Configuración y administración básica de

routers.

Caso práctico
Félix es el socio de María y no le gusta nada la
Tecnología, es de la antigua escuela y cree que todo lo
que no esté en papel carece de valor. No le gusta saber
que toda la información está circulando por la red local y,
aunque reconoce que agiliza el trabajo también supone
un importante riesgo en cuanto a poner en juego la
confidencialidad de la información. El caso es que María
le ha convencido para reformar el sistema de trabajo pero
él no hace más que buscar defectos en la nueva Let Ideas Compete (CC BY-NC-ND)
organización y defiende la necesidad de que cada
trabajador de la empresa solo pueda acceder a los datos
y documentos para los que está autorizado, algo que ha visto que está comprometido con
el trabajo en red.

Juan le explica que ese tipo de situaciones ya han sido resueltas y que los routers que
van a utilizar son totalmente configurables y le asegura que la empresa ganará en
seguridad y confidencialidad de los datos. BK Sistemas Informáticos es una empresa
que cumple y hace cumplir la ley de protección de datos, como no podía ser de otro modo.

Los routers son dispositivos que operan en los niveles 1, 2, y 3 de

la arquitectura OSI . La característica principal del router es que es
capaz de comunicar redes que son totalmente diferentes a nivel 3, es
decir, son capaces de comunicar dos redes cuyas direcciones IP sean
totalmente diferentes y además encaminar los paquetes por la ruta
más óptima en ese momento. Tienen otra característica que los hace
muy útiles en redes de tipo LAN, permiten la comunicación de varias IP
de tipo privado a través de una única dirección IP pública, por lo que
permiten que varios usuarios utilicen una sola dirección de conexión a Angry Router (CC BY-SA)
Internet, esto se conoce como enmascaramiento de las direcciones
privadas (NAT).

Ministerio de Educación y Formación Profesional (Dominio público)

Materiales formativos de FP Online propiedad del Ministerio de Educación y

Formación Profesional.
Aviso Legal
1.- Los routers en las LAN y en las WAN.

Caso práctico
Cuando Félix estudia el presupuesto que BK Sistemas
Informáticos ha hecho para la instalación de la nueva red de
ordenadores de su empresa con la creación de diferentes
subredes, se pregunta el motivo por el que aparecen tantos
dispositivos y algunos idénticos. No es que desconfíe de Juan,
pero quiere conocer los detalles de la reforma y entender que el
gasto que supone para la empresa está debidamente justificado.

Al comentarlo con María, esta le dice que no tiene dudas, y que

tras informarse debidamente quiere crear una gran red local
dividida en subredes y que además contemple la prevención de
fallos y errores de cualquiera de los dispositivos, sin olvidar la
seguridad informática de los datos. Ella tiene claro que salir a Nate Steiner (CC0)
Internet desde cualquier puesto de la empresa es algo
imprescindible para todos los empleados y eso implica cierto riesgo que solo pueden
combatir con una adecuada configuración e instalación de la red.

En la actualidad se identifica con la palabra router a un dispositivo

que es capaz de enlazarnos con Internet ( router- ADSL), aunque
esta acepción no es estrictamente correcta. El dispositivo capaz de
“engancharnos” a Internet es aquel capaz de modular y demodular la
información para que pueda ser transmitida por el canal de
comunicaciones (red telefónica), el MODEM. Para expresarnos
correctamente diríamos que tenemos un router-modem cuando es
M0z4rt (CC BY-SA) router (es decir, tiene puertos LAN y WAN) y además es capaz de
modular o demodular (se puede conectar directamente a la red
telefónica).

Además, un router puede incluir la funcionalidad de un punto de acceso inalámbrico (AP), con lo
que nuestro router sería un router-modem-punto de acceso. Los ISP nos instalan un router-ADSL con
todas esta funcionalidades y nosotros lo llamamos router.

Un router básico tiene puertos de conexión LAN y un puerto de conexión WAN, además de un
pulsador que permite devolver al router a su configuración de fábrica (reset).

Chuzzwassa (Dominio público)

Un router básico es un dispositivo que:

Es capaz de comunicar una red LAN con una red WAN.

Es capaz de enrutar paquetes.
Tiene funcionalidad NAT.
1.1.- Routers en las LAN.
Un router es un dispositivo capaz de encontrar la mejor ruta en una red. Es capaz de establecer el
camino adecuado para que el paquete de información pueda pasar de una red a otra red.

En las redes LAN la función más recurrida es la de unirse a redes de forma colectiva, por ejemplo, una
LAN a una WAN, o una red LAN a otra LAN y esta a una WAN.

Aunque no tengamos la intención de conectar nuestra red LAN a Internet, podemos utilizar el router
como dispositivo para dividir nuestra red en diferentes dominios de difusión.

Alfonso Bonillo-Elab.Propia (Dominio público)

En la imagen anterior se puede ver como al introducir un router la red pasa de tener 3 dominios de
colisión a tener 4, disminuimos el tamaño de los dominios de colisión, y como pasamos de tener un solo
dominio de difusión a tener 2 dominios de difusión. Esto nos permite gestionar nuestra red como si
fueran dos redes diferentes conectadas entre sí, con ello conseguiremos tener menos colisiones, y
localizar los problemas será una tarea más sencilla.
Existen routers capaces de gestionar más de un tipo de dirección IP privada con lo que son
capaces de dar servicio a dos redes LAN totalmente diferentes.

Alfonso Bonillo-Elab.Propia. (Dominio público)

En la imagen anterior se puede ver como el router tiene configurados los puertos de manera que los PC
con dirección de red 192.168.1.0 y los que tienen dirección de red 10.0.0.0 acceden a Internet. Esta
cualidad no la tienen todos los routers, solamente los de gama alta.

Autoevaluación
Insertar un router en una red LAN es interesante porque:
Nos permite conectarnos a Internet.
 Nos permite generar un único dominio de colisión.
Nos permite dividir nuestra red LAN en dominios de difusión.
Nos permite aumentar el dominio de colisión.

Incorrecto. No todos los routers nos permiten conectarnos a Internet.

No, eso lo hace un concentrador.

Si, esta es la respuesta correcta.

No, lo que hace es generar más dominios de colisión más pequeños.

Solución

1. Incorrecto
2. Incorrecto
3. Opción correcta
4. Incorrecto
1.2.- Routers en las WAN.
Los routers en las redes WAN tienen como principal función enrutar los paquetes en la capa 3
del modelo OSI, y proporcionar los estándares necesarios de conexión a nivel físico y enlace en una
red WAN. Los protocolos con los que trabaja un router en una WAN difieren bastante de los protocolos
con los que trabaja en una LAN. Mientras que una LAN los routers se comunican con otros dispositivos
como ordenadores, hubs o conmutadores siguiendo el estándar Ethernet, en una red WAN se
comunican básicamente con otros routers y los estándares seguidos son muy variados.

Jean-Michel HAROUY (CC BY-SA)

Los protocolos y estándares utilizados en la red WAN son diversos y determinan los tipos de conexiones
que deben tener los routers empleados en dicha red.

Para saber más

Te sugiero una visita a este enlace donde encontrarás información sobre los protocolos
utilizados en la red WAN por los routers.

Protocolos utilizados en la red WAN

Los routers utilizan el sistema operativo de internetworking ( IOS) para ejecutar los archivos de
configuración. Los archivos de configuración contienen las instrucciones y los parámetros que controlan
el flujo del tráfico entrante y saliente de los routers, de esta forma, junto con los protocolos de
enrutamiento, se puede determinar la ruta óptima para los paquetes.

Entre los ejemplos de protocolos de enrutamiento se pueden incluir:

Protocolo de Información de Enrutamiento (RIP).

