Anda di halaman 1dari 68

Capitulo 7 servicios del isp 7.

2 protocolos que admiten de la capa de transporte ISP

7.2.2 protocolos de la capa de transporte Las aplicaciones, tales como bases de datos, pginas Web y correo electrnico, necesitan que todos los datos lleguen al destino en su condicin original para que estos sean tiles. Cualquier dato perdido puede provocar que los mensajes se corrompan o sean ilegibles. Estas aplicaciones se disean para utilizar un protocolo de capa de transporte que implemente la confiabilidad. La sobrecarga de red adicional requerida para ofrecer esta confiabilidad se considera un costo razonable para una comunicacin exitosa. El protocolo de la capa de transporte se determina segn el tipo de datos de aplicacin que se envan. Por ejemplo, un mensaje de correo electrnico requiere entrega con reconocimiento y, por lo tanto, usara TCP. Un cliente de correo electrnico, mediante el SMTP, enva un mensaje de correo electrnico como un stream de bytes a la capa de transporte. En la capa de transporte, la funcionalidad del TCP divide el stream en segmentos. Dentro de cada segmento, el TCP identifica cada byte, u octeto, con un nmero de secuencia. Estos segmentos se transfieren a la capa de Internet que coloca cada segmento en un paquete para la transmisin. Este proceso se conoce como encapsulacin. En el destino, el proceso es revertido y los paquetes se desencapsulan. Los segmentos cerrados se envan a travs del proceso TCP que vuelve a convertir los segmentos en un stream de bytes para que se transfieran a la aplicacin del servidor de correo electrnico. Antes de que una sesin TCP pueda utilizarse, los hosts de origen y destino intercambian mensajes para establecer la conexin por la que se pueden enviar los segmentos de datos. Los dos hosts utilizan un proceso de tres pasos para establecer la conexin. En el primer paso, el host de origen enva un tipo de mensaje llamado Mensaje de sincronizacin o SYN para comenzar el proceso de establecimiento de la sesin TCP. Este mensaje tiene dos propsitos: Indica la intencin del host de origen de establecer una conexin con el host de destino para enviar datos. Sincroniza los nmeros de secuencia TCP entre los dos hosts, de manera que cada host puede mantener un registro de los segmentos enviados y recibidos durante la conversacin.

En el segundo paso, el host de destino responde a un mensaje SYN con un acuse de recibo de sincronizacin o mensaje SYN-ACK. En el ltimo paso, el host que realiza el envo recibe el SYN-ACK y enva un mensaje ACK a cambio para completar la configuracin de la conexin. Ahora los segmentos de datos pueden enviarse de manera confiable.

Esta actividad SYN, SYN-ACK, ACK entre los procesos TCP y los dos hosts, se denomina protocolo de enlace de tres vas. Cuando un host enva segmentos de mensaje a un host de destino mediante TCP, el proceso TCP en el host de origen inicia un temporizador. El temporizador permite que transcurra el tiempo suficiente para que el mensaje llegue al host de destino y para que se emita un reconocimiento. Si el host de origen no recibe un acuse de recibo desde el destino dentro del tiempo asignado, el temporizador expira y el origen supone que el mensaje est perdido. Por lo tanto, se vuelve a enviar la porcin del mensaje que se recibi. Adems del acuse de recibo y la retransmisin, el TCP especifica tambin el modo en que los mensajes deben reensamblarse en el host de destino. Cada segmento TCP contiene un nmero de secuencia. En el host de destino, el proceso TCP almacena los segmentos recibidos en un bfer. Mediante la evaluacin de los nmeros de secuencia del segmento, el proceso TCP puede confirmar que no existen diferencias en los datos recibidos. Cuando se reciben datos de manera desordenada, el TCP tambin puede reordenar los segmentos segn sea necesario. 7.2.3 diferencias entre TCP y UDP El UDP es un protocolo muy simple. Dado que no est orientado a la conexin y que no brinda los mecanismos sofisticados de retransmisin, secuencia y control de flujo del TCP, el UDP tiene una sobrecarga mucho menor. A menudo se le considera al UDP como un protocolo de entrega no confiable, ya que no existe garanta de que el host de destino haya recibido un mensaje. Esto no significa que las aplicaciones que utilizan UDP no sean confiables. Slo quiere decir que estas funciones no las contempla el protocolo de la capa de transporte y se deben implementar aparte, si fuera necesario. Pese a que es relativamente baja la cantidad total de trfico UDP que puede encontrarse en una red tpica, los protocolos de la capa de aplicacin que utilizan UDP incluyen: Sistema de nombres de dominio (DNS) Protocolo simple de administracin de red (SNMP, Simple Network Management Protocol) Protocolo de configuracin dinmica de host (DHCP) Protocolo de enrutamiento RIP Protocolo de transferencia de archivos trivial (TFTP) Juegos en lnea. Las diferencias principales entre TCP y UDP son las funciones especficas que cada protocolo implementa y la cantidad de sobrecarga que presentan. Observar los encabezados de ambos protocolos es una manera fcil de notar las diferencias entre ellos. Cada segmento de TCP posee 20 bytes de sobrecarga en el encabezado que encapsula los datos de la capa de aplicacin. Presenta esta sobrecarga debido a los mecanismos de verificacin de errores que soporta TCP.

Las porciones de comunicacin en UDP se llaman datagramas. Se envan estos datagramas como "mximo esfuerzo" y, por lo tanto, slo requieren 8 bytes de sobrecarga.

7.2.4 soporte de servicios multiples La capa de transporte realiza la tarea de administrar mltiples procesos de comunicacin simultnea. Los servicios TCP y UDP mantienen un registro de las varias aplicaciones que se comunican a travs de la red. Para diferenciar los segmentos y datagramas para cada aplicacin, tanto TCP como UDP cuentan con campos de encabezado que pueden identificar de manera exclusiva estas aplicaciones para comunicaciones de datos. En el encabezado de cada segmento o datagrama se colocan un puerto de origen y de destino. Los nmeros de puerto se asignan de distintas maneras, en virtud de si el mensaje es una solicitud o una respuesta. Cuando una aplicacin de cliente enva una solicitud a una aplicacin de servidor, el puerto de destino contenido en el encabezado es el nmero de puerto asignado a la aplicacin que se ejecuta en el servidor. Por ejemplo, cuando una aplicacin del explorador Web realiza una solicitud a un servidor Web, el explorador utiliza TCP y el nmero de puerto 80. Esto se debe a que el puerto TCP 80 es el puerto predeterminado asignado a aplicaciones de servidores Web. Muchas aplicaciones comunes tienen asignados puertos predeterminados. Los servidores de correo electrnico que utilizan SMTP generalmente son asignados al puerto TCP 25. Dado que los segmentos son recibidos para un puerto especfico, TCP o UDP ubica a los segmentos entrantes en la cola correspondiente. Por ejemplo, si la solicitud de aplicacin es para HTTP, el proceso TCP que se ejecuta en un servidor Web coloca los segmentos entrantes en la cola del servidor Web. Estos segmentos se transfieren a continuacin a la aplicacin HTTP tan rpido como el HTTP pueda aceptarlos. Los segmentos con puerto 25 especificado se colocan en una cola separada dirigida hacia los servicios de correo electrnico. De esta manera, los protocolos de la capa de transporte permiten que los servidores en el ISP alojen diferentes aplicaciones y servicios simultneamente. En cualquier transaccin por Internet hay un host de origen y uno de destino, que generalmente son un cliente y un servidor. Los procesos TCP en los hosts emisor y receptor son levemente distintos. Los clientes son activos y solicitan conexiones, mientras que los servidores son pasivos y escuchan y aceptan conexiones. Generalmente, los procesos del servidor son nmeros de puertos bien conocidos y asignados de manera esttica del 0 al 1023. Esos nmeros de puertos permiten a una aplicacin de cliente asignar el puerto de destino correcto cuando se genera una solicitud de servicios. Los clientes tambin requieren nmeros de puerto para identificar la aplicacin de cliente que realiza la solicitud. Los puertos de origen se asignan de manera dinmica desde el rango de puertos de 1024 a 65535. Esta asignacin de puerto acta como direccin de retorno para la aplicacin que realiza la solicitud. Los protocolos de la capa de transporte mantienen un registro del puerto de origen y de la aplicacin que gener la solicitud, de manera que cuando se devuelva una respuesta, sta se pueda enviar a la aplicacin correcta.

La combinacin del nmero de puerto de la capa de transporte y de la direccin IP de la capa de red del host identifica de manera exclusiva un proceso en particular que se ejecuta en un dispositivo host individual. Esta combinacin se denomina socket. Un par de sockets, que consiste en las direcciones IP de origen y destino y los nmeros de puertos, tambin es exclusivo e identifica la conversacin especfica entre los dos hosts. Es probable que un socket del cliente se vea as, en donde 7151 representa al nmero de puerto de origen: 192.168.1.1:7151 El socket en un servidor Web podra ser: 10.10.10.101:80 Estos dos sockets se combinan para formar un par de sockets: 192.168.1.1:7151, 10.10.10.101:80 Con la creacin de sockets, se conocen los extremos de la comunicacin, de modo que los datos puedan moverse desde una aplicacin en un host hacia una aplicacin en otro host. Los sockets permiten que los procesos mltiples que se ejecutan en un cliente se distingan entre s. Tambin permiten la diferenciacin de mltiples conexiones a un proceso de servidor. 7.3.1 nombre del host TCP/IP La comunicacin entre los hosts de origen y de destino a travs de Internet requiere una direccin IP vlida para cada host. Sin embargo, las direcciones IP numricas, especialmente las cientos de miles de direcciones asignadas a servidores disponibles en Internet, son difciles de recordar para cualquier ser humano. Los nombres de dominio que los seres humanos pueden leer, como cisco.com, son ms fciles de utilizar. Los sistemas de denominacin de red estn diseados para traducir nombres, legibles para los seres humanos, en direcciones IP legibles para las mquinas que pueden utilizarse para comunicarse a travs de la red. Los seres humanos utilizan sistemas de denominacin de red todos los das cuando navegan por la Web o envan mensajes de correo electrnico y es posible que no se den cuenta de que lo hacen. Los sistemas de denominacin trabajan como una parte oculta pero integral de la comunicacin de red. Por ejemplo, para explorar el sitio Web de Cisco Systems, abra un explorador y escriba http://www.cisco.com en el campo de direccin. El www.cisco.com es un nombre de red asociado a una direccin IP especfica. Al escribir la direccin IP del servidor en el explorador, aparece la misma pgina Web. Los sistemas de denominacin de red son cmodos para los seres humanos, ya que ayudan a los usuarios a encontrar el recurso que necesitan sin tener que recordar la compleja direccin IP. En los inicios de Internet, los nombres de hosts y las direcciones IP se administraban mediante el uso de un solo archivo HOSTS ubicado en un servidor administrado centralmente. El archivo HOSTS central contena la asignacin del nombre de host y de la direccin IP para cada dispositivo conectado a la Internet en sus inicios. Cada sitio poda descargar el archivo HOSTS y utilizarlo para resolver nombres de host en la

red. Cuando se ingresaba un nombre de host, el host emisor verificaba el archivo HOSTS descargado para obtener la direccin IP del dispositivo de destino. Al principio, el archivo HOSTS era aceptable para la cantidad limitada de sistemas de computacin que participaban en Internet. A medida que la red creci, tambin creci la cantidad de hosts que necesitaban traducciones de nombre a IP. Se volvi imposible mantener actualizado el archivo HOSTS. Como resultado, se desarroll un nuevo mtodo para resolver los nombres de host a direcciones IP. DNS se cre para que el nombre del dominio busque soluciones. DNS utiliza un conjunto distribuido de servidores para resolver los nombres asociados con las direcciones numricas. El nico archivo HOSTS administrado centralmente ya no es necesario. Sin embargo, prcticamente todos los sistemas de computacin todava mantienen el archivo HOSTS local. Se crea un archivo HOSTS local cuando TCP/IP est cargado en un dispositivo host. Como parte del proceso de resolucin de nombre en un sistema de computacin, el archivo HOSTS se escanea incluso antes de que se requiera el servicio DNS ms slido. Un archivo HOSTS local puede utilizarse para resolver problemas o para reemplazar registros que se encuentren en un servidor DNS. 7.3.2 jerarquia DNS El DNS soluciona las limitaciones del archivo HOSTS. La estructura del DNS es jerrquica, con una base de datos de nombres de host distribuida a asignaciones IP repartidas en varios servidores DNS en todo el mundo. Esto se diferencia de un archivo HOSTS que requiere que todas las asignaciones se mantengan en un servidor. DNS utiliza nombres de domino para formar la jerarqua. La estructura de denominacin se divide en zonas pequeas y manejables. Cada servidor DNS mantiene un archivo de base de datos especfico y slo es responsable de administrar las asignaciones de nombre a IP para esa pequea porcin de toda la estructura DNS. Cuando un servidor DNS recibe una solicitud para una traduccin de nombre que no se encuentra dentro de esa zona DNS, el servidor DNS reenva la solicitud a otro servidor DNS dentro de la zona adecuada para su traduccin. El DNS es escalable porque la resolucin de los nombres de hosts se distribuye entre servidores mltiples. El DNS consta de tres componentes. Registro de recursos y espacio de nombres de dominios Un registro de recursos es un registro de datos en el archivo de base de datos de una zona DNS. Se utiliza para identificar un tipo de host, la direccin IP de un host o un parmetro de la base de datos DNS. El espacio de nombres de dominios hace referencia a la estructura jerrquica de denominacin para organizar registros de recursos. El espacio de nombres de dominios se compone de varios dominios, o grupos, y los registros de recursos dentro de cada grupo. Servidores del sistema de nombres de dominios Los servidores del sistema de nombres de dominios mantienen las bases de datos que almacenan los registros de recursos y la informacin acerca de la estructura de espacio de nombres de dominios. Los servidores DNS intentan resolver consultas de clientes utilizando el espacio de nombres de dominios y los registros de recursos que mantienen

en sus archivos de base de datos de zona. Si el servidor de nombres no posee la informacin solicitada en su base de datos de zona DNS, utiliza servidores de nombre predefinidos adicionales para ayudar a resolver la consulta de nombre a IP. Sistemas de resolucin Los sistemas de resolucin son aplicaciones o funciones del sistema operativo que se ejecutan en clientes y servidores DNS. Cuando se utiliza un nombre de dominio, el sistema de resolucin le solicita al servidor DNS que traduzca ese nombre a una direccin IP. Un solucionador se carga en un cliente DNS y se utiliza para crear la consulta de nombre DNS que se enva a un servidor DNS. Los solucionadores tambin se cargan en servidores DNS. Si el servidor DNS no posee la asignacin nombre a IP solicitada, utiliza el sistema de resolucin para reenviar la solicitud a otros servidores DNS. El DNS emplea un sistema jerrquico para proporcionar resolucin de nombres. La jerarqua es similar a un rbol invertido con la raz en la parte superior y las ramas por debajo. En la parte superior de la jerarqua, los servidores raz mantienen registros sobre cmo alcanzar los servidores de dominio del nivel superior, los cuales a su vez tienen registros que apuntan a los servidores de dominio de nivel secundario. Los diferentes dominios de primer nivel representan el tipo de organizacin o el pas de origen. Entre los ejemplos de dominios del nivel superior se encuentran: .au: Australia .co: Colombia .com: una empresa o industria .jp: Japn .org: una organizacin sin fines de lucro Debajo de los dominios del nivel superior, se encuentran los nombres de los dominios de segundo nivel y, debajo de estos, hay otros dominios de nivel inferior. El servidor DNS raz puede no saber exactamente dnde se ubica el host H1.cisco.com, pero conserva un registro para el dominio del nivel superior .com. Asimismo, es posible que los servidores dentro del dominio .com tampoco tengan un registro de H1.cisco.com , pero s tienen un registro para el dominio cisco.com. Los servidores DNS dentro del dominio cisco.com tienen un registro para H1.cisco.com y pueden resolver la direccin. El DNS depende de esta jerarqua de servidores descentralizados para almacenar y mantener estos registros de recursos. Los registros de recursos contienen nombres de dominios que el servidor puede resolver y servidores alternativos que tambin pueden procesar solicitudes. El nombre H1.cisco.com es conocido como un nombre de dominio completamente calificado (FQDN, Fully Qualified Domain Name) ,o nombre DNS, porque define la ubicacin exacta de la computadora dentro del espacio de nombre DNS jerrquico.

7.3.3 RESOLUCION DE NOMBRES DNS Cuando un host necesita resolver un nombre DNS, utiliza el sistema de resolucin para ponerse en contacto con un servidor DNS dentro de su dominio. El sistema de resolucin conoce la direccin IP del servidor DNS para contactarla porque est preconfigurada como parte de la configuracin IP del host. Cuando el servidor DNS recibe la solicitud del sistema de resolucin del cliente, primero verifica los registros locales de DNS que tiene en el cach de su memoria. Si no puede resolver la direccin IP a nivel local, el servidor utiliza su solucionador para reenviar la solicitud a otro servidor DNS preconfigurado. Este proceso contina hasta que la direccin IP se resuelve. La informacin de resolucin de nombre se enva de vuelta al servidor DNS original, que utiliza la informacin para responder la consulta inicial. Durante el proceso de resolucin de un nombre DNS, cada servidor DNS tiene en cach, o almacena, la informacin que recibe como respuestas a las consultas. La informacin en cach permite al servidor DNS responder ms rpidamente a las siguientes solicitudes del sistema de resolucin, dado que el servidor primero verifica los registros en cach antes de consultar en otros servidores DNS. Los servidores DNS slo conservan informacin en cach durante un tiempo limitado. Los servidores DNS no deben mantener informacin en cach durante demasiado tiempo, ya que los registros de nombres de host cambian peridicamente. Si un servidor DNS tena en cach informacin antigua, puede dar la direccin IP equivocada para una computadora. En las primeras implementaciones de DNS, todos los registros de recursos para hosts se agregaban y se actualizaban manualmente. Sin embargo, a medida que las redes crecan y la cantidad de registros de hosts que deban administrarse aumentaba, mantener de manera manual los registros de recursos se volvi sumamente ineficiente. Adems, cuando se usa DHCP, los registros de recursos dentro de la zona DNS deben ser actualizados con mayor frecuencia. Para facilitar la actualizacin de la informacin de la zona DNS, se cambi el protocolo DNS para permitir a los sistemas informticos actualizar su propio registro en dicha zona a travs de actualizaciones dinmicas. Las actualizaciones dinmicas habilitan las computadoras cliente DNS para registrar y actualizar dinmicamente sus registros de recursos con un servidor DNS cuando se produce un cambio. Para utilizar la actualizacin dinmica, el servidor y los clientes DNS, o servidor de DHCP, deben soportar la funcin de actualizacin dinmica. Las actualizaciones dinmicas en el servidor DNS no se habilitan de manera predeterminada y deben habilitarse explcitamente. La mayora de los sistemas operativos actuales admiten la utilizacin de actualizaciones dinmicas. Los servidores DNS mantienen la base de datos de zona para una porcin determinada de la jerarqua DNS general. Los registros de recursos se almacenan dentro de esa zona DNS. Las zonas DNS pueden ser zonas de bsqueda hacia adelante o de bsqueda inversa. Tambin pueden ser una zona de bsqueda hacia adelante o inversa primaria o secundaria. Cada tipo de zona tiene un papel especfico dentro de la infraestructura DNS general. Zonas de bsqueda hacia adelante

Una zona de bsqueda hacia adelante es una zona DNS estndar que resuelve los nombres de dominio completamente calificados en direcciones IP. ste es el tipo de zona que se encuentra comnmente al navegar por Internet. Al escribir una direccin de un sitio Web, como por ejemplo, www.cisco.com, se enva una consulta recursiva al servidor DNS local para resolver ese nombre para una direccin IP a fin de conectar al servidor Web remoto. Zonas de bsqueda inversa Una zona de bsqueda inversa es un tipo especial de zona que le permite resolver una direccin IP para un nombre de dominio completamente calificado. Algunas aplicaciones utilizan las bsquedas inversas para identificar sistemas de computacin que se comunican de manera activa con ellas. Existe una jerarqua DNS completa de bsqueda inversa en Internet que permite que cualquier direccin IP registrada pblicamente se resuelva. Muchas redes privadas deciden implementar sus propias zonas de bsqueda inversa local para ayudar a identificar sistemas de computacin dentro de sus redes. Las bsquedas inversas en direcciones IP pueden encontrarse utilizando el comando ping -a [ip_address]. Zonas primarias Una zona DNS primaria es una zona que se puede modificar. Cuando se necesita agregar un nuevo registro de recurso o cuando se necesita actualizar o eliminar un registro existente, los cambios se realizan en una zona DNS primaria. Cuando se trata de una zona primaria en un servidor DNS, se dice que ese servidor es autoritativo para esa zona DNS, dado que tendr la respuesta a las consultas DNS para los registros dentro de esa zona. Slo puede haber una zona DNS primaria para un dominio DNS determinado; sin embargo, usted puede tener zonas primarias de bsqueda hacia adelante e inversa. Zonas secundarias Una zona secundaria es una zona de respaldo, de slo lectura que se mantiene en un servidor DNS diferente al de la zona primaria. La zona secundaria es una copia de la zona primaria y recibe actualizaciones de la informacin de zona desde el servidor primario. Debido a que la zona secundaria es una copia de slo lectura de la zona, es necesario que todas las actualizaciones de los registros se hagan en la zona primaria correspondiente. Es posible que tambin tenga zonas secundarias para zonas de bsqueda tanto hacia adelante como inversa. Segn los requisitos de disponibilidad para una zona DNS, puede tener muchas zonas DNS secundarias esparcidas en muchos servidores DNS.

