Página 1 de 36

Configuración y administración básica de routers.

Caso práctico

Todo se puede mejorar, eso es lo que ha pensado Tomás

cuando ha visto como su red funciona correctamente, por
eso se ha empeñado en comprarse un router y añadirlo
a su instalación. Pero antes de lanzarse a la compra,
quiere conocer bien las funcionalidades que le puede
aportar este elemento.

La primera idea que tiene es consultar a su amiga

Antonia, que, como siempre, está encantada de
ayudarle, (aunque en el fondo le teme por la cantidad de preguntas que le hace).

Conciertan una cita en la empresa donde trabaja Antonia un día que ésta no tiene
demasiadas cosas que hacer, y empieza el aluvión de preguntas y dudas de Tomás. Desde
luego, Antonia es una buena amiga.

04/11/2011
 Página 2 de 36

Los routers en las LAN y en las WAN.

Caso práctico

Después de mucho preguntar a su amiga Antonia, Tomás tiene bastante información para
lanzarse a la compra de su nuevo router. —¡Vamos a por él!

Los routers son dispositivos que operan en los niveles 1, 2, y

3 de la arquitectura OSI. La característica principal del router es
que es capaz de comunicar redes que son totalmente diferentes a
nivel 3, es decir, son capaces de comunicar dos redes cuyas
direcciones IP sean totalmente diferentes y además encaminar
los paquetes por la ruta más óptima en ese momento. Tienen otra
característica que los hace muy útiles en redes de tipo LAN,
permiten la comunicación de varias IP de tipo privado a través de
una única dirección IP pública, por lo que permiten que varios
usuarios utilicen una sola dirección de conexión a Internet, esto se conoce como enmascaramiento de
las direcciones privadas (NAT, Network Address Translation).

En la actualidad se identifica con la palabra router a un dispositivo que es capaz de enlazarnos con
Internet (router- ADSL), aunque esta acepción no es estrictamente correcta. El dispositivo capaz de
“engancharnos” a Internet es aquel capaz de modular y demodular la información para que pueda ser
transmitida por el canal de comunicaciones (red telefónica), el MODEM. Para expresarnos
correctamente diríamos que tenemos un router-modem cuando es router (es decir, tiene puertos LAN y
WAN) y además es capaz de modular o demodular (se puede conectar directamente a la red
telefónica).

Además, un router puede incluir la funcionalidad de un punto de acceso inalámbrico ( AP), con
lo que nuestro router sería un router-modem-punto de acceso. Los ISP nos instalan un router-ADSL
con todas esta funcionalidades y nosotros lo llamamos router.

Un router básico tiene puertos de conexión LAN y un puerto de conexión WAN, además de un
pulsador que permite devolver al router a su configuración de fábrica (RESET).

Un router básico es un dispositivo que:

• Es capaz de comunicar una red LAN con una red WAN.

• Es capaz de enrutar paquetes.
• Tiene funcionalidad NAT.

04/11/2011
 Página 3 de 36

Routers en las LAN.

Un router es un dispositivo capaz de encontrar la mejor ruta en una red. Es capaz de establecer el
camino adecuado para que el paquete de información pueda pasar de una red a otra red.

En las redes LAN la función más recurrida es la de unirse a redes de forma colectiva, por ejemplo, una
LAN a una WAN, o una red LAN a otra LAN y esta a una WAN.

Aunque no tengamos la intención de conectar nuestra red LAN a Internet, podemos utilizar el router
como dispositivo para dividir nuestra red en diferentes dominios de difusión.

En la imagen anterior se puede ver como al introducir un router la red pasa de tener 3 dominios de
colisión a tener 4, disminuimos el tamaño de los dominios de colisión, y como pasamos de tener un
solo dominio de difusión a tener 2 dominios de difusión. Esto nos permite gestionar nuestra red como si
fueran dos redes diferentes conectadas entre sí, con ello conseguiremos tener menos colisiones, y
localizar los problemas será una tarea más sencilla.

Existen routers capaces de gestionar más de un tipo de dirección IP privada con lo que son
capaces de dar servicio a dos redes LAN totalmente diferentes.

En la imagen anterior se puede ver como el router tiene configurados los puertos de manera que los
PC con dirección de red 192.168.1.0 y los que tienen dirección de red 10.0.0.0 acceden a Internet. Esta
cualidad no la tienen todos los routers, solamente los de gama alta.

Autoevaluación

Insertar un router en una red LAN es interesante porque:

j Nos permite conectarnos a Internet.

k
l
m
n
j Nos permite generar un único dominio de colisión.
k
l
m
n
j Nos permite dividir nuestra red LAN en dominios de difusión.
k
l
m
n
j Nos permite aumentar el dominio de colisión.
k
l
m
n

04/11/2011
 Página 4 de 36

Routers en las WAN.

Los routers en las redes WAN tienen como principal función
enrutar los paquetes en la capa 3 del modelo OSI, y
proporcionar los estándares necesarios de conexión a nivel físico y
enlace en una red WAN. Los protocolos con los que trabaja un
router en una WAN difieren bastante de los protocolos con los que
trabaja en una LAN. Mientras que una LAN los routers se
comunican con otros dispositivos como PC, hubs o conmutadores
siguiendo el estándar Ethernet, en una red WAN se comunican
básicamente con otros routers y los estándares seguidos son muy variados.

Los protocolos y estándares utilizados en la red WAN son diversos y determinan los tipos de
conexiones que deben tener los routers empleados en dicha red.

Para saber más

Te sugiero una visita a este enlace donde encontrarás información sobre los protocolos
utilizados en la red WAN por los routers.

Protocolos utilizados en la red WAN.

Los routers utilizan el sistema operativo de internetworking ( IOS) para ejecutar los archivos de
configuración. Los archivos de configuración contienen las instrucciones y los parámetros que controlan
el flujo del tráfico entrante y saliente de los routers, de esta forma, junto con los protocolos de
enrutamiento, se puede determinar la ruta óptima para los paquetes.

Entre los ejemplos de protocolos de enrutamiento se pueden incluir:

• Protocolo de Información de Enrutamiento (RIP).

• Protocolo de enrutamiento de gateway interior (IGRP).
• Protocolo de enrutamiento de gateway interior mejorado (EIGRP).
• Primero la ruta libre más corta (OSPF) e ISIS.
• BGP (Border Gateway Protocol) y EGP (External Gateway Protocol).

Los protocolos de enrutamiento permiten que los routers conectados creen un mapa de
comunicaciones que permite que en cada momento se seleccione la mejor ruta, estos mapas forman
parte de las tablas de enrutamiento que manejan cada uno de los routers.

Para saber más

Es interesante una visita a este enlace donde podrás encontrar información sobre los
protocolos de enrutamiento más importantes.

Protocolos de enrutamiento.

Las conexiones WAN de los routers pueden ser muy variadas dependiendo del tipo de
comunicación, que puede ser, básicamente, de tres tipos:

• Línea dedicada.
• Conmutación de circuitos.
• Conmutación de paquetes.

04/11/2011
 Página 5 de 36

Un router WAN puede tener muchas conexiones y de

diversos tipos como se puede observar en la imagen.

04/11/2011
 Página 6 de 36

Componentes del «router».