Protocolo de enrutamiento de gateway interior (IGRP).
Protocolo de enrutamiento de gateway interior mejorado (EIGRP).
Primero la ruta libre más corta (OSPF) e ISIS.
BGP (Protocolo de puerta de enlace fronterizo) y EGP (Protocolo de puerta de enlace externo).

Los protocolos de enrutamiento permiten que los routers conectados creen un mapa de comunicaciones
que permite que en cada momento se seleccione la mejor ruta, estos mapas forman parte de las tablas
de enrutamiento que manejan cada uno de los routers.
 Para saber más
Es interesante una visita a este enlace donde podrás encontrar información sobre los
protocolos de enrutamiento más importantes.

Protocolos de enrutamiento

Las conexiones WAN de los routers pueden ser muy variadas

dependiendo del tipo de comunicación, que puede ser, básicamente,
de tres tipos:

Línea dedicada.
Conmutación de circuitos.
Conmutación de paquetes.

Un router WAN puede tener muchas conexiones y de diversos tipos

como se puede observar en la imagen.

BetacommandBot (CC BY-SA)

2.- Componentes del «router».

Caso práctico
Laro explica a Jana las principales características del router que van
a configurar para la red; conexión inalámbrica, varios puertos LAN,
puerto WAN y configurable a través del puerto de consola. Después
de buscar en la página Web del fabricante las principales
características y los modos de configuración, a Jana le ha llamado la
atención que hagan referencia al tipo de procesador y la memoria
—¡Si parece que están vendiendo un ordenador en lugar de un
simple router!

Laro explica que actualmente son muy avanzados y están

preparados para alta disponibilidad con un funcionamiento continuo
de 24 horas durante los siete días de la semana y para garantizar el
Alain Bachellier (CC BY-NC- permanente funcionamiento de la red sus componentes deben ser
SA)
de primera calidad, algo que no se puede decir de todos los
modelos.

Los componentes básicos de un router son

prácticamente los mismos que los de un ordenador
personal; CPU, memoria, buses, distintas interfaces de
entrada/salida y fuente de alimentación.

CPU: Al igual que en los ordenadores personales,

es un microprocesador que ejecuta las
instrucciones del sistema operativo, la
inicialización del sistema, funciones de
enrutamiento y el control de las interfaces de red.
MEMORIA: La memoria está constituida por
memoria RAM, flash , ROM y memoria NVRAM
que son las responsables de la configuración del schoschie (CC BY)

equipo. Veamos las diferencias entre unas y otras.

RAM: Esta memoria se utiliza principalmente para gestionar el almacenamiento de las tablas
de enrutamiento y la configuración del router.
Flash: Almacena una imagen del software del sistema IOS. En el proceso de arranque, una
copia del IOS se transfiere a la memoria RAM.
NVRAM: Es una memoria RAM no volátil. Se utiliza para guardar la configuración de inicio.
ROM: Se utiliza para almacenar el diagnóstico del hardware durante el arranque del router y
para cargar el software IOS desde la memoria flash hasta la RAM.
BUS: Es el canal que comunica la CPU con los demás componentes del router y transporta los
datos y las instrucciones de control.
INTERFACES: De todos los componentes internos, es el único que se puede ver externamente.
Son el nexo de conexión del router con los demás dispositivos. Básicamente son tres:
LAN: Para conectar los dispositivos del lado de la red local.
WAN: Para conectar con otra red, la red extensa, Internet u otra red.
Consola: El puerto que se utiliza para acceder a la configuración del router vía línea de
comandos.
FUENTE DE ALIMENTACION: Es la parte que se encarga de suministrar la energía eléctrica
necesaria para el funcionamiento del router.
En la figura siguiente se pueden apreciar los distintos interfaces así como el interruptor y la conexión de
la fuente de alimentación.

ccardila (Todos los derechos reservados)

3.- Formas de conexión al «router» para su
configuración inicial.

Caso práctico
Al desembalar los dispositivos de comunicaciones para la nueva
red, Jana se dedica a leer las prestaciones que aparecen en la caja
de cada router. Cuando encuentra las posibilidades de
configuración observa que permiten su uso desde línea de
comandos utilizando SSH o Telnet. Ya tiene algo de experiencia con
los conmutadores, pero un router parece más complejo, seguro que
Laro sabe hacerlo.

Continúa sacando el contenido de cada caja y le llama mucho la

atención el tipo de cables y conectores que incluye, solo los ha visto
en fotografías al estudiar el tema en el Instituto y le hace mucha
ilusión poder utilizarlos.
Alain Bachellier (CC BY-NC-
SA)

La configuración es un proceso para el que es necesario unir nuestro

ordenador con el dispositivo utilizando los puertos LAN, auxiliares y de
consola disponibles en el router y que constituyen las interfaces de
administración más comunes. Como se vio anteriormente, de igual
forma que en los conmutadores, los routers se pueden configurar vía
web o vía línea de comandos. Es esta última la que entraña más
dificultades por lo que nos centraremos en ella.

Cuando se opta por el acceso vía línea de comandos utilizando el

puerto consola, la conexión física entre el ordenador y el router se
Mobius (Dominio público)
debe llevar a cabo con un cable que utilizará terminales de conexión
adecuados a los interfaces de los que disponga el router. Para ello, en
la actualidad existen varios adaptadores para los diferentes tipos de puertos, interfaces comunes son
los RJ45, DB-9 y DB-25. Existen cables con extremos RJ45 – DB9 que se proporcionan junto con el
router en el momento de la compra.
 Pries (CC BY-SA)

El cable de la figura anterior se utiliza para conectar a un router por el puerto consola y acceder a la
configuración del mismo, el extremo DB-9 se conecta al ordenador y el RJ45 al router.
En la actualidad existen muchos ordenadores que ya no incorporan el puerto DB-9, para solucionar esto
se utilizan adaptadores USB-DB9 para poder utilizar este tipo de cable.

El esquema de cableado entre los interfaces DB-9 y RJ45 es el que se puede apreciar en la siguiente
figura.

Alfonso Bonillo-Elab.Propia (Dominio

público)

En el caso de que optemos por la configuración vía web, la conexión entre el ordenador y el router se
realiza a través de uno del los puertos LAN y el cable utilizado es un cable de red Ethernet con interfaz
RJ45.
3.1.- Conexión al router vía puerto de consola.
Las tres formas más comunes para acceder al intérprete de comandos del IOS del router son por
el puerto de consola, por el auxiliar o por un puerto LAN con una sesión Telnet. Si es la primera vez
que se accede, es fácil acceder por el puerto consola. Para poder hacerlo, debemos utilizar un
programa para emular el terminal puerto serie (Hyperterminal, TeraTerm, CRT, PuTTY, Reflection,
minicom...) junto con un cable de administración como el descrito en el punto anterior.

La forma de conectar los dispositivos se hace mediante un puerto serie del ordenador al puerto consola
del router con el cable de administración.

La configuración de PuTTY para poder acceder al puerto consola del router sería la siguiente.

Alfonso Bonillo-Elab.Propia (Dominio público)

En la imagen anterior se puede observar como aparece el nombre COM1 que identifica al puerto serie
por el que se puede acceder y que la velocidad es 9600, es conveniente guardar con un nombre la
configuración de acceso de cada modo, en este caso la hemos guardado con el nombre
Acceso_Consola.

Al ejecutar la pantalla anterior nos llevaría a la línea de comandos donde nos pedirían un usuario y una
contraseña para acceder a la línea de comandos del IOS del router.

Autoevaluación
Si tenemos un router que está configurado con los valores de fábrica y deseamos
acceder a su configuración utilizando el puerto consola necesitamos:

Un cable de red directo con conexiones RJ45 en ambos extremos.