7.3.4 IMPLEMENTACION DE SOLUCIONES DNS Existen muchas maneras de implementar soluciones DNS. Servidores DNS del ISP Generalmente, los ISP mantienen servidores DNS de slo cach. Estos servidores estn configurados para enviar todas las solicitudes de resolucin de nombres a los servidores raz en Internet. Los resultados se almacenan en cach y se utilizan para responder cualquier solicitud futura. Dado que generalmente son muchos los clientes de los ISP, la cantidad de bsquedas DNS en cach es grande. El almacenamiento en grandes cantidades en cach reduce el ancho de banda de la red, ya que disminuye la frecuencia con la que se envan las consultas DNS a los servidores raz. Los servidores de

slo cach no mantienen ninguna informacin de zona autoritativa, lo que significa que no almacenan directamente en sus bases de datos ninguna asignacin de nombre a IP. Servidores DNS locales Una empresa puede contar con su propio servidor DNS. Las computadoras del cliente en esa red se configuran para apuntar al servidor DNS local en vez de hacerlo al servidor DNS del ISP. El servidor DNS local puede mantener algunas entradas autoritativas para esa zona, de modo que tendr asignaciones de nombre a IP de cualquier host en esa zona. Si el servidor DNS recibe una solicitud que no puede resolver, sta se reenva. El cach requerido en un servidor local es relativamente pequeo en comparacin con el servidor DNS del ISP debido a la menor cantidad de solicitudes. Es posible configurar los servidores DNS locales para que reenven solicitudes directamente al servidor DNS raz. Sin embargo, algunos administradores configuran los servidores DNS locales para que reenven todas las solicitudes DNS a un servidor DNS ascendente, como por ejemplo, el servidor DNS del ISP. De esa manera, el servidor DNS local se beneficia de la gran cantidad de entradas DNS en cach del ISP, en vez de tener que realizar todo el proceso de bsqueda a partir del servidor raz. La prdida de acceso a los servidores DNS afecta la visibilidad de los recursos pblicos. Si los usuarios escriben un nombre de dominio que no puede ser resuelto, no podrn acceder al recurso. Por este motivo, cuando una organizacin registra un nombre de dominio en Internet, deben proporcionarse con el registro al menos dos servidores DNS. Estos servidores son los que alojan la base de datos de zona DNS. Los servidores DNS redundantes garantizan que si uno falla, el otro permanecer disponible para la resolucin de nombre. Esta prctica ofrece tolerancia a fallas. Si los recursos de hardware lo permiten, contar con ms de dos servidores DNS dentro de una zona brinda proteccin y organizacin adicionales. Otra buena idea es asegurarse de que los mltiples servidores DNS que alojan la informacin de zona estn ubicados en diferentes redes fsicas. Por ejemplo, la informacin de zona DNS primaria puede almacenarse en un servidor DNS en las instalaciones locales de la empresa. Generalmente, el ISP aloja un servidor DNS secundario adicional para garantizar la tolerancia a fallas. DNS es un importante servicio de red. Por lo tanto, los servidores DNS deben estar protegidos mediante la utilizacin de firewall y otras medidas de seguridad. Si el DNS falla, no se puede tener acceso a otros servicios Web.

7.4.1 SERVICIOS Adems de brindarles a los clientes privados y empresariales conectividad y servicios DNS, los ISP ofrecen a los clientes diversos servicios comerciales. Estos servicios se habilitan mediante software instalado en los servidores. Entre los diferentes servicios que los ISP brindan se encuentran: hosting de correo electrnico hosting de sitio Web sitios de e-commerce

almacenamiento y transferencia de archivos foros y blogs streaming video y servicios de audio Los protocolos de capa de aplicacin de TCP/IP habilitan muchos de estos servicios y aplicaciones ISP. Los protocolos de capa de aplicacin de TCP/IP ms comunes son HTTP, FTP, SMTP, POP3 e IMAP4. Algunos clientes estn ms preocupados por la seguridad, por lo tanto, estos protocolos de capa de aplicacin tambin incluyen versiones seguras como FTPS y HTTPS.

7.4.2 HTTP Y HTTPS El HTTP, uno de los protocolos en el conjunto de aplicaciones TCP/IP, se desarroll originalmente para permitir la recuperacin de pginas Web con formato HTML. Ahora se utiliza para compartir informacin distribuida y de colaboracin. El HTTP evolucion a travs de mltiples versiones. La mayora de los ISP utilizan HTTP versin 1.1. para brindar servicios de hosting de Web. A diferencia de las versiones anteriores, la versin 1.1 permite que un servidor Web nico aloje mltiples sitios Web. Tambin permite las conexiones persistentes, de modo que mltiples mensajes de solicitud y de respuesta puedan utilizar la misma conexin, lo que reduce el tiempo que toma iniciar nuevas sesiones TCP. HTTP especifica un protocolo de solicitud/respuesta. Cuando un cliente, generalmente un explorador Web, enva un mensaje de solicitud a un servidor, el HTTP define los tipos de mensajes que el cliente utiliza para solicitar la pgina Web. Tambin especifica los tipos de mensajes que el servidor utiliza para responder. Aunque es muy flexible, HTTP no es un protocolo seguro. Los mensajes de solicitud envan informacin al servidor en un texto sin formato que puede ser interceptado y ledo. De forma similar, las respuestas del servidor, generalmente pginas HTML, tambin se envan sin encriptar. Para lograr una comunicacin segura a travs de Internet, el HTTP seguro (HTTPS) se utiliza para obtener acceso o enviar la informacin del servidor Web. El HTTPS puede utilizar autenticacin y encriptacin para asegurar los datos mientras viajan entre el cliente y el servidor. El HTTPS especifica reglas adicionales para pasar los datos entre la capa de aplicacin y la capa de transporte. Cuando se est en contacto con un servidor HTTP para descargar una pgina Web, se utiliza un localizador uniforme de recursos (URL, Uniform Resource Locator) para localizar el servidor y un recurso especfico. El URL identifica: El protocolo en uso El nombre de dominio del servidor al que se necesita acceder La ubicacin del recurso en el servidor, como http://example.com/example1/index.htm

Muchas aplicaciones de servidor Web permiten URL cortas. Los URL cortos son muy utilizados porque son ms fciles de escribir, recordar o compartir. Con un URL corto, se espera una pgina de recurso predeterminada cuando se escribe un URL. Cuando un usuario ingresa una URL reducida, como http://example.com, la pgina predeterminada que se enva al usuario en realidad es la pgina Web http://example.com/example1/index.htm. El HTTP soporta servicios proxy. Un servidor proxy les permite a los clientes realizar conexiones de red indirectas a otros servicios de red. Un proxy es un dispositivo en el stream de comunicacin que acta como un servidor para el cliente y como un cliente para un servidor. El cliente se conecta al servidor proxy y le solicita un recurso en un servidor diferente. El proxy se conecta al servidor especfico y recupera el recurso solicitado. Luego reenva el recurso de vuelta al cliente. El servidor proxy puede almacenar en cach la pgina o el recurso que se obtenga durante un tiempo configurable. El almacenamiento en cach les permite a los futuros clientes obtener acceso a la pgina Web rpidamente, sin necesitar acceso al servidor real donde est guardada la pgina. Los proxy se usan por tres razones: Velocidad: el cach permite que las solicitudes de recursos de un usuario estn disponibles para usuarios posteriores sin tener que acceder al servidor cuando la pgina est almacenada. Seguridad: los servidores proxy pueden usarse para interceptar virus de computadora y otro contenido malicioso y evitar que se enven a otros clientes. Filtrado: los servidores proxy pueden ver los mensajes HTTP entrantes y filtrar el contenido Web inapropiado u ofensivo. El HTTP enva mensajes de texto sin cifrar de ida y de vuelta entre un cliente y un servidor. Estos mensajes de texto pueden ser interceptados y ledos fcilmente por usuarios no autorizados. Para proteger datos, especialmente informacin confidencial, algunos ISP prestan servicios Web seguros al usar HTTPS. El HTTPS es HTTP sobre capa de sockets seguros (SSL, Secure Sockets Layer). El HTTPS utiliza el mismo proceso de solicitud del cliente-respuesta del servidor que el HTTP, pero el stream de datos se encripta con SSL antes de transportarse a lo largo de la red. Cuando el stream de datos de HTTP llega al servidor, la capa TCP lo transfiere al SSL en la capa de aplicacin del servidor, donde se descifra. La cantidad mxima de conexiones simultneas que un servidor puede soportar para HTTPS es menor que la que puede soportar para HTTP. El HTTPS crea una carga y un tiempo de procesamiento adicionales en el servidor debido a la encriptacin y el descifrado de trfico. Para mantener el rendimiento del servidor, el HTTPS slo debe utilizarse cuando sea necesario, como por ejemplo, cuando se intercambia informacin confidencial.

7.4.3 FTP El FTP es un protocolo orientado a la conexin que utiliza TCP para comunicarse entre un proceso FTP de cliente y un proceso FTP en un servidor. Las implementaciones FTP incluyen las funciones de un intrprete de protocolo (PI, Protocol Interpreter) y un proceso de transferencia de datos (DTP, Data Transfer Process). PI y DTP definen dos procesos por separado que trabajan conjuntamente para transferir archivos. Como resultado, el FTP requiere la existencia de dos

conexiones entre el cliente y el servidor, una para enviar informacin de control y comandos y una segunda para la transferencia real de datos de archivos.

Intrprete de protocolo (PI, Protocol Interpreter) La funcin del PI es la conexin de control principal entre el cliente FTP y el servidor FTP. Establece la conexin TCP y transfiere informacin de control al servidor. La informacin de control incluye comandos para navegar a travs de una jerarqua de archivos y el cambio de nombre o traslado de archivos. La conexin de control, o stream de control, permanece abierta hasta que el usuario la cierre. Cuando un usuario desea conectarse a un servidor FTP existen cinco pasos bsicos: Paso 1. El PI del usuario enva una solicitud de conexin al PI del servidor en el puerto 21 bien conocido. Paso 2. El PI del servidor responde y se establece la conexin. Paso 3. Con la conexin de control TCP abierta, el proceso del PI del servidor comienza la secuencia de inicio de sesin. Paso 4. El usuario ingresa credenciales a travs de la interfaz de usuario y completa la autenticacin. Paso 5. El proceso de transferencia de datos comienza. Proceso de transferencia de datos El proceso de transferencia de datos (DTP, Data Transfer Process) es una funcin independiente. Esta funcin se habilita slo cuando el usuario realmente desea transferir archivos hacia o desde el servidor FTP. A diferencia de la conexin PI, que permanece abierta, la conexin DTP se cierra automticamente cuando finaliza la transferencia de archivos. Los dos tipos de conexiones de transferencia de datos que soporta el FTP son las conexiones de datos activas y las pasivas.

Conexiones de datos activas

En una conexin de datos activa, un cliente inicia una solicitud para el servidor y abre un puerto para los datos que se esperan. A continuacin, el servidor se conecta al cliente en ese puerto y comienza la transferencia de archivos. Conexiones de datos pasivas En una conexin de datos pasiva, el servidor FTP abre un puerto de origen aleatorio (superior a 1023). El servidor reenva su direccin IP y este nmero de puerto aleatorio al cliente FTP a travs del stream de control. A continuacin, el servidor espera una conexin desde el cliente FTP para comenzar la transferencia de archivos de datos.

Generalmente, los ISP soportan conexiones de datos pasivas para sus servidores FTP. A menudo, los firewalls no permiten conexiones FTP activas a hosts ubicados en la red interna.

7.4.4 SMTP,POP3 E IMAP4 Uno de los principales servicios que un ISP ofrece es hosting de correo electrnico. El correo electrnico es un mtodo para almacenar y enviar que se utiliza para enviar, almacenar y recuperar mensajes electrnicos a travs de una red. Los mensajes de correo electrnico se guardan en bases de datos en servidores de correo. A menudo, los ISP mantienen servidores de correo que admiten varias cuentas de clientes diferentes. Los clientes de correo electrnico se comunican con servidores de correo para enviar y recibir mensajes de correo electrnico. Los servidores de correo se comunican con otros servidores de correo para transportar mensajes desde un dominio a otro. Un cliente de correo electrnico no se comunica directamente con otro cliente de correo electrnico cuando enva un mensaje. Ms bien, ambos clientes dependen del servidor de correo para el transporte de los mensajes. Esto sucede incluso cuando ambos usuarios se encuentran en el mismo dominio. Los clientes de correo electrnico envan mensajes al servidor de correo electrnico determinado en las configuraciones de aplicaciones. Cuando el servidor recibe el mensaje, verifica si el dominio receptor se encuentra en su base de datos local. De no ser as, enva una solicitud DNS para determinar el servidor de correo para el dominio de destino. Una vez que se conoce la direccin IP del servidor de correo electrnico del destino, se enva el correo electrnico al servidor correspondiente. El correo electrnico admite tres protocolos independientes para su funcionamiento: SMTP, POP3 e IMAP4. El proceso de la capa de aplicacin que enva correo, ya sea desde un cliente a un servidor o entre servidores, implementa el SMTP. Un cliente recupera el correo electrnico utilizando uno de los dos protocolos de la capa de aplicacin: POP3 o IMAP4. El Protocolo simple de transferencia de correo (SMTP, Simple Mail Transfer Protocol) permite la transferencia confiable y eficiente de correo. Para que las aplicaciones del SMTP funcionen bien, se debe formatear correctamente el mensaje de correo electrnico y los procesos SMTP deben estar en ejecucin en el cliente y en el servidor.

Los formatos de mensajes SMTP necesitan un encabezado y un cuerpo de mensaje. Mientras que el cuerpo del mensaje puede contener la cantidad de texto que se desee, el encabezado debe contar con una direccin de correo electrnico de destinatario correctamente formateada y una direccin de emisor. Toda otra informacin de encabezado es opcional. Cuando un cliente enva un correo electrnico, el proceso SMTP de cliente se conecta con un proceso SMTP de servidor en el puerto 25 bien conocido. Una vez que se establece la conexin, el cliente intenta enviar correo al servidor a travs de la misma. Una vez que el servidor recibe el mensaje, lo ubica en una cuenta local o lo reenva mediante el mismo proceso de conexin SMTP a otro servidor de correo.

El servidor de correo electrnico de destino puede no estar en lnea, o muy ocupado, cuando se envan los mensajes. Por lo tanto, el SMTP pone los mensajes en cola para enviarlos posteriormente. El servidor verifica peridicamente la cola en busca de mensajes e intenta enviarlos nuevamente. Si el mensaje an no se ha entregado despus de un tiempo predeterminado de expiracin, se devolver al emisor como imposible de entregar. Uno de los campos requeridos en un encabezado de mensaje de correo electrnico es la direccin del destinatario. La estructura de una direccin de correo electrnico incluye el nombre de cuenta de correo electrnico o un alias, adems del nombre del dominio del servidor de correo. Ejemplo de una direccin de correo electrnico: destinatario@cisco.com El smbolo @ separa el nombre cuenta y el del dominio del servidor. Cuando un servidor DNS recibe una solicitud para un nombre con un smbolo @, esto le indica al servidor DNS que est buscando una direccin IP para un servidor de correo. Cuando se enva un mensaje a destinatario@cisco.com, el nombre de dominio se enva al servidor DNS para obtener la direccin IP del servidor de correo de dominio. En DNS, los servidores de correo se identifican con un indicador de registro MX. MX es un tipo de registro de recursos almacenado en el servidor DNS. Cuando el servidor de correo de destino recibe el mensaje, lo guarda en el buzn correspondiente. La ubicacin del buzn se determina segn la cuenta especificada en la primera parte de la direccin de correo electrnico, en este caso, la cuenta del destinatario. El mensaje permanece en el buzn hasta que el destinatario se conecte al servidor para recuperar el correo electrnico. Si el servidor de correo recibe un mensaje de correo electrnico con referencia a una cuenta que no existe, el correo electrnico se devolver al emisor como imposible de entregar. El Protocolo de oficina de correos, versin 3 (POP3, Post Office Protocol) permite a una estacin de trabajo recuperar correo desde un servidor de correo. Con POP3, el correo se descarga desde el servidor al cliente y despus se elimina en el servidor. El servidor comienza el servicio POP3 escuchando de manera pasiva en el puerto TCP 110 las solicitudes de conexin del cliente. Cuando un cliente desea utilizar el servicio, enva una solicitud para establecer una conexin TCP con el servidor. Una vez establecida la conexin, el servidor POP3 enva un saludo. A continuacin, el cliente y el servidor POP3 intercambian comandos y respuestas hasta que la conexin se cierra o cancela. Dado que estos mensajes de correo electrnico se descargan para el cliente y se eliminan del servidor, esto significa que no existe una ubicacin centralizada donde se conserven los mensajes de correo electrnico. Como el POP3 no almacena mensajes, no es una opcin adecuada para una pequea empresa que necesita una solucin de respaldo centralizada. El POP3 es deseable para un ISP, ya que alivia su responsabilidad de manejar grandes cantidades de almacenamiento para sus servidores de correo electrnico. El Protocolo de acceso a mensajes de Internet (IMAP4, Internet Message Access Protocol) es otro protocolo que describe un mtodo para recuperar mensajes de correo electrnico. Sin embargo, a diferencia del POP3, cuando el usuario se conecta a un servidor para IMAP, se descargan copias de los mensajes a la aplicacin del cliente. Los

mensajes originales se mantienen en el servidor hasta que se eliminen manualmente. Los usuarios ven copias de los mensajes en su software de cliente de correo electrnico. Los usuarios pueden crear una jerarqua de archivos en el servidor para organizar y guardar el correo. Dicha estructura de archivos se duplica tambin en el cliente de correo electrnico. Cuando un usuario decide eliminar un mensaje, el servidor sincroniza esa accin y elimina el mensaje del servidor. Para pequeas o medianas empresas, son muchas las ventajas al utilizar el protocolo IMAP. El IMAP puede realizar un almacenamiento a largo plazo de mensajes de correo electrnico en servidores de correo y permitir el respaldo centralizado. Tambin les permite a los empleados acceder a mensajes de correo electrnico desde distintas ubicaciones, utilizando dispositivos o software de cliente diferentes. La estructura de carpetas del buzn que un usuario espera ver se encuentra disponible para visualizarla, independientemente del modo en que el usuario obtenga acceso al buzn. Para un ISP, el IMAP puede no ser el protocolo elegido. El espacio de disco para admitir la gran cantidad de mensajes de correo electrnico almacenados puede ser costoso de comprar y mantener. Adems, si los clientes esperan que se realicen copias de respaldo a sus buzones peridicamente, esto puede aumentar an ms los costos para el ISP.

