKING
Router(config)#ip access-group {access-list-number | access-list-name} {in | out} La tabla muestra descripciones de los parmetros utilizados en esta sintaxis. ACL Extendida Las ACL extendidas se utilizan con ms frecuencia que las ACL estndar porque ofrecen un mayor control. Las ACL extendidas verifican las direcciones de paquetes de origen y destino, y tambin los protocolos y nmeros de puerto. Esto ofrece mayor flexibilidad para establecer qu verifica la ACL. Se puede permitir o rechazar el acceso de los paquetes segn el lugar donde se origin el paquete y su destino as como el tipo de protocolo y direcciones de puerto. Una ACL extendida puede permitir el trfico de correo electrnico de Fa0/0 a destinos especficos S0/0, al mismo tiempo que deniega la transferencia de archivos y la navegacin en la red. Una vez descartados los paquetes, algunos protocolos devuelven un paquete al emisor, indicando que el destino era inalcanzable. Es posible configurar mltiples sentencias en una sola ACL. Cada una de estas sentencias debe tener el mismo nmero de lista de acceso, para poder relacionar las sentencias con la misma ACL. Puede haber tanta cantidad de sentencias de condicin como sean necesarias, siendo la nica limitacin la memoria disponible en el router. Por cierto, cuantas ms sentencias se establezcan, mayor ser la dificultad para comprender y administrar la ACL. La sintaxis de una sentencia ACL extendida puede ser muy extensa y a menudo, se vuelve engorrosa en la ventana terminal. Las wildcards tambin tienen la opcin de utilizar las palabras clave host o any en el comando. Al final de la sentencia de la ACL extendida, se obtiene ms precisin con un campo que especifica el Protocolo para el control de la transmisin (TCP) o el nmero de puerto del Protocolo de datagrama del usuario (UDP). Las operaciones lgicas pueden especificarse como igual (eq), desigual (neq), mayor a (gt) y menor a (lt) aqullas que efectuarn las ACL extendidas en protocolos especficos. Las ACL extendidas utilizan el nmero de lista de acceso entre 100 y 199 (tambin entre 2000 y 2699 en IOS recientes). El comando ip access-group enlaza una ACL extendida existente a una interfaz. Recuerde que slo se permite una ACL por interfaz por protocolo por direccin. El formato del comando es: Router(config-if)#ip access-group access-list-number {in | out} Bibliografa de la Unidad 1. Ingeniera de Control Moderna. OGATA KATSUHIKO 2. Control Realimentado de Sistemas. KUO

CRITERIOS DE EVALUACIN: Prueba escrita Tareas de aplicacin

88

NETWORKING
UNIDAD IV INSTALACION Y CONFIGURACION DE SERVIDORES OBJETIVO DE LA UNIDAD Instalar y configurar servidores de Intranet r internet bajo plataforma Linux, o cualquier distribucin libre de Unix. Para ello se utilizara los fuentes de los programas. CONTENIDOS: CAPT. TEMAS

I II

Instalacion y configuracin de servidores de Intranet Instalacion y configuracin de servidores de Internet

HORAS DE ESTUDIO 12H00 15H00

I. Instalacion y Configuracin de Servidores de Intranet 1.1 Instalacion y Configuracion de Firewall mediante IPTABLES Se usara el paquete denominado rc.firewall que puede descargarse del sitio web www.cursos.ernestoperez.com/rc.firewall [root@localhost ~]# wget www.cursos.ernestoperez.com/rc.firewall --10:46:01-- http://www.cursos.ernestoperez.com/rc.firewall => `rc.firewall' Resolviendo www.cursos.ernestoperez.com... 67.15.12.90 Connecting to www.cursos.ernestoperez.com|67.15.12.90|:80... conectado. Peticin HTTP enviada, esperando respuesta... 200 OK Longitud: 13,661 (13K) [text/plain] 100%[====================================>] 13,661 41.69K/s 10:46:02 (41.47 KB/s) - `rc.firewall' saved [13661/13661]

Verificamos que el paquete se encuentra en nuestra maquina [root@localhost ~]# ls anaconda-ks.cfg index.html install.log rc.firewall Desktop index.html.1 install.log.syslog [root@localhost ~]# Editamos este archivo segn nuestras necesidades usando las reglas y parmetros vistos en la parte teorica. Copiamos el rc.firewall al directorio /etc/init.d/ y luego activamos el Servicio.