La dirección IP del router.

Un cable serie con una conexión RJ45 para el ordenador y una conexión DB-9 para
el router.

Un cable serie con conexión serie para el ordenador y una conexión RJ45 para el
 router.

No podemos conectar la consola a la tarjeta de red.

Incorrecto. En este caso no nos hace falta saber la IP.

No, el router si puede tener una conexión DB-9 pero para el ordenador el puerto debe
ser serie.

Si, el ordenador utiliza el puerto serie con un programa de emulación de terminal

para conectarse al puerto consola.

Solución

1. Incorrecto
2. Incorrecto
3. Incorrecto
4. Opción correcta
3.2.- Conexión al router vía SSH o Telnet.
Podemos acceder al router vía línea de comandos con los
protocolos Telnet o SSH utilizando las interfaces LAN.

En la figura anterior se puede ver un ejemplo de uso de router junto a

cablemodem, el PC se conecta al router a través de uno de los
puertos LAN (cable amarillo), el router a su vez está conectado al
cablemodem mediante el puerto WAN (cable gris), este tipo de
Tomás Fernández Escudero-Elab.Propia. (Uso
instalación permite que varios usuarios utilicen una única conexión a Educativo no comercial.)
Internet. En esta situación podemos acceder a la configuración del
router mediante SSH o Telnet, desde la línea de comandos o utilizando una aplicación como PuTTY.

Si utilizamos la línea de comandos, tecleamos “telnet” en el prompt y nos aparece una pantalla como
la de la imagen, en la que se nos requiere un nombre de usuario y una contraseña.

Una vez autentificados la pantalla de bienvenida puede variar con el fabricante del router pero en líneas
generales es como en la figura siguiente.

Tomás Fernández Escudero. (Uso Educativo

no comercial. )

En la imagen anterior se puede ver la secuencia de conexión con el usuario MSO (es un usuario por
defecto en este fabricante) y la transformación del prompt de la línea de comandos, adoptando el
nombre del router al que estamos intentando acceder (en este caso CG3100D). No todos los usuarios
tienen privilegios para conectarse mediante línea de comandos y esto depende de cada fabricante, por
lo que hay que consultar la documentación de cada dispositivo para conocer estos datos.

En la imagen siguiente se muestra el mismo proceso desde la shell de Linux empleando el protocolo
SSH.

Tomás Fernández Escudero. (Uso Educativo no comercial.)

Autoevaluación
Para acceder a la configuración de un router vía telnet, es necesario:

Un cable de red para conectarlo al puerto consola del router.

La misma conexión física que nos permite acceder vía web.

Solamente la IP del router.

A un router no se puede acceder vía telnet porque no es seguro.

No, el puerto consola utiliza un cable diferente.

Si, la conexión a un puerto LAN del router me permite utilizar telnet.

No, son necesarios, usuario, contraseña y una conexión física adecuada.

Falso, aunque no es seguro, si se puede acceder a la configuración con telnet.

Solución

1. Incorrecto
2. Opción correcta
3. Incorrecto
4. Incorrecto
3.3.- Conexión al router vía web.
La conexión al router a través de una página web es la más fácil de llevar a cabo por lo intuitivo y
amigable del interfaz con el usuario. Para utilizar esta opción es necesario conectar nuestro PC con el
router, así como conocer su IP y disponer de un navegador en nuestro sistema.

En la barra de direcciones de nuestro navegador se escribe la IP del router y si existe la conexión,

aparece un cuadro de texto donde se pide un usuario y una contraseña, tal como se muestra en la
figura siguiente.

Tomás Fernández Escudero. (Uso educativo no comercial. )

Una vez introducidos el usuario y la contraseña, accedemos a la página de configuración del router.

Tomás Fernández Escudero. (Uso educativo no comercial. )

En la imagen anterior se aprecia cómo se puede navegar a través de menús (parte izquierda) para
configurar los distintos parámetros del router. Cada fabricante ofrece una vista diferente pero en
todos los casos se pueden configurar prácticamente los mismos parámetros.
El acceso vía web, como otros, se puede realizar de manera inalámbrica si el router soporta esta
funcionalidad. Esto implica la conveniencia de configurar el usuario y la contraseña del administrador
del router de manera que sean diferentes a los valores de fábrica ya que de lo contrario cualquier
persona en el radio de acción del router podría acceder a su configuración.

Los usuarios y sus claves junto con sus privilegios, son parámetros de gran importancia en la
configuración de un router. Además, también debemos conocer que muchos routers poseen otros
usuarios con los que se puede acceder a su configuración, diferentes a los usuarios que se nombran
en las instrucciones de manejo que acompañan al dispositivo cuando lo adquirimos. Un ejemplo de
esto, lo constituyen los routers NETGEAR, que poseen los usuarios NETGEAR_SE, superuser, MSO,
además del usuario admin (no en todas sus versiones de firmware).

Es curioso que el usuario MSO permite algunas funcionalidades que no tiene el usuario admin, con este
usuario podemos habilitar la administración remota de nuestro enrutador y si no cambiamos la
contraseña de este usuario estamos dejando una puerta abierta que hará más débil a nuestro sistema.
3.4.- Modos de operación.
El router puede funcionar en diferentes modos de operación. En cada uno de ellos se tienen
privilegios diferentes. Aunque podría cambiar de un fabricante a otro, en general nos podremos
encontrar con:

Modo EXEC usuario.

Modo EXEC privilegiado.
Modo de CONFIGURACIÓN GLOBAL.
Modo de CONFIGURACIÓN ESPECÍFICO.

En cada uno de estos modos, el prompt de la línea de comandos es diferente:

Router> Estamos en el modo EXEC usuario.

Router# Estamos en el modo EXEC privilegiado.
Router(config)# Estamos en el modo de configuración global.
Router(config-X)# Estamos en el modo de configuración específico X.

Al conectarnos al router lo hacemos en modo EXEC usuario, para pasar al modo privilegiado
emplearemos el comando enable. En cualquiera de los dos modos podremos consultar parámetros, si
queremos cambiar la configuración tendremos que pasar al modo de CONFIGURACION tecleando la
orden config. Para acceder a la configuración de un parámetro específico del router teclearemos una
orden relacionada con ese parámetro desde el modo de CONFIGURACION (interface para pasar al
modo config-if y poder configurar parámetros de las interfaces de red).

El siguiente gráfico representa el paso de un modo a otro y las órdenes más comunes que se emplean
para ello.

Tomás Fernández Escudero. (Uso educativo no comercial.)

En la imagen anterior se observa como a medida que cambiamos de modo de operación, cambia la
apariencia del prompt de la línea de comandos. En este caso se ha llegado al modo de configuración
específico de la interfaz de red (cuadro de color verde).

Para retroceder al modo anterior o incluso salir de un modo se utilizan órdenes como:

CTRL+Z.
EXIT.
QUIT.
DISABLE.
END.
4.- Comandos para configuración del «router».

Caso práctico
Una vez que, con la ayuda de Jana, Laro ha instalado y conectado
el router en el despacho que comparten María y Felix, procede a
realizar la configuración correcta para que puedan acceder a
cualquier de las subredes y puedan gestionar correctamente la
concesión de permisos y accesos, porque una de las principales
tareas que tendrán que asumir será la de incorporar usuarios de la
red con las credenciales apropiadas para su trabajo dentro de la
empresa.

Es un trabajo que Laro ya ha realizado en otras ocasiones, pero

nunca había utilizado este tipo de routers y está algo nervioso ante
este nuevo reto. Juan le ha recomendado el uso de la línea de
comandos para la llevar a cabo la configuración porque le va a Alain Bachellier (CC BY-NC-
SA)
resultar más fácil seguir sus indicaciones, aunque desconozca las
órdenes exactas.