Caso práctico

Después de la charla con Antonia, Tomás ya tiene

pensado, más o menos, el tipo de router que se va a
comprar. Puesto que tiene acceso a Internet con un
router que le ha proporcionado su ISP, ha decidido
comprarse otro que tenga conexión inalámbrica, varios
puertos LAN, puerto WAN y que sea configurable a través
del puerto de consola. Después de buscar en la web
obtiene información sobre varios modelos y precios, pero
le ha llamado la atención que hagan referencia al tipo de
procesador y la memoria —¡Si parece que me están vendiendo un PC en lugar de un router!

Los componentes básicos de un router son prácticamente

los mismos que los de un ordenador personal, CPU,
memoria, buses, distintas interfaces de entrada/salida y
fuente de alimentación.

• CPU: Al igual que en los ordenadores personales, es

un microprocesador que ejecuta las instrucciones del
sistema operativo, la inicialización del sistema,
funciones de enrutamiento y el control de las
interfaces de red.
• MEMORIA: La memoria está constituida por memoria
RAM, flash, ROM y memoria NVRAM que son las responsables de la configuración del equipo.
Veamos las diferencias entre unas y otras.
◦ RAM: Esta memoria se utiliza principalmente para gestionar el almacenamiento de las
tablas de enrutamiento y la configuración del router.
◦ Flash: Almacena una imagen del software del sistema IOS. En el proceso de arranque,
una copia del IOS se transfiere a la memoria RAM.
◦ NVRAM: Es una memoria RAM no volátil. Se utiliza para guardar la configuración de
inicio.
◦ ROM: Se utiliza para almacenar el diagnóstico del hardware durante el arranque del
router y para cargar el software IOS desde la memoria flash hasta la RAM.
• BUS: Es el canal que comunica la CPU con los demás componentes del router y transporta los
datos y las instrucciones de control.
• INTERFACES: De todos los componentes internos, es el único que se puede ver externamente.
Son el nexo de conexión del router con los demás dispositivos. Básicamente son tres:
◦ LAN: Para conectar los dispositivos del lado de la red local.
◦ WAN: Para conectar con otra red, la red extensa, Internet u otra red.
◦ Consola: El puerto que se utiliza para acceder a la configuración del router vía línea de
comandos.
• FUENTE DE ALIMENTACION: Es la parte que se encarga de suministrar la energía eléctrica
necesaria para el funcionamiento del router.

En la figura siguiente se pueden apreciar los distintos interfaces así como el interruptor y la conexión de
la fuente de alimentación.

04/11/2011
 Página 7 de 36

Formas de conexión al «router» para su

configuración inicial.

Caso práctico

-¡Por fin en casa! Después de una larga tarde de

compras, Tomás ha conseguido comprarse un router
con todas las prestaciones que quería. De todas ellas,
la que más le atrae es la de que sea configurable desde
línea de comandos utilizando SSH o Telnet. Ya tiene
algo de experiencia con los conmutadores, pero un router
es más complejo, seguro que puede hacer más cosas.
Estaba tan ansioso por utilizar el router que nuestro
personaje se olvidó de preguntar cómo debía conectarse
al enrutador para acceder a su configuración inicial. —
Estoy seguro de que es algo parecido a lo que hacía con
los conmutadores.

La configuración es un proceso para el que es necesario unir nuestro PC con el dispositivo utilizando
los puertos LAN, auxiliares y de consola disponibles en el router y que constituyen las interfaces de
administración más comunes. Como se vio anteriormente, de igual forma que en los conmutadores, los
routers se pueden configurar vía web o vía línea de comandos. Es esta última la que entraña más
dificultades por lo que nos centraremos en ella.

Cuando se opta por el acceso vía línea de comandos utilizando el puerto consola, la conexión
física entre el PC y el router se debe llevar a cabo con un cable que utilizará terminales de conexión
adecuados a los interfaces de los que disponga el router. Para ello, en la actualidad existen varios
adaptadores para los diferentes tipos de puertos, interfaces comunes son los RJ45, DB-9 y DB-25.
Existen cables con extremos RJ45 – DB9 que se proporcionan junto con el router en el momento de la
compra.

El cable de la figura anterior se utiliza para conectar a un router por el puerto consola y acceder a la
configuración del mismo, el extremo DB-9 se conecta al PC y el RJ45 al router.

En la actualidad existen muchos ordenadores que ya no incorporan el puerto DB-9, para solucionar
esto se utilizan adaptadores USB-DB9 para poder utilizar este tipo de cable.

El esquema de cableado entre los interfaces DB-9 y RJ45 es el que se puede apreciar en la siguiente
figura.

04/11/2011
 Página 8 de 36

En el caso de que optemos por la configuración vía web, la conexión entre el PC y el router se realiza a
través de uno del los puertos LAN y el cable utilizado es un cable de red Ethernet con interfaz RJ45.

04/11/2011
 Página 9 de 36

Conexión al router vía puerto de consola.

Las tres formas más comunes para acceder al intérprete de comandos del IOS del router son por
el puerto de consola, por el auxiliar o por un puerto LAN con una sesión Telnet. Si es la primera vez
que se accede, es fácil acceder por el puerto consola. Para poder hacerlo, debemos utilizar un
programa para emular el terminal puerto serie (Hyperterminal, TeraTerm, CRT, PuTTY, Reflection,
minicom) junto con un cable de administración como el descrito en el punto anterior.

La forma de conectar los dispositivos es como se ve en la figura, unimos un puerto serie del PC al
puerto consola del router mediante el cable de administración.

La configuración de PuTTY para poder acceder al puerto consola del router sería la siguiente.

En la imagen anterior se puede observar como aparece el nombre COM1 que identifica al puerto serie
por el que se puede acceder y que la velocidad es 9600, es conveniente guardar con un nombre la
configuración de acceso de cada modo, en este caso la hemos guardado con el nombre
Acceso_Consola.

Al ejecutar la pantalla anterior nos llevaría a la línea de comandos donde nos pedirían un usuario y una
contraseña para acceder a la línea de comandos del IOS del router.

Autoevaluación

Si tenemos un router que está configurado con los valores de fábrica y deseamos
acceder a su configuración utilizando el puerto consola necesitamos:

j Un cable de red directo con conexiones RJ45 en ambos extremos.

k
l
m
n
j La dirección IP del router.
k
l
m
n
Un cable serie con una conexión RJ45 para el ordenador y una conexión DB-9 para el
j router.
k
l
m
n

j Un cable serie con conexión serie para el ordenador y una conexión RJ45 para el router.
k
l
m
n

04/11/2011
 Página 10 de 36

Conexión al router vía SSH o Telnet.

Podemos acceder al router vía línea de comandos con los protocolos Telnet o SSH utilizando las
interfaces LAN.

En la figura anterior se puede ver un ejemplo de uso de router junto a cablemodem, el PC se

conecta al router a través de uno de los puertos LAN (cable amarillo), el router a su vez está conectado
al cablemodem mediante el puerto WAN (cable gris), este tipo de instalación permite que varios
usuarios utilicen una única conexión a Internet. En esta situación podemos acceder a la configuración
del router mediante SSH o Telnet, desde la línea de comandos o utilizando una aplicación como
PuTTY.

Si utilizamos la línea de comandos, tecleamos “telnet” en el prompt y nos aparece una pantalla
como la de la imagen, en la que se nos requiere un nombre de usuario y una contraseña.

