Prácticas de papel de IPv4


Prácticas de Packet Tracer de IPv4


Prácticas de taller
en IPv4 (Router multifunción)

En clase disponemos del router TL-WR740N. Para practicar TP-link ofrece un simulador de este modelo

  • Acceder a la configuración del router.
    Hay que tener en cuenta que nuestro equipo debe tener IP dinámica, hemos de conectar el equipo en los puertos del 1 al 4. Esperaremos a que el router no asigne la IP, una vez tengamos IP observaremos cual es la puerta de enlace y esta será la IP que debemos teclear el navegador para acceder a la configuración del router. Puede ser que el router no este bien configura y no asigne IP, en tal caso la mejor opción será resetearlo. También habrá que resetear si no conocemos la clave porque alguien haya quitado la clave por defecto.
  • Cambiar la contraseña de la administración del router
    Esta operación es muy aconsejada en cualquier router, pero sobre todo en los routers multifunción con WiFi porque si alguien consigue concectar a nuestra red podrá acceder a la configuración del router y realizar multitud de operaciones dañinas.
  • Cambiar la ip por defecto de nuestro router a 10.0.0.1
    Una vez hayamos cambiado la ip en el router sucede que el router deja de ser accesible porque no estará en nuestra red 192.168.0.0/24 y para acceder a la configuración del router tendremos que renovar nuestra ip y esperar que nos de una del rango 10.0...
  • Configurar el servicio DHCP para que asigne las ips 192.168.0.100 a 192.168.0.150
  • Consultar las asignaciones de ips que ha realizado nuestro router
  • Configurar el servicio DHCP para que siempre asigne la ip 192.168.0.200 a nuestro pc
  • Utilizar un servidor NTP para que nuestro router tenga sincronizada la hora
  • Clonar la MAC de nuestro PC en el router para evitar el bloqueo del cortafuegos del aula
  • Conectar a internet a través del router del grupo contiguo (Nuestra conexión WAN a su conexión LAN)
    Problema que se plantea: Nuestro router tendrá como red interna la misma que la red externa, por tanto, debemos cambiar la red de la LAN para evitar conflictos.
  • Conectar a internet a través del router del grupo contiguo (Nuestra conexión LAN a su conexión LAN)
    Problemas que se plantean: Ambos router tendrán la misma ip, Ambos routers asignan ips. Hay que cambiar la ip de nuestro router y hay que desactivar el servicio DHCP en alguno de los routers.
  • Conexión inalámbrica de nuestros moviles. Configurar en el router todos las recomendaciones habituales: clave WPA2, cambiar claves por defecto al router, filtrado por MAC y ocultación del SSID.
  • Conexión inalámbrica. Conectar nuestro pc con la utilizar QSS.
  • Conexión inalámbrica. Aprovechando la función WDS conectar a internet a través del router del grupo contiguo
    ALTERNATIVA 1: MODO REPETIDOR UNIVERSAL("Universal Repeater" solo admite redes desprotegidas o con clave WEP, no WPA ni WPA2)
    --------------------------------------------------------------------------------------------------------------------------------------------------------------------
    En ambos router: mismo canal. SSID distinto.
    Router servidor con internet: DCHP activado, establecer seguridad (SOLO funciona con WEP).
    Router cliente: DHCP desactivado, activar WDS, buscar router servidor en survey, establecer debajo la clave de router servidor