89

NETWORKING
[root@localhost init.d]# cp /root/rc.firewall . [root@localhost init.d]# ls r* radiusd rawdevices readahead ripd rpcidmapd rusersd radvd rc.firewall readahead_early ripngd rpcsvcgssd rwhod rarpd rdisc rhnsd rpcgssd rstatd [root@localhost init.d]# chmod +r rc.firewall [root@localhost init.d]# chkconfig --add rc.firewall [root@localhost init.d]# chkconfig --level 2345 rc.firewall on [root@localhost init.d]# service rc.firewall start Starting Firewall: [ OK ] El Firew all esta instalado en nuestra mquina. 1.2 Instalacion y Configuracin de un Servidor Proxy Si cuenta con un sistema con CentOS o White Box Enterprise Linux 3 o versiones posteriores, utilice lo siguiente y se instalar todo lo necesario junto con sus dependencias: yum -y install squid httpd

El mandato iptables se utilizar para generar las reglas necesarias para el guin de Enmascaramiento de IP. Se instala de modo predefinido en todas las distribuciones actuales que utilicen ncleo (kernel) versiones 2.4 y 2.6. Aplicando Listas y Reglas de control de acceso Considerando como ejemplo que se dispone de una red 192.168.1.0/255.255.255.0, si se desea definir toda la red local, utilizaremos la siguiente lnea en la seccin de Listas de Control de Acceso: acl todalared src 192.168.1.0/255.255.255.0 A continuacin procedemos a aplicar la regla de control de acceso: http_access allow todalared Habiendo hecho lo anterior, la zona de reglas de control de acceso debera quedar ms o menos de este modo: # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS http_access allow localhost http_access allow todalared http_access deny all

90

NETWORKING
Si solo se desea permitir el acceso a Squid a ciertas direcciones IP de la red local, deberemos crear un fichero que contenga dicha lista. Genere el fichero /etc/squid/listas/redlocal, dentro del cual se incluirn solo aquellas direcciones IP. Denominaremos a esta lista de control de acceso como redlocal: acl redlocal src "/etc/squid/listas/redlocal" A continuacin procedemos a aplicar la regla de control de acceso: http_access allow redlocal Una vez hecho esto, para levantar Squid, use: service squid start Si necesita reiniciar para probar cambios hechos en la configuracin, utilice lo siguiente: service squid restart Si desea que Squid inicie de manera automtica la prxima vez que inicie el sistema, utilice lo siguiente: chkconfig squid on Lo anterior habilitar a Squid en todos los niveles de corrida. 1.3 Instalacion y configuracin de un servidor NFS Se requiere tener instalados nfs-utils y portmap, verificar esto antes de proseguir. Puede usar: rpm -q nfs-utils portmap Procederemos a determinar que directorio se va a compartir. Puede crear tambin uno nuevo: mkdir -p /var/nfs/publico Una vez hecho esto, necesitaremos establecer que directorios en el sistema sern compartidos con el resto de las mquinas de la red, o bien a que mquinas, de acuerdo al DNS o /etc/hosts se permitir el accesos. Esto deberemos agregarlos en /etc/exports determinado con que mquinas y en que modo lo haremos. Se puede especificar una direccin IP o bien nombre de alguna mquina, o bien un patrn comn con comodn para definir que mquinas pueden acceder. De tal modo podemos utilizar el siguiente ejemplo (la separacin de espacios se hace con un tabulador):