Una vez autentificados la pantalla de bienvenida puede variar con el fabricante del router pero en líneas
generales es como en la figura siguiente.

En la imagen anterior se puede ver la secuencia de conexión con el usuario MSO (es un usuario por
defecto en este fabricante) y la transformación del prompt de la línea de comandos, adoptando el
nombre del router al que estamos intentando acceder (en este caso CG3100D). No todos los usuarios
tienen privilegios para conectarse mediante línea de comandos y esto depende de cada fabricante, por
lo que hay que consultar la documentación de cada dispositivo para conocer estos datos.

En la imagen siguiente se muestra el mismo proceso desde la shell de Linux empleando el protocolo
SSH.

04/11/2011
 Página 11 de 36

Conexión al router vía web.

La conexión al router a través de una página web es la más fácil de llevar a cabo por lo intuitivo y
amigable del interfaz con el usuario. Para utilizar esta opción es necesario conectar nuestro PC con el
router, así como conocer su IP y disponer de un navegador en nuestro sistema.

En la barra de direcciones de nuestro navegador se escribe la IP del router y si existe la conexión,

aparece un cuadro de texto donde se pide un usuario y una contraseña, tal como se muestra en la
figura siguiente.

Una vez introducidos el usuario y la contraseña, accedemos a la página de configuración del router.

En la imagen anterior se aprecia cómo se puede navegar a través de menús (parte izquierda) para
configurar los distintos parámetros del router. Cada fabricante ofrece una vista diferente pero en
todos los casos se pueden configurar prácticamente los mismos parámetros.

El acceso vía web, como otros, se puede realizar de manera inalámbrica si el router soporta esta
funcionalidad. Esto implica la conveniencia de configurar el usuario y la contraseña del administrador
del router de manera que sean diferentes a los valores de fábrica ya que de lo contrario cualquier
persona en el radio de acción del router podría acceder a su configuración.

Los usuarios y sus claves junto con sus privilegios, son parámetros de gran importancia en la
configuración de un router. Además, también debemos conocer que muchos routers poseen otros
usuarios con los que se puede acceder a su configuración, diferentes a los usuarios que se nombran
en las instrucciones de manejo que acompañan al dispositivo cuando lo adquirimos. Un ejemplo de
esto, lo constituyen los routers NETGEAR, que poseen los usuarios NETGEAR_SE, superuser, MSO,
además del usuario admin (no en todas sus versiones de firmware).

Es curioso que el usuario MSO permite algunas funcionalidades que no tiene el usuario admin, con
este usuario podemos habilitar la administración remota de nuestro enrutador y si no cambiamos la
contraseña de este usuario estamos dejando una puerta abierta que hará más débil a nuestro sistema.

Autoevaluación

Para acceder a la configuración de un router vía telnet, es necesario:

j Un cable de red para conectarlo al puerto consola del router.

k
l
m
n
j La misma conexión física que nos permite acceder vía web.
k
l
m
n
j Solamente la IP del router.
k
l
m
n
j A un router no se puede acceder vía telnet porque no es seguro.
k
l
m
n

04/11/2011
 Página 12 de 36

Modos de operación.
El router puede funcionar en diferentes modos de operación. En cada uno de ellos se tienen
privilegios diferentes. Aunque podría cambiar de un fabricante a otro, en general nos podremos
encontrar con:

• Modo EXEC usuario.

• Modo EXEC privilegiado.
• Modo de CONFIGURACION GLOBAL.
• Modo de CONFIGURACION ESPECÍFICO.

En cada uno de estos modos, el prompt de la línea de comandos es diferente:

Router> Estamos en el modo EXEC usuario.
Router# Estamos en el modo EXEC privilegiado.
Router(config)# Estamos en el modo de configuración global.
Router(config-X)# Estamos en el modo de configuración específico X.
Al conectarnos al router lo hacemos en modo EXEC usuario, para pasar al modo privilegiado
emplearemos el comando enable. En cualquiera de los dos modos podremos consultar parámetros, si
queremos cambiar la configuración tendremos que pasar al modo de CONFIGURACION tecleando la
orden config. Para acceder a la configuración de un parámetro específico del router teclearemos una
orden relacionada con ese parámetro desde el modo de CONFIGURACION (interface para pasar al
modo config-if y poder configurar parámetros de las interfaces de red).

El siguiente gráfico representa el paso de un modo a otro y las órdenes más comunes que se emplean
para ello.

En la imagen anterior se observa como a medida que cambiamos de modo de operación, cambia la
apariencia del prompt de la línea de comandos. En este caso se ha llegado al modo de configuración
específico de la interfaz de red (cuadro de color verde).

Para retroceder al modo anterior o incluso salir de un modo se utilizan órdenes como:

• CTRL+Z.
• EXIT.
• QUIT.
• DISABLE.
• END.

04/11/2011
 Página 13 de 36

Comandos para configuración del «router».

Caso práctico

En muchas ocasiones se oye decir “el papel soporta todo

y la teoría difiere de la práctica”. Tomás lo ha
comprobado perfectamente. La teoría le ha dejado claro
la forma de conectarse a los routers y los elementos
necesarios, pero la práctica le ha enseñado que cada
enrutador es una máquina diferente y tiene sus
propias peculiaridades, sobre todo con los usuarios y
contraseñas. Bien, superado este escollo, su nuevo reto
es enfrentarse a la línea de comandos de configuración
del router y para ello deberá aprender los comandos más importantes que necesita utilizar. —
¡Vamos allá!

El primer paso para conocer los comandos de configuración del router es saber que parámetros
queremos o podemos cambiar. Los parámetros configurables dependen del tipo de router, al igual
que en el caso de los conmutadores, se hará referencia a los parámetros más comunes.

En cualquiera de los casos también se tiene la ayuda de la línea de comandos, tecleando ? o help, se
nos ofrece un listado de todos los comandos disponibles.

Los parámetros configurables más comunes de un router son:

• Nombre del router.

• Contraseñas.
◦ De la consola.
◦ De los terminales virtuales (telnet, ssh).
◦ Del modo privilegiado (enable).
• Características de interfaces.
• Protocolos de enrutamiento.

Para poder configurar un parámetro del router hay que seguir los siguientes pasos:

• Conectarse al router (ssh, telnet, web).

• Acceder al modo EXEC privilegiado.
• Acceder al modo CONFIGURACION global.
• Acceder al modo CONFIGURACION específico.

El parámetro más sencillo de cambiar puede ser el nombre del router. Para ello seguiremos la siguiente
secuencia de órdenes partiendo del modo EXEC usuario:

Router>enable
Router#configure terminal
Router(config)#hostname PAR
PAR(config)#
En este caso no ha sido necesario el acceder al modo de configuración específico porque el comando
hostname se puede ejecutar desde el modo de configuración global. Se puede observar como después
de cambiar el nombre del router el prompt cambia y muestra el nuevo nombre.

04/11/2011
 Página 14 de 36

Configuración de contraseñas.
Las contraseñas que se pueden establecer en un router
permiten restringir el acceso a la línea de comandos y así
impedir la modificación de parámetros al personal no autorizado.
Según el tipo de acceso al router se pueden distinguir los
siguientes tipos de contraseñas:

• Contraseña de acceso a consola.

