Planificación y Administración de Redes Manuel Castaño Guillén

A.S.I.R. on-line IES Suárez de Figueroa

Actividad 3.1: Nuestro router ADSL se ha

averiado, hemos conseguido uno de segunda
mano operativo pero no conseguimos
conectar, vemos nuestra IP y es
[Link]. ¿Cómo conseguimos poner
a funcionar internet?

Tenemos un síntoma del mal funcionamiento

en el rango de nuestra IP (169.254.x.x), es el
rango utilizado para autoconfiguración, por
tanto, nuestro PC está pidiendo una IP y no
recibe del router la IP.

El primer paso recomendado es borrar todos

los datos que traiga el router (bloqueos,
contraseñas, etc.) puesto que pueden
provocar un mal funcionamiento en la red y
desconoceríamos el motivo. Todos los routers disponen de un botón Reset, normalmente
pulsando durante 30 segundos el botón se borran todos los datos y se recupera la
configuración de fábrica. En el caso del firmware dd-wrt podemos realizar un reset 30/30/30
(pulsamos el botón reset durante 90 segundos continuados: 30 s. apagado, 30 s. encendido, 30
s. apagado).

Ahora volvemos a solicitar una IP desde nuestro PC, vemos nuestra configuración IP, si todo ha
ido bien recibiremos una IP privada y la dirección para configurar nuestro router será la IP de la
puerta de enlace de nuestra configuración.
Puede que sigamos sin recibir IP, en tal caso lo mejor es buscar el manual del dispositivo en
internet, ahí aparecerán los valores de fábrica, estos nos indican usuario y clave de
configuración, IP que trae el dispositivo de fábrica, etc. En este caso tendremos que configurar
nuestro PC con una IP manual que se encuentre en el rango de la IP de fábrica del router.

Por último nos conectamos al dispositivo desde cualquier navegador introduciendo los valores
de fábrica. Ahora tendremos que configurar el dispositivo con los parámetros ADSL de
nuestro ISP, podemos encontrar los parámetros en web como esta. Otras cuestiones a
configurar: activar el servicio DHCP, cambiar usuario y contraseña (cualquiera podría hacer lo
mismo que acabamos de hacer en el ejercicio y probar los valores de fábrica), activar WLAN y
poner una clave WPA2.

Actividad 3.2: Disponemos de una red con router ADSL (IP LAN [Link]/24), para ampliar
esta red en 3 equipos alámbricos más hemos adquirido un router NAT (parámetros de fábrica
IP LAN: [Link]/24 IP WAN: automática usuario: admin clave: admin). Haz un esquema e
indica los pasos para poner operativos los nuevos equipos de la red.

Hay duplicidad en la IP de los routers, por lo tanto hay que configurar el router NAT antes de
conectarlo a la red del router ADSL. Conectamos un PC al nuevo router-NAT, el PC puede recibir
una IP de la red [Link]/24 si el router-NAT tiene activado el servicio DHCP, si no es así lo
configuramos manualmente, después desde el navegador accedemos a la IP de fábrica del
router NAT:
Cambiamos la IP del router-NAT a otra red (por ejemplo [Link]/24).
Desactivamos el servicio DHCP
Guardamos los cambios, en ese instante perderemos la conexión al router porque ya no
estamos en su red, pero lo hemos quedado listo.
A partir de aquí hay dos planteamientos:

1
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Primer planteamiento:
Conectar todos los cables como se muestra en la
imagen (conexión LAN de router-ADSL a conexión
LAN de router-NAT), consiste en utilizar solo el
switch que trae incorporado el router-NAT.
En este planteamiento hay una única red. No es
lógico adquirir un router cuando al final no vamos
a hacer 2 redes diferentes.

Segundo planteamiento:
Conectamos la red LAN del router-ADSL a la WAN
del router-NAT. En este caso tendremos 2 redes, la
red que teníamos [Link]/24 y la nueva red
[Link]/24.

El router-NAT hay que configurarlo para que pida

en el puerto WAN una IP, que recibirá del router-
ADSL. Es también recomendable activar el servicio
DHCP en el router-NAT para que asigne las IPs a la
nueva red.

Inconvenientes de este segundo planteamiento:

El tráfico irá un poco más lento porque obligamos al router-NAT a procesar los
paquetes que le llegan para hacer NAT
Desde la red exterior [Link]/24 no se puede acceder a la red interior
[Link]/24 porque la función NAT construye la tabla NAT a medida que salen
paquetes al exterior (Ver apartado NAT, unidad didáctica 2). Ya veremos más adelante
que para acceder desde el exterior debemos “abrir puertos”.

Actividad 3.3: Estamos de vacaciones en una casa rural, tenemos 2 tablets pero no hay WIFI,
en cambio en el móvil si tenemos internet HSDPA ¿Qué solución podemos usar para tener
internet en las tablets? Haz un esquema de esta solución.

Tendremos que activar el móvil como router-NAT, la interfaz WAN será la antena HSDPA y
nuestra interfaz LAN será la antena WIFI de nuestro móvil, si es android será similar a:

La IP pública recibida en nuestro móvil por la antena HSDPA es ahora compartida utilizando
NAT por nuestras 2 tablets (en vez de ser usada en exclusiva por nuestro móvil como ocurría
antes de activarlo como router-NAT). El esquema final que obtenemos es:

2
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Actividad 3.4: Comenta la siguiente salida del comando netstat de Linux:

Con este comando vemos la tabla de enrutamiento de un PC con sistema Linux.