7.5.1 RESUMEN

8.1.1 SERVICIOS DE SEGURIDAD DEL ISP Cualquier conexin a Internet activa de una computadora puede hacer que dicha computadora sea objetivo de una actividad maliciosa. Malware, o software malicioso, como un virus de computadora, gusano, o spyware, puede llegar en un correo electrnico o se puede descargar desde un sitio Web. Los problemas que ocasionan fallas a gran escala en las redes de los ISP a menudo se originan en sistemas de escritorio no seguros en las ubicaciones del cliente del ISP. Si el ISP es el host de cualquier sitio Web o de e-commerce, el ISP puede tener archivos confidenciales con datos financieros o informacin de cuentas bancarias almacenadas en sus servidores. El ISP es necesario para conservar los datos del cliente de una manera segura. Los ISP cumplen un papel importante al ayudar a proteger a los usuarios comerciales y domsticos que utilizan sus servicios. Los servicios de seguridad que ellos proveen tambin protegen a los servidores ubicados en las instalaciones del proveedor del servicio. Los proveedores de servicios a menudo deben ayudar a sus clientes a asegurar sus redes locales y estaciones de trabajo para reducir los riesgos de que se vean afectados. Existen muchas acciones que se pueden tomar tanto en el sitio local como en el ISP para asegurar los sistemas operativos, los datos almacenados en los sistemas operativos y cualquier dato transmitido entre los sistemas de computacin. Si un ISP proporciona servicios de correo electrnico o web hosting para un cliente, es importante que el ISP proteja la informacin de un ataque malicioso. Esta proteccin puede ser complicada porque a menudo un ISP utiliza un nico servidor, o grupo de servidores, para conservar los datos que pertenecen a ms de un cliente. Para ayudar a evitar ataques contra estos tipos de vulnerabilidades, muchos ISP proporcionan servicios administrados de seguridad para computadoras de escritorio a sus clientes. Una parte importante del trabajo de un tcnico de soporte en el lugar es implementar las mejores prcticas de seguridad en las computadoras del cliente. Algunos de los servicios de seguridad que un tcnico de soporte del ISP puede ofrecer incluyen: Ayudar a los clientes a crear contraseas seguras para los dispositivos Asegurar las aplicaciones con administracin de parches y actualizaciones de software Eliminar aplicaciones y servicios innecesarios que pueden crear vulnerabilidades Garantizar que las aplicaciones y los servicios estn disponibles slo para los usuarios que los necesitan Configurar firewalls de escritorio y software de control de virus Realizar exmenes de seguridad en software y servicios para determinar vulnerabilidades que un tcnico debe proteger de ataques

8.1.2 PRACTICAS DE SEGURIDAD Es crucial que el ISP cuente con medidas para proteger la informacin de sus clientes de un ataque malicioso. Los procedimientos y las caractersticas de seguridad comunes para datos incluyen: Encriptar datos almacenados en discos duros del servidor Utilizar permisos para obtener acceso seguro a archivos y carpetas Permitir o rechazar el acceso segn la cuenta de usuario o la pertenencia al grupo Asignar permisos de diferentes niveles de acceso segn la cuenta de usuario o la pertenencia al grupo Cuando asigna permisos a archivos y carpetas, una de las mejores prcticas de seguridad consiste en aplicar permisos segn el "principio de menor privilegio". Esto significa darles acceso a los usuarios slo a aquellos recursos que los usuarios necesiten para poder realizar su trabajo. Tambin significa darles el nivel de permiso correspondiente, por ejemplo acceso de slo lectura o acceso de escritura. Autenticacin, autorizacin y registro (AAA) es un proceso de tres pasos utilizado por los administradores de red para dificultar el acceso a la red de los atacantes. La autenticacin requiere que los usuarios confirmen su identidad con un nombre de usuario y una contrasea. Las bases de datos de autenticacin normalmente se almacenan en servidores que utilizan los protocolos RADIUS o TACACS. La autorizacin les otorga derechos a los usuarios para utilizar recursos especficos y realizar tareas especficas. La contabilidad rastrea qu aplicaciones se utilizan y la duracin de su uso. Por ejemplo, la autenticacin reconoce que existe un usuario denominado "estudiante" y que puede iniciar sesin. Los servicios de autorizacin especifican que el usuario estudiante puede acceder al servidor host XYZ con Telnet. La contabilidad registra que el usuario estudiante accedi al servidor host XYZ con Telnet un da especfico durante 15 minutos. AAA se puede usar con distintos tipos de conexiones de red. AAA requiere una base de datos para mantener un registro de las credenciales del usuario, los permisos y las estadsticas de contabilizacin. La autenticacin local es la forma ms simple de AAA y mantiene una base de datos local en el router gateway. Si una organizacin tiene ms de unos pocos usuarios que autentican con AAA, la organizacin debe utilizar una base de datos con un servidor individual.

8.1.3 ENCRIPTACION DE DATOS Los ISP tambin deben ocuparse de la seguridad de los datos que se transmiten desde sus servidores y hacia estos. De forma automtica, los datos que se envan a travs de la red no estn asegurados y se transmiten en texto sin cifrar. Individuos no autorizados pueden interceptar los datos no asegurados que se estn transmitiendo. Capturar los datos en trnsito elude toda la seguridad del sistema de archivos que se establece con los datos. Hay mtodos disponibles para protegerse de los problemas de seguridad.

Encriptacin La encriptacin digital es el proceso que consiste en encriptar todos los datos transmitidos entre el cliente y el servidor. Muchos de los protocolos que se usan para transmitir datos ofrecen una versin segura que utiliza la encriptacin digital. Como mejor prctica, utilice la versin segura de un protocolo cada vez que los datos que se intercambien entre dos computadoras sean confidenciales. Por ejemplo, si un usuario debe presentar el nombre de usuario y la contrasea para iniciar sesin en el sitio Web de un e-commerce, se requerir un protocolo seguro para proteger de las capturas a la informacin del nombre de usuario y de la contrasea. Los protocolos seguros tambin son necesarios cada vez que un usuario debe presentar la informacin de una cuenta bancaria o de una tarjeta de crdito. Cuando se navega en Internet y se visualizan sitios Web de acceso pblico, no es necesario asegurar los datos transmitidos. El uso de un protocolo seguro en esta situacin puede dar como resultado sobrecargas de clculo adicionales y tiempos de respuesta ms lentos. Hay muchos protocolos de red que utilizan las aplicaciones. Algunos ofrecen versiones seguras y otros no: Servidores Web: Los servidores Web utilizan HTTP predeterminado, que no es un protocolo seguro. El uso de HTTPS, que utiliza el protocolo de capa de sockets seguros (SSL, secure socket layer) permite que el intercambio de datos se realice de forma segura. Servidores de correo electrnico: Los servidores de correo electrnico utilizan distintos protocolos, entre ellos SMTP, POP3 e IMAP4. Cuando un usuario inicia sesin en un servidor de correo electrnico, POP3 e IMAP4 solicitan un nombre de usuario y contrasea para la autenticacin. De forma automtica, esta solicitud se enva sin seguridad y puede ser capturada. Se puede asegurar POP3 con SSL. SMTP e IMAP4 pueden usar la SSL o la seguridad de capa de transporte (TLS, Transport Layer Security) como protocolo de seguridad. Servidores Telnet: El uso de telnet para iniciar sesin en un router Cisco o en un switch Cisco genera una conexin no segura. Telnet enva informacin de autenticacin y todos los comandos ingresados por un usuario a travs de la red en texto sin cifrar. Utilice el protocolo Shell seguro (ssh, Secure Shell) para autenticar y trabajar con el router o switch de manera segura. Servidores FTP: El protocolo FTP es tambin un protocolo no seguro. Cuando se inicia sesin en un servidor FTP, la informacin de autenticacin se enva en texto sin cifrar. El FTP puede utilizar un SSL para intercambiar datos y autenticacin en forma segura. Algunas versiones de FTP pueden adems utilizar un SSH. Servidores de archivos: Los servidores de archivos pueden utilizar muchos protocolos diferentes para intercambiar datos dependiendo del sistema operativo de la computadora. En la mayora de los casos, los protocolos de servidores de archivos no ofrecen una versin segura.

Seguridad IP (IPSec) es otro protocolo de seguridad por capas de red que se puede usar para asegurar cualquier protocolo de capa de aplicacin para la comunicacin. Esto incluye los protocolos de servidor de archivo que no ofrecen ninguna otra versin de protocolo de seguridad.

8.2.1 LISTA DE ACCESO Y FILTRADO DE PUERTOS A pesar del uso de la AAA y de la encriptacin, todava existen muchos tipos diferentes de ataque contra los cuales un ISP debe proveer proteccin. Los ISP son especialmente vulnerables a ataques de denegacin de servicio (DoS, denial of service) porque el ISP puede ser el host de sitios de muchos nombres de dominio registrados diferentes que pueden o no requerir autenticacin. Actualmente, existen tres tipos principales de ataques DoS. DoS Un ataque DoS estndar se produce cuando se ataca un servidor o servicio para evitar el acceso legtimo a dicho servicio. Algunos ejemplos de ataques DoS estndar incluyen: Saturacin SYN, saturacin de ping, Ataque Land, ataques de consumo de ancho de banda y ataque de desbordamiento del bfer. DDoS Un ataque por denegacin de servicios distribuido (DDoS, distributed denial-of-service) se produce cuando se utilizan varias computadoras para atacar un objetivo especfico. Quien realiza el ataque tiene acceso a muchos sistemas de computacin comprometidos, normalmente en Internet. Debido a esto, quien realiza el ataque puede iniciarlo en forma remota. Los ataques de DDoS usualmente son los mismos tipos de ataques de DoS estndar, excepto que los ataques de DDoS se ejecutan desde muchos sistemas de computacin en forma simultnea. DRDoS Un ataque de denegacin de servicio distribuido reflejado (DRDoS, Distributed reflected denial-of-service) se produce cuando quien realiza el ataque enva una solicitud de suplantacin de identidad o simulada, a muchos sistemas de computacin en Internet, con la direccin de origen modificada para que sea el sistema de computacin objetivo. Los sistemas de computacin que reciben la solicitud sern los que respondan. Cuando los sistemas de computacin responden a la solicitud, todas las solicitudes se direccionan al sistema de computacin objetivo. A causa de la reflexin del ataque, resulta muy difcil determinar quin origin el ataque. El ISP debe ser capaz de filtrar el trfico de la red, tal como el caso de los ataques DoS, que pueden llegar a ser perjudiciales para el funcionamiento de los servidores o de la red. El Filtrado del puerto y las listas de control de acceso (ACL, access control list) se pueden utilizar para controlar el trfico hacia los servidores y el equipo de networking. Filtrado del puerto El filtrado de puertos controla el flujo de trfico segn un puerto UDP o TCP especfico. Muchos sistemas operativos de servidores poseen opciones para restringir el acceso con filtrado de puertos. Adems, los switches y routers de red tambin utilizan el filtrado de puertos para ayudar a controlar el flujo de trfico y asegurar el acceso al dispositivo.

Listas de control de acceso Las ACL definen el trfico que se admite o se rechaza a travs de la red segn las direcciones IP de destino y de origen. Las ACL adems pueden admitir o rechazar trfico en el puerto de origen o de destino del protocolo que se est utilizando. Adems, los Protocolos de mensajes de control en Internet (ICMP, Internet Control Message Protocol) y el trfico de actualizacin de enrutamiento se pueden controlar mediante el uso de las ACL. Los administradores crean ACL en los dispositivos de red, como los routers, para controlar si el trfico se enva o se bloquea o no. Las ACL son slo la primera lnea de defensa y no son suficientes para asegurar una red. Las ACL slo evitan el acceso a una red, no protegen la red de todos los tipos de ataques maliciosos.

8.2.2 FIREWALLS Un firewall es un software o hardware de la red que define qu trfico puede entrar y salir de las distintas secciones de la red, adems de tambin definir cmo se maneja el trfico.

Las ACL son una de las herramientas utilizadas por los firewalls. Las ACL controlan qu tipo de trfico tiene permitido pasar a travs del firewall. Tambin se puede controlar la direccin en que se permite que el trfico se desplace. En una red de tamao mediano, la cantidad de trfico y protocolos de networking que se necesitan controlar es bastante importante y las ACL del firewall pueden tornarse bastante complicadas. Los firewalls utilizan ACL para controlar qu trfico pasa o se bloquea. Estn en constante evolucin a medida que se desarrollan nuevas capacidades y se descubren nuevas amenazas. Los distintos firewalls ofrecen distintos tipos de caractersticas. Por ejemplo, un firewall para filtro de paquetes dinmicos o un firewall con estado (stateful firewall) guarda un registro del proceso de comunicacin real que se produce entre los dispositivos de origen y de destino. Esto se hace usando una tabla de estado. Una vez que se aprueba un stream de comunicacin, slo el trfico que pertenece a uno de estos streams de comunicacin se admite a travs del firewall. El software del Firewall IOS de Cisco est incorporado en el software IOS de Cisco y permite al usuario transformar un router en un firewall de capa de red con inspeccin dinmica o con conocimiento de estado. Los firewall estn en constante evolucin a medida que se desarrollan nuevas capacidades y se descubren nuevas amenazas. Mientras mayor sea la funcionalidad incorporada en el firewall, mayor tiempo demoran los paquetes en ser procesados. Los firewalls pueden proveer seguridad de permetro para toda la red, as como tambin para los segmentos de red local internos, tales como las granjas de servidores. Dentro de una red ISP o de empresas medianas, los firewalls suelen implementarse en capas mltiples. El trfico que ingresa desde una red no confiable primero se encuentra con un filtro de paquete en el router fronterizo. El trfico que se admite pasa por el router fronterizo hacia un firewall interno para dirigirse hacia una zona desmilitarizada (DMZ, demilitarized zone). Una DMZ se usa para almacenar servidores a los que los usuarios de Internet tienen permiso para

acceder. Slo el trfico al que se le permite acceder a estos servidores puede ingresar a la DMZ. Los firewalls tambin controlan qu tipo de trfico puede pasar hacia la red local protegida en s. El trfico que se admite a la red interna es usualmente el trfico que se est enviando gracias a una solicitud especfica proveniente de un dispositivo interno. Por ejemplo, si un dispositivo interno solicita una pgina Web desde un servidor externo, el firewall permite el ingreso de la pgina Web a la red interna. Algunas organizaciones pueden elegir implementar firewalls internos para proteger reas delicadas. Los firewalls internos se usan para restringir el acceso a las zonas de la red que necesitan tener proteccin adicional. Los firewalls internos separan y protegen los recursos que la empresa tiene en los servidores de los usuarios dentro de la organizacin. Los firewalls internos evitan los piratas informticos internos y externos, as como tambin los ataques internos no intencionales y el malware.

8.2.3 IDS Y ISP Los ISP tienen tambin la responsabilidad de impedir, cuando sea posible, los accesos no deseados a sus redes y a las redes de clientes que compran servicios administrados. Existen dos herramientas que los ISP suelen utilizar para lograr esto.

Sistema de deteccin de intrusin (IDS, Intrusion Detection System)

Un IDS es una solucin basada en el software o en el hardware que escucha en forma pasiva el trfico de la red. El trfico de red no pasa por un dispositivo de IDS. Por el contrario, el dispositivo de IDS supervisa el trfico a travs de una interfaz de red. Cuando el IDS detecta el trfico malicioso, enva una alerta a la estacin de administracin preconfigurada. Sistema de prevencin de intrusin (IPS, Intrusion Prevention System) Un IPS es un dispositivo fsico activo o una caracterstica de software. El trfico ingresa por una interfaz del IPS y sale por la otra. El IPS evala los paquetes de datos reales que estn en el trfico de la red y trabaja en tiempo real para admitir o rechazar paquetes que quieren acceder a la red Las tecnologas IDS e IPS se muestran como sensores. Un sensor IDS o IPS puede ser cualquiera de los siguientes: Un router configurado con IPS, versin IOS de Cisco Un artefacto (hardware) especficamente diseado para proporcionar servicios IDS o IPS dedicados Un mdulo de red instalado en una aplicacin de seguridad adaptable (ASA), switch, o router

Los sensores IDS e IPS responden de manera distinta a las incidencias que se detectan en la red, pero ambos tienen sus roles dentro de una red. Las soluciones IDS son reactivas cuando se trata de detectar intrusiones. Detectan intrusiones basndose en una firma para el trfico de la red o actividad de la computadora. No detienen el trfico inicial ni interrumpen su paso hasta el destino, pero reaccionan con la actividad detectada. Cuando se configura correctamente, el IDS puede bloquear el trfico malicioso al reconfigurar en forma activa los dispositivos de red tales como los routers o aplicaciones de seguridad como respuesta a la deteccin del trfico malicioso. Es importante tener en cuenta que el trfico malicioso original ya ha pasado por la red hasta el destino que se pretenda y que no puede bloquearse. Slo se bloquea el trfico subsiguiente. Con respecto a esto, los dispositivos IDS no pueden evitar que algunas intrusiones tengan xito. Las soluciones IDS suelen utilizarse en el permetro no confiable de una red, fuera del firewall. Es aqu en donde el IDS puede analizar el tipo de trfico que est golpeando al firewall y determinar cmo se ejecutan los ataques. El firewall puede utilizarse para bloquear la mayora del trfico malicioso. Tambin se puede colocar un IDS dentro del firewall para detectar las configuraciones incorrectas del firewall. Cuando se coloca el sensor IDS en este lugar, todas las alarmas que se activan indican que hay trfico malicioso que ha pasado por el firewall. Estas alarmas significan que el firewall no se configur correctamente. IPS A diferencia de las soluciones IDS, que son reactivas, las soluciones IPS son proactivas. Bloquean toda actividad sospechosa en tiempo real. Un IPS es capaz de examinar prcticamente todo el paquete de datos desde la capa 2 a la capa 7 del modelo OSI Cuando el IPS detecta el trfico malicioso lo bloquea en forma inmediata. El IPS entonces enva una alerta sobre la intrusin a una estacin de administracin. El trfico malicioso original y subsiguiente se bloquea y el IPS evita en forma proactiva los ataques. Un IPS es un artefacto para la deteccin de intrusin, no un software. Mayormente el IPS suele colocarse dentro del firewall. Esto se debe a que puede examinar la mayora del paquete de datos y por lo tanto se puede utilizar para proteger las aplicaciones del servidor si se enva el trfico malicioso. Normalmente, el firewall no examina la totalidad del paquete de datos, el IPS s. El firewall deja caer la mayora de los paquetes no admitidos, pero es posible que todava admita algunos paquetes maliciosos. El IPS tiene un nmero menor de paquetes para examinar, de manera que puede examinar el paquete entero. Esto permite que el IPS inmediatamente detenga los ataques nuevos que el firewall no estaba originalmente configurado a rechazar. El IPS tambin puede detener ataques que el firewall no puede rechazar debido a limitaciones del firewall.

8.2.4 SEGURIDAD DE LA TRANSMISION INALAMBRICA Algunos ISP ofrecen servicios para crear zonas activas inalmbricas para que los clientes puedan iniciar sesin en redes de rea local inalmbrica (WLAN, wireless local area networks). Es fcil implementar una red inalmbrica, pero puede ser vulnerable si no se la configura correctamente. Debido a que la seal inalmbrica viaja a travs de paredes se puede

acceder a ella fuera de las instalaciones de la empresa. Una red inalmbrica se puede asegurar al cambiar las configuraciones predeterminadas, habilitando la autenticacin o habilitando el filtrado de direcciones MAC. Cambio en las configuraciones predeterminadas Se deben cambiar los valores predeterminados del identificador del servicio predeterminado (SSID, Service Set Identifier), los nombres de usuarios y las contraseas en un punto de acceso inalmbrico. Adems, se debe desactivar la difusin con broadcast del SSID. Habilitacin de la autenticacin La autenticacin es el proceso de permitir la entrada a una red sobre la base de un conjunto de credenciales. Se utiliza para verificar que el dispositivo que intenta conectarse a la red sea confiable. Existen tres tipos de mtodos de autenticacin que se pueden utilizar: Autenticacin abierta: Cualquier cliente puede tener acceso, independientemente de quin sea. La autenticacin abierta se utiliza con mayor frecuencia en redes inalmbricas pblicas. Clave precompartida (PSK, Pre-shared key): Requiere una clave precompartida que coincida en el servidor y en el cliente. Cuando se conecta, el punto de acceso enva una cadena de bytes aleatoria al cliente. El cliente acepta la cadena, la encripta (o codifica) segn la clave, y la enva nuevamente al punto de acceso. El punto de acceso recibe la cadena encriptada y usa la clave para descifrarla (o decodificarla). Si coinciden, la autenticacin es exitosa. Protocolo de autenticacin extensible (EAP, Extensible Authentication Protocol): proporciona autenticacin mutua, o de dos vas y autenticacin del usuario. Cuando el software EAP se instala en el cliente, ste se comunica con un servidor de autenticacin de back-end, como el servicio de usuario de acceso telefnico de autenticacin remota (RADIUS, Remote Authentication Dial-in User Service). Habilitar el filtrado de direccin MAC El filtrado de direccin MAC evita que computadoras no deseadas se conecten a una red al restringir las direcciones MAC. Sin embargo, es posible clonar una direccin MAC. Por lo tanto, se deben implementar otras medidas de seguridad junto con el filtrado de la direccin MAC. Es importante establecer encriptacin en paquetes transmitidos que se envan por una red inalmbrica. Existen tres principales tipos de encriptacin redes inalmbricas: WEP: Privacidad equivalente por cable (WEP) proporciona seguridad de datos al encriptar los datos que se envan entre los nodos inalmbricos. La WEP utiliza una clave hexadecimal precompartida de 64, 128 256 bits para encriptar los datos. Una importante debilidad de WEP es su uso de claves de encriptacin esttica. Es la mima clave que usan todos los dispositivos para encriptar cada paquete transmitido. Existen muchas herramientas para decodificar la WEP disponibles en Internet. La WEP slo debera utilizarse con equipos ms antiguos que no admiten los protocolos de seguridad inalmbrica ms modernos. WPA: Acceso protegido a Wi-Fi (WPA, Wifi Protected Access) es un protocolo de encriptacin inalmbrico ms reciente que utiliza un algoritmo de encriptacin mejorado llamado Protocolo de integridad de clave temporal (TKIP, Temporal

Key Integrity Protocol). TKIP genera una clave nica para cada cliente y alterna las claves de seguridad con intervalos que pueden configurarse. El WPA proporciona un mecanismo para la autenticacin mutua. Dado que tanto el cliente como el punto de acceso tienen la clave, sta nunca se transmite. WPA2: es una versin nueva y mejorada de WPA. El WPA2 utiliza la tecnologa de encriptacin ms segura del estndar de encriptacin avanzada (AES, Advanced Encryption Standard).