• Contraseña de acceso a Terminal Virtual Telnet.
• Contraseña de acceso a modo privilegiado.
• Contraseña secreta de acceso al modo privilegiado.

Establecer una contraseña de acceso a consola significa establecer una contraseña de inicio de
sesión para el terminal de la consola. Para ello utilizaremos la siguiente secuencia de órdenes:

Router>enable
Router#configure terminal
Router(config)#line console 0
Router(config-line)#password par04consola
Router(config-line)#login
Con las órdenes anteriores se ha establecido la contraseña par04 para poder iniciar una sesión de
consola, se utiliza el 0 para designar la conexión de consola del router y la palabra login para que se
pida la contraseña al usuario antes de permitir la conexión.

De manera análoga podemos repetir el proceso para establecer la contraseña en el inicio de sesión de
Telnet, variando algún comando:

Router>enable
Router#configure terminal
Router(config)#line vty 0 4
Router(config-line)#password par04telnet
Router(config-line)#login
Se utilizan los valores 0 y 4 porque el router admite hasta cinco sesiones telnet simultáneas.

Para el acceso al modo privilegiado podemos utilizar dos tipos de contraseñas enable password y
enable secret. Es conveniente utilizar siempre enable secret, ya que a diferencia de enable password,
la contraseña estará siempre cifrada. Para establecer la contraseña de acceso al modo privilegiado se
utiliza:

Router>enable
Router#configure terminal
Router(config)#enable password par04pass
Para establecer la contraseña secreta de acceso al modo privilegiado se hará de manera análoga:
Router>enable
Router#configure terminal
Router(config)#enable secret par04secreta

04/11/2011
 Página 15 de 36

Configuración de interfaces.
Las interfaces más comunes son las de tipo Ethernet y serie,
aunque como se ha visto existen más tipos. Una interfaz se puede
configurar desde la consola o a través de una línea de terminal
virtual.

A cada interfaz activa se le debe asignar una dirección IP y la

correspondiente máscara de subred.

Los routers utilizan números para distinguir entre los diferentes

interfaces del mismo tipo. Los números de interfaz pueden ser
uno, dos o tres separados por barras inclinadas.

PAR04(config)#interfaz ethernet 0
PAR04(config)#interfaz fastethernet 0/1
PAR04(config)#interfaz serial 1/0/1
Las tres órdenes anteriores son ejemplos de las distintas formas de identificar a los interfaces con
números. El que se utilice más de un número para identificar a las interfaces, está justificado porque
algunos routers tienen tarjetas que tienen una o dos ranuras para los adaptadores de puerto, cada
adaptador puede tener una o más interfaces ( slot/adaptador/puerto).

En el ejemplo anterior (interfaz serial 1/0/1) se estaría identificando a la interfaz tipo serie que está en la
ranura 1, el adaptador 0 y el puerto 1.

Existen comandos que nos permiten listar las interfaces de un router.

PAR04# show ip interface brief

Si es necesario mostrar las estadísticas completas de las interfaces emplearemos:
PAR04#show interfaces
PAR04#show interfaces serial 0/1
Con la primera orden se muestran las características de todas las interfaces, con la segunda orden
solamente las estadísticas de la interfaz tipo serie definida con 0/1 (número de puerto/ ranura de
interfaz).

A parte de números, los routers también emplean otros códigos para identificar a las interfaces. Uno de
ellos es la combinación de letras y números.

E0 para el primer puerto Ethernet.

E1 para el segundo puerto Ethernet.
S0 para el primer puerto Serial.
Una vez identificada la interfaz se procede a configurar los parámetros de la misma. El prompt de
nuestro router pasaría a tener el siguiente aspecto:
PAR04(config-if)#
En esta situación se configurarán los parámetros relativos a:
Direcciones IP.
Tipo de velocidad.
Tipo de comunicaciones DUPLEX.

04/11/2011
 Página 16 de 36

Configuración de las direcciones.

La configuración de direcciones en los puertos de un router
implica que antes se haya identificado ese puerto y a
continuación se emplee el comando que permite la asignación de
direcciones.

PAR04#config
PAR04(config)#interface serial 1/1
PAR04(config-if)#ip address 192.168.150.2 255.255.255.0
PAR04(config-if)#no shutdown
PAR04(config-if)#CTRL-Z
PAR04#
Las órdenes anteriores asignan una dirección al puerto serie 1/1 utilizando el comando “ip address”. Se
emplea el comando “no shutdown” para asegurar que el interfaz no está en estado down.

Para comprobar la configuración se emplea el comando show.

PAR04#show interface serial 1/1

Si el router que se está configurando forma parte de una red donde existe un servidor DHCP, se
pueden configurar las interfaces de manera que obtengan la dirección IP de forma automática.
PAR04(config-if)#ip address dhcp
La configuración DHCP no es recomendable para routers que actúan en redes LAN, pero sí muy útil
cuando es un router que está conectado a Internet. Si se utiliza este tipo de configuración, es posible
elegir qué tipo de parámetros se deben configurar de manera automática.
PAR04#configure terminal
PAR04(config)#interface FastEthernet0/1
PAR04(config-if)#no ip dhcp client request dns-nameserver
PAR04(config-if)#end
PAR04#
En el código anterior se puede ver como se especifica que no se desea que se obtengan los
parámetros de configuración DNS del servidor DHCP.

Autoevaluación

La orden que me permite listar todas las interfaces que tiene el router:

j PAR04#configure terminal
k
l
m
n
j PAR04#show interfaces serial 0/1.
k
l
m
n
j PAR04#show
k
l
m
n
j PAR04#show ip interface brief.
k
l
m
n

04/11/2011
 Página 17 de 36

Configuración de la velocidad y dúplex.

Las interfaces de un router pueden soportar diferentes velocidades. Las
velocidades más comunes son 10 Mbps (Ethernet), 100 Mbps (Fast Ethernet)
o 1 Gbps (Gigabit Ethernet).

Por defecto, todos los dispositivos pueden negociar automáticamente la

configuración dúplex y la velocidad con el dispositivo conectado. Por otra
parte se pueden escoger diferentes combinaciones entre las velocidades y los
modos de comunicación dúplex y establecerlos de manera manual.

Un ejemplo de configuración automática para la velocidad y el modo dúplex es:

PAR04#configure terminal
PAR04(config)#interface FastEthernet0/1
PAR04(config-if)#duplex auto
PAR04(config-if)#speed auto
PAR04(config-if)#end
Si por necesidades de la instalación se desea configurar la velocidad y el modo dúplex con valores
distintos a los de autonegociación se puede hacer de la manera siguiente:
PAR04#configure terminal
PAR04(config)#interface FastEthernet 0/18
PAR04(config-if)#speed 100
PAR04(config-if)#duplex full
PAR04(config-if)#end
Con los comandos anteriores se especifica la velocidad 100 y el modo dúplex para la interfaz 0/18.
Las combinaciones entre el modo dúplex y la velocidad están limitadas para los routers y las
instalaciones en las que estos convivan con más dispositivos.