La tercera línea nos indica que si el destino es [Link]/24 no hay puerta de enlace o
pasarela porque se trata de la red en la que está el PC (tendrá una IP en este rango)
La segunda línea nos indica que si el destino es [Link]/16 no hay puerta de enlace,
recordemos que es una red especial que se utiliza para autoconfiguración, es decir, que si el
equipo no recibe configuración IP de un servidor DHCP se inventará aleatoriamente una IP de
este rango y, por tanto, no sabrá por donde salir al exterior.
La primera línea nos indica que cuando el destino es [Link]/0 (ruta por defecto) se enviará a la
puerta de enlace [Link], esto sucederá cuando no se trate de ninguna de la redes
indicadas en las líneas anteriores (recordemos que tiene preferencia las rutas más específicas
/16 y /24 antes que las menos específicas).

Actividad 3.5: Una empresa dispone de 2 ADSL (IP de los routers [Link]/24 y
[Link]/24), todos los PCs tienen como puerta de enlace [Link], pero cuando
visiten la web: [Link] – [Link] deberán salir por el router
[Link]. Configura un PC con estas instrucciones.

Este ejercicio está solucionado con sistema Windows.

Lo primero que hacemos es mostrar la tabla de enrutamiento del PC, comando route print:

Vemos que la ruta [Link] máscara [Link] (ruta por defecto) es enviada a la puerta de enlace
[Link], es decir, cuando no está en nuestra red (quinta línea [Link]/24) o no es
una red especial ([Link]/8, [Link]/4, [Link]/0) se enviará a la puerta de
enlace.

3
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Vamos a añadir una ruta extra para que cuando se visite la web [Link] salga
por el otro router, introducimos el comando:
route add [Link] mask [Link] [Link]

Visualizamos de nuevo la tabla de enrutamiento:

En la segunda línea aparece ahora la ruta a seguir si el destino es el equipo [Link], que es
el que aloja la web. Para comprobar hacemos una traza hasta el destino:

Como podemos observar cuando el destino es la web [Link] el primer salto

lo da a través de [Link], en cambio cuando el destino es [Link] el primer salto
es a través de [Link].

Actividad 3.6: Bloquea el acceso a Facebook en tu router ADSL

Depende del modelo, muchos incluyen el bloqueo por URL como vemos en la siguiente imagen
del firmware dd-wrt:

4
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Si no fuera posible por URL podemos intentar el bloqueo por IP, para ello hacemos ping a
[Link], vemos cuál es su IP asociada: [Link], el siguiente paso es bloquear
todos los paquetes con destino a esta IP.

Actividad 3.7: En una instalación doméstica se quiere

instalar dos redes independientes (que los equipos
de diferentes redes no accedan entre ellos), para ello
se dispone de dos routers con las siguientes
configuraciones de fábrica:
Router ADSL (IP LAN: [Link]/24 IP WAN
dinámica)
Router – NAT (IP LAN: [Link]/24 IP WAN
dinámica)
Indica los pasos para configurar los equipos.
Comenta las tablas de enrutamiento.

El primer problema que tenemos que solucionar es que el router-NAT tendría la misma red en
WAN y en LAN (si un router tiene la misma red en dos interfaces no sabrá por cuál de
ellas enrutar los paquetes). Además tener la misma red por ambas interfaces puede
bloquear el router, por tanto, es mejor configurar el router-NAT antes de conectarlo al router
ADSL.

Para cambiarlo accedemos a la configuración del router-NAT desde uno de los PC rojos,
cambiamos la IP de la LAN (por ejemplo a [Link]) y reiniciamos:

5
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

El router-ADSL lo podemos quedar con la configuración de fábrica. Una posible asignación de

IPs sería:

La otra cuestión es que los PCs de la red [Link]/24 podrán acceder a los PCs de la red
[Link]/24 (recordemos que NAT consiste en que el router-NAT manipula los datos, elimina
la IP interna 192.168.0.x y la sustituye por la IP externa [Link], esto a efecto de
comunicación es como si comunicáramos equipos de la misma red), pero no a la inversa, desde
la red [Link]/24 no se puede acceder a la red [Link]/24.
Por tanto, en el router NAT tendremos que programar una ACL que evite el acceso de la red
[Link]/24 [Link]/24, con la excepción de la puerta de enlace puesto que si
bloqueamos la puerta de enlace quitamos internet.

De forma “teórica” (siguiendo el estándar de Cisco) podemos decir que la ACL sería:

Se trata de una ACL llamada “Bloqueo” que tiene 3 reglas:

1. Permite el acceso desde cualquier origen a la IP [Link] (IP del router-ADSL que
da acceso a internet)
2. Bloqueo a cualquier dato que vaya a la red [Link]/24 ([Link] = 24, es el
inverso de la máscara, llamado wildcard)
3. Permitir el resto de comunicaciones

Esta ACL hay que aplicarla a la entrada en el interfaz LAN del router-NAT:

Para programar esta ACL en los routers doméstico depende de cada modelo, de hecho muchos
de ellos no lo admiten (dd-wrt entre otros).