8.2.5 SEGURIDAD DEL HOST Sin tener en cuenta las capas de defensa que existan en la red, todos los servidores son todava susceptibles a recibir ataques si no se aseguran correctamente. Los servidores ISP son especialmente vulnerables porque son de acceso general desde Internet. Da a da se descubren nuevas vulnerabilidades para los servidores, de modo que resulta crtico que un ISP proteja sus servidores de vulnerabilidades conocidas y desconocidas cada vez que resulte posible. Una forma de lograr esto es a travs del uso de firewalls basados en el host. Un firewall basado en el host es un software que se ejecuta directamente con un sistema operativo del host. Lo protege al host de los ataques maliciosos que pueden haber logrado a pasar por todas las otras capas de defensa. Los firewalls basados en el host controlan el trfico de red que entra y sale. Estos firewalls permiten el filtrado segn el puerto y la direccin de una computadora, lo que ofrece proteccin adicional sobre el filtrado de puerto regular. Los firewalls basados en el host suelen tener reglas predefinidas que bloquean todo el trfico de la red entrante. Las excepciones se agregan al conjunto de reglas del firewall para permitir la mezcla correcta de trfico de red entrante y saliente. Cuando se habilitan los firewalls basados en el host, es importante equilibrar la necesitad de habilitar los recursos de red que se requieren para completar las tareas del trabajo con la necesidad de evitar que las aplicaciones queden vulnerables a los ataques maliciosos. Muchos de los sistemas operativos del servidor se configuran previamente con un simple firewall basado en el host con opciones limitadas. Tambin hay paquetes de terceros ms avanzados disponibles. Los ISP utilizan firewalls basados en el host para restringir el acceso a los servicios especficos que ofrece un servidor. Al utilizar un firewall basado en el host, el ISP protege sus servidores y los datos de sus clientes lo que bloquea el acceso a los puertos externos que estn disponibles. Los servidores ISP que utilizan firewalls basados en el host tienen la proteccin de una variedad de distintos tipos de ataques y vulnerabilidades. Ataques conocidos Los firewalls basados en el host reconocen la actividad maliciosa teniendo en cuenta patrones y firmas que pueden actualizarse. Detectan un ataque conocido y bloquean el trfico en el puerto utilizado por el ataque. Servicios explotables Los firewalls basados en el host protegen los servicios explotables que se ejecutan en los servidores, lo que evita el acceso a los puertos que est utilizando el servicio. Algunos firewalls basados en el host tambin pueden inspeccionar el

contenido de un paquete para ver si contiene un cdigo malicioso. Los servidores de correo electrnico y la Web son objetivos comunes para explotar el servicio y pueden protegerse si el firewall basado en el host es capaz de llevar a cabo la inspeccin del paquete. Gusanos y virus Los gusanos y virus se propagan al explotar vulnerabilidades en los servicios y otras debilidades en los sistemas operativos. Los firewall basados en el host impiden que este malware obtenga acceso a los servidores. Tambin pueden ayudar a prevenir la expansin de gusanos y virus al controlar el trfico de salida que se origina en un servidor. Adems de los firewalls basados en el host, se puede instalar software Anti-X como una medida de seguridad ms global. El software anti-X es un software que protege los sistemas de computacin de virus, gusanos, spyware, malware, suplantacin de identidad e incluso correo no deseado. Muchos ISP les ofrecen a los clientes software Anti-X como parte de sus servicios de seguridad globales. No todo el software anti-X protege contra las mismas amenazas. El ISP debera revisar en forma constante contra qu amenazas en realidad protege el software Anti-X y efectuar recomendaciones segn un anlisis de amenazas de la compaa. Muchos paquetes de software Anti-X admiten la administracin remota. Esto incluye un sistema de notificacin que pueda avisar al administrador o tcnico de soporte de una infeccin, a travs de un correo electrnico o de pager. La notificacin inmediata a la persona que corresponde puede reducir en forma dramtica el impacto de la infeccin. El uso de software Anti-X no disminuye el nmero de amenazas a la red, pero reduce el riesgo de ser infectado. Ocasionalmente, las infecciones y los ataques igualmente se producen y pueden ser muy destructivos. Es importante tener un proceso de administracin de incidentes para rastrear todas las incidencias y las resoluciones correspondientes para ayudar a evitar que se vuelva a producir dicha infeccin. Los ISP que administran y conservan datos de clientes requieren administracin de incidentes ya que el ISP se comprometi a proteger y mantener la integridad de los datos que albergan para sus clientes. Por ejemplo, si la red ISP fuera el objetivo de un pirata informtico y, como resultado, miles de nmeros de tarjetas de crdito que se almacenaban en una base de datos bajo la administracin del ISP hubieran sido robados, el cliente necesitara recibir una notificacin para que a su vez pueda notificar a los titulares de las tarjetas.

8.3.1 ACUERDOS DEL NIVEL DE SERVICIO Un ISP y un usuario normalmente tienen un contrato que se conoce como acuerdo del nivel de servicio (SLA, Service Level Agreement). Documenta las expectativas y las obligaciones de ambas partes. Un SLA generalmente contiene las siguientes secciones: Descripcin del servicio Costos Seguimiento e informe Administracin de problemas

Seguridad Terminacin Penalizaciones por interrupciones en el servicio Disponibilidad, rendimiento y confiabilidad El SLA es un documento importante que define claramente la administracin, el monitoreo y el mantenimiento de una red.

8.3.2 SUPERVISION DEL RENDIEMIENTO DEL ENLACE DE RED El ISP es responsable de supervisar y controlar la conectividad del dispositivo. Esta responsabilidad incluye todo el equipo que pertenece al ISP y el equipo del cliente que el ISP acord supervisar en el SLA. La supervisin y la configuracin pueden realizarse fuera de banda con una conexin de consola directa o dentro de banda usando una conexin de red. La administracin fuera de banda es til en las configuraciones iniciales si no se puede acceder al dispositivo a travs de la red, o si se necesita una inspeccin visual del dispositivo. La mayora de los ISP no pueden inspeccionar en forma visual o tener acceso fsico a todos los dispositivos. Una herramienta de administracin dentro de banda facilita la administracin porque el tcnico no requiere de una conexin fsica. Es por esto que la administracin dentro de banda se prefiere a la administracin fuera de banda para administrar los servidores y los dispositivos de red a los que se puede acceder en la red. Adicionalmente, las herramientas dentro de banda convencionales pueden proporcionar ms funcionalidad de administracin de lo que puede llegar a ser posible con la administracin fuera de banda, como en el caso por ejemplo de una vista general del diseo de red. Los protocolos de administracin dentro de banda tradicionales incluyen a Telnet, SSH, HTTP y el Protocolo simple de administracin de red (SNMP, Simple Network Management Protocol). Existen muchas herramientas incorporadas, herramientas comerciales y herramientas de shareware que utilizan estos protocolos de administracin. Por ejemplo, el acceso a HTTP se hace a travs de un explorador Web. Algunas aplicaciones, tales como el SDM de Cisco, utilizan este acceso para la administracin dentro de banda.

8.3.3 ADMINISTRACION DE DISPOSITIVOS MEDIANTE EL USO DE HERRAMIENTAS DENTRO DE BANDA Luego de instalar un nuevo dispositivo de red en las instalaciones del cliente, deber monitorearse desde el sitio remoto del ISP. En algunas ocasiones, a veces es necesario realizar algunos pequeos cambios de configuracin sin la presencia fsica del tcnico en la ubicacin del cliente.

Para conectarse con un dispositivo dentro de banda a fin de supervisarlo y administrarlo, se puede utilizar un cliente Telnet en una conexin de red IP. Una conexin que utiliza Telnet se llama Sesin o conexin de terminal virtual (VTY). Telnet es un protocolo entre cliente y servidor. El dispositivo de conexin ejecuta el cliente Telnet. Para admitir conexiones al cliente Telnet, el dispositivo de conexin o el servidor ejecuta un servicio llamado daemon de Telnet. La mayora de los sistemas operativos incluye un cliente de Telnet de la capa de aplicacin. En una PC de Microsoft Windows, Telnet puede ejecutarse desde la peticin de entrada del comando. Otras aplicaciones de emulacin de terminal comunes que ejecutan clientes Telnet son HyperTerminal, Minicom y TeraTerm. Dispositivos tales como routers ejecutan tanto el cliente Telnet como daemon de Telnet y puede actuar como cliente o servidor. Una vez establecida una conexin Telnet, los usuarios pueden realizar cualquier funcin autorizada en el servidor, como si utilizaran una sesin de lnea de comandos en el servidor mismo. Si estn autorizados, los usuarios pueden iniciar y detener procesos, configurar el dispositivo e inclusive cerrar el sistema. Una sesin Telnet se puede iniciar con la CLI del router con el comando telnet seguido de la direccin IP o nombre de dominio. Un cliente Telnet se puede conectar a varios servidores simultneamente. En un router Cisco, la secuencia de teclas Ctrl-Shift-6 X para alternar entre sesiones Telnet. Adems, un servidor Telnet puede admitir varias conexiones de cliente. En un router que est actuando como servidor, el comando show sessions muestra todas las conexiones de cliente. Aunque el protocolo Telnet admite autenticacin de usuario, no admite el transporte de datos encriptados. Todos los datos intercambiados durante una sesin Telnet se transporta como texto sin formato a travs de la red. Esto significa que los datos pueden ser interceptados y entendidos fcilmente, incluso el nombre de usuario y la contrasea utilizados para autenticar el dispositivo. Si la seguridad es un problema, el protocolo Shell seguro (SSH) ofrece un mtodo seguro y alternativo para acceder al servidor. SSH proporciona una conexin remota segura y otros servicios de red seguros. Adems proporciona mayor autenticacin que Telnet y admite el transporte de datos de sesin con encriptacin. Como una mejor prctica, los profesionales de red deberan siempre utilizar SSH en lugar de Telnet, cada vez que sea posible. Existen dos versiones del servicio de servidor SSH. La versin admitida depende de la imagen de IOS de Cisco cargada en el dispositivo. Hay muchos paquetes de software diferentes de cliente SSH disponibles para PC. Un cliente SSH debe admitir la versin SSH que se encuentra configurada en el servidor.

8.3.4 USO DE SNMP Y SYSLOG SNMP es un protocolo de administracin de red que permite que los administradores recopilen datos sobre la red y los dispositivos correspondientes. El software del sistema de administracin SNMP se encuentra disponible en herramientas como CiscoWorks. Existen versiones gratuitas de CiscoWorks disponibles para descargar en Internet. El software del agente de administracin SNMP suele estar incorporado en los sistemas operativos de servidores, routers y switches.

SNMP tiene cuatro componentes principales:

Estacin de administracin: una computadora que, con la aplicacin de administracin SNMP cargada, utiliza el administrador para monitorear y configurar la red. Agente de administracin: software instalado en un dispositivo administrado por SNMP. Base de informacin de administracin (MIB, Management Information Base): una base de datos que un dispositivo mantiene sobre s mismo en relacin con los parmetros de rendimiento de la red. Protocolo de administracin de red: el protocolo de comunicacin utilizado entre la estacin de administracin y el agente de administracin. La estacin de administracin contiene las aplicaciones de administracin del SNMP que el administrador utiliza para configurar los dispositivos en la red. Tambin almacena los datos sobre dichos dispositivos. La estacin de administracin recoge la informacin sondeando los dispositivos. Un sondeo se produce cuando la estacin de administracin solicita informacin especfica del agente. El agente le informa a la estacin de administracin a travs de la respuesta a los sondeos. Cuando la estacin de administracin sondea un agente, el agente recurre a la estadstica que se ha acumulado en la MIB. Los agentes tambin se pueden configurar con trampas. Una trap es un evento que acciona una alarma. Ciertas reas del agente se configuran con umbrales, o mximas, que deben mantenerse, tales como la cantidad de trfico al que un puerto especfico puede acceder. Si se supera el umbral, el agente enva un mensaje de alerta a la estacin de administracin. Las trampas liberan a la estacin de administracin de realizar sondeos continuos en los dispositivos de red. Las estaciones de administracin y los dispositivos administrados se identifican con un ID comunitario, denominado cadena de comunidad. La cadena comunitaria en el agente SMNP debe coincidir con la cadena comunitaria en la estacin de administracin SMNP. Cuando se le solicita a una agente que enve informacin a una estacin de administracin debido a un sondeo o la presencia de una trampa, primero verificar la estacin de administracin con la cadena comunitaria. Una importante parte de la supervisin de red es almacenar los registros de dispositivos y revisarlos en forma peridica. Syslog es el estndar para los eventos del sistema de registro. Al igual que SNMP, Syslog es un protocolo de capa de aplicacin que permite que los dispositivos enven informacin a un demonio de syslog que est instalado y ejecutndose en una estacin de administracin. Un sistema Syslog est compuesto por los servidores syslog y los clientes syslog. Estos servidores aceptan y procesan mensajes de registros de los clientes de syslog. Un cliente syslog es un dispositivo de supervisin que genera y enva los mensajes de registro a los servidores syslog.

Los mensajes de registro normalmente contienen un ID de mensaje de registro, el tipo de mensaje, una marca horaria (fecha, hora), qu dispositivo envi el mensaje y el texto del mensaje. Segn qu tipo de equipo de red est enviando los mensajes syslog, ste puede tener ms elementos que los que se enumeran.

8.4.1 MEDIOS DE RESPALDO La administracin de red y la supervisin del software ayudan a los ISP y a las empresas a identificar y corregir los problemas de red. Este software tambin puede ayudar a corregir las causas de las fallas de red, como las fallas ocasionadas por el malware y la actividad maliciosa, la funcionalidad de la red y los dispositivos con fallas. Independientemente de la causa de la falla, un ISP que alberga los sitios Web o los correos electrnicos para clientes debe proteger de prdidas a la Web y al contenido del correo electrnico. La prdida de los datos almacenados en un sitio Web podra significar cientos, o incluso miles, de horas para recrear el contenido, sin tener en cuenta la prdida econmica que se produce a causa de los tiempos de inactividad mientras se restablece el contenido. La prdida de los mensajes de correo electrnico que estaban almacenados en el servidor de correo electrnico de ISP podra ser devastadora para una empresa que depende de los datos de los correos electrnicos. Es requisito legal que algunos negocios mantengan registros de toda su correspondencia electrnica, por lo tanto, perder los datos del correo electrnico no es aceptable. Realizar copias de respaldo de los datos resulta esencial. El trabajo de un profesional de TI es reducir los riesgos de la prdida de datos y proporcionar mecanismos para la recuperacin rpida de todos los datos que se pierden. Cuando un ISP necesita realizar una copia de seguridad de sus datos, se debe analizar el costo de una solucin de respaldo y su efectividad. La eleccin de los medios de respaldo puede ser compleja debido a que existen muchos factores que afectan la seleccin. Algunos de estos factores son: Cantidad de datos Costo de los medios Rendimiento de los medios Confiabilidad de los medios Facilidad de almacenamiento externo

Existen muchos tipos de medios de respaldo disponibles, entre ellos, cintas, discos pticos, discos duros y dispositivos de estado slido.

La cinta sigue siendo uno de los tipos de medios de copias de respaldo ms comunes disponibles. Las cintas tienen una amplia capacidad y siguen siendo el medio ms rentable del mercado. Para los volmenes de datos que superan la capacidad de una nica cinta, las bibliotecas y los autocargadores de cinta pueden cambiar las cintas durante el proceso de copia de respaldo, lo que permite que los datos se almacenen en tantas cintas como sea necesario. Estos dispositivos pueden ser costosos y no se encuentran normalmente en medianas empresas. Sin embargo, segn el volumen de los datos, es posible que no haya otra alternativa que no sea una biblioteca o un autocargador.

Los medios de copias con cinta son susceptibles de fallas y los controladores de la cinta requieren de una limpieza regular para mantener la funcionalidad. Las cintas tienen tambin un alto ndice de falla ya que se desgastan con el uso. Las cintas slo deberan utilizarse durante una cantidad de tiempo fijo antes de sacarlas de circulacin. Algunos de los diferentes tipos de cintas incluyen:

Almacenamiento digital de datos (DDS, Digital data storage) Cinta de audio digital (DAT, Digital audio tape) Cinta lineal digital (DLT, Digital linear tape) Cinta lineal abierta (LTO, Linear tape-open)

Cada tipo tiene capacidades y rendimiento diferentes. Discos de medios pticos

Los medios pticos representan una opcin comn para pequeas cantidades de datos. Los CD tienen una capacidad de almacenamiento de 700 MB, los DVD pueden almacenar hasta 8.5 GB en un disco de capa dual de un solo lado y los discos HD-DVD y Blu-ray pueden tener una capacidad de hasta 25 GB por disco. Los ISP pueden utilizar medios pticos para transferir datos de contenido Web a sus clientes. Los clientes tambin pueden utilizar este medio para transferir el contenido de un sitio Web al sitio web que aloja el ISP. Se puede acceder a los medios pticos fcilmente con cualquier sistema de computacin que tenga una unidad de CD o DVD incorporada. Discos duros

Los sistemas de respaldo que se basan en unidades de disco duro se estn tornando cada vez ms populares debido al bajo costo de las unidades de alta capacidad. Sin embargo, los discos duros dificultan el almacenamiento fuera del lugar de trabajo. Las grandes matrices de disco tales como el almacenamiento con conexin directa (DAS, direct attached

storage), el almacenamiento con conexin a red (NAS, network attached storage) y las storage area networks (SANs) no son transportables. Muchas de las implementaciones de los sistemas de respaldo que se basan en unidades de disco duro trabajan en conjunto con los sistemas de respaldo con copia en cinta para el almacenamiento fuera del lugar de trabajo. El uso tanto de las unidades de disco duro como de las cintas en una solucin de copia de seguridad por capas un tiempo de restauracin rpido con los datos disponibles en forma local en las unidades de disco duro combinado con una solucin de archivo a largo plazo. Dispositivos de almacenamiento slido El almacenamiento slido se refiere a todos los medios de almacenamiento no voltiles que no tienen partes mviles. Los ejemplos de medios de estado slido van desde unidades del tamao de una estampilla que almacenan 1 GB de datos hasta paquetes del tamao de un router con capacidad para almacenar 1.000 GB (1 TB) de datos. El almacenamiento de estado slido es ideal para el almacenamiento de datos cuando resulta importante almacenar y recuperar datos en forma rpida. Las aplicaciones para los sistemas de almacenamiento de datos en estado slido incluyen la aceleracin de la base de datos, la edicin y el acceso a video de alta definicin, la recuperacin de datos y SANS. Los dispositivos de almacenamiento slido de alta capacidad pueden ser extremadamente costosos, pero a medida que la tecnologa avance los precios bajarn.

8.4.2 METODOS PARA EL RESPALDO DE ARCHIVOS Una vez que se selecciona un medio de respaldo, se debe elegir un mtodo para realizar las copias de seguridad.