Configuraciones.
MODO DUPLEX VELOCIDAD RESULTADO

Duplex half o duplex full Speed auto Negocia automáticamente la velocidad y los modos dúplex

Duplex half Speed 10 10 Mbps y half dúplex

Duplex full Speed 10 10 Mbps y dúplex completo

Duplex half Speed 100 100 Mbps y half dúplex

Duplex full Speed 100 100 Mbps y dúplex completo

Estas combinaciones pueden cambiar dependiendo del firmware del router por lo que será conveniente
leer las especificaciones técnicas de cada router antes de intentar configurar este tipo de parámetros.

Autoevaluación

En la configuración de un router utilizamos la línea:

R1(config-if)#no shutdown

j No reiniciar el router hasta que no hayamos terminado de configurar.

k
l
m
n
j Para especificar la configuración de las interfaces en estado down.
k
l
m
n

04/11/2011
 Página 18 de 36

j Para asignar el estado down a una interfaz y así activarla.

k
l
m
n
j Para asegurarnos de que la interfaz está en estado contrario al down.
k
l
m
n

04/11/2011
 Página 19 de 36

Comandos para administración del «router».

Caso práctico

—¡Un jarro de agua fría! Después de conseguir utilizar los

comandos básicos para configurar el router, hoy Tomás
ha recibido un jarro de agua fría, porque tomando un
café con su amiga Antonia, ha querido presumir de sus
avances en sus conocimientos de informática y le ha
dicho que ha aprendido todos los comandos de
configuración del router, pero se ha quedado helado
cuando Antonia le ha empezado a hablar de lo que
supone la configuración y administración de un router
y la cantidad de comandos que existen para ello. La frase “solo sé que no sé nada” cada vez
tiene más sentido para Tomás.

La barrera entre configurar y administrar es débil en muchas ocasiones y esta es una de ellas.
Cuando se habla de configurar un router se hace referencia a todo tipo de comandos sin distinguir si es
una labor de configuración o de administración. En el punto 4 se han expuesto los comandos utilizados
para la configuración de los parámetros más básicos del router, algunos de estos comandos se
incluyen en la parte de administración en muchas publicaciones. Se puede decir que configurar un
dispositivo es dotarle de las características básicas para poder arrancarle y administrar el dispositivo es
todo lo demás (como se hace con los sistemas operativos), se hace casi imposible establecer
diferencias relevantes.

Puesto que en los puntos posteriores se tratarán comandos relativos al enrutamiento y al diagnóstico
de incidencias, en este punto se tratará algún comando diferente a los vistos en el punto 4 y a los que
se verán en los puntos 6 y posteriores de esta unidad.

Recomendación

Es importante que repases bien la unidad relativa a la configuración de los conmutadores

puesto que los comandos utilizados en los conmutadores se utilizan también en la CLI de
los routers con muy pocas variaciones.

Un comando que sirve para emitir un mensaje por parte del administrador del sistema es el comando
denominado “mensaje del día”:
PAR04#configure terminal
PAR04(config)#banner login#
Hola mundo#
PAR04(config)#Ctrl+z
PAR04#
El comando show se emplea en la detección de fallos de funcionamiento pero también tiene su utilidad
para poder ver la configuración actual del router:
PAR04#show running-config
PAR04#show version
PAR04#show startup-config
Si se quiere hacer una copia de seguridad de la configuración actual del router para que se ejecute en
el siguiente reinicio del dispositivo se emplea:
PAR04#copy running-config startup-config

04/11/2011
 Página 20 de 36

Para mostrar las rutas IP conocidas por el router, que es la tabla más importante que utiliza el router
para enviar paquetes, se utiliza:
PAR04#show ip route

04/11/2011
 Página 21 de 36

Ancho de banda y velocidad de reloj en los

interfaces serie.
Como ya has visto, las interfaces Ethernet utilizan una
velocidad o varias (número determinado) que puede
autonegociarse.

Los enlaces con la red WAN tipo serie pueden funcionar también a
varias velocidades (rango muy amplio). Para poder trabajar con un
abanico mayor de velocidades los routers utilizan un proceso
denominado clocking o temporización. Este proceso hace que la
velocidad del router se sincronice con la velocidad del
CSU/DSU.

Con este mecanismo los routers pueden utilizar los enlaces sin que
sea necesaria una autonegociación para detectar la velocidad. La CSU/DSU es la que conoce la
velocidad y le envía las órdenes al router para que este modifique su velocidad de comunicación.

Los routers utilizan dos comandos para configurar la velocidad del enlace WAN conectado a una
interfaz serie clock rate y bandwidth:

PAR04(config-if)#clock rate 256000

PAR04(config-if)#bandwidth 256
El comando clock rate establece la velocidad en bps, bandwidth indica al router la velocidad del enlace
en Kbps pero no cambia la velocidad. El router utiliza este parámetro en cálculos relacionados con los
protocolos de enrutamiento como OSPF, para establecer la métrica y así poder encontrar la
mejor ruta hasta el destino.

Cada interfaz del router tiene una configuración predeterminada del comando bandwidth que coincide
con la velocidad por defecto de la línea conectada a Internet, por ejemplo, 1555 Kbps para las líneas
T1.

Estos dos parámetros solamente se deben configurar en los routers que hagan de DCE (DCE es un
modem o CSU/DSU que convierte los datos de usuario del DTE en una forma para transmitir vía WAN).

Si en la red existiera más de un router hay que determinar quién es el DCE (equipo de
comunicaciones) y quien el DTE, la razón está en que el que actúe como DCE es el encargado de
establecer el sincronismo de la comunicación y es en este en el que se configurará la velocidad del
enlace con el comando clock rate.

Autoevaluación

En un LAN con conexión a Internet donde tengo más de un router, he realizado una
conexión vía telnet a uno de los routers y accedido a la CLI. En un momento dado he
tecleado las siguientes órdenes:

PAR04(config-if)#clock rate 128000

Al ejecutar la orden, el router me ha respondido con un mensaje de error.

Es normal, puesto que la orden clock ha de teclearse cuando el prompt es PAR04

j (config).
k
l
m
n

El error se produce porque se está intentando configurar la interfaz de un router que no

j es el DCE.
k
l
m
n

Significa que se está intentando configurar un interfaz serie con clock rate y eso es un
j error.
k
l
m
n

04/11/2011
 Página 22 de 36

j El router que estoy configurando es un DCE y por lo tanto es imposible utilizar clock rate.
k
l
m
n

04/11/2011
 Página 23 de 36

Actualización de la IOS.
Los routers almacenan copias del IOS en una memoria de tipo flash que permite que se puedan
conservar los archivos cuando el router está apagado.

El comando que permite que se puedan copiar los archivos que componen el IOS es copy. Todos los
routers deben tener almacenada en un servidor o en otro tipo de soporte una imagen de esta
IOS. Para copiar esta imagen en la memoria flash:

PAR04#copy tftp flash

Con este comando se copian los archivos de un servidor TFTP accesible desde el router. Una vez
hecha esta copia se puede ver el contenido de la memoria flash utilizando el comando show.
PAR04#show flash

En la imagen anterior se puede observar como el router copia el IOS de un servidor tftp cuya dirección
es 192.168.119.20. El archivo que se va a copiar es el C2600-js-l_121-3.bin, se ve como antes de
copiar el archivo a la memoria flash, esta, se borra y que toda la operación se hace a través de una
interfaz de tipo FastEthernet.