En cuanto a las tablas de enrutamiento, en el router ADSL, la tabla de enrutamiento de fábrica,

antes de conectar a internet será:
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/24 LAN - 0

6
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Una vez que haya conectado al ISP (supongamos que recibe la IP pública [Link]/26 con
puerta de enlace [Link], DNS [Link]):
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/24 LAN - 0
Conectada [Link]/26 WAN - 0
Estática [Link]/0 WAN [Link] 1

En la tabla es llamativo que el tipo de enrutamiento sea estático y la IP recibida sea dinámica,
es porque se trata de dos cuestiones diferentes, por un lado como se configura la IP y por otro
como se enruta, la ruta es estática porque no se ha aprendido de otros routers sino que el
propio router ha añadido la ruta deducida de su configuración IP.
Otra cuestión llamativa es la métrica, lo habitual es que el sistema calcule automáticamente la
métrica, como es este caso. Recordemos que la métrica más baja tiene preferencia, es decir
que si algo va destinado a la red [Link] se podría aplicar la ruta [Link] (todo) o la ruta
[Link], pero se aplica esta segunda ruta porque tiene una métrica más baja (un coste
más bajo) y también porque es más específica.

En el caso del router-NAT una vez hayamos cambiado la IP y recibido la IP WAN del router
ADSL tendremos una tabla de enrutamiento:
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/24 LAN - 0
Conectada [Link]/24 WAN - 0
Estática [Link]/0 WAN [Link] 1

Actividad 3.8: En el esquema de la imagen todos los

routers vienen de fábrica con IP local [Link] e IP
WAN con asignación dinámica. Indica los pasos para
configurar los equipos y las tablas de enrutamiento
intentando cambiar lo menos posibles las configuraciones
para que todos accedan a internet

Primera cuestión que vamos a solucionar es, en todos los

routers, que no tengan dos redes iguales en sus
interfaces.

Podemos mantener el router ADSL con la configuración

de fábrica, tiene una IP dinámica pública en WAN (red
pública) y una IP privada en LAN (red privada).
La tabla de enrutamiento de fábrica será:
IP
Tipo de
Red Interface siguiente Métrica
enrutamiento
salto
Conectada [Link]/24 LAN - 0

Una vez reciba la IP pública (supongamos [Link]/26) será igual que el ejercicio anterior:
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/24 LAN - 0
Conectada [Link]/26 WAN - 0
Estática [Link]/0 WAN [Link] 1

7
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

En el router-NAT superior es imprescindible cambiar la red LAN porque coincidirá con la red
WAN. Antes de conectarlo a la WAN (así evitamos bloqueo del router) cambiamos la IP LAN (a
[Link] por ejemplo)
En tal caso, la tabla de enrutamiento quedará, igual que en el ejercicio anterior:
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/24 LAN - 0
Conectada [Link]/24 WAN - 0
Estática [Link]/0 WAN [Link] 1

En el caso de router-NAT inferior no necesitamos hacer ningún cambio puesto que su red WAN
es [Link]/24 y su red LAN es [Link]/24, su tabla de enrutamiento quedará:
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/24 LAN - 0
Conectada [Link]/24 WAN - 0
Estática [Link]/0 WAN [Link] 1

El esquema con IP sería similar a:

Lo más llamativo del esquema es que tenemos dos veces la red [Link]/24, una como LAN
del router ADSL y otra como la LAN inferior, de hecho podemos ver la IP [Link]/24
repetida en el esquema.
¿Qué problemas puede producir esta duplicidad de redes?
El objetivo que se persigue es que todos accedan a internet y está cumplido porque a medida
que un paquete salga de la red inferior y vaya atravesando los routers-NAT (todos hacen NAT,
incluso el ADSL) desaparece la IP interna y se sustituye por la IP externa, con lo cual de cara al
exterior solo existe la IP externa de los diferentes routers.
El único caso en que esto no funcionará es cuando queramos comunicar un PC de la red inferior
([Link]/24) con un PC de la red que cuelga del router ADSL ([Link]/24), porque al
coincidir la red el PC inferior supondrá que queremos comunicar con un PC de nuestra propia
red y no enviará el paquete a la puerta de enlace, igual sucederá al contrario.

8
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Actividad 3.9: Nos han facilitado un acceso a una red WIFI, para ello nos han solicitado la MAC
de nuestro PC. ¿Cómo podríamos conectar más equipos?

Aunque hay un filtrado por MAC y la MAC está grabada en la ROM de la tarjeta de red
realmente no se trabaja con este dato directamente sino que esta MAC es grabada a la RAM de
nuestro dispositivo y se trabaja con esta copia. Hay una operación que permiten muchos
routers que consiste en modificar la copia en la RAM de la MAC, es lo que se denomina CLONAR
la MAC.

Por tanto necesitamos un dispositivo que reciba una IP del acceso WIFI y la comparta con
varios PCs; además este dispositivo debe permitir clonar la MAC de nuestro PC en su memoria
RAM, el dispositivo ideal para esto es un router WISP, es decir, un router cuya WAN es una
tarjeta inalámbrica. También podemos adquirir un router-NAT inalámbrico normal que admita
dd-wrt, con este firmware podemos configurar el dispositivo como router WISP, desde la opción
Estado – Inalámbrica podemos buscar las señales WIFI cercanas y unirnos a ella, el firmware
realizará la configuración necesaria:

Además tendremos que clonar la MAC desde la opción Configuración – Clonar Dirección MAC:

Con esto nuestro router utilizará la antena para unirse

a la red WIFI y las 4 conexiones LAN para conectar
los PCs.