    ALTERNATIVA 2: MODO REPETIDOR ( El modo “Repeater” es un repetidor WDS, esta configuración solo es válida si el equipo que emite la señal tiene habilitado el WDS, y nuestra dirección MAC en su lista de direcciones WDS)
    ------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    En ambos router: mismo canal, SSID distinto, desactivar QSS
    Router servidor con internet:: DCHP activado, WDS activado y buscar a router cliente, no clave en este apartado. Establece clave en Wireless security (WPA2)
    Router cliente: DHCP desactivado, activar WDS y buscar a router servidor, clave de router servidor en este apartado y tambien en wireless security.
  • Enrutamiento. Activar el enrutamiento estático en nuestro router y realizar los esquemas de red que se planteen en clase (En este modelo es un enrutamiento "relativo" porque no desactiva el NAT)
  • Enrutamiento. Conectar el PC a dos routers de clase, cambiar la tabla de enrutamiento del PC para que cuando visite google salga por un router y en cualquier otro caso salga por otro router.
  • NAT. Abrir puertos: Instalar un servidor web y una conexión a escritorio remoto, permitir acceder a estos desde el exterior
  • NAT. Abrir puertos: Conectar los routers de clase en cadena, instalar un servidor web en la ultima red, acceder a la web desde el exterior
  • NAT. Crear una DMZ con uno de los equipos. Comprobar los accesos a sevicios desde el exterior
  • NAT. Port Triggering. Hacer que al conectar uno de los equipos a una página https abrá el puerto del escritorio remoto.Desde la opción Port Triggering pondremos el puerto 443 salida, como activador del puerto 3389 entrada, esto hará que el equipo que conecte al exterior a una página https abrirá su puerto 3389 y permitirá la conexión a su escritorio remoto.
  • Seguridad. Desactivar el uso de VPN desde dentro de la red
  • Seguridad. Activar en el router la protección para ataques de denegación de servicio
  • Seguridad. Limitar la administración del router para que sea realiza unicamente desde nuestro pc.
  • Seguridad. Activar el control parental y permitir que el hijo solo acceda a la pagina de tve
  • Seguridad. Desde el control de acceso bloquear el acceso a las paginas de periodicos deportivos
  • Seguridad. Además de lo anterior, permitir a uno de los equipo un acceso total.Ojo, si añadimos esta regla después de la anterior cuando accedamos a un periodico deportivo aplicará la regla 1 porque esta antes. Por tanto, ademas de añadir esta regla debemos colocarla la primera.
  • Seguridad. Desde el control de acceso bloquear el acceso a las paginas de periodicos deportivos desde el pc del compañero
  • Seguridad. Desde el control de acceso bloquear el acceso a las paginas de periodicos deportivos desde el pc del compañero, excepto en el recreo.
  • Ancho de banda. Limitar el ancho de banda para descargas ftp al equipo del compañero.
  • En una empresa disponemos de una ADSL con ip dinámica con un router multifunción como el de la foto: routerzyxel
    Zyxel 660 En este router hay 4 puertos LAN, un puerto WLAN y un puerto WAN que está conectado a la roseta del teléfono. La ip de administración del router es 192.168.1.1. El SSID es “Empresa” y clave WPA2 “12345678”.
    La empresa alquila un local en la misma calle pero enfrente de la sede actual y desea llevar mediante wifi su conexión ADSL hasta el nuevo local pero creando una red independiente para ello adquiere el siguiente router multifunción:
    TpLink-WR743ND: En este router hay 4 puertos LAN, un puerto WLAN (que funciona como cliente y como punto de acceso) y un puerto WAN RJ-45 que podemos conectar a otra red. Permite conectar a un red inalámbrica (Client Setting) y compartir esta señal a varios equipos (AP Setting). routertplinkLa ip de administración del router es 192.168.1.1
    Configura el router Tplink para compartir internet desde el punto de acceso Zyxel a los equipos del nuevo local.
    Para ello puedes utilizar el simulador de la página http://www.tp-link.com/resources/simulator/TL-WR743ND/Index.htm .



    El problema inicial es que ambos router tienen la misma ip de administración, por tanto, habrá que cambiar una de las ips de administración.
    Para cambiar, por ejemplo, la ip del router tplink nos conectamos y en la opción Network-Lan cambiamos la ip a 192.168.2.1, reiniciamos.
    Ahora nos volvemos a conectar al router tplink (a la nueva ip), quizas necesitemos renovar la ip en nuestro equipo para que reciba una ip de la red 192.168.2.0/24. Una vez conectados al router, lo más sencillo es ejecutar el quick setup y seguir los pasos: primero indicar que los vamos a utilizaz como cliente WISP, segundo con ip dinamica, tercero buscamos la red wifi del router Zyxel y por último, si en el nuevo local deseamos otra WLAN, la configuraremos con su SSID y clave WPA2
  • Instalar un firmware abierto en el router: openwrt A la hora de instalar el firmware con openwrt tenemos dos altenativas buscar un firmware ya desarrollado, que es lo más comodo, o compilar uno a nuestro gusto.
    Para instalar un openwrt ya compilado tenemos por un lado la versión para instalar inicialmente (factory) y actualizaciones posteriores (upgrade)
    firmware para primera instalación
    Actualización
  • Recuperar firmware original de Tp-link Desde la pagina tp-link descargamos el firmware de tp-link-740n v2 y lo actualizamos desde la web de openwrt.
  • Instalar un firmware dd-wrt Para instalar nos conectamos a la página de dd-wrt, tecleamos 740 en router database y descargamos los firmware para la versión 2 (que es la de nuestro router):
    Instalación inicial Es la actualización desde el firmware de tp-link a dd-wrt. Una vez reiniciado nos pedirá usuario y clave 2 veces. Pondremos en todos "admin" para evitar olvidos en estos primeros pasos.
    Actualización Para actualizar a versiones más recientes si ya tenemos dd-wrt instalado en nuestro router. En administration - management podemos cambiar el idioma.