Una vez actualizada la memoria flash se puede ejecutar el comando show para verificar el estado de la
memoria, así como el archivo IOS almacenado.

PAR04#show flash
La salida de este comando sería algo así:
System flash directory:
File Length Name/status
1 10084696 C2600-js-l_121-3.bin
[10084696 bytes used, 6692456 available, 16777216 total]
16384K bytes of processor board System flash (Read ONLY)
Se pueden ver datos como el nombre del archivo IOS (C2600-js-l_121-3.bin), el tamaño de la memoria
flash y su porcentaje de uso y disponibilidad.

04/11/2011
 Página 24 de 36

Comandos setup y boot system.

El modo setup permite la configuración básica del router de manera interactiva, respondiendo a
preguntas sencillas desde la línea de comandos. Para entrar en el modo setup:
PAR04#enable setup
En la imagen se puede ver lo que sucede cuando se ejecuta el comando
setup.

Se aprecia el estado del prompt de la línea de comandos antes y después

de ejecutar el comando.

También se pueden ver las preguntas que el sistema formula y que el

usuario contesta. Todas ellas son relativas a la configuración de parámetros
básicos del router.

Nombre del router.

Enable secret.
Enable password.
Contraseña del terminal.
Dirección IP y máscara de red de la interfaz.
La configuración escogida se escribe en el archivo startup-config y running-config.

Los comandos boot system se utilizan para poder especificar el nombre y la ubicación de la imagen
IOS que se debe cargar.

PAR04(config)#boot system flash[nombre_archivo]

El comando anterior le indica al router que debe arrancar utilizando la IOS que está ubicada en la
memoria flash.

Si se quiere indicar al router que utilice la IOS que está almacenada en la memoria ROM.

PAR04(config)#boot system rom

Al igual que el comando copy, el comando boot system puede indicarle al router que utilice la IOS
almacenada en un servidor TFTP.
PAR04(config)#boot system tftp archivoIOS 192.168.1.111
Con la orden anterior se le ha indicado al router que utilice el archivo archivoIOS que se encuentra en
el servidor 192.168.1.111.

04/11/2011
 Página 25 de 36

Configuración del enrutamiento estático.

Caso práctico

Es impresionante, la cantidad de cosas que se pueden

hacer en un router utilizando los comandos de
configuración y administración, Tomás está
descubriendo un mundo en el que a cada paso que da
descubre un camino aún más largo y complicado.
Puesto que la labor de un router es “enrutar”, nuestro
personaje se pregunta —¿Cómo lo hace? ¿Igual que lo
hacían los conmutadores? ¿Para qué las direcciones IP?
Leyendo ha encontrado que la mayoría de los autores se
refieren a las tablas de enrutamiento.

El objetivo principal del router es encontrar la mejor ruta para los

paquetes que los atraviesan. Para conseguir esto se ayudan de las
tablas de enrutamiento IP.

Las tablas de enrutamiento se construyen por dos métodos:

• Por aprendizaje.
• Por inserción manual de registros a través de la línea de comandos.

Para que el router lleve a cabo la labor de enrutamiento debe tener una configuración básica:

• Las interfaces tendrán una dirección IP y una máscara de red.

• Las interfaces deberán estar en estado up.

Para que el enrutamiento sea correcto, un router tendrá en su tabla, como mínimo, tantos
registros como redes a las que esté conectado directamente a través de sus interfaces. Después
de la configuración, ya sea por aprendizaje (dinámica) o por inserción manual de registros, la tabla
tendrá tantos registros como redes quieran ser accesibles desde el router, aunque no tengan conexión
directa con sus interfaces y lo tengan que hacer a través de otros routers.

Se puede decir que para llegar a New York desde Santander tenemos que ir a Madrid si especificamos
el aeropuerto de Madrid como interfaz, pero también podemos decir que el interfaz de comunicación es
Vigo si utilizamos su puerto marítimo. Y también podríamos decir que New York está directamente
conectado con Santander si utilizamos el puerto marítimo de Santander. Por lo tanto, si nos
encontramos en Santander y queremos establecer una tabla de comunicaciones, primero tendríamos
que tener claro que destinos queremos y después trazar las mejores rutas valorando todos los
parámetros.

En los routers, el comando show ip route, muestra las redes a las que el router está conectado.

PAR04#show ip route
La salida de este comando tiene el aspecto siguiente:
192.168.1.0 conectado FastEthernet 0/0
192.168.2.0 conectado Serial 0/1/0
192.168.3.0 conectado Serial 0/0/1

04/11/2011
 Página 26 de 36

Se puede observar como la información proporcionada está constituida por la dirección de red
accesible, o con la que el router está conectado y la interfaz a través de la que se tiene esa conexión.

04/11/2011
 Página 27 de 36

Rutas estáticas.
El concepto de ruta estática se utiliza para señalar que el registro que se ha introducido en la tabla
de enrutamiento se ha establecido de manera manual, que no lo ha adquirido la tabla por
aprendizaje utilizando un protocolo de enrutamiento dinámico.

Para poder crear una ruta estática se emplea el comando ip route.

PAR04#configure terminal
PAR04(config)#ip route 192.168.4.0 255.255.255.0 192.168.1.40
PAR04(config)#ip route 192.168.3.0 255.255.255.0 192.168.1.30
Con las órdenes anteriores se ha establecido la ruta para llegar a las redes 192.168.4.0 y 192.168.3.0
por las interfaces 192.168.1.40 y 192.168.1.30.

Para realizar el enrutamiento de una red utilizando rutas estáticas, se deben configurar las rutas en
todos los routers que intervienen en la red. Por esta razón, cuando las redes son muy grandes se
deben emplear protocolos de enrutamiento dinámico.

En el ejemplo anterior, al crear la ruta estática hacia la red 192.168.3.0, es imprescindible que el router
que está directamente conectado a esa red tengo en su tabla de enrutamiento definida la esa ruta
porque de lo contrario el paquete se perdería. La solución pasaría por configurar un protocolo de
enrutamiento dinámico y esperar a que los routers aprendieran el entorno que les rodea y crearan
todas las tablas de enrutamiento con todas las rutas o crear en R3 una nueva ruta estática.

R3#configure terminal
R3(config)#ip route 192.168.3.0 255.255.255.0 192.168.3.1
Siendo 192.168.3.1 la dirección IP de la interfaz de R3 que está directamente conectada a la red
192.168.3.0.

Autoevaluación

¿Siempre es necesaria la configuración de rutas estáticas en un router?

j Si, son imprescindibles en todos los routers.

k
l
m
n
j No, se utiliza cuando no tenemos una ruta en la tabla y conocemos como alcanzarla.
k
l
m
n
j Si, es la única manera de que la tabla tenga todas las rutas posibles de la red.
k
l
m
n
j No, además es una técnica que no se usa nunca.
k
l
m
n

04/11/2011
 Página 28 de 36

Rutas predeterminadas.
Una ruta predeterminada es una ruta que se asigna a un paquete cuando no se conoce la
dirección IP de destino y no podemos establecer la ruta adecuada.

En un router se puede hacer básicamente tres tipos de configuraciones para establecer las rutas de los
paquetes:

• Configurar rutas estáticas.

• Habilitar protocolos de enrutamiento dinámico.
• Añadir una ruta predeterminada.