El primer paso para conocer los comandos de configuración del router

es saber que parámetros queremos o podemos cambiar. Los
parámetros configurables dependen del tipo de router, al igual que en
el caso de los conmutadores, se hará referencia a los parámetros más
comunes.

En cualquiera de los casos también se tiene la ayuda de la línea de

comandos, tecleando ? o help, se nos ofrece un listado de todos los
comandos disponibles. Wolftsk (CC BY-SA)

Los parámetros configurables más comunes de un router son:

Nombre del router.

Contraseñas.
De la consola.
De los terminales virtuales (telnet, ssh).
Del modo privilegiado (enable).
Características de interfaces.
Protocolos de enrutamiento.

Para poder configurar un parámetro del router hay que seguir los siguientes pasos:

Conectarse al router (ssh, telnet, web).

Acceder al modo EXEC privilegiado.
 Acceder al modo CONFIGURACIÓN global.
Acceder al modo CONFIGURACIÓN específico.

El parámetro más sencillo de cambiar puede ser el nombre del router. Para ello seguiremos la siguiente
secuencia de órdenes partiendo del modo EXEC usuario:

Router>enable
Router#configure terminal
Router(config)#hostname PAR
PAR(config)#

En este caso no ha sido necesario el acceder al modo de configuración específico porque el comando
hostname se puede ejecutar desde el modo de configuración global. Se puede observar como después
de cambiar el nombre del router el prompt cambia y muestra el nuevo nombre.
4.1.- Configuración de contraseñas.

Las contraseñas que se pueden establecer en un router permiten restringir el

acceso a la línea de comandos y así impedir la modificación de parámetros al
personal no autorizado. Según el tipo de acceso al router se pueden distinguir los
siguientes tipos de contraseñas:

JordanKyser22 (CC BY-SA)

Contraseña de acceso a consola.

Contraseña de acceso a Terminal Virtual Telnet.
Contraseña de acceso a modo privilegiado.
Contraseña secreta de acceso al modo privilegiado.

Establecer una contraseña de acceso a consola significa establecer una contraseña de inicio de
sesión para el terminal de la consola. Para ello utilizaremos la siguiente secuencia de órdenes:

Router>enable
Router#configure terminal
Router(config)#line console 0
Router(config-line)#password par04consola
Router(config-line)#login

Con las órdenes anteriores se ha establecido la contraseña par04 para poder iniciar una sesión de
consola, se utiliza el 0 para designar la conexión de consola del router y la palabra login para que se
pida la contraseña al usuario antes de permitir la conexión.

De manera análoga podemos repetir el proceso para establecer la contraseña en el inicio de sesión de
Telnet, variando algún comando:

Router>enable<br>
Router#configure terminal<br>
Router(config)#line vty 0 4<br>
Router(config-line)#password par04telnet
Router(config-line)#login

Se utilizan los valores 0 y 4 porque el router admite hasta cinco sesiones telnet simultáneas.

Para el acceso al modo privilegiado podemos utilizar dos tipos de contraseñas enable password y
enable secret. Es conveniente utilizar siempre enable secret, ya que a diferencia de enable password, la
contraseña estará siempre cifrada. Para establecer la contraseña de acceso al modo privilegiado se
utiliza:

Router>enable
Router#configure terminal
Router(config)#enable password par04pass

Para establecer la contraseña secreta de acceso al modo privilegiado se hará de manera análoga:

Router>enable
Router#configure terminal
Router(config)#enable secret par04secreta
4.2.- Configuración de interfaces.
Las interfaces más comunes son las de tipo Ethernet y serie,
aunque como se ha visto existen más tipos. Una interfaz se puede
configurar desde la consola o a través de una línea de terminal virtual.

A cada interfaz activa se le debe asignar una dirección IP y la

correspondiente máscara de subred.

Los routers utilizan números para distinguir entre los diferentes

interfaces del mismo tipo. Los números de interfaz pueden ser uno,
dos o tres separados por barras inclinadas.
shokai (CC BY)

PAR04(config)#interface ethernet 0
PAR04(config)#interface fastethernet 0/1
PAR04(config)#interface serial 1/0/1

Las tres órdenes anteriores son ejemplos de las distintas formas de identificar a los interfaces con
números. El que se utilice más de un número para identificar a las interfaces, está justificado porque
algunos routers tienen tarjetas que tienen una o dos ranuras para los adaptadores de puerto, cada
adaptador puede tener una o más interfaces ( slot/adaptador/puerto).

En el ejemplo anterior (interfaz serie 1/0/1) se estaría identificando a la interfaz tipo serie que está en la
ranura 1, el adaptador 0 y el puerto 1.

Existen comandos que nos permiten listar las interfaces de un router.

PAR04# show ip interface brief

Si es necesario mostrar las estadísticas completas de las interfaces emplearemos:

PAR04#show interfaces
PAR04#show interfaces serial 0/1

Con la primera orden se muestran las características de todas las interfaces, con la segunda orden
solamente las estadísticas de la interfaz tipo serie definida con 0/1 (número de puerto/ ranura de
interfaz).
A parte de números, los routers también emplean otros códigos para identificar a las interfaces. Uno de
ellos es la combinación de letras y números.

E0 para el primer puerto Ethernet.

E1 para el segundo puerto Ethernet.
S0 para el primer puerto Serie.

Una vez identificada la interfaz se procede a configurar los parámetros de la misma. El prompt de
nuestro router pasaría a tener el siguiente aspecto:

PAR04(config-if)#

En esta situación se configurarán los parámetros relativos a:

Direcciones IP.
Tipo de velocidad.
Tipo de comunicaciones DUPLEX.
4.3.- Configuración de las direcciones.
La configuración de direcciones en los puertos de un router
implica que antes se haya identificado ese puerto y a continuación
se emplee el comando que permite la asignación de direcciones.

Jda (CC BY-SA)

PAR04#config
PAR04(config)#interface serial 1/1
PAR04(config-if)#ip address 192.168.150.2 255.255.255.0
PAR04(config-if)#no shutdown
PAR04(config-if)#CTRL-Z
PAR04#

Las órdenes anteriores asignan una dirección al puerto serie 1/1 utilizando el comando “ip address”. Se
emplea el comando “no shutdown” para asegurar que el interfaz no está en estado down.

Para comprobar la configuración se emplea el comando show.

PAR04#show interface serial 1/1

Si el router que se está configurando forma parte de una red donde existe un servidor DHCP, se
pueden configurar las interfaces de manera que obtengan la dirección IP de forma automática.

PAR04(config-if)#ip address dhcp

La configuración DHCP no es recomendable para routers que actúan en redes locales, pero sí muy útil
cuando es un router que está conectado a Internet. Si se utiliza este tipo de configuración, es posible
elegir qué tipo de parámetros se deben configurar de manera automática.
 PAR04#configure terminal
PAR04(config)#interface FastEthernet0/1
PAR04(config-if)#no ip dhcp client request dns-nameserver
PAR04(config-if)#end
PAR04#

En el código anterior se puede ver como se especifica que no se desea que se obtengan los parámetros
de configuración DNS del servidor DHCP.
 Autoevaluación
La orden que me permite listar todas las interfaces que tiene el router:

PAR04#configure terminal

PAR04#show interfaces serial 0/1.

PAR04#show

PAR04#show ip interface brief.

No, esta orden se utiliza para poder pasar al estado de configuración.

No, con esta orden solamente listamos la interfaz serie 0/1.

No, este comando debe ir acompañado de más parámetros.

Si, si traducimos del inglés al castellano “muestra el informe de las interfaces”.