El inconveniente es que no repartimos la señal en

inalámbrico, para ello tendríamos que crear una
subinterface inalámbrica (hacer que la antena de
nuestro router sirva para WAN y para LAN). En la
imagen vemos cómo quedaría la configuración
inalámbrica de nuestro dispositivo

9
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Actividad 3.10: En una empresa con redes públicas han optado por utilizar enrutamiento
estático, el esquema de redes es:

Completa las tablas de enrutamiento iniciales (antes de la configuración estática). ¿Qué

comunicaciones serán posibles en un principio? Añade las rutas estáticas que consideres
oportunas para configurar el enrutamiento de la empresa y que todas las comunicaciones sean
posibles.

En este caso la empresa es un sistema autónomo con enrutamiento estático, ningún router
hace NAT, son routers empresariales y todas las redes son públicas. La empresa se conecta a
internet por un router de borde (Router C), que intercambiará rutas con otros routers de borde
por el protocolo BGP (“idioma” internacional para intercambio de rutas)

Las tablas de enrutamiento iniciales solo tendrán en su configuración las redes conectadas
directamente:
Router A
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/8 GI0/0 - 0
Conectada [Link]/23 GI0/1 - 0

Router B
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/24 GI0/0 - 0
Conectada [Link]/8 GI0/1 - 0

Router C
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/8 GI0/1 - 0
Conectada [Link]/24 GI0/2 - 0
Conectada [Link]/23 GI0/3 - 0

Por tanto, en un principio los routers solo conocen las rutas conectadas directamente, esto
implica que serán posibles las comunicaciones entre redes contiguas puesto que habrá un

10
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

router que conocerá ambas redes, por ejemplo, habrá comunicación entre [Link] y
[Link] pero no habrá comunicación entre [Link] y [Link]

Añadamos pues las rutas necesarias a las tablas para que todos los routers sepan siempre hacia
donde deben enviar cada paquete.
Router A
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/8 GI0/0 - 0
Conectada [Link]/23 GI0/1 - 0
Estática [Link]/24 GI0/1 [Link] 1
Estática [Link]/8 GI0/1 [Link] 1
Estática [Link]/8 GI0/1 [Link] 1
Estática [Link]/0 GI0/1 [Link] 1

Hemos puesto en azul los datos introducidos y en rojo los datos calculados por el router.
Como podemos observar el enrutamiento estático consiste en indicar el siguiente paso que
debe atravesar el paquete para llegar a su destino. Es decir, paso el problema de la ruta al
siguiente router y el siguiente router pasará el problema de nuevo a otro router, así hasta que
el paquete llegue a su destino.

Según el estándar de Cisco, los comandos introducidos serían:

RouterA>
RouterA>enable
RouterA#configure terminal
RouterA(config)#ip route [Link] [Link] [Link]
RouterA(config)#ip route [Link] [Link] [Link]
RouterA(config)#ip route [Link] [Link] [Link]
RouterA(config)#ip route [Link] [Link] [Link]

También se puede construir la tabla indicando la interfaz por donde hay que enviar el dato y el
router determina el siguiente salto.

RouterA(config)#ip route [Link] [Link] GI0/1

RouterA(config)#ip route [Link] [Link] GI0/1
RouterA(config)#ip route [Link] [Link] GI0/1
RouterA(config)#ip route [Link] [Link] GI0/1

También podemos indicar la métrica pero esto sería contenido de una asignatura más amplia,
no vamos a entrar en ello.

La última línea (ruta por defecto) indica donde enviaremos los paquetes cuando la ruta no esté
expresamente indicada en la tabla. Evidentemente si pensamos un poco en esto último otra
posible solución habría sido:

Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/8 GI0/0 - 0
Conectada [Link]/23 GI0/1 - 0
Estática [Link]/0 GI0/1 [Link] 1

Es decir, enviamos todos los paquetes (menos los destinos conectados directamente) al router
C y que el determine si los envía hacia el exterior del sistema autónomo o a otras redes
propias. Utilizando comandos del IOS de Cisco, solo introduciríamos el comando:

11
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

RouterA(config)#ip route [Link] [Link] GI0/1

Router B
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/24 GI0/0 - 0
Conectada [Link]/8 GI0/1 - 0
Estática [Link]/8 GI0/0 [Link] 1
Estática [Link]/23 GI0/0 [Link] 1
Estática [Link]/8 GI0/0 [Link] 1
Estática [Link]/0 GI0/0 [Link] 1

En este caso como vemos todas las redes no conectadas directamente se alcanzan a través de
la IP [Link], por tanto, la tabla la podemos indicar de forma resumida con:

Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/24 GI0/0 - 0
Conectada [Link]/8 GI0/1 - 0
Estática [Link]/0 GI0/0 [Link] 1

Según el estándar de Cisco, los comandos introducidos serían:

RouterB>
RouterB>enable
RouterB#configure terminal
RouterB(config)#ip route [Link] [Link] [Link]

Router C
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/8 GI0/1 - 0
Conectada [Link]/24 GI0/2 - 0
Conectada [Link]/23 GI0/3 - 0
Estática [Link]/8 GI0/3 [Link] 1
Estática [Link]/8 GI0/2 [Link] 1