El mecanismo que emplean los routers para saber el destino

de un paquete de datos es comparar la IP destino del paquete
con las direcciones de la tabla de enrutamiento. Si se
encuentra alguna coincidencia se envía el paquete por el interfaz
que determina la tabla, si no se encuentra ninguna coincidencia se
puede llegar a descartar el paquete y perderse.

Una solución al problema anterior es la configuración de rutas

predominadas. Esto se consigue haciendo que todos los paquetes
que deban salir del router utilicen la misma interfaz, por supuesto,
lo que pase a partir de esa interfaz es un problema diferente; generalmente se conoce de antemano
que esa interfaz es capaz de proporcionar el servicio que le estamos requiriendo.

Se podría realizar un símil con las vías del tren, de una estación salen varias vías pero todas se reúnen
al final en la vía principal que es la que sale de la ciudad, a las afueras de la ciudad habrá más
intersecciones pero nuestra labor (sacar el tren de la estación y de la ciudad) ya está hecha.

Para crear una ruta predeterminada emplearemos el comando ip route de la manera siguiente:

PAR04(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.20

Con esto se consigue que el router envíe todos los paquetes por la interfaz 192.168.1.20. Si utilizamos
el comando show ip route recibiremos en pantalla:
192.168.1.0/24 directamente conectado, FastEthernet0/0
0.0.0.0/0 via 192.168.1.20
Este mensaje significa que nuestro router está conectado directamente con la red 192.168.1.0 y que los
paquetes que lleven una dirección de destino que no coincida con ningún registro de la tabla se
enviaran a la interfaz 192.168.1.20.

04/11/2011
 Página 29 de 36

Diagnóstico de incidencias del «router».

Caso práctico

—¡No me funciona Internet! Han saltado todas la alarmas en casa

porque Tomás estaba intentando conectarse a la web de su banco
para poder hacer un pago on-line y no ha podido, hoy era el último
día y se va a quedar sin participar en el torneo de pádel al que se
había apuntado. Primero pensaba que la razón era la URL, pero la
dirección era correcta, después, que el problema estaba en la red
inalámbrica, por lo que se ha conectado utilizando el cable RJ45, pero
tampoco se ha conseguido al conexión.

—¡Tiene que haber algún comando que me permita descubrir dónde

está el problema! Necesito la ayuda urgente de Antonia, voy a
llamarla.

Para resolver las incidencias que se pueden dar en un router podemos recurrir a las herramientas
vistas en la unidad relativa a los switches y emplear el mismo método, un análisis por capas,
empezando en la capa física para terminar en la capa aplicación. En cada una de las capas se
analizarán diferentes características, las capas en las que más se dan las incidencias son:

• Capa física: Tipos de cables, conexionado a puertos adecuados.

• Capa enlace: Estado de la interfaz y protocolos definidos.
• Capa red: Configuración de direcciones IP y protocolos de enrutamiento.
• Capa aplicación: Errores en las aplicaciones que se utilizan.

Existen varias herramientas que ayudan a detectar problemas en las diferentes capas:

• Telnet (aplicación).
• Ping (red).
• Leds (física).

Desde la línea de comandos del router se pueden utilizar varias órdenes que nos permiten descubrir
posibles fallos de configuración o funcionamiento. El comando más utilizado es el comando show.
PAR04#show interfaces
PAR04#show ip arp
La primera línea de órdenes permite ver las estadísticas de las interfaces de nuestro router y así poder
analizar si los valores son los adecuados, la segunda línea muestra la tabla arp, de donde se puede
extraer la relación entre las direcciones IP, MAC y las interfaces correspondientes.

Si se pretende analizar la continuidad de ruta seguida por el paquete se puede utilizar el comando
traceroute.

PAR04#traceroute 192.168.1.254
Muestra todos los nodos que se atraviesan hasta llegar a la dirección destino. Si la ruta está
interrumpida, se muestra el último nodo al que se ha podido llegar.

04/11/2011
 Página 30 de 36

Definición y ubicación de listas de control de

acceso (ACL).

Caso práctico

—¡Tengo que encontrar la manera de que mi router sea lo

más seguro posible! Este aparato por lo que me ha
costado y con las cosas que he podido hacer con él, tiene
que tener alguna opción para controlar el tráfico que entra
y sale.

Y es que Tomás, después de analizar todos los

parámetros, ha descubierto que al estar haciendo
tantos cambios, después de resetear el router varias
veces, ha modificado la red inalámbrica y la ha dejado
abierta. Puesto que su DHCP solamente permitía dos conexiones alguien que vive cerca
estaba utilizando las direcciones IP e impedía la conexión a Internet, aunque tiene otras
opciones para mejorar la seguridad, va a descubrir cómo ayudarse de las listas de control de
acceso.

Las listas de control de acceso (ACL, Access Control List) son listados de restricciones o
permisos que se aplican a un router para controlar el tráfico de entrada y de salida del mismo. Para
crear una lista de control de acceso se emplea el comando access-list:

PAR04(config)#access-list Nº permit|deny [dirección IP] [máscara]

Donde Nº representa un número entre 0 y 99 que identifica a la lista, permit o deny se emplean para
permitir o denegar, “dirección IP” representa a las direcciones que se van a filtrar o no y la “máscara” se
utiliza para que el router sepa cuantos bits de la dirección especificada deben coincidir con los de la
dirección del paquete analizado. Por ejemplo:

PAR04(config)#access-list 1 permit 192.168.1.0 0.0.0.255

Con la máscara anterior (0.0.0.255) se especifica que se desea una comprobación de los bits
correspondientes a los tres primeros bytes, se permiten las direcciones 192.168.1.X. Para asignar la
lista de control de acceso a una interfaz determinada:
PAR04(config)#
PAR04(config-if)#ip access-group Nº in|out
Donde Nº es el número que representa a la lista y los parámetros in|out especifican si el tráfico es de
entrada o de salida.
PAR04(config)#interface ethernet 0/1
PAR04(config-if)#ip access-group 1 out
Se aplica la lista 1 al tráfico de salida, si la lista 1 es como la especificada en líneas atrás, se está
permitiendo el tráfico de salida para todas las direcciones de la red 192.168.1.0 a través de la interfaz
ethernet 0/1.
PAR04(config)#access list 2 deny 192.168.1.0 0.0.0.255
PAR04(config-if)#ip access-group 2 in
Con estas últimas órdenes se deniega el tráfico entrante a la red 192.168.1.0.

04/11/2011
 Página 31 de 36

Zona desmilitarizada.

Caso práctico

—¿Sería posible acceder a mi ordenador

desde Internet? Cuando no tenía un router me
explicaron que era muy complicado y ahora me
cuentan que si habilito el acceso a mi equipo
desde Internet que me estaría arriesgando a que
mi equipo fuera objeto de ataques. He estado
leyendo y me he encontrado con el concepto de
zona DMZ.
—¡Creo que he encontrado la solución!

Tomás ha pensado en utilizar uno de los equipos que tiene conectados en red en casa
para situarlo en una zona DMZ y así poder acceder a él desde Internet.