Solución

1. Incorrecto
2. Incorrecto
3. Incorrecto
4. Opción correcta
4.4.- Configuración de la velocidad y dúplex.
Las interfaces de un router pueden soportar diferentes velocidades. Las
velocidades más comunes son 10 Mbps (Ethernet), 100 Mbps (Fast Ethernet) o
1 Gbps (Gigabit Ethernet).

Por defecto, todos los dispositivos pueden negociar automáticamente la

configuración dúplex y la velocidad con el dispositivo conectado. Por otra
parte se pueden escoger diferentes combinaciones entre las velocidades y los
modos de comunicación dúplex y establecerlos de manera manual.

Un ejemplo de configuración automática para la velocidad y el modo dúplex es:

Diego Martín. (CC BY-ND-NC)

PAR04#configure terminal
PAR04(config)#interface FastEthernet0/1
PAR04(config-if)#duplex auto
PAR04(config-if)#speed auto
PAR04(config-if)#end

Si por necesidades de la instalación se desea configurar la velocidad y el modo dúplex con valores
distintos a los de autonegociación se puede hacer de la manera siguiente:

PAR04#configure terminal
PAR04(config)#interface FastEthernet0/18
PAR04(config-if)#speed 100
PAR04(config-if)#duplex full
PAR04(config-if)#end

Con los comandos anteriores se especifica la velocidad 100 y el modo dúplex para la interfaz 0/18. Las
combinaciones entre el modo dúplex y la velocidad están limitadas para los routers y las instalaciones
en las que estos convivan con más dispositivos.

Configuraciones.

MODO DUPLEX VELOCIDAD RESULTADO

Duplex half o duplex Negocia automáticamente la velocidad y los modos

Speed auto
full dúplex

Duplex half Speed 10 10 Mbps y half dúplex

 Duplex full Speed 10 10 Mbps y dúplex completo

Duplex half Speed 100 100 Mbps y half dúplex

Duplex full Speed 100 100 Mbps y dúplex completo

Estas combinaciones pueden cambiar dependiendo del firmware del router por lo que será conveniente
leer las especificaciones técnicas de cada router antes de intentar configurar este tipo de parámetros.

Autoevaluación
En la configuración de un router utilizamos la línea:

R1(config-if)#no shutdown

No reiniciar el router hasta que no hayamos terminado de configurar.

Para especificar la configuración de las interfaces en estado down.

Para asignar el estado down a una interfaz y así activarla.

Para asegurarnos de que la interfaz está en estado contrario al down.

No, la orden shutdown se emplea para especificar el estado de la interfaz.

No, para especificar la configuración se emplea otra orden.

No, una interfaz en estado down no está activada.

Si, porque orden shutdown se emplea para poner la interfaz en estado down.

Solución

1. Incorrecto
2. Incorrecto
3. Incorrecto
4. Opción correcta
5.- Comandos para administración del «router».

Caso práctico
Jana está entusiasmada con la configuración de router. Le parece
increíble la destreza de Laro ante la terminal de línea de comandos
y le comenta lo bien que domina el sistema linux. Laro la mira
sorprendido y le explica que está trabajando sobre el sistema
operativo propio del router, que desde luego no domina porque es
la primera vez que está utilizando. No obstante le comenta que ya
ha utilizado otros similares y las diferencias son pocas,
básicamente hay que conocer los comandos de comunicaciones,
los de gestión de usuarios, y unos pocos de configuración.

Finalmente sonríe y confiesa que todos los pasos los tiene

preparados en la documentación que le ha facilitado Juan para la
Alain Bachellier (CC BY-NC-
configuración que debe realizar, según las necesidades de los SA)
clientes y cómo van a utilizar la red, porque todo se reduce a eso, a
ser capaces de conseguir que todo funcione como debe.

La diferencia entre configurar y administrar es débil en muchas

ocasiones y esta es una de ellas. Cuando se habla de configurar un
router se hace referencia a todo tipo de comandos sin distinguir si es
una labor de configuración o de administración. En el punto 4 se han
expuesto los comandos utilizados para la configuración de los
parámetros más básicos del router, algunos de estos comandos se
incluyen en la parte de administración en muchas publicaciones. Se
puede decir que configurar un dispositivo es dotarle de las Coyote Point (CC BY-NC)
características básicas para poder arrancarle y administrar el
dispositivo es todo lo demás (como se hace con los sistemas
operativos), se hace casi imposible establecer diferencias relevantes.

Puesto que en los puntos posteriores se tratarán comandos relativos al enrutamiento y al diagnóstico de
incidencias, en este punto se tratará algún comando diferente a los vistos en el punto 4 y a los que se
verán en los puntos 6 y posteriores de esta unidad.

Recomendación
Es importante que repases bien la unidad relativa a la configuración de los conmutadores
puesto que los comandos utilizados en los conmutadores se utilizan también en la CLI
de los routers con muy pocas variaciones.

Un comando que sirve para emitir un mensaje por parte del administrador del sistema es el comando
denominado “mensaje del día”:
 PAR04#configure terminal
PAR04(config)#banner login#
Hola mundo#
PAR04(config)#Ctrl+z
PAR04#

El comando show se emplea en la detección de fallos de funcionamiento pero también tiene su utilidad
para poder ver la configuración actual del router:

PAR04#show running-config
PAR04#show version
PAR04#show startup-config

Si se quiere hacer una copia de seguridad de la configuración actual del router para que se ejecute en el
siguiente reinicio del dispositivo se emplea:

PAR04#copy running-config startup-config

Para mostrar las rutas IP conocidas por el router, que es la tabla más importante que utiliza el router
para enviar paquetes, se utiliza:

PAR04#show ip route
5.1.- Ancho de banda y velocidad de reloj en los
interfaces serie.
Como ya has visto, las interfaces Ethernet utilizan una
velocidad o varias (número determinado) que puede
autonegociarse.

Los enlaces con la red WAN tipo serie pueden funcionar

también a varias velocidades (rango muy amplio). Para poder
trabajar con un abanico mayor de velocidades los routers
utilizan un proceso denominado clocking o temporización. Este
proceso hace que la velocidad del router se sincronice con la
velocidad del CSU/DSU.

Con este mecanismo los routers pueden utilizar los enlaces sin
que sea necesaria una autonegociación para detectar la
velocidad. La CSU/DSU es la que conoce la velocidad y le
Geek2003 (CC BY-SA)
envía las órdenes al router para que este modifique su
velocidad de comunicación.

Los routers utilizan dos comandos para configurar la velocidad del enlace WAN conectado a una interfaz
serie clock rate y bandwidth:

PAR04(config-if)#clock rate 256000

PAR04(config-if)#bandwidth 256

El comando clock rate establece la velocidad en bps, bandwidth indica al router la velocidad del enlace
en Kbps pero no cambia la velocidad. El router utiliza este parámetro en cálculos relacionados con los
protocolos de enrutamiento como OSPF, para establecer la métrica y así poder encontrar la
mejor ruta hasta el destino.

Cada interfaz del router tiene una configuración predeterminada del comando bandwidth que coincide
con la velocidad por defecto de la línea conectada a Internet, por ejemplo, 1555 Kbps para las líneas
T1.

Estos dos parámetros solamente se deben configurar en los routers que hagan de DCE (DCE es un
modem o CSU/DSU que convierte los datos de usuario del DTE en una forma para transmitir vía WAN).

Si en la red existiera más de un router hay que determinar quién es el DCE (equipo de comunicaciones)
y quien el DTE, la razón está en que el que actúe como DCE es el encargado de establecer el
sincronismo de la comunicación y es en este en el que se configurará la velocidad del enlace con el
comando clock rate.