Normal

Una copia de respaldo normal o completa copia todos los archivos seleccionados, en su totalidad. Luego cada archivo tiene una marca que indica que tiene copia de seguridad. Con las copias de seguridad normales, slo se necesita el respaldo ms reciente para restaurar los archivos. Esto acelera y simplifica el proceso de restauracin. Sin embargo, debido a que se est realizando una copia de respaldo de todos los datos, un respaldo completo demora la mayor cantidad de tiempo.

Diferencial Una copia de seguridad diferencial copia slo los archivos que cambiaron desde la ltima copia de respaldo completa. En el caso de las copias de seguridad diferenciales, se necesita una copia de seguridad completa en el primer da del ciclo del respaldo. Slo se guardan los archivos que se crearon o cambiaron desde el momento en que se realiz el ltimo respaldo completo. El proceso de copia de seguridad diferencial continua hasta que se ejecuta otro respaldo

completo. Esto reduce la cantidad de tiempo que se requiere para realizar la copia de seguridad. Cuando llega el momento de restaurar datos, la ltima copia de respaldo normal se restaura y la copia de respaldo diferencial ms reciente restaura todos los archivos modificados desde que se realiz la ltima copia de seguridad. Incremental Una copia de seguridad incremental se diferencia de una copia de respaldo diferencial en un pinto importante. Mientras que una copia de seguridad diferencial guarda los archivos que se han cambiado desde que se realiz el ltimo respaldo completo, una copia de seguridad incremental slo guarda los archivos que se crearon o que se cambiaron desde el momento en que se realiz la ltima copia de seguridad incremental. Esto significa que si todos los das se ejecuta una copia de seguridad incremental, los medios de respaldo slo tendran los archivos creados o cambiados ese da. Las copias de seguridad incremental son la forma ms rpida de respaldo. Sin embargo, son las que demoran ms tiempo para restablecer porque se debe restablecer la ltima copia de respaldo normal y todas las copias de respaldo incrementales que se realizaron a partir del ltimo respaldo completo. Los sistemas de respaldo requieren mantenimiento regular para que funcionen sin problemas. Algunas medidas para asegurar que la copia de respaldo se haga en forma exitosa incluyen: Medios de reemplazo: muchas situaciones de respaldo requieren del reemplazo diario de los medios para mantener un historial de los datos resguardados. La prdida de los datos se podra producir si la cinta o el disco no se reemplazan diariamente. Debido a que el reemplazo de las cintas en una tarea manual, es susceptible a fallas. Los usuarios necesitan utilizar un mtodo de notificacin, tal como la programacin de tareas o el calendario. Revisin de los registros de respaldo: prcticamente todos el software de respaldo generan registros de respaldo. Estos registros informan sobre el xito del respaldo o especifican en dnde se produjo la falla. El control regular de los registros de respaldo permite una rpida identificacin de cualquier problema de respaldo que requiera de atencin. Ejecucin restauraciones de prueba: an cuando los registros de respaldo muestran que la copia de respaldo fue exitosa, podra haber otros problemas que no estn indicados en el registro. Realice una restauracin de prueba de los datos en forma peridica para verificar que los datos de respaldo puedan utilizarse y que el procedimiento de restauracin funcione. Ejecucin del mantenimiento de la unidad: muchos sistemas de respaldo requieren de un hardware especial para realizar las copias de respaldo. Los sistemas de respaldo con copia de cintas utilizan una unidad para leer y escribir las cintas. Las unidades de cintas pueden ensuciarse con el uso y esto puede dar lugar a fallas mecnicas. Realice una limpieza rutinaria de la unidad de cinta utilizando las cintas para limpieza designadas. Los sistemas de copias de respaldo basadas en unidades de disco duro pueden beneficiarse con una defragmentacin ocasional para mejorar el rendimiento general del sistema.

8.4.3 SOFTWARE IOS DE CISCO DE REPALDO Y RECUPERACION Adems de realizar copias de seguridad a los archivos del servidor, tambin es necesario que el ISP proteja las configuraciones y el software IOS de Cisco que se utiliza en los dispositivos de networking que pertenecen al ISP. Lo

archivos de configuracin y el software de los dispositivos de networking de Cisco se pueden guardar en un servidor de red con TFTP y variaciones del comando copy. El comando para guardar el archivo IOS es muy similar al comando para hacer copias de respaldo y guardar un archivo de configuracin en ejecucin. Para hacer una copia de seguridad al software IOS de Cisco, hay tres pasos bsicos: Paso 1. Haga ping al servidor TFTP donde debera estar guardado el archivo. Esto verifica la conectividad al servidor TFTP. Utilice el comando ping. Paso 2. En el router, verifique la imagen de IOS en flash. Utilice el comando show flash para visualizar el nombre del archivo de la imagen de IOS y el tamao del archivo. Confirme que el servidor TFTP tiene suficiente espacio en disco para almacenar el archivo. Paso 3. Copie la imagen de IOS al servidor TFTP con el comando:

Router# copy flash tftp Cuando se utiliza el comando copy, el router le solicita al usuario el nombre del archivo de origen, la direccin IP del servidor TFTP y el nombre del archivo de destino. Las imgenes almacenadas en el servidor TFTP se pueden utilizar para restablecer o actualizar el software IOS de Cisco en routers y switches en una red. Los pasos para actualizar un archivo de imagen de IOS en un router son similares a los pasos que se utilizan para realizar copias de respaldo del archivo al servidor TFTP. Asegrese de utilizar el comando show flash para verificar los bytes disponibles en flash y confirmar que hay suficiente espacio para el archivo IOS antes de comenzar con la actualizacin o la restauracin. Para actualizar el software IOS de Cisco, utilice el comando: copy tftp: flash: Cuando se realiza una actualizacin, el router le solicita al usuario que ingrese la direccin IP del servidor TFTP seguida por el nombre del archivo de la imagen en el servidor que se debe utilizar. El router le puede solicitar al usuario que borre la memoria flash si no hay suficiente memoria disponible para la imagen antigua y la nueva. A medida que la imagen se borra de flash, aparecen una serie de letras "e" para indicar el proceso de eliminacin. Cuando se carga la nueva imagen, se verifica y el dispositivo de networking est listo para volver a cargarse con la nueva imagen de IOS de Cisco. Si la imagen de IOS se pierde y debe restaurarse, se necesita un proceso aparte, en el que se utiliza el modo ROMmon. Si el router est configurado para iniciarse desde flash, pero la imagen de IOS de Cisco en flash se borr, da, se encuentra inaccesible debido a la falta de memoria, es posible que haya que restablecer la imagen. La forma ms rpida de restablecer una imagen de IOS de Cisco al router es con TFTP en el modo de monitoreo de ROM (ROMMON).

La transferencia TFTP ROMmon funciona en un puerto de LAN especfico y de manera predeterminada en la primera interfaz LAN disponible. Para utilizar TFTP en modo ROMmon, el usuario primero debe configurar algunas variables de entorno, entre ellas la direccin IP y luego utilizar el comando tftpdnld para restablecer la imagen.

Para configurar una variable de entorno ROMmon, escriba el nombre de la variable, un signo de igual (=) y el valor para la variable. Por ejemplo, para configurar la direccin IP a 10.0.0.1, escriba IP_ADDRESS=10.0.0.1.

Entre las variables de entorno que se requieren se encuentran:

IP_ADDRESS: direccin IP en la interfaz de la LAN IP_SUBNET_MASK: mscara de subred para la interfaz de la LAN DEFAULT_GATEWAY: gateway predeterminado para la interfaz de la LAN TFTP_SERVER: direccin IP del servidor TFTP TFTP_FILE: nombre del archivo de IOS de Cisco en el servidor

Utilice el comando set para visualizar y verificar las variable de entorno ROMmon. Una vez que se configuraron las variables, ingrese el comando tftpdnld. A medida que se recibe cada datagrama del archivo IOS de Cisco, se muestra un signo de exclamacin (!). Mientras se copia el archivo de IOS de Cisco, se elimina la flash existente. Esto incluye a todos los archivos que se encuentren en la memoria flash, no slo el archivo de IOS actual. Por este motivo, es importante que se realicen copias de seguridad de estos archivos a un servidor TFTP para salvaguardia, en caso de ser necesario restablecer la imagen de IOS. Cuando aparece la peticin de entrada ROMmon (rommon 1>), se puede reiniciar el router con el comando reset o al escribir la letra i. El router ahora debera iniciarse desde la nueva imagen de IOS de Cisco en flash.

8.4.4 PLA DE RECUPERACION DE DESASTRES La copia de respaldo de datos es una parte importante de cualquier plan de recuperacin de desastres. Un plan de recuperacin de desastres es un documento amplio que describe cmo restaurar el funcionamiento en forma rpida y mantener una empresa funcionando durante un desastre o luego de que se produce ste. El objetivo del plan de recuperacin de desastres es asegurar que la empresa pueda adaptarse a los cambios fsicos y sociales que ocasiona el

desastre. El desastre puede abarcar cualquier cosa, desde los desastres naturales que afectan la estructura de la red hasta los ataques maliciosos a la red misma. El plan de recuperacin de desastres puede incluir informacin tal como las ubicaciones fuera del lugar de trabajo a donde se pueden llevar los servicios, la informacin sobre cmo cambiar dispositivos de red y servidores as como tambin las opciones de conectividad de respaldo. Es importante que al momento de armar un plan de recuperacin de desastres se entienda por completo cules son los servicios que resultan crticos para mantener el funcionamiento. Los servicios que podran ser necesarios durante un desastre incluyen: Bases de datos Servidores de aplicacin Servidores de administracin de sistemas Web Almacenamientos de datos Directorio Cuando se disea un plan de recuperacin de desastres es importante entender las necesidades de la organizacin. Resulta tambin importante obtener el soporte necesario para un plan de recuperacin de desastres. Existen varios pasos para lograr el diseo de un plan de recuperacin de desastres.

Evaluacin de vulnerabilidades: evaluar qu tan vulnerables a los desastres comunes son los procesos fundamentales de la empresa y sus aplicaciones asociadas. Evaluacin de riesgo: analizar el riesgo de que se produzca un desastre y los costos y efectos asociados con la empresa. Parte de la evaluacin de riesgo es crear una lista con los diez desastres con mayores probabilidades de ocurrir y de sus efectos, y que incluya el escenario de las empresas que se destruyen por completo. Concientizacin de la administracin: utilizar la informacin obtenida sobre vulnerabilidad y riesgo para que la alta direccin apruebe el proyecto de recuperacin de desastres. El mantenimiento del equipo y los lugares en el caso de una posible recuperacin de desastres podra ser costoso. La alta direccin debe entender los posibles efectos de cualquier situacin de desastre. Establecimiento de un grupo de planificacin: establecer un grupo de planificacin para administrar el desarrollo y la implementacin del plan y de la estrategia de recuperacin de desastres. Cuando se produce un desastre, ya sea a pequea o gran escala, es importante que los individuos entiendan sus roles y responsabilidades. Ordenar por prioridad: para cada escenario de desastre, asignar una prioridad de tarea crtica, importante o menor para la red de la empresa, las aplicaciones y los sistemas.

El proceso de planificacin para recuperacin de desastres debera en primer lugar comprometer a los gerentes de mayor escala y luego, eventualmente, incluir a todo el personal que trabaja con los procesos crticos a la empresa. Todos deben estar involucrados y respaldar el plan para que sea exitoso.

Una vez que se identificaron los servicios y las aplicaciones que son ms crticas para la empresa, se debe utilizar esa informacin para crear un plan de recuperacin de desastres. Existen cinco etapas principales para crear e implementar un plan de recuperacin de desastres:

Etapa 1: Estrategia para recuperacin del diseo de la red

Analizar el diseo de red. Algunos aspectos del diseo de red que deberan incluirse en la recuperacin de desastres incluyen:

Est diseada la red para sobrevivir a un desastre mayor? Existen opciones conectividad de copias de respaldo y redundancia en el diseo de red? Disponibilidad de servidores fuera del sitio que puedan admitir aplicaciones como correo electrnico y servicios de base de datos. Disponibilidad de routers, switches y otros dispositivos de red de respaldo en caso de que fallen. Ubicacin de servicios y recursos que la red necesita. Se extienden por una amplia regin geogrfica?

Etapa 2: Inventario y documentacin

Realice un inventario de todas las ubicaciones, dispositivos, proveedores, servicios utilizados y nombres de contacto. Verifique los costos estimados que se generan en el paso de la evaluacin de riesgos.

Etapa 3: Verificacin

Genere un proceso de verificacin para probar que la estrategia para la recuperacin de desastres funciona. Practique ejercicios para la recuperacin de desastres para asegurarse de que el plan est actualizado y funcione. Etapa 4: Aprobacin e implementacin Obtenga la aprobacin de la alta direccin y confeccione un presupuesto para implementar el plan de recuperacin de desastres. Etapa 5: Revisin Luego de haber implementado el plan de recuperacin de desastres durante un ao, revise el plan.

9.1.1 EL MODELO OSI Y LA RESOLUCION DE PROBLEMAS Una de las capacidades ms importantes que debe desarrollar un profesional de redes es la capacidad de resolver problemas de red de forma eficiente. Los buenos tcnicos en la resolucin de problemas de red siempre tienen alta demanda. Por este motivo, los exmenes de certificacin de Cisco miden la capacidad para identificar y corregir los problemas de red. Al resolver los problemas de red, muchos tcnicos utilizan los modelos de red OSI y TCP/IP para ayudarlos a aislar la causa del problema. Los modelos de red lgicos separan la funcionalidad de la red en capas modulares. Cada capa del modelo OSI o TCP/IP tiene funciones y protocolos especficos. El conocimiento de las caractersticas, funciones y dispositivos de cada capa y la forma en la que cada capa se relaciona con las capas aledaas, ayudan al tcnico de redes a resolver los problemas de forma ms eficiente. Este captulo utiliza los modelos OSI y TCP/IP para proporcionar la estructura para las actividades de resolucin de problemas. Antes de comenzar, repase el material sobre los modelos OSI y TCP/IP en CCNA Discovery: Networking para el hogar y pequeas empresas y CCNA Discovery: Trabajar en una pequea o mediana empresa o ISP. El modelo de referencia OSI como una herramienta para la resolucin de problemas

El modelo de referencia OSI proporciona un lenguaje comn para los tcnicos e ingenieros de redes. Es importante comprender las funciones que ocurren y los dispositivos de red que operan en cada capa del modelo OSI. Las capas superiores (de 5 a 7) del modelo OSI se ocupan de la funcionalidad de las aplicaciones especficas y generalmente se implementan slo en software. Los problemas aislados a estas capas pueden ser ocasionados frecuentemente por errores de configuracin en el software del sistema final en los clientes y servidores. Las capas inferiores (de 1 a 4) del modelo OSI se ocupan de los problemas de transporte de datos. La capa de red (Capa 3) y la capa de transporte (Capa 4) por lo general slo se implementan en el software. Adems de los errores de software en los sistemas finales, los errores de configuracin de software y los firewalls contabilizan

muchos de los problemas aislados a estas capas. Los errores de direccionamiento y enrutamiento IP ocurren en la Capa 3. La capa fsica (Capa 1) y la capa de enlace de datos (Capa 2) se implementan tanto en el hardware como en el software. La capa fsica es la ms cercana al medio de red fsica, como por ejemplo el cableado de redes, y es responsable en realidad de colocar la informacin en el medio. Los problemas y las incompatibilidades de hardware ocasionan la mayora de los problemas de las Capas 1 y 2.

9.1.2 METODOLOGIAS PARA LA RESOLUCION DE PROBLEMAS Existen tres enfoques principales para la resolucin de problemas con el uso de los modelos de red:

Descendente Ascendente Divide y vencers Cada mtodo asume un concepto de red en capas. Con uno de estos mtodos para la resolucin de problemas, el encargado de resolver el problema puede verificar todas las funciones en cada capa hasta que el problema se encuentre y se solucione. Descendente - Comienza con la capa de aplicacin y sigue hacia abajo. Analiza el problema desde el punto de vista del usuario y de la aplicacin. Es slo una aplicacin la que no funciona, o son todas? Por ejemplo: el usuario puede acceder a diferentes pginas Web de Internet, pero no al correo electrnico? Existen otras estaciones de trabajo con problemas similares? Ascendente - Comienza con la capa fsica y sigue hacia arriba. La capa fsica tiene que ver con el hardware y las conexiones de cables. Estn conectados los cables de manera segura? Si el equipo tiene luces indicadoras, estn encendidas o apagadas esas luces? Divide y vencers - Suele comenzar en una de las capas del medio para luego seguir hacia arriba o hacia abajo. Por ejemplo, el tcnico en resolucin de problemas puede comenzar en la capa de red verificando la informacin de configuracin IP. La estructura de estos enfoques hace que sean ideales para aquellas personas que no tengan experiencia en resolver problemas. Los individuos ms experimentados suelen obviar los enfoques estructurados y seguir su instinto y su experiencia.

9.1.3 HERRAMIENTAS PARA LA RESOLUCION DE PROBLEMAS Es muy difcil resolver cualquier tipo de problema de conectividad de red sin un diagrama de red que ilustre las direcciones IP, rutas IP y dispositivos, como por ejemplo firewalls y switches. Las topologas lgicas y fsicas son extremadamente tiles para la resolucin de problemas. Topologas fsicas de la red Una topologa fsica de la red muestra la distribucin fsica de los dispositivos conectados a la red. Es necesario conocer la forma en la que estn conectados fsicamente los dispositivos para resolver problemas en la capa fsica, como por ejemplo problemas de cableado o de hardware. Las topologas fsicas de la red suelen incluir: Tipos de dispositivos Modelos y fabricantes de dispositivos Ubicaciones Versiones del sistema operativo Tipos e identificadores de cables Extremos de cables

Topologas lgicas de la red Una topologa lgica de la red muestra cmo los datos se transfieren en la red. Los smbolos se usan para representar elementos de red como routers, servidores, hubs y dispositivos de seguridad. Las topologas lgicas de la red suelen incluir: Identificadores de dispositivos Direcciones IP y mscaras de subred Identificadores de interfaz Protocolos de enrutamiento Rutas estticas y predeterminadas Protocolos de enlace de datos Tecnologas WAN Adems de los diagramas de red, otras herramientas pueden ser necesarias para resolver los problemas y fallas de rendimiento de la red de forma efectiva.

Documentacin de la red y herramientas de lnea de base

La documentacin de la red y las herramientas de lnea de base estn disponibles para los sistemas operativos Windows, Linux y UNIX. CiscoWorks se puede utilizar para dibujar diagramas de red, conservar actualizada la documentacin de software y hardware de red y ayudar a medir de forma econmica el uso del ancho de banda de la red de lnea de base. Estas herramientas de software a menudo proporcionan funciones de monitoreo y presentacin de informes para establecer la lnea de base de red.

Herramientas del sistema de administracin de red (NMS)

Las herramientas del sistema de administracin de red monitorean el rendimiento de la red. stas muestran grficamente una vista fsica de los dispositivos de red. En caso de ocurrir una falla, la herramienta puede ubicar el origen de la falla y determinar si fue ocasionada por malware, una actividad maliciosa o un dispositivo con falla. Algunos ejemplos de herramientas de administracin de red utilizadas comnmente son CiscoView, HP Openview, SolarWinds y WhatsUp Gold. Base de conocimientos Las bases de conocimientos de proveedores de dispositivos de red se han vuelto fuentes de informacin indispensables. Cuando las bases de conocimientos en lnea estn combinadas con buscadores de Internet, un administrador de red tiene acceso a un amplio conjunto de informacin basada en experiencias. Analizador de protocolos Un analizador de protocolo decodifica las diversas capas del protocolo en una trama registrada y presenta esta informacin en un formato relativamente fcil de utilizar. Los analizadores de protocolo pueden capturar el trfico de la red para analizarlo. El resultado capturado se puede filtrar para visualizar trfico especfico o tipos de trfico en base a ciertos criterios; por ejemplo, todo el trfico desde y hacia un dispositivo en particular. Los analizadores de protocolo, como Wireshark, proporcionan informacin detallada de resolucin de problemas sobre los datos que se estn comunicando en la red. Un ejemplo de los tipos de informacin que se pueden visualizar utilizando un analizador de protocolo es la configuracin y la terminacin de una sesin TCP entre dos hosts. Algunas veces, las fallas en las capas inferiores del modelo OSI no se pueden identificar fcilmente con herramientas de software. En estas instancias, quiz sea necesario utilizar herramientas para la resolucin de problemas de hardware, como por ejemplo analizadores de cables, multmetros y analizadores de red.