  • Pasos iniciales en dd-wrt. Activar conexion WAN por DHCP.Desde configuración básica activamos la WAN como DHCP, después en estado podemos ver la ip que nos han asignado.
  • Resetear router Un problema "frecuente" es olvidar la clave, con lo cual no podemos hacer un reseteo desde la web de administración, tampoco funciona el típico reset en el botón del router. Tendremos que realizar un reset 30/30/30 (pulsamos el botón reset durante 30 segundos, apagamos sin soltar el botón del reset otros 30 segundos, volvemos a encender sin soltar el botón de reset durante otros 30 segundos.
    En caso de solicitar claves, por defecto son Usuario: root, Clave: admin
    Otra forma de resetear el router, un poco más comoda es por telnet, borrando la nvram (memoria no volatil):
    telnet ip.del.router
    erase nvram
    reboot
    -o bien- mtd -r erase nvram
  • Telnet Por defecto usuario es root y clave admin. Tienes un pequeño resumen en la página de teoría.:
    Podemos quedar grabados comandos que se ejecutaran: solo una vez (Botón ejecutar comandos), al arrancar (Botón guardar arranque), al apagar (Botón guardar apagado), asociados al cortafuegos (Botón guardar firewall)
    Practica: editar el archivo hosts añadir una busqueda y probar su funcionamiento. (comando vi hosts, despues stopservice dnsmasq y startservice dnsmasq)
  • Restaurar firmware tp-linkPara eleminar el firmware de dd-wrt tenemos que sobreescribirlo con el de tp-link, para ello nos vamos a la opción de administración - actualización y elegimos el firmware de reversión para las versión 1 y 2 o para la versión 4 (en esta versión habrá además que descargar el firmware de tp-link porque da problemas con WAN)
  • Practicas variadas con comandos del sistemaA través del programa putty: (usuario root clave admin)
    - Mostrar la configura nvram con nvram show
    - Mostrar los puertos asignados a la vlan0 nvram show | grep vlan0ports
    - Mostrar las vlans asignadas al puerto 3 nvram show | grep port3vlans

  • Practicas variadas desde la interfaz gráficaLas versiones para el procesador Atheros no admiten modo repetidor en WiFi, ni VLANs. Tampoco adminite nuestro router montar USB. Pero podemos:
    - Configurar DHCP para LAN
    - Configurar sincronización horaria (NTP)
    - Configurar DNS dinámica
    - Clonar MAC
    - Enrutamiento: Estatico, BGP, RIP2 y Puerta de enlace (típica red privada, aplica NAT)

  • Manipular DNS en router dd-wrt Desde la opción Servicios, dnsmasq podemos redirigir los dominios que deseemos tecleando en Opciones adicionales dominio e ip con la siguiente sintaxis: address=/dominio.com/192.168.0.1
  • Router como cliente wifi Desde estado - wifi podemos escanear las redes que tenemos accesibles. Nos unimos al SSID que estamos buscando. Al realizar esta opción nuestro router se configura en modo cliente concectado a este SSID, solo tendremos que indicar las claves de seguridad necesaria.
  • Interfaz Wan como parte de switch Si hemos conectado nuestro router como cliente wifi, la conexión RJ-45 correspondiente a WAN no la necesitamos, en la primera pantalla de configuración básica tenemos una marca para asignar puerto WAN al switch.
  • Repetir señal wifi hacia una red interior Si nuestro router es capaz de detectar una wifi y queremos que esta señal la amplifique hacia los dispositivos inalámbricos: ponemos modo inalámbrico en cliente y creamos una interfaz inalámbrica virtual y la ponemos como AP.
  • Unir dos redes clableadas mediante WDSCambiar la ip a uno de los routers, desactivar DHCP en uno de los routers y en WDS de router A podemos la MAC del router B y viceversa.
  • Crear dos redes separadas y con acceso a internetPara realizar este ejercicio primero vamos a identificar los interfaces: eth0 corresponde al puerto RJ-45 WAN, eth1 corresponde a los puertos RJ-45 LAN, ath0 (a= creado automatico) corresponde al puerto WiFi, ath0.X corresponde a las interfaces virtuales.