Autoevaluación
En un red local con conexión a Internet donde tengo más de un router, he realizado
una conexión vía telnet a uno de los routers y accedido a la CLI. En un momento
dado he tecleado las siguientes órdenes:

PAR04(config-if)#clock rate 128000

Al ejecutar la orden, el router me ha respondido con un mensaje de error.
Es normal, puesto que la orden clock ha de teclearse cuando el prompt es
PAR04(config).

El error se produce porque se está intentando configurar la interfaz de un router que

no es el DCE.

Significa que se está intentando configurar un interfaz serie con clock rate y eso es
un error.

El router que estoy configurando es un DCE y por lo tanto es imposible utilizar clock
rate.

No, esta orden es específica de la configuración de la interfaz, esta no es la razón.

Correcto, clock rate se emplea en las interfaces de routers DCE.

No, clock rate se emplea en la configuración de la velocidad las interfaces serie.

Falso, clock rate se emplea en DCE para establecer los bps de la comunicación.

Solución

1. Incorrecto
2. Opción correcta
3. Incorrecto
4. Incorrecto
5.2.- Actualización de la IOS.
Los routers almacenan copias del IOS en una memoria de tipo flash que permite que se puedan
conservar los archivos cuando el router está apagado.

El comando que permite que se puedan copiar los archivos que componen el IOS es copy. Todos los
routers deben tener almacenada en un servidor o en otro tipo de soporte una imagen de esta
IOS. Para copiar esta imagen en la memoria flash se utiliza...

PAR04#copy tftp flash

Con este comando se copian los archivos de un servidor TFTP accesible desde el router. Una vez
hecha esta copia se puede ver el contenido de la memoria flash utilizando el comando show.

PAR04#show flash

Tomás Fernández Escudero. (Uso educativo no comercial. )

En la imagen anterior se puede observar como el router copia el IOS de un servidor tftp cuya dirección
es 192.168.119.20. El archivo que se va a copiar es el C2600-js-l_121-3.bin, se ve como antes de
copiar el archivo a la memoria flash, esta, se borra y que toda la operación se hace a través de una
interfaz de tipo FastEthernet.

Una vez actualizada la memoria flash se puede ejecutar el comando show para verificar el estado de la
memoria, así como el archivo IOS almacenado.
 PAR04#show flash

La salida de este comando sería algo así:

System flash directory:

File Length Name/status
1 10084696 C2600-js-l_121-3.bin
[10084696 bytes used, 6692456 available, 16777216 total]
16384K bytes of processor board System flash (Read ONLY)

Se pueden ver datos como el nombre del archivo IOS (C2600-js-l_121-3.bin), el tamaño de la memoria
flash y su porcentaje de uso y disponibilidad.
5.3.- Comandos setup y boot system.
El modo setup permite la configuración básica del router de manera interactiva, respondiendo a
preguntas sencillas desde la línea de comandos. Para entrar en el modo setup:

PAR04#enable setup

En la imagen se puede ver lo que sucede cuando se ejecuta el comando setup.

Se aprecia el estado del prompt de la línea de comandos antes y después de

ejecutar el comando.

También se pueden ver las preguntas que el sistema formula y que el usuario
contesta. Todas ellas son relativas a la configuración de parámetros básicos del
router.

Tomás Fernández
Escudero. (Uso educativo
no comercial. )

Nombre del router.

Enable secret.
Enable password.
Contraseña del terminal.
Dirección IP y máscara de red de la interfaz.

La configuración escogida se escribe en el archivo startup-config y running-config.

Los comandos boot system se utilizan para poder especificar el nombre y la ubicación de la imagen IOS
que se debe cargar.

PAR04(config)#boot system flash[nombre_archivo]

El comando anterior le indica al router que debe arrancar utilizando la IOS que está ubicada en la
memoria flash.

Si se quiere indicar al router que utilice la IOS que está almacenada en la memoria ROM.
 PAR04(config)#boot system rom

Al igual que el comando copy, el comando boot system puede indicarle al router que utilice la IOS
almacenada en un servidor TFTP.

PAR04(config)#boot system tftp archivoIOS 192.168.1.111

Con la orden anterior se le ha indicado al router que utilice el archivo archivoIOS que se encuentra en
el servidor 192.168.1.111.

Bill Abbott (CC BY-SA)

6.- Configuración del enrutamiento estático.

Caso práctico
Cuando Juan se presenta, Laro y Jana, ya han terminado con la
configuración que les había pedido hacer y comienza a realizar
una serie de comprobaciones que le van a permitir detectar
posibles fallos. Pero todo está en orden y el análisis es todo un
éxito, por lo que les felicita y anima a seguir realizando el trabajo
con seriedad.

Jana es consciente de la cantidad de cosas que se pueden hacer

en el router utilizando los comandos de configuración y
administración. Juan le explica que eso requiere estudiar
cada router, eso es precisamente lo que él ha estado haciendo
mientras ellos instalaban y hacían una primera configuración
Jonny Goldstein (CC BY)
del router. Le explica que ahora es su turno, que debe configurar
el que debe ser el enrutamiento y le pide que le acompañe para
ver cómo configura las tablas de enrutamiento.

El objetivo principal del router es encontrar la mejor ruta para los

paquetes que los atraviesan. Para conseguir esto se ayudan de las
tablas de enrutamiento IP.

Las tablas de enrutamiento se construyen por dos métodos:

ManuelSagra (CC BY)

Por aprendizaje.
Por inserción manual de registros a través de la línea de comandos.

Para que el router lleve a cabo la labor de enrutamiento debe tener una configuración básica:

Las interfaces tendrán una dirección IP y una máscara de red.

Las interfaces deberán estar en estado up.

Para que el enrutamiento sea correcto, un router tendrá en su tabla, como mínimo, tantos
registros como redes a las que esté conectado directamente a través de sus interfaces. Después
de la configuración, ya sea por aprendizaje (dinámica) o por inserción manual de registros, la tabla
tendrá tantos registros como redes quieran ser accesibles desde el router, aunque no tengan conexión
directa con sus interfaces y lo tengan que hacer a través de otros routers.

Se puede decir que para llegar a New York desde Santander tenemos que ir a Madrid si especificamos
el aeropuerto de Madrid como interfaz, pero también podemos decir que el interfaz de comunicación es
Vigo si utilizamos su puerto marítimo. Y también podríamos decir que New York está directamente
conectado con Santander si utilizamos el puerto marítimo de Santander. Por lo tanto, si nos
encontramos en Santander y queremos establecer una tabla de comunicaciones, primero tendríamos
que tener claro qué destinos queremos y después trazar las mejores rutas valorando todos los
parámetros.

En los routers, el comando show ip route, muestra las redes a las que el router está conectado.

PAR04#show ip route

La salida de este comando tiene el aspecto siguiente:

192.168.1.0 conectado FastEthernet 0/0

192.168.2.0 conectado Serial 0/1/0
192.168.3.0 conectado Serial 0/0/1

Se puede observar como la información proporcionada está constituida por la dirección de red
accesible, o con la que el router está conectado y la interfaz a través de la que se tiene esa conexión.
6.1.- Rutas estáticas.
El concepto de ruta estática se utiliza para señalar que el registro que se ha introducido en la tabla
de enrutamiento se ha establecido de manera manual, que no lo ha adquirido la tabla por
aprendizaje utilizando un protocolo de enrutamiento dinámico.

Para poder crear una ruta estática se emplea el comando ip route.

PAR04#configure terminal
PAR04(config)#ip route 192.168.4.0 255.255.255.0 192.168.1.40
PAR04(config)#ip route 192.168.3.0 255.255.255.0 192.168.1.30

Con las órdenes anteriores se ha establecido la ruta para llegar a las redes 192.168.4.0 y 192.168.3.0
por las interfaces 192.168.1.40 y 192.168.1.30.