Analizadores de cables

Los analizadores de cables son dispositivos de mano especializados que estn diseados para probar los diversos tipos de cables de comunicacin de datos. Los analizadores de cables se pueden utilizar para detectar cables rotos, cables cruzados, conexiones cortas y conexiones puestas en par incorrectamente. Los analizadores ms sofisticados, como por ejemplo el reflectmetro de dominio de tiempo (TDR, time-domain reflectometer), pueden identificar la distancia a la interrupcin en un cable. Los analizadores de cables tambin pueden determinar la longitud de un cable. Multmetros digitales Los multmetros digitales (DMM) son instrumentos de prueba que miden directamente los valores elctricos de voltaje, corriente y resistencia. En la resolucin de problemas de red, la mayora de las pruebas de multmetros implican la verificacin de los niveles de voltaje de la fuente de energa y la comprobacin de que los dispositivos de red estn recibiendo energa. Analizadores de red porttiles Al conectar un analizador de red en un switch en cualquier lugar de la red, un ingeniero de red puede ver el uso promedio y mximo del segmento. El analizador tambin se puede usar para identificar los dispositivos que estn produciendo el mayor trfico de la red, analizar el trfico de la red por protocolo y visualizar los detalles de la interfaz. Los analizadores de red son tiles cuando se resuelven problemas ocasionados por malware o ataques de denegacin de servicios.

9.2.1 PROBLEMAS DE LAS CAPAS 1 Y 2 Las capas fsica y de enlace de datos abarcan funciones de hardware y de software. Todas las comunicaciones de red dependen de las tecnologas en estas capas para funcionar. Un tcnico de red debe poder aislar y corregir rpidamente los problemas que ocurren en estas capas. La capa fsica, o la Capa 1, es responsable de las especificaciones fsicas y elctricas para la transmisin de bits de un host a otro a travs del medio fsico, ya sea cableado o inalmbrico. Los problemas de red que ocurren en la Capa 1 pueden ocasionar la prdida de conectividad de la red u ocasionar simplemente que el rendimiento de la red se degrade. Los tipos de problemas que ocurren en la Capa 1 estn directamente relacionados con el tipo de tecnologa utilizada. Por ejemplo, la red Ethernet es una tecnologa de acceso mltiple. Los protocolos Ethernet usan un algoritmo para detectar cuando no hay otras seales en el cable para iniciar una transmisin. Sin embargo, es posible que dos dispositivos comiencen a enviar al mismo tiempo, ocasionando as una colisin. Cuando ocurre una colisin, todos los dispositivos dejan de transmitir y esperan durante una cantidad de tiempo aleatoria antes de transmitir nuevamente. Debido a que la red Ethernet puede detectar colisiones y responder a ellas, a menudo se le describe como acceso mltiple por deteccin de portadora y deteccin de colisiones (CSMA/CD).

Sin embargo, las colisiones excesivas pueden ocasionar que el rendimiento de la red se degrade. Las colisiones pueden ser un problema significativo en medios compartidos, como por ejemplo una red de hubs, ms que en puertos conmutados. La capa de enlace de datos, o la Capa 2, especifica cmo se formatean los datos para transmitirse a travs del medio de red. Adems, regula cmo se otorga el acceso a la red. La Capa 2 proporciona el enlace entre las funciones de software de la capa de red y el hardware de la Capa 1 para las aplicaciones LAN y WAN. Para resolver problemas de la Capa 1 y de la Capa 2 de forma efectiva, los tcnicos deben estar familiarizados con los estndares de cableado, la encapsulacin y las tramas. Despus de que un tcnico verifica que est funcionando la Capa 1, debe determinar si el problema reside en la Capa 2 o en una de las capas superiores. Por ejemplo, si un host puede hacer ping a la direccin de loopback local 127.0.0.1, pero no puede acceder a ningn servicio a travs de la red, el problema puede aislarse a problemas de tramas en la Capa 2 o a una tarjeta de interfaz mal configurada. Los analizadores de red y otras herramientas en lnea pueden ubicar el origen del problema en la Capa 2. En algunas instancias, un dispositivo reconoce que ocurri un problema en la Capa 2 y enva mensajes de alerta a la consola.

9.2.2 RESOLUCION DE PROBLEMAS DE HARDWARE DE DISPOSITIVOS Y ERRORES DE ARRANQUE A menudo los problemas de red ocurren despus de reiniciar un dispositivo. Los reinicios pueden suceder intencionalmente despus de una actualizacin o inesperadamente despus de un corte de energa elctrica. Para resolver problemas de fallas en el hardware de dispositivos y errores de arranque, primero es necesario revisar el proceso que usan los dispositivos del IOS de Cisco durante el inicio. El proceso de arranque est conformado por tres etapas:

1. Ejecucin del POST y carga del programa bootstrap.

2. Ubicacin y carga del software IOS de Cisco.

3. Ubicacin y carga del archivo de configuracin de inicio o ingreso al modo setup.

Al arrancar cualquier dispositivo de red Cisco, es til observar los mensajes de la consola que aparecen durante la secuencia de arranque. Despus de que se haya cargado el software IOS de Cisco, el tcnico puede usar comandos para verificar que el hardware y el software funcionen completamente. El comando show version muestra la versin del sistema operativo y si se reconoce todo el hardware de interfaz.

El comando show flash muestra el contenido de la memoria Flash, inclusive el archivo de imagen del IOS de Cisco. Adems muestra la cantidad de memoria Flash que se est usando actualmente y la cantidad de memoria disponible. El comando show ip interfaces brief muestra el estado operativo de las interfaces del dispositivo y las direcciones IP asignadas. Los comandos show running-configuration y show startup-configuration verifican si todos los comandos de configuracin fueron reconocidos durante la recarga. Cuando un dispositivo no arranque correctamente y cree una interrupcin en la red, reemplace el dispositivo con un dispositivo que sepa que funcione para restaurar los servicios para los usuarios finales. Despus de que se restaure el servicio, tmese un momento para resolver los problemas y reparar el dispositivo con falla. Despus de que un router arranque exitosamente, se encendern los indicadores LED de color verde. Cuando ocurren errores durante el proceso de arranque, los dispositivos Cisco ejecutan acciones predeterminadas para recuperarse de los errores, como por ejemplo la carga en el modo ROMmon. Existen cinco errores comunes de arranque que tienen estrategias relacionadas para la resolucin de problemas. El dispositivo no pasa la prueba POST Cuando un dispositivo no pasa la prueba POST, ningn resultado aparece en la pantalla de la consola. Adems, los LED del sistema pueden cambiar de color o parpadear, dependiendo del tipo de dispositivo. Para obtener una descripcin del funcionamiento de los LED, revise la documentacin proporcionada con el dispositivo. Si no pasa la prueba POST, apague la energa, desconecte el dispositivo y retire todos los mdulos de interfaz. Luego reinicie el dispositivo. Si sigue fallando la prueba POST, esto indica que el dispositivo requiere servicio. Si completa exitosamente la prueba POST sin los mdulos de interfaz instalados, quiz haya fallado un mdulo de interfaz. Desconecte la energa y reinstale cada mdulo individualmente, reiniciando cada vez para determinar qu mdulo fall. Cuando identifique el mdulo con falla, reemplcelo con un mdulo que sepa que funciona bien y reinicie el dispositivo. La imagen del IOS de Cisco en Flash est daada Si falta o est daado el archivo de imagen en flash, el cargador de arranque (bootloader) no puede encontrar un archivo del IOS de Cisco que cargar. Algunos dispositivos del IOS de Cisco tienen una imagen con funcionalidad limitada que se carga y ejecuta si no existe ninguna imagen en flash o en otra ubicacin especificada. Esta imagen se denomina asistente de arranque (boothelper). Es posible que las imgenes del asistente de arranque no tengan la funcionalidad suficiente para ejecutar exitosamente los comandos de configuracin necesarios para que el dispositivo vuelva a funcionar. En caso de que no haya un asistente de arranque, el dispositivo entra en modo ROMmon. Utilice los comandos ROMmon para volver a cargar la imagen del IOS de Cisco correcta desde un servidor TFTP. La memoria no se reconoce o falla

Si no existe la memoria suficiente para descomprimir la imagen, el dispositivo se desplaza rpidamente por los mensajes de error o se reinicia constantemente. Es posible que el dispositivo inicie en modo ROMmon emitiendo el comando CtrlBreak durante el arranque. En el modo ROMmon, los comandos se pueden emitir para determinar el estado de la

memoria. Es posible que la memoria tenga que reemplazarse o aumentarse para que el dispositivo funcione normalmente.

No se reconocen los mdulos de interfaz

Es posible que los mdulos de interfaz con fallas o aquellos colocados inadecuadamente no sean reconocidos durante la prueba POST y la carga del IOS de Cisco. Cuando esto ocurre, la lista de interfaces disponibles que se muestra por el comando show version no coincide con los mdulos instalados fsicamente. Si un mdulo de interfaz es nuevo, verifique que el mdulo est respaldado por la versin instalada del IOS de Cisco y que exista la memoria suficiente para respaldar el mdulo. Siempre apague el dispositivo, desconecte la energa y vuelva a colocar el mdulo en el dispositivo para determinar si existe un problema de hardware. Despus de volverlo a colocar, si el mdulo no es reconocido durante el reinicio, reemplcelo con un mdulo que sepa que est en buen estado. Falta o est daado el archivo de configuracin Si no se puede encontrar el archivo de configuracin de inicio, algunos dispositivos Cisco ejecutan una utilidad de instalacin automtica. Esta utilidad enva en broadcast una solicitud TFTP para un archivo de configuracin. Otros dispositivos ingresan un dilogo de configuracin inicial, conocido como la utilidad de configuracin o modo setup. Los dispositivos que tienen la utilidad de instalacin automtica tambin ingresan en el modo setup si ningn otro servidor TFTP responde despus de cinco consultas. Utilice ya sea la configuracin TFTP o manual para recargar o volver a crear la configuracin. Los dispositivos no reenvan el trfico hasta que est cargada una configuracin vlida.

9.2.3 RESOLUCION DE PROBLEMAS DE CABLES O ERRORES EN LOS PUERTOS DE DISPOSITIVOS A menudo los errores de la interfaz del router son el primer sntoma de que existen errores de cableado o conectividad en la Capa 1 y la Capa 2. Para resolver los problemas, comience a examinar las estadsticas registradas en la interfaz problemtica usando el comando show interfaces y el estado de las interfaces usando el comando show ip interface brief.

El resultado del comando show ip interface brief incluye un resumen de las interfaces del dispositivo, inclusive la direccin IP y el estado de la interfaz.

Estado activado/activado - indica el funcionamiento normal y que tanto los medios como el protocolo de Capa 2 son funcionales. - Estado desactivado/desactivado indica que existe un problema de conectividad o de medios.

Estado activado/desactivado - indica que los medios estn conectados correctamente, pero que el protocolo de Capa 2 no est funcionando o est mal configurado.

Los problemas comunes de cables o medios que pueden ocasionar un resultado desactivado/desactivado incluyen: Cable flojo o demasiada tensin en el cable - Si todos los pines no pueden tener una conexin buena, el circuito est desactivado. Terminacin incorrecta - Asegrese de seguir el estndar correcto y que todos los pines terminen correctamente en el conector. Conector de interfaz serial daado - Los pines en la conexin de la interfaz estn doblados o faltan. Interrupcin o corto en el cable - Si existen problemas a lo largo del circuito, la interfaz no puede detectar las seales correctas. Los problemas comunes de la Capa 2 que pueden ocasionar un resultado activado/desactivado incluyen: La encapsulacin est mal configurada. No se reciben mensajes de actividad en la interfaz. Ocasionalmente, los errores de medios no son lo suficientemente severos para ocasionar una falla en el circuito, pero s ocasionan problemas en el rendimiento de la red. El comando show interfaces proporciona informacin adicional sobre la resolucin de problemas para ayudar a identificar estos errores de medios. El resultado del comando show interfaces incluye: Ruido excesivo - En la red Ethernet y las interfaces seriales, la presencia de muchos errores de CRC pero no muchas colisiones es una indicacin de ruido excesivo. Los errores de CRC generalmente indican un error de medios o cables. Las causas comunes incluyen interferencia elctrica, conexiones flojas o daadas o el uso del tipo de cable incorrecto. Colisiones excesivas - Las colisiones generalmente ocurren solamente en conexiones de Ethernet half-duplex o de medios compartidos. Los cables daados pueden ocasionar colisiones excesivas. Runt frames excesivas - Las NIC en mal funcionamiento son la causa habitual de runt frames, pero pueden ser ocasionadas por los mismos problemas que las colisiones excesivas. Colisiones tardas - Una red diseada y configurada apropiadamente nunca debe tener colisiones tardas. Las longitudes de cable excesivas son la causa ms comn. Las incompatibilidades del dplex tambin pueden ser responsables.

9.2.4 RESOLUCION DE PROBLEMAS DE CONETIVIDAD LAN La resolucin de problemas de la LAN generalmente se centra en los switches, debido a que la mayora de los usuarios de la LAN se conectan a la red a travs de puertos de switch. Muchos de los mismos comandos show del IOS de Cisco se pueden utilizar en los switches para recopilar informacin de resolucin de problemas. Adems, cada puerto en un switch tiene un indicador LED que proporciona informacin valiosa para la resolucin de problemas.

El primer paso en la resolucin de problemas de conectividad LAN es verificar que el puerto del switch conectado al usuario est activo y que estn encendidos los indicadores LED apropiados. Si existe acceso fsico al switch, puede ahorrar tiempo en observar los LED del puerto, los cuales proporcionan el estado del enlace o indican una condicin de error (en caso de estar de color rojo o anaranjado). Verifique para ver que ambos lados de la conexin tengan un enlace. En caso de que no haya una luz de enlace, asegrese de que el cable est conectado en ambos extremos y que est conectado al puerto correcto. Asegrese de que ambos dispositivos estn encendidos y que no haya errores de inicio en ninguno de los dispositivos. Reemplace cualquier patch cable con cables que estn en buen estado y verifique que las terminaciones de los cables sean correctas para el tipo de conectividad deseada. Si todava no hay luz de enlace, verifique que el puerto no se haya desconectado administrativamente. Use el comando show running-config interface para mostrar los parmetros configurados en un puerto del switch: Switch#sh run interface fastEthernet 4/2 ! interface FastEthernet4/2 shutdown duplex full speed 100 end

A pesar de que est presente una luz de enlace, no garantiza que el cable funcione completamente. El cable puede estar daado, ocasionando problemas de rendimiento intermitentes. Por lo general, esta situacin se identifica al usar los comandos show del IOS de Cisco para determinar si el puerto tiene muchos errores de paquetes o si el puerto flapea constantemente (pierde y recupera un enlace).

Los comandos show version y show interfaces ejecutados en un switch proporcionan informacin similar a los mismos comandos ejecutados en un router. Para obtener una vista rpida de las estadsticas de error del puerto del switch, use el comando show interface port counter errors. Las incompatibilidades del dplex son ms comunes en switches que en routers. Muchos dispositivos se establecen para negociar automticamente las configuraciones de dplex y de velocidad. Es posible que ocurran incompatibilidades si un dispositivo en un enlace est configurado para negociar automticamente y el otro lado est configurado manualmente con valores de velocidad y de dplex, llevando as a colisiones y paquetes descartados. Para visualizar las configuraciones de velocidad y de dplex en un puerto y saber si se usaron caractersticas de negociacin automtica o manual, use el comando show interface port status. Si ocurre una incompatibilidad entre dos dispositivos Cisco estando habilitado el Protocolo de Descubrimiento de Cisco (CDP, Cisco Discovery Protocol), existen mensajes de error del CDP en la consola o en el bfer de inicio de sesin de ambos dispositivos. El CDP es til para detectar errores y estadsticas del puerto y del sistema en los dispositivos Cisco cercanos. Para corregir los errores de incompatibilidad del dplex, establezca ambos dispositivos para negociar automticamente la velocidad y el dplex. Si la negociacin no produce los resultados deseados, configure manualmente los valores compatibles de velocidad y de dplex en cada dispositivo.

9.2.5 RESOLUCION DE PROBLEMAS DE CONECTIVIDAD WAN Resolver los problemas de una conexin WAN serial es diferente a resolver los problemas de las conexiones LAN de Ethernet. Generalmente, la conectividad WAN depende del equipo y los medios posedos y administrados por un proveedor de servicio de telecomunicaciones (TSP). Debido a esto, es importante que los tcnicos sepan cmo resolver los problemas del equipo local del cliente y comunicar los resultados al TSP. La mayora de los problemas de interfaz y lnea seriales se pueden identificar y corregir utilizando la informacin recopilada mediante el comando show interfaces serial. Las conexiones seriales pueden experimentar problemas ocasionados por errores de paquetes, errores de configuracin o incompatibilidades en la encapsulacin y temporizacin. Debido a que las conexiones WAN seriales generalmente dependen de una CSU/DSU o mdem para la temporizacin, estos dispositivos deben tomarse en consideracin al solucionar los problemas de las lneas seriales. En las redes prototipo, un router puede configurarse para proporcionar funciones de temporizacin de CDE, eliminando as la CSU o mdem.

Para resolver problemas de conectividad WAN serial de manera exitosa, es importante conocer el tipo de mdem o CSU/DSU que estn instalados y cmo colocar el dispositivo en un estado de loopback para realizar la prueba. La lnea de estado de la interfaz del comando show interfaces serial puede mostrar seis estados posibles:

Serial x is down, line protocol is down (DTE) - Cuando la interfaz serial del router no puede detectar ninguna seal en la lnea, reporta como desactivados la lnea y el protocolo de Capa 2.

Serial x is up, line protocol is down (DTE) - Si la interfaz serial no recibe mensajes de actividad o si existe un error de encapsulacin, el protocolo de Capa 2 se reporta desactivado.

Serial x is up, line protocol is down (DCE) - En casos donde el router est proporcionando la seal de temporizacin y el cable del DCE est conectado, pero no est configurada la frecuencia de reloj, el protocolo de Capa 2 se reporta desactivado.

Serial x is up, line protocol is up (looped) - Es una prctica comn colocar un circuito en una condicin de loopback para probar la conectividad. Si la interfaz serial recibe sus propias seales de regreso en el circuito, reporta la lnea como en estado looped (en bucle). Serial x is up, line protocol is down (disabled) - Los altos ndices de error ocasionan que el router coloque la lnea en un modo de protocolo deshabilitado. Por lo general, este tipo de problema tiene relacin con el hardware. Serial x is administratively down, line protocol is down - Una interfaz desactivada administrativamente es aquella que se configura con el comando shutdown. Por lo general, todo lo que se necesita para corregir esta condicin es ingresar el comando no shutdown en la interfaz. Si la interfaz no aparece usando el comando no shutdown, verifique los mensajes de la consola para ver si existe un mensaje de direccin IP duplicada. En caso de que exista una direccin IP duplicada, corrija el problema e ingrese nuevamente el comando no shutdown. Serial x is administratively down, line protocol is down - La interfaz est funcionando de forma esperada.

9.3.1 REVISION DE LA FUNCIONALIDAD DE LA CAPA 3 Y DEL DIRECCIONAMIENTO IP Las redes de la Capa 1 se crean con la interconexin de dispositivos usando medios fsicos. Los protocolos de red de la Capa 2 dependen del hardware. La red Ethernet no puede funcionar a travs de un enlace serial y tampoco las comunicaciones seriales pueden ocurrir usando una NIC Ethernet.

Los protocolos de la Capa 3 (la capa de red) no estn vinculados a un tipo especfico de medios o al protocolo de tramado de la Capa 2. Los mismos protocolos de la Capa 3 pueden funcionar en redes Ethernet, inalmbricas, seriales u otras redes de la Capa 2. Las redes de la Capa 3 pueden contener hosts que estn conectados usando diversas tecnologas de las Capas 1 y 2. Las funciones principales implementadas en la Capa 3 del modelo OSI son el direccionamiento y el enrutamiento de red. Las redes de la Capa 3 son denominadas redes lgicas porque slo se crean en software.

En la actualidad, la mayora de las redes implementan los protocolos TCP/IP para intercambiar informacin entre hosts. Como resultado, la mayor parte del enfoque de la resolucin de problemas de la Capa 3 se concentra en los errores de direccionamiento IP en el funcionamiento del protocolo de enrutamiento. La resolucin de problemas de la Capa 3 requiere una comprensin profunda de los lmites de la red y del direccionamiento IP. Los esquemas de direccionamiento IP mal diseados y configurados contabilizan un gran nmero de problemas de rendimiento de la red. En la Capa 3, cada paquete debe contar con la identificacin de las direcciones de origen y de destino de los dos sistemas finales. Con IPv4, cada paquete posee una direccin de origen de 32 bits y una direccin de destino de 32 bits en el encabezado de Capa 3.