91

NETWORKING
/var/nfs/publico *.mi-red-local.org(ro,sync) En el ejemplo anterior se esta definiendo que se compartir /var/nfs/publico/ a todas las mquinas cuyo nombre, de acuerdo al DNS o /etc/hosts, tiene como patrn comn mi-red-local.org, en modo de solo lectura. Se utiliz un asterisco (*) como comodn, seguido de un punto y el nombre del dominio. Esto permitir que como_se_llame.mi-red-local.org, como_sea.mi-red-local.org, lo_que_sea.mired-local.org, etc., podrn acceder al volumen /var/nfs/publico/ en modo solo lectura. Si queremos que el acceso a este directorio sea en modo de lectura y escritura, cambiamos (ro) por (rw): /var/nfs/publico *.mi-red-local.org(rw,sync) Ya que se definieron los volmenes a compartir, solo resta iniciar o reiniciar el servicio nfs. Utilice cualquiera de las dos lneas dependiendo el caso: /sbin/service nfs start /sbin/service nfs restart A fin de asegurarnos de que el servicio de nfs est habilitado la siguiente vez que se encienda el equipo, debemos ejecutar lo siguiente: /sbin/chkconfig --level 345 nfs on El mandato anterior hace que se habilite nfs en los niveles de corrida 3, 4 y 5. Como medida de seguridad adicional, si tiene un contrafuegos o firewall implementado, cierre, para todo aquello que no sea parte de su red local, los puertos tcp y udp 2049, ya que estos son utilizados por NFS para escuchar peticiones. Configurando las mquinas clientes Como root, en el equipo cliente, ejecute el siguiente mandato para consultar los volmenes exportados (-e) a travs de NFS por un servidor en particular: showmount -e 192.168.1.254 Lo anterior mostrar una lista con los nombres y rutas exactas a utilizar. Ejemplo: Export list for 192.168.1.254: /var/nfs/publico 192.168.1.0/24

92

NETWORKING
A continuacin creamos, como root, desde cualquier otra mquina de la red local un punto de montaje: mkdir /mnt/servidornfs Y para proceder a montar el volumen remoto, utilizaremos la siguiente lnea de mandato: mount servidor.mi-red-local.org:/var/nfs/publico /mnt/servidornfs Si por alguna razn en el DNS de la red local, o el fichero /etc/hosts de la mquina cliente, decidi no asociar el nombre de la mquina que fingir como servidor NFS a su correspondiente direccin IP, puede especificar sta en lugar del nombre. Ejemplo: mount -t nfs 192.168.1.254:/var/nfs/publico /mnt/servidornfs Podremos acceder entonces a dicho volumen remoto con solo cambiar al directorio local definido como punto de montaje, del mismo modo que se hara con un disquete o una unidad de CDROM: cd /mnt/servidornfs Si queremos poder montar este volumen NFS con una simple lnea de mandato o bien haciendo doble clique en un icono sobre el escritorio, ser necesario agregar la correspondiente lnea en /etc/fstab. Ejemplo: servidor.mi-red-local.org:/var/nfs/publico user,exec,dev,nosuid,rw,noauto 0 0 /mnt/servidornfs nfs

La lnea anterior especifica que el directorio /var/nfs/publico/ de la mquina servidor.mi-red-local.org ser montado en en directorio local /mnt/servidor/nfs, permitindole a los usuarios el poder montarlo, en modo de lectura y escritura y que este volumen no ser montado durante el arranque del sistema. Esto ltimo es de importancia, siendo que si el servidor no est encendido al momento de arrancar la mquina cliente, este se colgar durante algunos minutos. Una vez agregada la lnea en /etc/fstab de la mquina cliente, si utiliza GNOME Midnight Commander, el administrador de archivos de GNOME-1.1 y 1.2, solo restar iniciar una sesin grfica, hacer clique derecho sobre el escritorio y seleccionar Actualizar dispositivos o Rescan devices. Esto colocar un icono adicional sobre el escritorio que deber ser tratado del mismo modo que se hara con un disquete o unidad de CDROM.