Tomás Fernández Escudero. (Uso educativo no

comercial.)

Para realizar el enrutamiento de una red utilizando rutas estáticas, se deben configurar las rutas en
todos los routers que intervienen en la red. Por esta razón, cuando las redes son muy grandes se
deben emplear protocolos de enrutamiento dinámico.

En el ejemplo anterior, al crear la ruta estática hacia la red 192.168.3.0, es imprescindible que el router
que está directamente conectado a esa red tengo en su tabla de enrutamiento definida la esa ruta
porque de lo contrario el paquete se perdería. La solución pasaría por configurar un protocolo de
enrutamiento dinámico y esperar a que los routers aprendieran el entorno que les rodea y crearan todas
las tablas de enrutamiento con todas las rutas o crear en R3 una nueva ruta estática.

R3#configure terminal
R3(config)#ip route 192.168.3.0 255.255.255.0 192.168.3.1
Siendo 192.168.3.1 la dirección IP de la interfaz de R3 que está directamente conectada a la red
192.168.3.0.

Autoevaluación
¿Siempre es necesaria la configuración de rutas estáticas en un router?

Si, son imprescindibles en todos los routers.

No, se utiliza cuando no tenemos una ruta en la tabla y conocemos como alcanzarla.
Si, es la única manera de que la tabla tenga todas las rutas posibles de la red.
No, además es una técnica que no se usa nunca.

No, solamente si no está configurado un protocolo dinámico.

Si, es un recurso para completar la tabla de enrutamiento y evitar la pérdida de

paquetes.

No es cierto, hay otras formas de completar la tabla con protocolos dinámicos.

Falso, esta técnica se sigue usando aunque la mayoría de las empresas utilicen
solamente protocolos dinámicos.

Solución

1. Incorrecto
2. Opción correcta
3. Incorrecto
4. Incorrecto
6.2.- Rutas predeterminadas.
Una ruta predeterminada es una ruta que se asigna a un paquete cuando no se conoce la dirección
IP de destino y no podemos establecer la ruta adecuada.

En un router se puede hacer básicamente tres tipos de configuraciones para establecer las rutas de los
paquetes:

Configurar rutas estáticas.

Habilitar protocolos de enrutamiento dinámico.
Añadir una ruta predeterminada.

El mecanismo que emplean los routers para saber el

destino de un paquete de datos es comparar la IP destino
del paquete con las direcciones de la tabla de
enrutamiento. Si se encuentra alguna coincidencia se envía
el paquete por el interfaz que determina la tabla, si no se
encuentra ninguna coincidencia se puede llegar a descartar el
paquete y perderse.

Una solución al problema anterior es la configuración de rutas

predeterminadas. Esto se consigue haciendo que todos los
paquetes que deban salir del router utilicen la misma interfaz,
por supuesto, lo que pase a partir de esa interfaz es un
problema diferente; generalmente se conoce de antemano
que esa interfaz es capaz de proporcionar el servicio que le
estamos requiriendo.

Se podría realizar un símil con las vías del tren, de una

estación salen varias vías pero todas se reúnen al final en la RedEagle (Dominio público)

vía principal que es la que sale de la ciudad, a las afueras de

la ciudad habrá más intersecciones pero nuestra labor (sacar el tren de la estación y de la ciudad) ya
está hecha.

Para crear una ruta predeterminada emplearemos el comando ip route de la manera siguiente:

PAR04(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.20

Con esto se consigue que el router envíe todos los paquetes por la interfaz 192.168.1.20. Si utilizamos
el comando show ip route recibiremos en pantalla:

192.168.1.0/24 directamente conectado, FastEthernet0/0

 0.0.0.0/0 via 192.168.1.20

Este mensaje significa que nuestro router está conectado directamente con la red 192.168.1.0 y que los
paquetes que lleven una dirección de destino que no coincida con ningún registro de la tabla se
enviaran a la interfaz 192.168.1.20.
7.- Diagnóstico de incidencias del «router».

Caso práctico
Parece que todo funciona correctamente, pero Jana ve que Juan
no deja de hacer pruebas y comprobaciones utilizando
herramientas informáticas que ella desconoce, aunque alguna de
ellas ya vio manejarla a Vindio, pero Juan las utiliza principalmente
mediante comandos muy extraños.

Juan sabe lo que hace y le va explicando cada paso que da para

descubrir posibles fallos de funcionamiento, pero la que más le
gusta es la que permite enviar un paquete y devuelve todos los
nodos recorridos, de ese modo asegura Juan, que podemos saber
qué equipo está dando problemas.
Alain Bachellier (CC BY-NC-
SA)

Para resolver las incidencias que se pueden dar en un router podemos recurrir a las herramientas
vistas en la unidad relativa a los switchs y emplear el mismo método, un análisis por capas, empezando
en la capa física para terminar en la capa aplicación. En cada una de las capas se analizarán diferentes
características, las capas en las que más se dan las incidencias son:

Capa física: Tipos de cables, conexionado a puertos adecuados.

Capa enlace: Estado de la interfaz y protocolos definidos.
Capa red: Configuración de direcciones IP y protocolos de enrutamiento.
Capa aplicación: Errores en las aplicaciones que se utilizan.

Existen varias herramientas que ayudan a detectar problemas en las diferentes capas:

Telnet (aplicación).
Ping (red).
Leds (física).

Desde la línea de comandos del router se pueden utilizar varias órdenes que nos permiten descubrir
posibles fallos de configuración o funcionamiento. El comando más utilizado es el comando show.

PAR04#show interfaces
PAR04#show ip arp
La primera línea de órdenes permite ver las estadísticas de las interfaces de nuestro router y así poder
analizar si los valores son los adecuados, la segunda línea muestra la tabla arp, de donde se puede
extraer la relación entre las direcciones IP, MAC y las interfaces correspondientes.

Si se pretende analizar la continuidad de ruta seguida por el paquete se puede utilizar el comando
traceroute.

PAR04#traceroute 192.168.1.254

Muestra todos los nodos que se atraviesan hasta llegar a la dirección destino. Si la ruta está
interrumpida, se muestra el último nodo al que se ha podido llegar.

Angry Router (CC BY-SA)

8.- Definición y ubicación de listas de control de
acceso (ACL).

Caso práctico
Juan explica a Jana la necesidad de restringir el acceso a la red
limitando el tráfico de datos y para eso lo mejor es utilizar las
listas de control de acceso de las que ahora disponen todos los
enrutadores. Es algo así como una lista de todo cuanto se permite
o impide ante cualquier objeto de la red y no solo se refiere a los
diferentes tipos de usuarios, también puede ser configuradas esas
listas para controlar los procesos y qué operaciones están
permitidas en los diferentes componentes de la red.

Jana sabe que esa es una de las principales medidas de

seguridad que debe tener la red local y está esperando que Juan
le cuente cómo lo va a hacer, aunque seguramente no conseguirá
Jonny Goldstein (CC BY)
recordar después ninguno de los comandos.

Las listas de control de acceso (ACL) son listados de restricciones o permisos que se aplican a un
router para controlar el tráfico de entrada y de salida del mismo. Para crear una lista de control de
acceso se emplea el comando access-list:

PAR04(config)#access-list Nº permit|deny [dirección IP] [máscara]

Donde Nº representa un número entre 0 y 99 que identifica a la lista, permit o deny se emplean para
permitir o denegar, “dirección IP” representa a las direcciones que se van a filtrar o no y la “máscara” se
utiliza para que el router sepa cuantos bits de la dirección especificada deben coincidir con los de la
dirección del paquete analizado. Por ejemplo:

PAR04(config)#access-list 1 permit 192.168.1.0 0.0.0.255

Con la máscara anterior (0.0.0.255) se especifica que se desea una comprobación de los bits
correspondientes a los tres primeros bytes, se permiten las direcciones 192.168.1.X.