La direccin IP no slo identifica el host individual, sino tambin la red local de Capa 3 sobre la cual se puede comunicar el host. Una red IP simple se puede crear al configurar dos hosts interconectados con direcciones nicas que comparten el mismo prefijo de red y mscara de subred.

Un dispositivo debe estar configurado con una direccin IP para intercambiar mensajes utilizando TCP/IP. Las redes IP individuales de la Capa 3 abarcan una variedad de direcciones IP. Estos lmites se determinan por la cantidad de bits contenida en la parte del prefijo de red de la direccin. Una regla simple es que mientras ms largo sea el prefijo de red, ms pequeo es el rango de direcciones IP que se pueden configurar en los hosts en esa red IP.

Para resolver los problemas de la Capa 3, un administrador debe poder determinar el rango de direcciones host que pertenecen a cada red IP individual. El rango de direcciones se determina por el nmero y la posicin de bits del host. Por ejemplo, en una red 192.168.1.0/24, se toman tres bits para la divisin en subredes. Esto deja 5 bits para las direcciones host. Esto crea 8 subredes (2^3=8) y 30 hosts por subred (2^5 - 2 = 30). Dada la subred 192.168.1.96/27, el primer host en la subred ser 192.168.1.97 y el ltimo host ser 192.168.1.126. La direccin de broadcast para esta subred ser 192.168.1.127. Esto se puede ver en el binario del ltimo octeto:

(011 subred) 96 + (00001 primer host) 1 = (01100001) 97 en decimal

(011 subred) 96 + (11110 ltimo host) 30 = (01111110) 126

(011 subred) 96 + (11111 broadcast) 31 = (01111111) 127

En este ejemplo se us una direccin de Clase C. Esta misma tcnica se puede aplicar a direcciones de Clase A y Clase B. Recuerde que la ubicacin de los bits del host se puede extender a ms de un octeto.

9.3.2 PROBLEMA DE DISEO Y CONFIGURACION DE IP Si el direccionamiento IP se asigna de manera aleatoria, es difcil determinar dnde est ubicada la direccin de origen o de destino. En la actualidad, la mayora de las redes emplean un esquema de direccionamiento IP jerrquico. Los esquemas de direccionamiento IP jerrquico ofrecen muchas ventajas, inclusive tablas de enrutamiento ms pequeas que requieren menos potencia de procesamiento. Adems, el direccionamiento IP jerrquico crea un entorno ms estructurado que es ms fcil de documentar, expandir y resolver los problemas. Sin embargo, una red jerrquica mal planificada, o un plan mal documentado, puede crear problemas, como por ejemplo subredes superpuestas o mscaras de subred configuradas incorrectamente en los dispositivos. Estas dos condiciones representan muchos problemas de direccionamiento y enrutamiento IP dentro de las redes. Una subred superpuesta ocurre cuando el rango de direcciones de dos subredes separadas incluye algunos de las mismas direcciones host o broadcast. La superposicin generalmente es resultado de una mala documentacin de red o de un ingreso accidental de la mscara de subred o prefijo de red incorrecto. La superposicin de subredes no siempre ocasiona una interrupcin de red completa. Es posible que slo afecte algunos hosts, dependiendo de dnde se coloque la mscara de subred mal configurada. El software IOS de Cisco no permite al usuario configurar una direccin IP de subredes superpuestas en dos interfaces diferentes. Sin embargo, el router no activa la segunda interfaz. Por ejemplo, la interfaz Fast Ethernet 0/0 del router R1 est configurada con una direccin IP y mscara de subred en la red 192.168.1.0/24. Si la interfaz Fast Ethernet 0/1 est configurada con una direccin IP en la red 192.168.1.0/30, aparece un mensaje de error de superposicin. Si el usuario intenta habilitar la interfaz con el comando no shutdown, aparece un segundo mensaje de error. No se reenva el trfico a travs de la interfaz. El resultado del comando show ip interface brief muestra que la segunda interfaz configurada para la red 192.168.1.0/24, FastEthernet 0/1, an est inactiva. Es importante verificar el estado de las interfaces despus de hacer cambios de configuracin. Una interfaz que permanece inactiva administrativamente despus de emitir el comando no shutdown puede indicar un problema de direccionamiento IP. A pesar de que el software IOS de Cisco cuenta con protecciones para garantizar que las redes superpuestas no se configuren en mltiples interfaces del mismo dispositivo, esto no previene que las subredes superpuestas se configuren en diferentes dispositivos o en hosts dentro de la red. Una mscara de subred mal configurada puede ocasionar que algunos hosts en una red no tengan acceso a servicios de red. Los errores de configuracin de la mscara de subred tambin presentan una variedad de sntomas que posiblemente no sean fciles de identificar.

9.3.3 PROBLEMAS DE PLANIFICACION Y ASIGNACION DE DIRECCIONES IP La mala planificacin de asignacin de direcciones puede ocasionar otros problemas. Con frecuencia, un administrador subestima el potencial de crecimiento al disear subredes. Como resultado, el esquema de divisin en subredes IP no permite suficientes direcciones host en cada subred. Una indicacin de que una subred tiene demasiados hosts es cuando algunos hosts no pueden recibir una direccin IP del servidor de DHCP. Cuando un host que ejecuta Microsoft Windows no recibe una direccin de un servidor de DHCP, se asigna automticamente una direccin en la red 169.254.0.0. Si esto ocurre, use el comando show ip dhcp binding para verificar si el servidor de DHCP tiene direcciones disponibles. Otra indicacin de que no existen direcciones IP suficientes es un mensaje de error en un host que informa que no existen direcciones IP duplicadas. Si un dispositivo host se desactiva cuando vence el arrendamiento de DHCP, la direccin se regresa al pool de DHCP y se puede emitir a otro host. Cuando el titular del arrendamiento original se activa nuevamente, ste solicita una renovacin de su direccin IP anterior. En una red de Microsoft Windows, ambos hosts reportan un error de direccin IP duplicada.

9.3.4 PROBLEMAS DE DHCP Y NAT DHCP puede crear otro nivel de complicacin al resolver problemas de red. Si los hosts estn configurados para usar DHCP y no pueden conectarse a la red, verifique que el direccionamiento IP se haya asignado usando el comando de Windows, ipconfig /all. Si los hosts no estn recibiendo asignaciones del direccionamiento IP, es necesario resolver los problemas de configuracin de DHCP.

Independientemente de si el servicio de DHCP est configurado en un servidor dedicado o en el router, el primer paso para resolver problemas es verificar la conectividad fsica. Si se usa un servidor separado, verifique que el servidor est recibiendo el trfico de la red. Si el servicio de DHCP est configurado en un router, use el comando show interfaces en el router para confirmar que funcione la interfaz. Si la interfaz conectada a la red host no est funcionando, el puerto no pasa el trfico, inclusive las solicitudes de DHCP. Luego, verifique que el servidor de DHCP se haya configurado correctamente y que tenga direcciones IP disponibles para arrendar. Despus de confirmar esto, verifique cualquier conflicto de direcciones. Los conflictos de direcciones pueden ocurrir si existen direcciones disponibles dentro del pool de DHCP. Esto puede ocurrir si un host est configurado estadsticamente con una direccin que tambin se encuentra en el rango del pool de DHCP. Use el comando show ip dhcp conflict para mostrar todos los conflictos de direcciones registrados por el servidor de DHCP. Si se detecta un conflicto de direccin, esta ltima se elimina del pool y no se asigna hasta que un administrador resuelva el conflicto.

En caso de que ninguno de estos pasos diagnostique el problema, realice pruebas para garantizar que el problema realmente est relacionado con DHCP. Configure un host con la direccin IP esttica, mscara de subred y gateway predeterminado. Si la estacin de trabajo no puede comunicarse con los recursos de red con una direccin IP configurada estadsticamente, la causa raz del problema no es DHCP. En este punto, es necesario resolver los problemas de conectividad de la red. DHCP es un protocolo de broadcast, lo cual significa que el servidor de DHCP debe poder alcanzarse mediante un mensaje de broadcast. Dado que los routers generalmente no reenvan broadcasts, el servidor de DHCP debe estar en la misma red local que los hosts o el router debe estar configurado para comunicar los mensajes de broadcast. Un router se puede configurar para reenviar todos los paquetes de broadcast, inclusive solicitudes de DHCP, a un servidor especfico usando el comando ip helper-address. Este comando permite a un router cambiar las direcciones de broadcast de destino dentro de un paquete a una direccin unicast especificada: Router(config-if)# ip helper-address x.x.x.x Una vez que este comando es configurado, todos los paquetes de broadcast sern reenviados a la direccin IP del servidor especificada en el comando, inclusive las solicitudes de DHCP. Cuando un router reenva las solicitudes de direcciones, est actuando como agente de relay de DHCP. Si no funciona el relay de DHCP, ningn host puede obtener una direccin IP. Cuando los hosts no pueden obtener una direccin IP de un servidor de DHCP que est ubicado en otra red, verifique que la direccin del asistente est configurada correctamente en el router. Si a los hosts en la red interna se les asignan direcciones privadas, la NAT es necesaria para que se comuniquen con la red pblica. Por lo general, la primera indicacin de que existe un problema de NAT es que los usuarios no pueden acceder a sitios ubicados en Internet. Existen tres tipos de traduccin de direcciones: esttica, dinmica y PAT. Dos tipos comunes de errores de configuracin afectan a los tres mtodos de traduccin.

Destino incorrecto de las interfaces internas y externas Es fundamental que las interfaces correctas se designen como la interfaz interna o externa para la NAT. En la mayora de las implementaciones de NAT, la interfaz interna se conecta a la red local, la cual usa un espacio de direccin IP privada. La interfaz externa se conecta a la red pblica, por lo general al ISP. Verifique esta configuracin usando el comando show running-config interface. Asignacin incorrecta de la direccin IP de la interfaz o del grupo de direcciones En la mayora de las implementaciones de NAT, el conjunto de direcciones IP y las entradas de traduccin de NAT esttico deben usar direcciones IP que estn en la misma red IP local como interfaz externa. En caso de no ser as, las direcciones son traducidas pero no se encuentra ninguna ruta a las direcciones traducidas. Verifique la configuracin para comprobar que se pueda acceder a todas las direcciones traducidas. Cuando la traduccin de la direccin se configura para usar la direccin de la interfaz externa en la PAT, asegrese de que la direccin de la interfaz est en la red correcta y est configurada con la mscara de subred apropiada.

Otro problema comn es que cuando estn habilitadas la NAT o PAT, los usuarios externos ya no pueden conectarse a dispositivos internos. Si los usuarios externos deben poder acceder a servidores especficos en la red interna, asegrese de que las traducciones estticas estn configuradas. Si tiene la certeza de que NAT se configur correctamente, es importante que verifique el funcionamiento de la NAT. Uno de los comandos ms tiles al verificar el funcionamiento de la NAT es el comando show ip nat translations. Despus de visualizar las traducciones existentes, elimnelas usando el comando clear ip nat translation *. Tenga en cuenta que la eliminacin de todas las traducciones IP en un router puede interrumpir los servicios del usuario. Luego use nuevamente el comando show ip nat translations. Si aparecen traducciones nuevas, puede haber otro problema que est ocasionando la prdida de conectividad de Internet. Verifique que exista una ruta a Internet para las direcciones traducidas. Use el comando traceroute para determinar la ruta que estn tomando los paquetes traducidos y verifique que la ruta sea correcta. Adems, si es posible, rastree la ruta a una direccin traducida desde un dispositivo remoto en la red externa. Esto puede ayudar a aislar el siguiente objetivo de la resolucin de problemas. Es posible que exista un problema de enrutamiento en el router donde se detiene el resultado del comando trace.

9.4.1 PROBLEMAS DE ENRUTAMIENTO DE LA CAPA 3 La Capa 3 abarca el direccionamiento de redes y hosts, adems de los protocolos que enrutan los paquetes entre las redes.

La mayora de las redes tienen una cantidad de diferentes tipos de rutas, inclusive una combinacin de rutas estticas, dinmicas y predeterminadas. Los problemas con el enrutamiento pueden ocasionar fallas de red o afectar adversamente el rendimiento de la red. Estos problemas pueden ser el resultado de errores de entrada manual de rutas, errores de configuracin y funcionamiento de protocolos de enrutamiento o fallas en las capas inferiores del modelo OSI. Para resolver los problemas de Capa 3, es importante comprender cmo funciona el enrutamiento, inclusive cmo funciona y configura cada tipo. Es posible que desee revisar los materiales y las actividades en CCNA Discovery: Networking para el hogar y pequeas empresas y CCNA Discovery: Trabajar en una pequea o mediana empresa o ISP sobre el enrutamiento y los protocolos de enrutamiento antes de continuar con este captulo. El estado de una red puede cambiar frecuentemente por una gran variedad de razones, dentro de las cuales se incluyen:

Falla una interfaz. Un proveedor de servicios desactiva una conexin.

El ancho de banda disponible est sobrecargado. Un administrador ingresa una configuracin incorrecta.

Cuando existe un cambio en el estado de la red, las rutas se pueden perder o una ruta incorrecta se puede instalar en la tabla de enrutamiento.

La herramienta principal que debe usarse para resolver problemas de enrutamiento de la Capa 3 es el comando show ip route. Este comando muestra todas las rutas que usa el router para reenviar el trfico. La tabla de enrutamiento consiste en entradas de rutas de los siguientes orgenes:

Redes conectadas directamente Rutas estticas Protocolos de enrutamiento dinmico

Los protocolos de enrutamiento eligen qu rutas se prefieren en base a las mtricas de ruta. Las redes conectadas directamente tienen una mtrica de 0, las rutas estticas tambin tienen una mtrica predeterminada de 0 y las rutas dinmicas tienen diversas mtricas de ruta, dependiendo del protocolo de enrutamiento utilizado. Si existe ms de una ruta para una red de destino especfica, la ruta con la distancia administrativa (AD) menor se instala en la tabla de enrutamiento. Cada vez que sospeche un problema de enrutamiento, use el comando show ip route para garantizar que todas las rutas esperadas estn instaladas en la tabla de enrutamiento.

Problemas de ruta conectada

Las rutas conectadas directamente se instalan automticamente en la tabla de enrutamiento cuando una direccin IP se configura en una interfaz y sta ltima se habilita usando el comando no shutdown. Si una ruta conectada directamente

no aparece en la tabla, use el comando show interfaces o show ip interface brief para verificar que una direccin haya sido asignada y que la interfaz est en un estado activado/activado.

Problemas de ruta esttica o predeterminada Cuando una ruta esttica o predeterminada no aparece en la tabla de enrutamiento, muy probablemente el problema se debe a un error de configuracin. Las rutas estticas o predeterminadas deben usar una interfaz de salida o la direccin IP de un router del siguiente salto. Los errores de enrutamiento esttico algunas veces ocurren porque la direccin del siguiente salto no est en el rango correcto de direcciones IP de cualquier red conectada directamente. Verifique que las sentencias de configuracin sean correctas y que las interfaces de salida usadas por las rutas estn en un estado activado/activado. Problemas de ruta dinmica Existen diversos tipos de problemas que pueden usar rutas dinmicas para que no aparezcan en la tabla de enrutamiento. Dado que los protocolos de enrutamiento dinmico intercambian tablas de enrutamiento con otros routers en la red, una ruta faltante podra ser ocasionada por una mala configuracin en uno o ms routers en la ruta hacia el destino.

9.4.2 ERRORES DE ENRUTAMIENTO DINAMICO Las actualizaciones de la tabla de enrutamiento generalmente ocurren cuando una red nueva est configurada o cuando una red ya configurada se vuelve inalcanzable.

Si las rutas conectadas directamente aparecen en la tabla del router, se accede a la tabla de enrutamiento y se cambia slo si la interfaz conectada directamente cambia de estado. Si las rutas estticas o predeterminadas estn configuradas, la tabla de enrutamiento cambia slo si las nuevas rutas estn especificadas o si la interfaz de salida especificada en la ruta esttica o predeterminada cambia de estado.

Los protocolos de enrutamiento dinmico envan automticamente actualizaciones a otros routers en la red. Si un enrutamiento dinmico est habilitado, un router accede y cambia su propia tabla de enrutamiento cada vez que se reporte un cambio en una actualizacin de un router vecino.

El RIP es un protocolo de enrutamiento dinmico usado en las LAN pequeas y medianas. Al resolver problemas especficos del RIP, verifique las sentencias de versin y configuracin.

Siempre es mejor utilizar la misma versin del protocolo de enrutamiento en todos los routers. A pesar de que RIPv1 y RIPv2 son compatibles, RIPv1 no admite el enrutamiento sin clase ni mscaras de subred de longitud variable (VLSM). Esto puede crear problemas si tanto RIPv1 como RIPv2 se configuran para ejecutarse en la misma red. Adems, mientras que RIPv2 escucha automticamente las actualizaciones de RIPv1 y de RIPv2 de los vecinos, RIPv1 no escucha las actualizaciones de RIPv2. Los problemas de enrutamiento tambin ocurren si existen sentencias de red incorrectas o faltantes. La sentencia de red hace dos cosas: Le permite al protocolo de enrutamiento enviar y recibir actualizaciones en cualquier interfaz local que pertenezca a esa red. Incluye esa red en sus actualizaciones de enrutamiento a los routers vecinos.

Una sentencia de red faltante o incorrecta resulta en actualizaciones de enrutamiento imprecisas y puede prevenir que una interfaz enve o reciba actualizaciones de enrutamiento. Hay muchas herramientas para resolver problemas de enrutamiento dinmico.

Las utilidades de TCP/IP, tales como ping y traceroute, se usan para verificar la conectividad. Telnet se puede usar para verificar la conectividad y hacer cambios de configuracin. Los comandos show del IOS de Cisco muestran una copia instantnea de una configuracin o del estado de un componente particular. El conjunto de comandos del IOS de Cisco tambin incluye varios comandos debug.

Los comandos debug son dinmicos y proporcionan informacin en tiempo real sobre el movimiento del trfico y la interaccin de protocolos. Por ejemplo, el comando debug ip rip muestra el intercambio de actualizaciones y paquetes de enrutamiento RIP mientras ocurren.

Las funciones de depuracin usan una porcin de los recursos de la CPU y pueden reducir la velocidad o detener las operaciones normales del router. Por esta razn, use los comandos debug para aislar los problemas, no para supervisar el funcionamiento normal de la red.

9.5.1 ERRORES DE FILTRADO DEL TRAFICO DE LA CAPA 4 La Capa 4, la capa de transporte, se considera una transicin entre las capas superior e inferior del modelo OSI. La Capa 4 es responsable de transportar paquetes de datos y especifica el nmero de puerto utilizado para llegar a aplicaciones especficas. Los problemas de red de la Capa 4 pueden surgir en el lmite de la red donde las tecnologas de seguridad examinan y modifican el trfico. Muchos problemas son ocasionados por firewalls que estn configurados para rechazar trfico segn los nmeros de puerto, a pesar de que este trfico deba ser reenviado.

La Capa 4 admite trfico del UDP y del TCP. Algunas aplicaciones usan el TCP, algunas usan el UDP y algunas usan ambos. Al identificar el trfico en base al nmero de puerto, es necesario especificar el protocolo de transporte usado. Algunos ingenieros no estn seguros sobre qu protocolo de transporte es utilizado por las aplicaciones especficas y por lo tanto rechazan el nmero de puerto para el trfico del TCP y UDP. Esta prctica puede rechazar inesperadamente el trfico que se debe permitir. Por lo general, los firewalls tambin son configurados para rechazar todo excepto las aplicaciones especificadas en las sentencias de permiso. Si el trfico que se debe permitir no se incluye en las sentencias de firewall, o si una aplicacin nueva es agregada a la red sin agregar un permiso correspondiente al firewall, ocurren problemas de filtrado. Una indicacin comn de problemas de Capa 4 es que los usuarios reporten que no pueden acceder a algunos servicios Web, especialmente video o audio. Verifique que los puertos permitidos y rechazados por el firewall sean los correctos para las aplicaciones. Para comprender mejor qu puertos corresponden a aplicaciones especficas, revise la informacin sobre el TCP, el UDP y los puertos en CCNA Discovery: Networking para el hogar y pequeas empresas y CCNA Discovery: Trabajar en una pequea o mediana empresa o ISP.