93

NETWORKING

Si utiliza GNOME-1.4 o superior, ste incorpora Nautilus como administrador de archivos, mismo que auto-detecta cualquier cambio en /etc/fstab. Solo debe hacerse clique derecho sobre el escritorio y debe seleccionarse el disco que se desee montar.

Figura Agregar archivos NFS

1.4 Instalacion y configuracin de un Servidor DHCP Se requiere instalar el paquete dhcp el cual deber estar incluido en los discos de instalacin de la mayora de las distribuciones. yum -y install dhcp Considerando como ejemplo que se tiene una red local con las siguientes caractersticas: Nmero de red 192.168.0.0 Mscara de sub-red: 255.255.255.0 Puerta de enlace: 192.168.0.1 Servidor de nombres: 148.240.241.10 192.168.0.1, 148.240.241.42 y

Rango de direcciones IP a asignar de modo dinmico: 192.168.0.11-192.168.0.199

94

NETWORKING
Puede utilizar el siguiente contenido para crear desde cero el fichero /etc/dhcpd.conf. ddns-update-style interim; ignore client-updates; shared-network miredlocal { subnet 192.168.0.0 netmask 255.255.255.0 { option routers 192.168.0.1; option subnet-mask 255.255.255.0; option broadcast-address 192.168.0.255; option domain-name "redlocal.net"; option domain-name-servers 192.168.0.1, 148.240.241.42, 148.240.241.10; range 192.168.0.11 192.168.0.199; default-lease-time 21600; max-lease-time 43200; } host m253 { option host-name "m253.redlocal.net"; hardware ethernet 00:50:BF:27:1C:1C; fixed-address 192.168.0.253; } host m254 { option host-name "m254.redlocal.net"; hardware ethernet 00:01:03:DC:67:23; fixed-address 192.168.0.254; } } Una buena medida de seguridad es hacer que el servicio de dhcpd solo funcione a travs de la interfaz de red utilizada por la LAN, esto en el caso de tener mltiples dispositivos de red. Edite el fichero /etc/sysconfig/dhcpd y agregue como argumento del parmetro DHCPDARGS el valor eth0, eth1, eth2, etc., o lo que corresponda. Ejemplo, considerando que eth0 es la interfaz correspondiente a la LAN: # Command line options here DHCPDARGS=eth0 Para ejecutar por primera vez el servicio, ejecute: /sbin/service dhcpd start Para hacer que los cambios hechos a la configuracin surtan efecto, ejecute: /sbin/service dhcpd restart

95

NETWORKING
Para detener el servicio, ejecute: /sbin/service dhcpd stop Para aadir dhcpd al arranque del sistema, ejecute: /sbin/chkconfig dhcpd on Hecho lo anterior solo bastar con configurar como interfaces DHCP las estaciones de trabajo que sean necesarias sin importar que sistema operativo utilicen. II. Instalacion y Configuracin de Servidores deInternet 2.1 Instalacion y Configuracin de un Servidor DNS 2.1.1 Configuracion de un DNS de Cache Es muy simple, sencillamente tenemos que asegurarnos de que los siguientes paquetes estn instalados: bind bind-chroot caching-nameserver y por supuesto tener levantado el servicio named: chkconfig --level service named start 2345 named on

En el archivo: /etc/resolv.conf podemos tener hasta 255 lineas que comiencen con "nameserver" estos son los servidores de DNS a los que nuestro servidor preguntar sobre un record. 2.1.2 Configuracion de un DNS de Zona Maestro En "options" de /etc/named.conf agregar lo siguiente: allow-recursion { 127.0.0.1; 192.168.0.0/24; }; Al final de /etc/named.conf agregar: zone "dominio.com" { type master; file "/var/named/dominio.com.hosts"; allow-update { none; };