Prácticas de Packet tracer sobre enrutamiento

  • Conceptos básicos de enrutamiento
    Todos los dispositivos conectados en red necesitan conocer donde enviar los datos.

    En el caso de un PC, de una forma resumida, podemos decir que tiene 3 reglas:
    - Si el paquete va destinado a la red 127.0.0.0/8, es un paquete para el propio equipo.
    - Si el paquete va destinado a un equipo de nuestra red, lo envia directamente a este.
    - En caso contrario el paquete es enviado a un dispositivo "especial" de nuestra red que es la puerta de enlace.

    En el caso de un switch no hay nada relativo al enrutamiento puesto que este problema se produce en la capa 3 del modelo OSI y el switch es un dispositivo de capa 2, dicho de otra forma, el switch trabaja con MAC no con IP

    En el caso de router (sin NAT), y si no hemos programado ninguna ruta, este solo conoce las redes conectadas directamente, cuando un paquete va a una de estas redes lo envia, cuando va a otra red diferente (no la tendrá en la lista de conocidas si no la hemos introducido) destruye el paquete.

    En el caso del router con NAT es diferente, este conoce las rutas conectadas directamente, pero tambien tiene una puerta de enlace, es decir, tiene al igual que los PC un dispositivo donde enviar los paquetes que no van dirigidos a ninguna de las redes que están conectadas directamente.
  • Rutas directas
    Veamos como las redes conectadas directamente no es necesario de enrutarlas
  • Enrutamiento estático con ip del siguiente salto
    Aunque las redes locales hemos dicho que no se enrutan, en este caso, vemos que no están conectadas a internet y por tanto podría tratarse de una organización separada de la gran red. Para introducir las rutas utilizad la interfaz gráfica que hay en cada router, para consultar la tabla de enrutamiento el icono lupa.
  • Enrutamiento estático con ruta por defectoEvidentemente en un enrutamiento no podemos entrar una linea por cada red de internet (no acabaríamos nunca), así que lo lógico y habitual en el enrutamiento estático es indicar las rutas estáticas de las redes de nuestra organización y finalmente indicar una ruta predeterminada por donde ir al resto de internet. Esta ruta es 0.0.0.0 con máscara 0.0.0.0
  • Enrutamiento estático repaso
  • Enrutamiento estático con interfaz de salida a través del simbolo de sistema (IOS de Cisco)Aunque es más cómodo trabajar desde el entorno gráfico no nos queda más remedio que aprender a movernos por el símbolo del sistema para realizar ciertas funciones como el enrutamiento indicando la interfaz de salida.
  • Enrutamiento dinámico RIPEste enrutamiento dinámico es el primero que surgio y cadece de muchas funciones pero es muy fácil de implementar, basta con indicar las redes conectadas directamente y en la interfaz gráfica y cada router informará a los demás routers de ellas y aprenderá que dicen los demás routes, con esto construirá una tabla de enrutamiento que tendrá todas las rutas necesarias.
  • Fallo en RIPv1RIPv1 no entiende de máscaras de longitud variable VLSM
  • RIPv2RIPv2 si admite VLSM, el inconveniente es que en el simulador solo podemos configurar los equipos con comandos. En teoría tienes los comandos a utilizar. Recuerda que debes configurar cada router para que publique las redes conectadas directamente.
  • EIGRPAquí tenemos otro enrutamiento dinámico, como el anterior debemos configurar cada router para que publique las redes conectadas directamente. Más detalles en teoría
  • OSPFEl enrutamiento dinámico más usado, al igual que los demás publicamos las redes conectadas directamente. Este protocolo permite dividir los sistemas autonomos en areas cuando tenemos gran cantidad de redes.
  • BGPEl enrutamiento dinámico utilizado entre los diferentes sistemas autónomos.
  • RepasoComenzando con este fichero agrega los protocolos internos (los indicados en los circulos) y los externos (BGP) correspondientes.