En este caso vemos que el router C solo tiene acceso a la nube por un punto, esto significa que
podemos indicar la ruta estática:
Estática [Link]/0 GI0/1 [Link] 1

Según el estándar de Cisco, los comandos introducidos serían:

RouterC>
RouterC>enable
RouterC#configure terminal
RouterC(config)#ip route [Link] [Link] [Link]
RouterC(config)#ip route [Link] [Link] [Link]
RouterC(config)#ip route [Link] [Link] [Link]
Aunque en los routers de borde de un sistema autónomo, como es este caso, se usa el
protocolo BGP para comunicarse con otros routers de bordes de otros sistemas autónomos e
intercambiar con ellos la información sobre las rutas. Por lo que la tabla suele tener líneas de
rutas aprendidas por BGP, algo similar a:

12
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Dinámica (BGP) RED 1 GI0/1 [Link] X

Dinámica (BGP) RED 2 GI0/1 [Link] X
…….
Dinámica (BGP) RED X GI0/1 [Link] X

Esto se tratará más a fondo en la unidad didáctica Configuración y administración de protocolos

dinámicos.

Actividad 3.11: En una empresa con redes públicas han optado por utilizar enrutamiento
estático, el esquema de redes es:

a) Completa las tablas de enrutamiento de los 4 routers.

b) Indica la configuración IP completa del PC [Link].

a) Router A
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/8 GI0/0 - 0
Conectada [Link]/24 GI0/1 - 0
Conectada [Link]/8 GI0/2 - 0
Estática [Link]/8 GI0/2 [Link] 1
Estática [Link]/8 GI0/0 [Link] 1
Estática [Link]/8 GI0/2 [Link] 1
Estática [Link]/8 GI0/2 [Link] 1
Estática [Link]/8 GI0/0 [Link] 1
Estática [Link]/0 GI0/2 [Link] 1
Estática [Link]/0 GI0/0 [Link] 1

Al encontrarnos con un esquema en el que hay un circuito en bucle tenemos varias alternativas
para algunas rutas.
Por ejemplo, a la red [Link] podemos ir directamente o dando un rodeo a través de la IP
[Link], en este caso el router elegirá siempre la ruta con menor métrica que es la conectada
directamente. ¿Entonces para qué introducimos las 2 rutas? Por seguridad, porque en caso de
que la conexión entre el router A y el Switch A se pierda el router podrá usar la segunda
alternativa.

13
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Nos encontramos también con la ruta [Link]/8 por dos trayectos diferentes pero aunque
parece claro que lo mejor es usar la ruta por [Link] que la ruta por [Link] el router le
asigna la misma métrica ¿Por qué? Pues porque el router a todas las rutas estáticas que
introduzcamos, si no indicamos métrica, le asigna siempre 1. Para que use la ruta [Link]
como segunda alternativa tendríamos que indicar en la métrica 2 para esta ruta.
Podemos hacer una tabla de enrutamiento más pequeña, que también funcionará, aunque no
tenga la seguridad de la anterior:
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/8 GI0/0 - 0
Conectada [Link]/24 GI0/1 - 0
Conectada [Link]/8 GI0/2 - 0
Estática [Link]/8 GI0/2 [Link] 1
Estática [Link]/0 GI0/2 [Link] 1

Router B
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/8 GI0/0 - 0
Conectada [Link]/8 GI0/1 - 0
Estática [Link]/24 GI0/0 [Link] 1
Estática [Link]/24 GI0/0 [Link] 1
Estática [Link]/8 GI0/0 [Link] 1
Estática [Link]/8 GI0/0 [Link] 1
Estática [Link]/8 GI0/0 [Link] 1
Estática [Link]/0 GI0/0 [Link] 1

También podemos hacer una solución mínima:

Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/8 GI0/0 - 0
Conectada [Link]/8 GI0/1 - 0
Estática [Link]/24 GI0/0 [Link] 1
Estática [Link]/8 GI0/0 [Link] 1
Estática [Link]/0 GI0/0 [Link] 1

Router C
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/8 GI0/1 - 0
Conectada [Link]/8 GI0/2 - 0
Estática [Link]/24 GI0/2 [Link] 1
Estática [Link]/24 GI0/1 [Link] 1
Estática [Link]/8 GI0/1 [Link] 1
Estática [Link]/8 GI0/2 [Link] 1
Estática [Link]/8 GI0/1 [Link] 1
Estática [Link]/8 GI0/2 [Link] 1
Estática [Link]/0 GI0/1 [Link] 1
Estática [Link]/0 GI0/2 [Link] 1

14
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Si nos limitamos a poner una única ruta por cada red:

Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/8 GI0/1 - 0
Conectada [Link]/8 GI0/2 - 0
Estática [Link]/24 GI0/2 [Link] 1
Estática [Link]/8 GI0/1 [Link] 1
Estática [Link]/0 GI0/1 [Link] 1

Router D
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/8 GI0/2 - 0
Conectada [Link]/8 GI0/1 - 0
Estática [Link]/24 GI0/2 [Link] 1
Estática [Link]/24 GI0/2 [Link] 1
Estática [Link]/8 GI0/2 [Link] 1
Estática [Link]/8 GI0/2 [Link] 1
Estática [Link]/8 GI0/2 [Link] 1