96

NETWORKING
// Esto es solo si tenemos un esclavo allow-transfer { 192.168.0.101; }; }; En /var/named/chroot/var/named/dominio.com.hosts $ttl 7200 dominio.com. IN SOA laptop.ecualinux.com. info.ecualinux.com. ( 2007030101 10800 ; Tiempo de refrescamiento 3600 ; Tiempo de reintento si falla el refresh 604800 ; Tiempo para mantener los esclavos su info si no contactan al master 7200 ) ; TTL dominio.com. IN NS laptop.ecualinux.com. www IN A 192.168.0.89 mail IN A 192.168.0.89 ftp IN A 192.168.0.89 dominio.com. IN MX 5 mail.dominio.com. dominio.com. IN A 192.168.0.89 Activar el servicio de named: service named start chkconfig named on Cada cambio que se realice en el named requiere que recarguemos (reload) o reiniciemos (restart) el named. 2.1.3 Configuracion de un DNS de Zona Esclavo En /etc/named.conf agregar: zone "dominio.com" { type slave; file "slaves/dominio.com.zone"; // Esta es la IP del master masters { 192.168.0.89; }; }; Activar el servicio de named:

service named start chkconfig named on

97

NETWORKING
2.2 Instalacion y Configuracion de un Servidor Web Apache no es un slo servidor que podemos instalar desde un paquete, en realidad apache hace uso de una variedad de paquetes que le permiten ofrecer diferentes funcionalidades a nuestro servidor web. Para instalar el servidor apache, sencillamente podemos: yum install httpd php Con esto logramos instalar algunos paquetes adicionales como php-pear, apr, apr-utils, httpd-suexec, etc. Si deseramos usar bases de datos en nuestro servidor, se sugiere tambin instalar los paquetes: php-mysql y mysql-server, se puede usar: yum install php-mysql mysql-server Activar el servicio: chkconfig --level 2345 httpd on service httpd start Si deseamos activar mysql: chkconfig --level 2345 mysqld on service mysqld start Veamos este archivo: /etc/httpd/conf/httpd.conf, en este caso se ha dejado solamente las directivas de configuracin que nos interesa ver. Hemos removido los comentarios para facilitar la lectura: ### Section 1: Global Environment ServerTokens OS #Listen 12.34.56.78:80 Listen 80 #ServerName new.host.name:80 DocumentRoot "/var/www/html" DirectoryIndex index.html index.html.var # LogLevel: Control the number of messages logged to the error_log. # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. #

98

NETWORKING
LogLevel warn Alias /icons/ "/var/www/icons/" ScriptAlias /cgi-bin/ "/var/www/cgi-bin/" AddDefaultCharset ISO-8859-1

2.3 Instalacion y Configuracionb de un Servidor FTP Para instalar aplicamos: yum install vsftpd El archivo de configuracion est localizado en: /etc/vsftpd/vsftpd.conf Aunque tambin el vsftpd lee dos archivos ms: /etc/vsftpd.ftpusers /etc/vsftpd.user_list Veamos el archivo de configuracin (vsftpd.conf) vi /etc/vsftpd/vsftpd.conf # Example config file /etc/vsftpd/vsftpd.conf # # The default compiled in settings are fairly paranoid. This sample file # loosens things up a bit, to make the ftp daemon more usable. # Please see vsftpd.conf.5 for all compiled in defaults. # # READ THIS: This example file is NOT an exhaustive list of vsftpd options. # Please read the vsftpd.conf.5 manual page to get a full idea of vsftpd's # capabilities. # # Allow anonymous FTP? (Beware - allowed by default if you comment this out). anonymous_enable=YES # # Uncomment this to allow local users to log in. local_enable=YES # # Uncomment this to enable any form of FTP write command. write_enable=YES # # Default umask for local users is 077. You may wish to change this to 022, # if your users expect that (022 is used by most other ftpd's) local_umask=022 #