9.5.2 RESOLUCION DE PROBLEMAS DE LA CAPA SUPERIOR La mayora de los protocolos de capa superior proporcionan servicios de usuario que generalmente se usan para la administracin de redes, transferencia de archivos, servicios de archivos distribuidos, emulacin de terminal y correo electrnico. Por lo general, los protocolos en estas capas se denominan protocolos de capa de aplicacin de TCP/IP, porque la capa de aplicacin del modelo TCP/IP abarca las tres capas superiores del modelo OSI.

Los protocolos de capa de aplicacin de TCP/IP ms conocidos e implementados incluyen:

Telnet - Permite a los usuarios establecer conexiones de sesin de terminal con hosts remotos. HTTP - Permite el intercambio de texto, imgenes grficas, sonido, video y otros archivos multimedia en la Web.

FTP - Realiza transferencias interactivas de archivos entre hosts utilizando el TCP. TFTP - Realiza transferencias interactivas de archivos bsicas generalmente entre hosts y dispositivos de red utilizando el UDP. SMTP - Permite servicios bsicos de entrega de mensajes de correo electrnico. POP3 - Se conecta a servidores de correo y descarga el correo electrnico a una aplicacin cliente. IMAP4 - Permite a los clientes de correo electrnico recuperar mensajes y almacenar correo electrnico en los servidores. SNMP - Recopila informacin de dispositivos administrados. NTP - Proporciona tiempo actualizado a los hosts y dispositivos de red. DNS - Asigna direcciones IP a los nombres asignados a hosts. SSL - Proporciona encriptacin y seguridad para las transacciones del HTTP. SSH - Proporciona acceso remoto seguro a terminales a los servidores y dispositivos de red.

Puede ser difcil aislar los problemas a las capas superiores, especialmente si la configuracin cliente no revela ningn problema obvio. Para determinar que un problema de red est con una funcin de la capa superior, comience a eliminar la conectividad bsica como el origen del problema.

Con el uso del mtodo "divide y vencers" para la resolucin de problemas, comience a verificar la conectividad de la Capa 3.

Paso 1. Haga ping al gateway predeterminado del host.

Paso 2. Verifique la conectividad de extremo a extremo.

Paso 3. Verifique la configuracin de enrutamiento.

Paso 4. Verifique el funcionamiento de la NAT.

Paso 5. Verifique las reglas de filtrado del firewall. Si el problema existe en una red remota, la conectividad de extremo a extremo no se pude verificar porque no existe control sobre todas las conexiones. Por esta razn, es posible que a pesar de que las configuraciones en los dispositivos locales sean correctas, an existe un problema con la red remota. Asegrese de verificar con el ISP para garantizar que su conexin de red est activada y que funcione. Si todos estos pasos se completan exitosamente y se verifica que la conectividad de extremo a extremo no es el problema, pero el dispositivo final sigue sin funcionar como se espera, el problema fue aislado a las capas superiores. Los problemas de u previenen que los servicios se proporcionen a programas de aplicacin. Un problema en las capas superiores puede resultar en recursos inalcanzables o inutilizables, a pesar de que funcionen las capas inferiores. Es posible tener completa conectividad de red, pero la aplicacin no pude proporcionar datos. Por lo general, los problemas con funciones de capa superior slo afectan a pocas aplicaciones, quiz slo a una. No es inusual que un tcnico de soporte reciba una llamada de un usuario que no puede recibir correo electrnico, a pesar de que otras aplicaciones estn funcionando correctamente. Las aplicaciones cliente mal configuradas representan la mayora de los problemas de red de capa superior. Cuando se especifica un correo electrnico o servidor FTP incorrecto, el cliente no puede buscar y recuperar informacin. Cuando ms de una aplicacin est afectada, el problema de capa superior se puede atribuir a un problema del servidor DNS. Para verificar que el DNS est funcionando correctamente y poder resolver direcciones del servidor, use el comando de Windows nslookup. Si el DNS no est funcionando como se espera, asegrese de que la direccin correcta del servidor DNS est configurada en el host. Cuando los hosts reciben informacin del servidor DNS de un servidor de DHCP, verifique que el servidor de DHCP tenga la direccin IP correcta para el servidor DNS. Si el servidor DNS es funcional y alcanzable, verifique si existen errores de configuracin de zona DNS. Busque un error tipogrfico en una direccin o nombre dentro de los archivos. Las capas superiores son responsables de la encriptacin y compresin. Una incompatibilidad entre la forma que un cliente encripta o comprime los datos y la forma en la que el servidor los interpreta puede ocasionar que las aplicaciones no funcionen o funcionen mal. Cuando ocurre un problema en un solo host o estacin de trabajo, puede ser un problema con la forma en la que se est interpretando la informacin en el software host. Los programas de plug-in del explorador, como Adobe Reader, por lo general realizan funciones de capa superior. Estos programas deben mantenerse actualizados para que las pginas Web se muestren correctamente. El uso de un protocolo incorrecto para solicitar datos puede ocasionar que una pgina Web no se pueda acceder. Por ejemplo, quiz sea necesario especificar https:// en la lnea de direccin del explorador, en vez de http:// para recuperar una pgina Web protegida por la SSL.

9.5.3 USO DE TELNET PARA VERIFICAR LA CONECTIVIDAD DE CAPA SUPERIOR Telnet es una herramienta excelente para utilizarse en la resolucin de problemas con funciones de capa superior. El uso de Telnet para acceder a los dispositivos de red permite al tcnico ingresar comandos en cada dispositivo como si se hubieran conectado localmente. Adems, la capacidad de acceder a dispositivos utilizando Telnet indica que existe conectividad de capa inferior entre los dispositivos. Sin embargo, Telnet es un protocolo inseguro, lo que significa que todos los datos comunicados se pueden capturar y leer. Si existe la posibilidad de que las comunicaciones se puedan interceptar por usuarios no autorizados, el protocolo Shell seguro (SSH) deber utilizarse a su vez. El SSH es un mtodo ms seguro para tener acceso a dispositivos remotos. Las versiones ms recientes del software IOS de Cisco contienen un servidor SSH. En algunos dispositivos, este servicio se activa en forma predeterminada. Otros dispositivos requieren la activacin manual del servidor SSH. Los dispositivos del IOS de Cisco tambin incluyen un cliente SSH que puede utilizarse para establecer sesiones SSH con otros dispositivos. De manera similar, puede utilizarse un equipo remoto con un cliente SSH para iniciar una sesin de CLI segura. No se provee el software de cliente SSH de manera predeterminada en los sistemas operativos de todos los equipos. Es posible que el tcnico deba adquirir, instalar y configurar el software de cliente SSH en el equipo. Revise el material en CCNA Discovery: Trabajar en una pequea o mediana empresa o ISP sobre la configuracin y el uso de SSH.

9.6.1 CONOCIMIENTOS,HABILIDADES Y CAPACIDADES La certificacin de Nivel Bsico como Tcnico en Redes de Cisco (CCENT, Cisco Certified Entry Networking Technician) valida las habilidades requeridas para puestos de soporte de red de nivel bsico, que es el punto inicial para muchas carreras exitosas en redes. La certificacin de CCENT es el primer paso para obtener una certificacin de CCNA (Asociado de Red Certificado de Cisco), la cual abarca redes de sucursal de mediana empresa que tienen conexiones ms complejas. Para obtener la certificacin de CCENT, un candidato debe aprobar el examen ICND1 en un Centro Certificado para Realizar Pruebas de Cisco (Cisco Certified Testing Center). El examen ICND1 (640-822) prueba la capacidad para instalar, operar y resolver problemas de una red de sucursal pequea. El examen incluye temas sobre los aspectos bsicos de redes:

Conexin a una WAN Conceptos bsicos de seguridad y conexin inalmbrica Routing y switching Modelos OSI y TCP/IP Direccionamiento IP

Tecnologas WAN Operacin y configuracin de dispositivos del IOS de Cisco Configuracin de enrutamiento RIPv2, esttico y predeterminado Implementacin de NAT y de DHCP Configuracin de redes simples

El dominio de un examen de certificacin de Cisco no es una tarea fcil. Cisco ha conservado la dificultad de las series de exmenes de CCNA cambiando regularmente los requisitos del examen. Algunos candidatos aprueban el examen la primera vez; muchos lo aprueban despus de varios intentos, mientras que algunos no lo aprueban. La buena preparacin es la mejor forma para asegurarse de aprobar el examen la primera vez. ntes de prepararse para cualquier examen de certificacin, es importante comprender el objetivo del examen. Los exmenes de certificacin de Cisco estn diseados para medir los conocimientos, las habilidades y las capacidades de una persona en un rea definida de experiencia. Los exmenes usan una combinacin de tcnicas para permitir al candidato demostrar su preparacin para realizar diversas tareas de redes. El examen puede incluir preguntas de eleccin mltiple, diversos ejercicios y tareas de configuracin de redes simuladas. Cada pregunta o tarea est diseada para centrarse en un objetivo especfico. El sitio Web de certificacin de Cisco enlista los objetivos para el examen ICND1. Para realizar la mayora de las tareas de redes, cierto conocimiento deber recordarse de memoria. Este tipo de conocimiento est compuesto por hechos. Cuando estudie para un examen de certificacin, identifique los hechos pertinentes relacionados con cada objetivo del examen. A algunas personas les resulta til crear tarjetas didcticas para memorizar estos hechos. Mientras que puede haber algunas preguntas en el examen que requieran las respuestas bsicas basadas en hechos, con mayor frecuencia se necesitan conocimientos basados en hechos para diagnosticar o resolver un problema de redes. Muchas habilidades son necesarias para realizar tareas de redes. Algunas habilidades son bastante fciles, como por ejemplo la creacin y terminacin de un cable cruzado. Otras habilidades son ms difciles, como por ejemplo el dominio de la divisin en subredes IP. El dominio de las habilidades de redes requiere prctica. Las actividades en el laboratorio y de Packet Tracer estn diseadas para proporcionar un entorno de prctica para los aprendices. Las certificaciones de Cisco miden y validan las habilidades de redes de una persona en base a cmo interacta con los dispositivos Cisco de redes. Debido a esto, es muy importante practicar con el software IOS de Cisco. Muchas tareas del examen requieren la interpretacin de resultados de comandos del IOS de Cisco, especialmente el resultado de diversos comandos show. La capacidad de planificar, organizar, ejecutar y resolver problemas es fundamental para tener xito como tcnico de red de nivel bsico. En un entorno de examen de certificacin, estas capacidades se miden generalmente utilizando

tareas de configuracin y resolucin de problemas. Se hace el esfuerzo para disear exmenes para simular condiciones que una persona podra encontrar al desempear un trabajo de redes real. Estas condiciones se pueden presentar en el examen usando situaciones o simulaciones. La preparacin para una tarea de simulacin o basada en situaciones no es tan simple como memorizar un hecho o practicar una habilidad especfica. Estos tipos de tareas requieren que una persona aplique tanto hechos como habilidades para resolver un problema o cumplir un requisito establecido. Una de las mejores formas para desarrollar capacidades de resolucin de problemas es comenzar a analizar las habilidades y conocimientos necesarios para desempear tareas especficas de redes. Cuando se identifica la informacin necesaria, anticipe qu pasara si no conociera la informacin. Haga una lista de los resultados posibles y determine qu habilidades se podran usar para identificar y corregir cualquier problema que pudiera crearse. Eso se escucha difcil, pero estos son algunos ejemplos que debe considerar: Qu sucedera si un tcnico de red no supiera la cantidad correcta de direcciones host disponibles utilizando una mscara de subred especfica? Cmo se podran identificar y corregir los problemas? Qu problemas podran surgir en una red RIPv2 que tiene ms de 15 saltos de una direccin de origen a una direccin de destino? Cul sera un sntoma de este problema? Cmo se podra corregir el problema?

9.6.3 COMPROMISO Prepararse para presentar un examen de certificacin puede ser una tarea agobiante. Existe mucha informacin que revisar, muchas habilidades que practicar y la presin de tener xito. As como instalar una red para un cliente, la preparacin para el examen es ms exitosa si se divide en series de pasos ms pequeos: 1. Compromiso. 2. Creacin de un plan. 3. Prctica para tomar la prueba. Despus de completar estos pasos, el usuario est listo para comenzar a prepararse para el examen. El primer paso para obtener una certificacin de Cisco es comprometerse a dedicar el tiempo y el esfuerzo necesarios para prepararse para el examen. A este compromiso necesita asignarle la mxima prioridad porque tomar el tiempo utilizado anteriormente para otras actividades. Adems de tomar tiempo, la preparacin para un examen de certificacin requiere concentracin. Busque un lugar en el hogar o escuela donde pueda estudiar durante largos periodos de tiempo sin interrupciones. Tratar de aprender y practicar las habilidades de red puede ser extremadamente difcil si existen otras distracciones.

Tambin es importante tener el equipo y los recursos correctos. Asegrese de tener acceso a una computadora, a los materiales del curso en lnea y al software de Packet Tracer. Comente con su instructor cmo programar tiempo en el laboratorio para practicar sus habilidades en equipo real. Averige si el acceso remoto al laboratorio a travs de Internet est disponible en su localidad. Informe a sus amigos y familiares de su compromiso para obtener la certificacin de CCENT. Explqueles que su ayuda y apoyo son necesarios durante la preparacin para el examen. A pesar de que ellos no comprendan los conceptos de redes, pueden ayudarlo a estudiar con tarjetas didcticas o hacerle preguntas de prctica. Por lo menos pueden ayudarlo respetando su necesidad de tener tiempo de estudio sin interrupciones. Si otras personas en su clase se estn preparando para el examen al mismo tiempo, quiz sea til organizar un grupo de estudio.

9.6.4 CREACION DE UN PLAN Despus de que usted se haya comprometido a dedicar el tiempo necesario para prepararse para tomar el examen ICND1, el siguiente paso es crear un plan. Un plan de preparacin para la certificacin incluye informacin sobre cmo pretende prepararse, un cronograma con fechas y horas y una lista de los recursos.

Existen dos formas para abordar el estudio para un examen de certificacin: de forma individual o en un grupo. Muchas personas descubren que la creacin de un grupo de estudio les ayuda a enfocarse mejor en el material y a mantener un cronograma. Al estudiar con un compaero o en un grupo, es fundamental que todos los participantes sepan cmo ponerse en contacto entre s, conozcan el cronograma y el lugar de reunin y otra informacin pertinente. Quiz sea necesario asignar diversas responsabilidades a los miembros del grupo, como por ejemplo: Obtencin y distribucin de los materiales de estudio Planificacin del tiempo en el laboratorio Seguridad de que todas las provisiones necesarias estn disponibles Registro del progreso del grupo Hallazgo de respuestas para los problemas Es posible que estudiar solo facilite la coordinacin de recursos, pero no disminuye la importancia de un buen plan. Establezca una fecha objetivo realista para tomar el examen en base a la cantidad de tiempo que tenga disponible cada semana para dedicarlo a la preparacin. Use cantidades de tiempo ms pequeas para memorizar hechos y bloques de tiempo ms grandes para practicar las habilidades. Puede ser frustrante comenzar un ejercicio de laboratorio o prctica de habilidades y no tener el tiempo suficiente programado para completarlo.

La gua de estudio de CCENT de Cisco Press titulada "31 das para la prueba CCENT" puede utilizarse para estructurar un cronograma. El libro toma cada objetivo del examen y resalta la informacin importante que debe estudiar. Contiene referencias a las secciones y los temas en el plan de estudios de CCNA Discovery: Networking para el hogar y pequeas empresas y CCNA Discovery: Trabajar en una pequea o mediana empresa o ISP que se necesitan repasar y practicar. Una buena forma para crear un cronograma es registrar todo el tiempo disponible en un calendario. Luego asigne cada bloque de tiempo a una tarea especfica, como por ejemplo "aprender las capas del modelo OSI y sus funciones" o "practicar la divisin en subredes IP". Cuando haya ingresado todas las tareas, determine cundo programar el examen. Investigue todas las herramientas y los recursos que estn disponibles para ayudarlo a estudiar. El examen ICND1 prueba las habilidades y los conocimientos obtenidos durante este curso, adems de todo el contenido de Discovery: Networking para el hogar y pequeas empresas. El acceso al plan de estudios, laboratorios y actividades de Packet Tracer es fundamental para prepararse exitosamente. Adems de estas herramientas, existen muchas otras ayudas de estudio en el sitio Web de preparacin para la certificacin de CCNA de Cisco. El enlace al Centro de Preparacin de CCNA es: Centro de Preparacin de CCNA Cisco Press publica una cantidad de libros que abarcan los objetivos del examen CCENT. Estos libros se pueden comprar a travs de la Librera de Cisco Marketplace. Librera de Cisco Marketplace Despus de recopilar los materiales necesarios, es importante organizarlos. Repasar y practicar los conocimientos y habilidades de CCENT puede ser difcil si lo hace de manera casual. Es ms fcil recordar y utilizar la informacin si se aprende y se practica en un marco organizado.

9.6.5 PRACTICA PARA TOMAR LA PRUEBA Recordar y ejecutar las habilidades de red en un entorno de prueba formal es diferente a realizar las mismas funciones en un aula o en la casa. Es importante comprender el formato del examen y cmo se imparte.

Visite el Centro de Realizacin de Pruebas Antes de tomar el examen, visite el centro de pruebas y vea cmo se imparte el examen. Haga preguntas sobre qu debe esperar. Algunos centros de realizacin de pruebas proporcionan a cada candidato una sala de prueba por separado; otros tienen reas ms grandes donde un nmero de personas toman la prueba al mismo tiempo. Averige qu se permite ingresar al aula y, ms importante an, qu artculos no estn permitidos. Visite el sitio Web de certificacin de Cisco para localizar el centro de realizacin de pruebas ms cercano.

Formato del examen Los exmenes de certificacin se imparten en lnea, de manera similar a la forma en la que se impartieron las evaluaciones de Networking Academy. Sin embargo, existen algunas diferencias: Es posible que las preguntas de la encuesta se presenten antes de que comience el examen real. Es importante que responda a estas preguntas con la verdad. Las preguntas de la encuesta no tienen ningn impacto sobre el contenido del examen ni en su calificacin final. Los exmenes de certificacin tienen un tiempo medido. El tiempo restante se muestra en la pantalla para que pueda decidir cunto tiempo pasar en cada pregunta o tarea. Puede haber diversos tipos de preguntas o tareas en el mismo examen. No puede regresar a la pregunta anterior despus de pasar a la siguiente. No hay forma de saltarse una pregunta o marcar una pregunta para revisin. En caso de que no sepa una respuesta, es mejor que adivine la respuesta y pase a la siguiente pregunta. Los exmenes de certificacin de Cisco incluyen los siguientes formatos de prueba: Eleccin mltiple con una sola respuesta Eleccin mltiple con varias respuestas Arrastrar y colocar Completar los espacios en blanco Miniprueba Minisimulacin Simulaciones Antes de tomar el examen, familiarcese con cmo funcionan todos los tipos de preguntas, especialmente la miniprueba, la minisimulacin y la herramienta de simulacin. Esta prctica le permite enfocarse en las preguntas del examen en lugar de cmo usar las herramientas de forma correcta. Practique el tutorial del examen que se encuentra en el sitio Web de preparacin de CCNA de Cisco hasta que se sienta cmodo con el formato y el funcionamiento de cada tipo de pregunta y tarea. A pesar de que nada sustituye la experiencia de tomar el examen real, por lo general es til tomar exmenes de prctica. El Centro de Preparacin de CCNA proporciona pruebas de muestra para el examen ICND1 que incluyen preguntas de eleccin mltiple. Si va a estudiar para el examen con otros estudiantes, cree preguntas de prctica y comprtalas. Adems, existen exmenes de prctica disponibles comercialmente que se pueden comprar y descargar de Internet.

Las certificaciones de Cisco incluyen tareas que simulan el funcionamiento de los routers y switches Cisco. Se recomienda repetir todos los Packet Tracers y Laboratorios en este curso para prepararse para el examen ICND1. Sin embargo, es posible que leer el plan de estudios y practicar los laboratorios no sea una preparacin adecuada para los tipos de tareas integradas que aparecen en un examen de certificacin. Es importante investigar qu podra pasar si hubiera un error en la instalacin o configuracin de un dispositivo. Se puede aprender mucho mediante la creacin de situaciones de error y la observacin de cambios en los resultados de los comandos y el funcionamiento del dispositivo. Muchas de las preguntas de situacin y las tareas en el examen ICND1 se basan en la resolucin de problemas de red.