Para asignar la lista de control de acceso a una interfaz determinada, seleccionamos la interfaz y
utilizamos el comando:
 PAR04(config)#interface tipo numero
PAR04(config-if)#ip access-group Nº in|out

Donde Nº es el número que representa a la lista y los parámetros in|out especifican si el tráfico es de
entrada o de salida. Por ejemplo:

PAR04(config)#interface ethernet 0/1

PAR04(config-if)#ip access-group 1 out

Se aplica la lista 1 al tráfico de salida, si la lista 1 es como la especificada en líneas atrás, se está
permitiendo el tráfico de salida para todas las direcciones de la red 192.168.1.0 a través de la interfaz
ethernet 0/1.

PAR04(config)#access-list 2 deny 192.168.1.0 0.0.0.255

PAR04(config)#interface ethernet 0/1
PAR04(config-if)#ip access-group 2 in

Con estas últimas órdenes se deniega el tráfico entrante a la red 192.168.1.0.

Alfonso Bonillo-Elab.Propia (Dominio público)

9.- Zona desmilitarizada.

Caso práctico
Un detalle muy interesante que Juan le propuso a María, fue la
posibilidad de poder acceder a la red desde cualquier lugar, por
ejemplo desde su casa o desde su teléfono móvil, algo que a
María le pareció muy interesante, pero de lo que no tuvo
conciencia hasta que hablando con Laro, este le explica que
podrá programar el encendido y apagado de todos los equipos
de la red a determinadas horas, pero que también puede enviar
documentos a imprimir o escanear. En cualquier caso, lo que
más le gustó fue la posibilidad de que su equipo de casa pudiese
formar parte de la red de la empresa y compartir recursos,
porque lleva tiempo dándole vueltas en teletrabajar desde casa
algunos días y poder conciliar la vida familiar.
Nate Steiner (CC0)
Y le ha llamado profundamente la atención el concepto de "Zona
desmilitarizada", le ha parecido algo exagerado.

La zona desmilitarizada de una red, también denominada DMZ, es una zona de seguridad en la que
los equipos tienen una relación de comunicación bidireccional con la red WAN pero no con la red
LAN. Es decir, un equipo situado en la WAN podrá conectarse con un equipo de la zona DMZ y
viceversa, pero un equipo de la zona DMZ no podrá conectarse hacia un equipo de la red LAN y si el
paso inverso. Para un intruso que provenga de la zona WAN, entrar a la zona desmilitarizada no le
permitirá saltar a la parte LAN.

Las zonas DMZ se emplean para situar los dispositivos que proporcionan alojamientos de páginas Web
(servidores Web), servidores de correo o servidores DNS. En la zona DMZ se dejan los equipos que
se quiere tener expuestos a la red.

La gran mayoría de los routers tienen una interfaz gráfica que permite la configuración de manera
interactiva.

En la imagen se observa como se ha accedido a la configuración de un

router Netgear cuya IP local es 192.168.1.1 y se opta por exponer al
equipo 192.168.1.115 a la zona DMZ. Se puede ver como en esta
ocasión se ofrece la posibilidad de que el equipo que queda en la zona
DMZ responda o no a los ping hechos desde la red WAN.

La habilitación de un puerto para que funcione como zona

desmilitarizada se puede hacer desde la línea de comandos de manera
más laboriosa. En este caso hay que especificar el nivel de seguridad
Tomás Fernández Escudero. (Uso educativo que se le da a cada interfaz, generalmente se califican entre 0 y 100.
no comercial.)
Para asignar un nombre y un nivel de seguridad a una interfaz se utiliza
nameif.

PAR04(config)#nameif ethernet2 dmz security 50

Para permitir el acceso de una interfaz de menor nivel de seguridad a otra de mayor nivel se utiliza el
comando static.

static (if1,if2) dirección2 dirección1 máscara

PAR04(config)#static (dmzA,fuera) 72.72.72.72 192.168.1.1 netmask 255.255.255.255

Con la orden anterior hacemos que el equipo 192.168.1.1 de la zona dmzA sea accesible desde la
dirección 72.72.72.72. Estamos exponiendo una dirección IP privada (LAN) a una dirección pública
(Internet).

Después de utilizar static es necesario crear listas de control de acceso a los diferentes servicios de la
dirección que hemos publicado y asociar dichas listas a la interfaz correspondiente.

Autoevaluación
La línea de comandos “PAR04(config)#static (dmzA,dmzB) 192.168.1.2 192.168.1.1 netmask
255.255.255.255”

Es errónea.
Está exponiendo el equipo 192.168.1.2 de la dmzA para que pueda ser accedido
desde el equipo 192.168.1.1 de la dmzB.
Está exponiendo el equipo 192.168.1.1 de la dmzA para que pueda ser accedido
desde el equipo 192.168.1.2 de la dmzB.

No consigue nada puesto que las dos IP pertenecen a la misma red LAN.

No, los comandos están bien sintácticamente.

No es cierto, las IPs se corresponden con las interfaces cambiadas.

Si, es correcto en esta sintaxis dmzA es más seguro que dmzB.

Falso, una DMZ se puede establecer para exponer los equipos a otros equipos la
misma red LAN.
 Solución

1. Incorrecto
2. Opción correcta
3. Incorrecto
4. Incorrecto

Debes conocer
Recomendamos la lectura del siguiente entrada en el INCIBE sobre las zonas
desmilitarizadas .

Qué es una DMZ y cómo te puede ayudar a proteger tu empresa.

Alfonso Bonillo-Elab.Propia. (Dominio público)

10.- Configuración del cortafuegos.

Caso práctico
Para completar la seguridad del sistema María deberían incluir un
cortafuegos, porque acaba de estar en las oficinas del banco y se
ha interesado por un aparato que el director de la sucursal le ha
dicho que es para mejorar la seguridad de la red y filtrar todo lo
que entra, eso es lo que le han explicado a él los informáticos de
la entidad cuando estuvieron allí instalando el cortafuegos.

Decide llamar a Juan para pedirle explicaciones y preguntar el

motivo por el que no ha incluido un cortafuegos en la red, porque
ella se ha estado informando y eso es algo básico para garantizar
el que la red sea segura. Juan le explica que no le hace falta
comprar ningún cortafuegos por uno de los routers que ha
Jonny Goldstein (CC BY)
presupuestado tienen la posibilidad de configuración como firewall
que es la traducción de cortafuegos, y eso es seguramente lo que
ha visto en la oficina del banco.

Los conceptos de cortafuegos y router son totalmente diferentes, pero ocurre que muchos routers
incorporan un cortafuegos en su software y por ello no es necesario incorporar un cortafuegos adicional.

La configuración del cortafuegos se puede hacer a través del interfaz web del router, accediendo con
cualquier navegador que incorpore el sistema operativo.

Tomás Fernández Escudero. (Uso educativo no

comercial.)

En la imagen anterior se puede ver como el router cuya dirección IP es 192.168.1.254 tiene un interfaz
que nos permite configurar un cortafuegos o firewall sencillo con algunas opciones básicas, esto es
lógico puesto que la captura pertenece a un router de uso doméstico. Se puede ver cómo tiene la
opción de configurar parámetros para que el router pueda ser atravesado por conexiones VPN.

La palabra que más se repite entre las opciones del firewall es “filtrar”, lo que deja claro cuál es su
función.
 Alfonso Bonillo-Elab.Propia. (Dominio público)

Para saber más

En el siguiente enlace puedes ver un video en el que se muestra la configuración de los
parámetros de un router desde una interfaz web.

Configuración de un router