99

NETWORKING
# Uncomment this to allow the anonymous FTP user to upload files. This only # has an effect if the above global write enable is activated. Also, you will # obviously need to create a directory writable by the FTP user. #anon_upload_enable=YES # # Uncomment this if you want the anonymous FTP user to be able to create # new directories. #anon_mkdir_write_enable=YES # # Activate directory messages - messages given to remote users when they # go into a certain directory. dirmessage_enable=YES # # Activate logging of uploads/downloads. xferlog_enable=YES # # Make sure PORT transfer connections originate from port 20 (ftp-data). connect_from_port_20=YES # # If you want, you can arrange for uploaded anonymous files to be owned by # a different user. Note! Using "root" for uploaded files is not # recommended! #chown_uploads=YES #chown_username=whoever # # You may override where the log file goes if you like. The default is shown # below. #xferlog_file=/var/log/vsftpd.log # # If you want, you can have your log file in standard ftpd xferlog format xferlog_std_format=YES # # You may change the default value for timing out an idle session. #idle_session_timeout=600 # # You may change the default value for timing out a data connection. #data_connection_timeout=120 # # It is recommended that you define on your system a unique user which the

100

NETWORKING
# ftp server can use as a totally isolated and unprivileged user. #nopriv_user=ftpsecure # # Enable this and the server will recognise asynchronous ABOR requests. Not # recommended for security (the code is non-trivial). Not enabling it, # however, may confuse older FTP clients. #async_abor_enable=YES # # By default the server will pretend to allow ASCII mode but in fact ignore # the request. Turn on the below options to have the server actually do ASCII # mangling on files when in ASCII mode. # Beware that turning on ascii_download_enable enables malicious remote parties # to consume your I/O resources, by issuing the command "SIZE /big/file" in # ASCII mode. # These ASCII options are split into upload and download because you may wish # to enable ASCII uploads (to prevent uploaded scripts etc. from breaking), # without the DoS risk of SIZE and ASCII downloads. ASCII mangling should be # on the client anyway.. #ascii_upload_enable=YES #ascii_download_enable=YES # # You may fully customise the login banner string: #ftpd_banner=Welcome to blah FTP service. # # You may specify a file of disallowed anonymous e-mail addresses. Apparently # useful for combatting certain DoS attacks. #deny_email_enable=YES # (default follows) #banned_email_file=/etc/vsftpd.banned_emails # chroot_local_user=YES # You may specify an explicit list of local users to chroot() to their home # directory. If chroot_local_user is YES, then this list becomes a list of # users to NOT chroot(). #chroot_list_enable=YES # (default follows) #chroot_list_file=/etc/vsftpd.chroot_list #

101

NETWORKING
# You may activate the "-R" option to the builtin ls. This is disabled by # default to avoid remote users being able to cause excessive I/O on large # sites. However, some broken FTP clients such as "ncftp" and "mirror" assume # the presence of the "-R" option, so there is a strong case for enabling it. #ls_recurse_enable=YES pam_service_name=vsftpd userlist_enable=YES #enable for standalone mode listen=YES tcp_wrappers=YES

2.4 Instalacion y Configuracion de un Servidor de Correo 2.4.1 Instalacion y configuracin de Dovecot La instalacin del paquete dovecot se puede realizar rpidamente mediante el comando: yum install dovecot Al finalizar la instalacin, debemos asegurarnos de que el servicio de dovecot est activado: chkconfig --level 2345 dovecot on service dovecot start El dovecot es un servicio que viene prcticamente configurado, en realidad slo debemos activarle de los 4 servicios que l maneja (imap, imaps, pop3 y pop3s) los que nos interesen. En ste caso sern el pop3 y el imap. El archivo de configuracin del dovecot est situado en /etc/dovecot.conf Al editarlo, nos aparecern una serie de opciones (parmetros), el que recomendamos actualizar es uno conocido como: protocols Por defecto el parmetro protocols atiende el servicio de imap e imaps, por defecto est configurado as: #protocols = imap imaps Sugiero descomentarlo y cambiarlo para dejarlo de la siguiente forma: protocols = imap pop3