La zona desmilitarizada de una red, también denominada DMZ, es una zona de seguridad en la que
los equipos tienen una relación de comunicación bidireccional con la red WAN pero no con la
red LAN. Es decir, un equipo situado en la WAN podrá conectarse con un equipo de la zona DMZ y
viceversa, pero un equipo de la zona DMZ no podrá conectarse hacia un equipo de la red LAN y si el
paso inverso. Para un intruso que provenga de la zona WAN, entrar a la zona desmilitarizada no le
permitirá saltar a la parte LAN.

Las zonas DMZ se emplean para situar los dispositivos que proporcionan alojamientos de páginas Web
(servidores Web), servidores de correo o servidores DNS. En la zona DMZ se dejan los equipos que
se quiere tener expuestos a la red.

La gran mayoría de los routers tienen una interfaz gráfica que permite la configuración de manera
interactiva.

En la imagen se observa como se ha accedido a la

configuración de un router Netgear cuya IP local es
192.168.1.1 y se opta por exponer al equipo 192.168.1.115 a
la zona DMZ. Se puede ver como en esta ocasión se ofrece
la posibilidad de que el equipo que queda en la zona DMZ
responda o no a los ping hechos desde la red WAN.

La habilitación de un puerto para que funcione como zona

desmilitarizada se puede hacer desde la línea de comandos
de manera más laboriosa. En este caso hay que especificar
el nivel de seguridad que se le da a cada interfaz,
generalmente se califican entre 0 y 100. Para asignar un nombre y un nivel de seguridad a una interfaz
se utiliza nameif.

PAR04(config)#nameif ethernet2 dmz security 50

Para permitir el acceso de una interfaz de menor nivel de seguridad a otra de mayor nivel se utiliza el
comando static.
static (if1,if2) dirección2 dirección1 máscara

PAR04(config)#static (dmzA,fuera) 72.72.72.72 192.168.1.1 netmask 255.255.255.255

Con la orden anterior hacemos que el equipo 192.168.1.1 de la zona dmzA sea accesible desde la
dirección 72.72.72.72. Estamos exponiendo una dirección IP privada (LAN) a una dirección pública
(Internet).

Después de utilizar static es necesario crear listas de control de acceso a los diferentes servicios de la
dirección que hemos publicado y asociar dichas listas a la interfaz correspondiente.

04/11/2011
 Página 32 de 36

Configuración del cortafuegos.

Caso práctico

Para completar la seguridad del sistema Tomás se dirige a

comprar un Firewall, pero en el camino ha llamado a su
amiga Antonia para pedirle consejo sobre alguno en
especial y ésta le ha contestado que con el router que tiene no
le hace falta comprar ningún cortafuegos, que lo puede
configurar en las prestaciones del router. Es una buena noticia
que le supone un pequeño ahorro, al final de todo el precio del
router se está justificando con las prestaciones que ofrece.

Los conceptos de cortafuegos y router son totalmente diferentes, pero ocurre que muchos routers
incorporan un cortafuegos en su software y por ello no es necesario incorporar un cortafuegos
adicional.

La configuración del cortafuegos se puede hacer a través del interfaz web del router, accediendo con
cualquier navegador que incorpore el sistema operativo.

En la imagen anterior se puede ver como el router cuya dirección IP es 192.168.1.254 tiene un interfaz
que nos permite configurar un cortafuegos o firewall sencillo con algunas opciones básicas, esto es
lógico puesto que la captura pertenece a un router de uso doméstico. Se puede ver como se tiene la
opción de configurar parámetros para que el router pueda ser atravesado por conexiones VPN.

La palabra que más se repite entre las opciones del firewall es “filtrar”, lo que deja claro cuál es su
función.

Autoevaluación

La línea de comandos “PAR04(config)#static (dmzA,dmzB) 192.168.1.2 192.168.1.1

netmask 255.255.255.255”

j Es errónea.
k
l
m
n
Está exponiendo el equipo 192.168.1.2 de la dmzA para que pueda ser accedido desde
j el equipo 192.168.1.1 de la dmzB.
k
l
m
n

Está exponiendo el equipo 192.168.1.1 de la dmzA para que pueda ser accedido desde
j el equipo 192.168.1.2 de la dmzB.
k
l
m
n

j No consigue nada puesto que las dos IP pertenecen a la misma red LAN.
k
l
m
n

04/11/2011
 Página 33 de 36

Para saber más

En el siguiente enlace puedes ver un video en el que se muestra la configuración de los

parámetros de un router desde una interfaz web.

Configuración de un router.

04/11/2011
 Página 34 de 36

Anexo.- Licencias de recursos.

Licencias de recursos utilizados en
Recurso (1) Datos del recurso (1)

Autoría: M0z4rt.

Licencia: CC by sa.

Procedencia: http://es.wikipedia.org/wiki/Archivo:Router.jpg

Autoría: Tomás Fernández Escudero.

Licencia: Uso Educativo no comercial.

Procedencia: Montaje realizado con imágenes

procedentes del clip-art de OpenOffice

Autoría: schoschie.

Licencia: CC by .

Procedencia: http://www.flickr.com/photos/schoschie/
1448798334/sizes/m/in/photostream/

Autoría: Sergis blog.

Licencia: CC by.

Procedencia: http://www.flickr.com/photos/srgblog/1137648307

Autoría: http://www.scribd.com.

Licencia: Copyright (cita).

Procedencia: Montaje sobre http://www.scribd.com/doc/40754337/

Manual-Para-La-Elaboracion-de-Un-Cable-de-Consola-CISCO

Autoría: Hector Habarca.

Licencia: Copyright (cita).

Procedencia: Montaje sobre

habarca.files.wordpress.com/2008/04/tecred_wan_3.ppt

Autoría: Tomás Fernández Escudero.

Licencia: Uso Educativo no comercial.

Procedencia: Elaboración propia.

04/11/2011
 Página 35 de 36

Autoría: Tomás Fernández Escudero.

Licencia: Uso Educativo no comercial.

Procedencia: Captura de pantalla del programa Putty,

propiedad de Simon Tathan

Autoría: Tomás Fernández Escudero.

Licencia: Uso Educativo no comercial.

Procedencia: Captura de pantalla de Windows XP propiedad de Microsoft

Autoría: Tomás Fernández Escudero.

Licencia: Uso Educativo no comercial .

Procedencia: Elaboración propia

Autoría: Shokai.

Licencia: CC by .

Procedencia:
http://www.flickr.com/photos/shokai/4525012639/sizes/m/in/photostream/

Autoría: Diego Martín.

Licencia: CC by nc nd.

Procedencia:
http://www.flickr.com/photos/xoid/847548951/sizes/m/in/photostream/

Autoría: Mag Stuff.

Licencia: Copyright (cita).

Procedencia: http://www.magstuffonline.com/category/
cisco-routing-and-switching/managing-cisco-ios-software/

Autoría: Greg Donikian.

Licencia: CC by.

Procedencia:
http://www.flickr.com/photos/misadon/3020070833/sizes/m/in/photostream/

Autoría: Tomás Fernández Escudero.

Licencia: Uso Educativo no comercial.

Procedencia: Elaboración propia y montaje realizado con

imágenes procedentes del clip-art de OpenOffice

04/11/2011
 Página 36 de 36

Autoría: Tomás Fernández Escudero.

Licencia: Uso Educativo no comercial.

Procedencia: Elaboración propia y montaje realizado con imágenes

procedentes del clip-art de OpenOffice

04/11/2011