Prácticas de Packet tracer sobre NAT

  • NAT Estática
    Empecemos por lo más simple: Una ip externa equivale a una ip interna. No hay traducción de puertos.
  • NAT Dinámica
    Varias ips externas para varias ips internas, es decir, aprovechamos unas pocas ips externas para muchas internas. NO hay traducción de puertos.
  • NPAT Dinámica
    Varias ips externas para varias ips internas, pero además jugamos con la traducción de puertos.


Prácticas de Packet tracer sobre servicios IP

  • Servicio DNS
    Esta práctica nos permite tener una idea aproximada de como funciona el servicio DNS, aunque en el simulador no gestiona bien todos los tipos de registros.


Prácticas de Packet tracer sobre conmutación

  • STP
    Spanning Tree Protocol evita los bucles en las conexiones de red.
  • VTP
    VLAN Trunking Protocol es un protocolo de Cisco para gestionar VLAN.
  • VLANs
    Cuando necesitamos separar equipos dentro de una red podemos optar cambiar el cableado (si cambiamos ip el usuario siempre podría cambiar manualmente la misma) o bien separar lógicamente los equipos mediante la configuración de VLANs en los switchs. En este primer ejemplo separamos los equipos en dos VLANs y les mantenemos ips de la misma red. Vemos que los equipos que están en las misma VLAN son los únicos que tienen comunicación entre sí.
  • VLAN
    Ejercicio sobre un instituto con vlans para profesores y alumnos. Servidores DHCP.
    VLANs enrutadas. VLANs enrutadas con subinterfaces
  • VLAN
    Ejercicio sobre VLANs con switchs sin VLANs y router multifuncion
  • Agregación de enlaces (Etherchanel)
    A veces es necesario que una comunicación entre switch aumente de ancho de banda porque hay mucho tráfico, una solución es agregar varios enlaces entre los switchs para que trabajen como si fueran uno solo.
  • DHCP Y VLANs
    En este ejercicio vamos a ver como podemos tener varias VLANs con un solo servidor DHCP para la asignación de ips. El comando clave en el router es ip helper-address para permitir que las peticiones DHCP traspasen el router. Para ver la configuración del router recuerda que puedes usar el comando show running-config.
  • VoIP
    Voice-Over-IP
  • VoIP
    Ejercicio resumen de VoIP, VLAN y VTP
  • Switch Capa 3: router        Interfaces Virtuales
    Un switch capa 3 nos permite usar los 24 puertos como switch o como router, además nos permite crear SVI (Interface Virutal Switch) que facilitan el enrutamiento interVLAN
  • Implementar router multifunción con Switch capa 3 y Punto de Acceso
    Los típicos routers multifunción (como los ADSL) se basan en varios dispositivos, en este ejercicio vemos como configurar un switch capa 3 y un punto de acceso para que se comporten como un router multifunción


Prácticas de Packet tracer sobre ACLs

  • ACL Estandar de un equipo
    Bloqueo del tráfico desde un equipo a una red. La ACL se puede aplicar en cualquiera de las interfaces del router, solo que en una habrá que aplicarla en dirección entrada y en la otra en dirección salida.
  • VLANs y ACLs La respuesta a la primera pregunta es que el Spanning Tree Protocol, STP, se encarga de evitar bucles entre los switchs y anula una de las lineas.


Prácticas de Packet tracer sobre IPv6

  • IPv6
    Primer ejemplo con los diferentes métodos de configuración de IPv6
  • VLANs en IPv6
    Es igual que en IPv4, la única posibilidad que tendremos que evaluar en IPv6 es que nos permite poner 2 ips a un mismo interfaz.


Prácticas de taller
de cableado

  • Crear un cable de red.
    Aunque el cable funcionará solo con conectar en el mismo orden los hilos en ambos extremos lo correcto es utilizar los estandares del tema teórico.
  • Crear un cable cruzado.
    Aunque ya la mayoría de equipos tiene tarjetas de red que cruzan automáticamente el cable cuando detectan una conexión directa, podemos usar un cable cruzado con los estandares.
  • Testear un cable de red con la certificadora
  • Crear una instalación que permita utilizar 4 hilos + 4 hilos para comunicar 2 + 2 Pcs

I.E.S. Suárez de Figueroa. Manuel Castaño Guillén