102

NETWORKING
Hay que prestar mucha atencin al hecho de que hemos eliminado el signo de # al inicio de la lnea, para reconfigurarlo. Ahora tendremos el servicio de dovecot atendiendo el puerto 110 (pop3) y el 143 (imap). Una vez configurado, debemos reiniciar el servicio: service dovecot reload 2.4.2 Configuracion de Sendmail En el /etc/mail/sendmail.mc, justo inmediatamente debajo de una FEATURE Que dice: FEATURE(`access_db',`hash -T<TMPF> -o /etc/mail/access.db')dnl FEATURE(`greet_pause', `3000') dnl 3 seconds Y procedemos a recompilar el sendmail.cf: m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf service sendmail restart ( service MailScanner restart si tenemos MailScanner)

ACTIVIDADES: Bibliografa de la Unidad 1. Ingeniera de Control Moderna. OGATA KATSUHIKO 2. Sistemas Realimentados de Control. KUO CRITERIOS DE EVALUACIN: Prueba escrita Tareas de aplicacin

103

NETWORKING
UNIDAD V INSTALACION YCONFIGURACION DE UNA CENTRAL IP OBJETIVO DE LA UNIDAD Instalar Asterisk en un servidor de minimos requerimientos de hardware para convertirla en una central IP con o sin salida a la PSTN. CONTENIDOS: CAPT. TEMAS HORAS DE ESTUDIO 01H00 02H00 08H00

I II III

Requerimiento de hardware para instalar Asterisk Requerimientos de librerias y paquetes adiciobales Instalacion de Asterisk

I. Requisitos de hardware para instalar Asterisk 1.1 Requisitos del Servidor Para la siguiente implementacin de telefona IP en la Institucin utilizaremos un CPU clon suficiente para cubrir el uso de la telefona IP del personal Administrativo. Las empresas actuales que se encargan de dar el servicio de Telefona IP en el mercado han seleccionado los Sistema Operativo entre LINUX/UNIX, WINDOWS, ASTERISK con su respectivo Hardware ya que con esto se obtendr confiabilidad, flexibilidad, buen soporte para el ambiente de red y seguridad. Un equipo corriendo Asterisk tienen las siguientes caracteristicas minimas: Pentium IV 2.0 GHZ 1 GB Ram. 40 GB disco duro. Unidad de CD ROM Mainboard Intel 965.

1.2 Requisitos para telefonia Para una completa y funcional IP/PBX varios componentes deben ser integrados tanto como un servidor depende a las necesidades que se vaya a utilizar, tarjetas con puertos FXO FXS si se necesita, telfonos IP que soporten y sean compatibles con Asterisk. Tarjeta Openvox (2 puertos FXO). Telfonos IP Atcom 530.

104

NETWORKING
Lnea telefnica o troncal E1 para poder integrarse con al PSTN.

II. Requisitos de libreras y paquetes adicionales Los principales ficheros que se utiliza para poder instalar Asterisk bsico son: Zaptel, Asterisk, Libpri, Asterisk Addons de esta manera poder tener una centralita PBX Asterisk y empezar a utilizar sin dificultad. Zaptel Es el archivo de configuracin de los canales zapata de Asterisk, drivers de tarjetas digitales y analgicas. El mdulo Zaptel tiene sus orgenes en el API desarrollado por Jim Dixon para un sistema hardware de telefona abierto. Los primeros drivers Zaptel fueron lanzados para BSD y para la tarjeta DIY T1, de la serie Tormenta, de Jim Dixon. Posteriormente, Digium prosigui con el trabajo de Dixon y mejor el driver Zaptel usando Linux como plataforma. Digium sigui mejorando el driver Zaptel para otros diseos hardware de telefona, que han acabado en la integracin de diversas tarjetas PCI con el sistema Asterisk. Descarga e instalacion: # cd /usr/src # wget http://ftp.digium.com/pub/zaptel/releases/zaptel-1.2.6.tar.gz # tar xzf zaptel-1.2.6 # ln -s zaptel-1.2.6 zaptel # cd zaptel # make install Configuracin: Las opciones que encontrar en el archivo zaptel.conf son las siguientes: fxsks=1-4 loadzone=es defaultzone=es Cabe indicar que dependiendo de los puertos de las tarjetas debemos realizar la configuracin si son de 2 puertos quedara de esta manera: xsks=1-2 loadzone=es defaultzone=es