En cuanto al acceso a la nube, dependerá de la configuración se puede optar por una ruta
estática:
Estática [Link]/0 GI0/1 [Link]/8 1

Aunque lo habitual es que las rutas públicas a la nube en un router de borde sean aprendidas
por el protocolo BGP de otros routers de borde.

b)
La configuración IP completa del equipo [Link]/8 tiene varias soluciones.
Respecto del DNS recordemos que puede ser cualquiera puesto que cualquier servidor DNS nos
realizará el trabajo que se pide traducir nombres en sus correspondientes IPs. Pero
evidentemente lo más razonables es indicar como DNS [Link] puesto que está dentro del
mismo sistema autónomo y, por tanto, el acceso supuestamente será más rápido.
Respecto de la puerta de enlace podemos optar por: [Link] [Link] [Link] [Link]. Las
tres primeras enviarán los paquetes a los routers A B y C respectivamente, estos buscarán en
su tabla de enrutamiento la ruta [Link] y enviarán a este destino los paquetes. Evidentemente
lo mejor será poner como puerta de enlace [Link] puesto que al final siempre acabarán aquí
los paquetes con destino al exterior.

Actividad 3.12: Una empresa tiene la estructura de red que se muestra a continuación, sale a
internet a través de la IP [Link].
La empresa decide utilizar enrutamiento estático para todo su estructura.
a) Realiza las tablas de enrutamiento de cada router. Indicar los comandos.
b) Realiza las tablas NAT de los routers-NAT.
c) ¿en qué equipo de los 4 del esquema sería más fácil alojar la web de la empresa?

15
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Router-NAT A
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/24 LAN - 0
Conectada [Link]/8 WAN - 0
Estática [Link]/0 WAN [Link] 1

Se trata de un router-NAT que tiene una tabla de enrutamiento que crea el firmware
directamente a partir de los parámetros que introducimos en su configuración (IP LAN:
[Link] IP WAN: [Link] Puerta de enlace: [Link])
¿Y cómo accede el router a la red [Link]/8? Pues al no estar la red en la tabla de
enrutamiento utilizará la ruta por defecto ([Link]), enviará los datos a su puerta de enlace
([Link]), esta puerta de enlace es un router que buscará en su tabla de enrutamiento la ruta
para la red [Link] (que como veremos un poco más adelante está en su tabla de
enrutamiento) y enviará los datos según le indique su tabla de enrutamiento.

En el caso de router-NAT, de tipo doméstico, se configuran habitualmente a través de interfaz

gráfica y no tiene mucho sentido indicar aquí comandos Cisco, como acabamos de comentar su
tabla de enrutamiento es “fija”, tiene 3 entradas que son las redes conectadas a sus interfaces
LAN y WAN, y la tercera que es la ruta por defecto.

Router-NAT B
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/8 LAN - 0
Conectada [Link]/8 WAN - 0
Estática [Link]/0 WAN [Link] 1

Seguimos el mismo razonamiento que en el router anterior.

16
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Router C
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/8 GI0/2 - 0
Conectada [Link]/8 GI0/1 - 0
Estática [Link]/8 GI0/2 [Link] 1
Estática [Link]/0 GI0/2 [Link] 1

En este caso no incluimos las redes privadas [Link]/8 ni [Link]/24 porque nunca se
accederá a ellas desde las redes públicas, se accede a las IPs públicas de los routers NAT (estos
buscarán en su tabla NAT que dispositivo hizo la consulta al exterior y le envía la respuesta
cuando la recibe)
Podemos también resumir las dos últimas rutas en una sola que sería la [Link]

Según el estándar de Cisco, los comandos introducidos serían:

RouterC>
RouterC>enable
RouterC#configure terminal
RouterC(config)#ip route [Link] [Link] [Link]

Router D
Tipo de IP siguiente
Red Interface Métrica
enrutamiento salto
Conectada [Link]/8 GI0/2 - 0
Conectada [Link]/8 GI0/0 - 0
Conectada [Link]/8 GI0/1 - 0
Estática [Link]/8 GI0/2 [Link] 1
Estática [Link]/0 GI0/1 [Link] 1

Según el estándar de Cisco, los comandos introducidos serían:

RouterD>
RouterD>enable
RouterD#configure terminal
RouterD(config)#ip route [Link] [Link] [Link]
RouterD(config)#ip route [Link] [Link] [Link]

b)
Las tablas NAT son tablas dinámicas que se construyen a medida que desde las redes locales
salen paquetes al exterior. No hay nada que realizar, dependerá de los accesos que realicen los
diferentes equipos al exterior.

c)
Sería posible alojar la web en cualquiera, pero en principio lo más lógico parece en [Link]
puesto que está más cerca de la salida y exponemos menos nuestra red al exterior, no
ocupamos ancho de banda hasta otros dispositivos más internos. En el router D crearíamos las
correspondientes ACL para evitar accesos desde el exterior a otros dispositivos de la red
empresarial, incluso podemos hacer un DMZ hacia la red [Link].
También podríamos usar los otros dispositivos. En el caso de [Link] y [Link]
tendríamos que abrir el puerto 80 en los routers NAT puesto que desde el exterior solo se
reconocen las IPs públicas de estos routers.