105

NETWORKING
Libpri Este fichero cumple la funcin de dar soporte para conexiones digitales. Esta desarrollado en lenguaje C, de la especificacin ISDN para primarios. Est basada a su vez en la especificacin SR-NWT-002343 de Bellcore. Se utilizarn si disponemos de hardware telefnico digital ISDN. Descargamos Libpri: wget http://downloads.digium.com/pub/libpri/libpri-1.4-current.tar.gz Lo descormprimimos: tar xvfz libpri-1.4-current.tar.gz cd libpri-1.4.3 Por ltimo instalamos: make make install Asterisk Addons Es un paquete de las agregaciones, que incluye la ayuda de MySQL para los expedientes de detalle de la llamada. Descargamos Asterisk-Addons wget http://downloads.digium.com/pub/asterisk/asterisk-addons-1.4current.tar.gz Descomprimimos Asterisk-Addons tar zxvf asterisk-addons-1.4-current.tar.gz cd asterisk-addons-1.4.5 Para que no se produzcan errores con el cliente de mysql, es necesario instalar el siguiente paquete: apt-get install libmysqlclient15-dev necesario para la integracin de los cdrs en mysql. Por ultimo instalamos: #cd asterisk-addons #make clean #make install III. Instalacion de Asterisk Para obtener las fuentes del Asterisk desde el Internet usted debe ejecutar el siguiente comando wget. Cree el directorio /usr/src (aqu se descargar el Asterisk) si no existe este directorio lo creamos.

106

NETWORKING
Pasos: 1) Creamos el directorio, en la consola del Linux escribimos lo siguiente: #cd /usr/src #wget http://ftp.DIGIUM.com/pub/ASTERISK/ASTERISK-1.2.24x.tar.gz 2) El fichero que nos descargamos esta comprimido, procedemos a descomprimir escribiendo lo siguiente: # tar zxvf asterisk 1.4.tar.gz 3) Una vez descomprimido el fichero ingresamos al direcotrio siguiente: # cd /usr/src/asterisk 1.4 #make make clean ./configure make menuselect make make install Si es la primera vez que instalamos es recomendable instalar los ejemplos con : make samples Finalmente la instalacion del fichero Asterisk se ha completado. Iniciando y Deteniendo Asterisk Pasos: 1) Para iniciar el servicio de Asterisk ejecutamos lo siguiente: # asterisk vvvc Cuando se inicialize el Asterisk podemos visualizar que las vvv pertenecen al modo very very verbose y la c a que se nos mostrara al final una linea de comandos en forma de consola. *CLI> Ejecutamos make

107

NETWORKING
2) Para dar de baja y subir el servicio del asterisk ejecutamos. # service asterisk stop # service asterisk start Bajar el servicio Subir el servicio

3) Para verificar la versin instalado del asterisk ejecutamos el siguiente comando: *CLI> show version Asterisk 1.2.24 built by root @ pbx.asterisk on a i686 running Linux on 2008-03-08 00:23:14 UTC 4) Para saber si el Asterisk se encuentra en ejecucin correctamente ejecutamos: *CLI> show uptime System uptime: 4 hours, 47 minutes, 14 seconds

ACTIVIDADES: Bibliografa de la Unidad 1. Ingeniera de Control Moderna. OGATA KATSUHIKO 2. Sistemas Realimentados de Control. KUO CRITERIOS DE EVALUACIN: Prueba escrita Tareas de aplicacin

108