17
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Actividad 3.13: La empresa de la actividad 10 va a implantar progresivamente IPv6, para ello ha

adquirido la red [Link]/60. ¿Cómo plantearías el nuevo enrutamiento?

Al ser propietaria de una red /60, y teniendo en cuenta que las redes serán /64, hay 4 bits con
los que podrá crear hasta 24 redes, es decir, todas las combinaciones del último hexadecimal
del prefijo de red: [Link]/64 [Link]/64
[Link]/64 … [Link]/64.

La recomendación es simultanear los dos protocolos IPv4 e IPv6. Habrá dispositivo que trabajen
en ambos protocolos, dispositivos que no se podrán actualizar a IPv6 por estar desfasados y
dispositivos que solo trabajarán con IPv6.

Como en el esquema solo hay 5 redes un posible planteamiento será:

Respecto al enrutamiento, tendremos dos tablas de enrutamiento en cada router, una para los
paquetes IPv4 y otro para el IPv6.

Las tablas de enrutamiento de IPv4 ya las realizamos en su momento, para IPv6 serían:

Router A
Tipo de
Red Interface IP siguiente salto Métrica
enrutamiento
Conectada [Link]/64 GI0/0 - 0
Conectada [Link]/64 GI0/1 - 0
Estática ::/0 GI0/1 [Link] 1

Es decir, enviamos todos los paquetes (menos los destinos conectados) al router C.

Router B
Tipo de
Red Interface IP siguiente salto Métrica
enrutamiento
Conectada [Link]/64 GI0/0 - 0
Conectada [Link]/64 GI0/1 - 0
Estática ::/0 GI0/0 [Link] 1

18
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Router C
Tipo de
Red Interface IP siguiente salto Métrica
enrutamiento
Conectada [Link]/64 GI0/1 - 0
Conectada [Link]/64 GI0/2 - 0
Conectada [Link]/64 GI0/3 - 0
Estática [Link]/64 GI0/3 [Link] 1
Estática [Link]/64 GI0/2 [Link] 1

Para el acceso a internet podemos utilizar una ruta estática, aunque lo normal es que utilice
MBGP (Multiprotocol BGP) para aprender las rutas de otros routers de borde.
Estática ::/0 GI0/1 [Link] 1

Actividad 3.14: Realizar una ACL (siguiendo el estándar de Cisco) para bloquear el acceso a las
web [Link] y [Link] desde el PC1. Indicar los comandos Cisco correspondientes.

Para realizar el bloqueo hay que crear la ACL e indicar en que interface se va a aplicar.

Una solución sería:

De forma más esquemática, la ACL estaría compuesta por las siguientes reglas:

Origen Destino
Acción Protocolo Descripción
IP ó Red Puerto IP ó Red Puerto

Denegar [Link] - [Link] 80 TCP Bloquear PC1 a [Link]

Denegar [Link] - [Link] 80 TCP Bloquear PC1 a [Link]

Permitir Cualquiera Cualquiera IP Permitir el resto de accesos

En estas ACL se pueden bloquear los protocolos TCP-UDP (la capa de transporte), ICMP (ping)
o IP (todos, puesto que los protocolos anteriores se basan en esté). No se pueden bloquear
protocolos como HTTP o DNS, para bloquear estos protocolos tenemos que utilizar la
combinación del puerto + el protocolo de transporte que utilizan. Algunos puertos típicos son:
HTTP = TCP – 80
POP3 = TCP – 110
DNS = UDP – 53, también TCP – 53

19
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Comentando las reglas de nuestra ACL:

1. Denegar el protocolo TCP que salga con origen en [Link] (PC1) con destino al
puerto 80 del servidor [Link], en el puerto 80 está escuchando (esperando paquetes)
una aplicación servidora que responde a las peticiones de páginas web (normalmente
apache o iis).
¿Y no podíamos bloquear por el puerto de origen? Sí, pero es más complicado, el
puerto que usa el navegador (aplicación cliente para conectarnos a la web) varía, si
abrimos un navegador que usa normalmente el puerto 1500 y, de nuevo lo volvemos a
abrir tendrá que usar otro puerto puesto que el 1500 estaría ocupado.
2. Denegar el acceso TCP desde el PC1 al servidor [Link]:80, o sea, no poder visitar la
web.
3. Ya que la ACL solo tiene hasta ahora 2 denegación hay poner como tercera regla (a la
que llegarán los paquetes que no se ven afectados por las dos anteriores) que se
permite todo lo demás.

Ahora debemos indicar en que interface vamos a aplicar esta ACL y si en el tráfico de entrada o
en el salida. Teniendo en cuenta que el origen que hemos indicado es PC1 y destino 88… el
sentido es:

Por tanto, podemos aplicar la ACL en el tráfico de entrada de GI0/0 o en el tráfico de salida de
GI0/1, evidentemente es mejor en el tráfico de entrada de GI0/0 porque destruimos el paquete
de obligar al router a realizar el proceso de enrutamiento y, por tanto, lo descargamos de un
trabajo innecesario.

Según el estándar de Cisco, los comandos introducidos serían:

Router>
Router>enable
Router#configure terminal
Router(config)#ip access-list extended Bloqueo
Router(config-ext-nacl)#deny tcp host [Link] host [Link] eq 80
Router(config-ext-nacl)#deny tcp host [Link] host [Link] eq 80
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit
Router(config)#interface GI0/0
Router(config-if)#ip access-group Bloqueo in

Para identificar un equipo podemos poner: host [Link] ó [Link] [Link]

Para identificar cualquier equipo podemos poner: any ó [Link] [Link]
Para identificar la red [Link]/8 ponemos: [Link] [Link]

20
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Actividad 3.15: Realizar una ACL (siguiendo el estándar de Cisco) para bloquear el acceso desde
la red [Link]/8 al servidor [Link] y la descarga de archivos provenientes de [Link];
permitir el resto de accesos.

Para que una comunicación funcione es necesario que sea posible una petición de datos y
llegue la respuesta, por tanto, podemos bloquear los accesos en un sentido u otro. Para variar
vamos a hacer esta ACL bloqueando las respuestas (evidentemente es mejor bloquear las
peticiones para evitar trabajo innecesario):

Origen Destino
Acción Protocolo Descripción
IP ó Red Puerto IP ó Red Puerto

Denegar [Link] 21 [Link]/8 TCP Bloqueo descarga ficheros

Denegar [Link] [Link]/8 IP Bloquear respuesta de [Link]

Permitir Cualquiera Cualquiera IP Permitir el resto de accesos

La primera línea bloqueará las descargas de ficheros desde un servidor ftp (programa servidor
que escucha en el puerto 21) con destino a la red [Link]/8.
Si el paquete de datos no se ve afectado por esta primera línea se evaluará la segunda línea
para comprobar si es un paquete con origen en el servidor [Link] (sea cual sea la aplicación
que lo envía) con destino a la red [Link]/8.
Por último, si el paquete no está relacionado con los tráficos anteriores se deja pasar.

Ahora tenemos que indicar en que interface y en que tráfico (entrada o

salida se va a aplicar), como el origen es red exterior el sentido será el
mostrado en la imagen y por tanto, podemos aplicar la ACL en GI0/1 en
el tráfico de entrada o en GI0/0 en el tráfico de salida

Según el estándar de Cisco, los comandos introducidos serían:

Router>
Router>enable
Router#configure terminal
Router(config)#ip access-list extended BloqueoRed
Router(config-ext-nacl)#deny tcp host [Link] eq 21 [Link] [Link]
Router(config-ext-nacl)#deny ip host [Link] [Link] [Link]
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit
Router(config)#interface GI0/1
Router(config-if)#ip access-group BloqueoRed in

21
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Actividad 3.16: Realizar las siguientes ACL (siguiendo el estándar de Cisco) para:

a) Bloquear el acceso desde la red [Link]/24 al servidor [Link]

b) Bloquear el acceso desde el servidor [Link] a la red [Link]/24
c) Bloquear el acceso a la web de S2 desde el PC1

a)
Para realizar el bloqueo de la red [Link]/24 debemos recordar que la técnica NAT consiste
en sustituir las IPs privadas por la IP pública y enviar los paquetes con la IP pública, por tanto,
los únicos paquetes que van a pasar por el Router empresarial son con origen en la red
[Link]/8. A partir de esto una posible solución es:

Origen Destino
Acción Protocolo Descripción
IP ó Red Puerto IP ó Red Puerto

Denegar [Link] [Link] IP Bloquear router NAT a S1

Permitir Cualquiera Cualquiera IP Permitir el resto de accesos

Esta ACL se aplicaría en el tráfico de entrada de GI0/0.

b)
Aquí no hay que realizar ninguna ACL. El único tráfico que puede “entrar” en la red privada es
el tráfico de respuesta a peticiones realizadas desde la red privada (estas peticiones quedan
registradas en la tabla NAT a la espera de la respuesta), pero este tráfico ya está bloqueado
con la ACL anterior.

c)
Como estos dispositivos funcionan con IPv4 e IPv6 hay que realizar una ACL para cada
protocolo.

Para IPv6 sería:

Origen Destino
Acción Protocolo Descripción
IP ó Red Puerto IP ó Red Puerto

Denegar 2001::11 2000::88 80 TCP Bloquear acceso a web por IPv6

Permitir Cualquiera Cualquiera IPv6 Permitir el resto de accesos

Evidentemente los bloqueos TCP son de la capa transporte y, por tanto, son independientes del
protocolo que se usa en la capa de internet por lo que el puerto TCP sigue siendo el mismo.

Esta ACL (v6) podemos aplicarla a la vez que la ACL (v4) del apartado a) puesto que el sistema
las trata independientemente, así que, la aplicamos en el tráfico de entrada de GI0/0.

22
Planificación y Administración de Redes Manuel Castaño Guillén
A.S.I.R. on-line IES Suárez de Figueroa

Para IPv4 sería:

Origen Destino
Acción Protocolo Descripción
IP ó Red Puerto IP ó Red Puerto

Denegar [Link] [Link] 80 TCP Bloquear acceso a web por IPv4

Permitir Cualquiera Cualquiera IP Permitir el resto de accesos

Esta ACL no la podemos aplicar en el mismo lugar que la ACL (v4) del apartado a) pero
podemos aplicarla en el tráfico de salida de la interface GI0/1. También podemos optar por
crear una única ACL que incluya los bloqueos del apartado a) y c) y aplicarla en la interface
GI0/0 en el tráfico de entrada.

23