viernes, 13 de septiembre de 2019

ACL (Access Control List)

ACL (Access Control List)


En este post se explicara que son las access list y como funcionan, lo primero es saber que son las access list, estas son reglas que sirven para permitir o denegar el tráfico a través de un router, se pueden ver como una forma de seguridad en nuestros dispositivos.

Las ACL se pueden ver como una colección de reglas para un tráfico en especifico, supongamos que tenemos la siguiente topología:


Si queremos solo permitir el tráfico de la red 10 y 11 pero no de la red 1, tenemos que pensar en como hacer la regla, las reglas se leen de arriba hacia abajo, en este caso en el router tienen que estar las siguiente reglas:

permite: 192.168.10.0 255.255.255.0
permite: 192.168.11.0 255.255.255.0
No permite: 192.168.1.0 255.255.255.0

Estas serian las reglas básicas para configurar en el dispositivo; En este post solo veremos las ACL Standard, en un futuro tema veremos las ACL extended, que estas nos permiten bloquear no solo por IP, sino por puerto, protocolo o en un tiempo definido aplicar esa regla.

¿Para que son usadas las ACL?

Las ACL son usadas principalmente para lo siguiente:

Access Control (Seguridad):

Permitir o denegar acceso entre redes.


NAT (Network Address Translation):
Permite que una IP privada se traduzca como pública y podamos navegar a Internet, este tema se vera en próximos temas, el NAT permite que una IP privada puede navegar hacia fuera de la red local usando una IP pública.



QoS(Quality of service): La calidad de servicio nos ayuda a darle prioridad al tráfico, si tenemos una vlan de voz y una de datos y no queremos problemas en nuestras llamadas telefonicas lo que podemos hacer es darle una mayor prioridad a nuestro tráfico de voz sobre los datos y así aseguramos que la comunicación funcione correctamente.


Policy routing: En este caso si tenemos dos enlaces WAN podemos decidir pasar cierto tráfico por un enlace o por otro, es decir podemos hacer un balanceo con el uso de ACL, con esto podemos tener una mejor eficiencia en la red.


Route filtering: Este nos sirve para contar con un poco mas de seguridad en nuestro equipo, ya que puede detectar si tenemos demasiado tráfico desde un equipo, o si ciertas redes las conocemos como maliciosas.


Como vemos las ACLs son muy versátiles y nos pueden ayudar a controlar el tráfico que entra o sale de nuestro dispositivo, un punto a tener en cuenta es que estas se aplican directamente en una interfaz y dependiendo el flujo del tráfico es como debemos aplicarla, usando el ejemplo anterior con la topología, la ACL creada la podemos colocar en dos puntos del router:

Si la ponemos en la interfaz G0/0 vemos que el flujo es de entrada a la interfaz, es decir tenemos que poner nuestra ACL con el sentido de Inbound.


Si la ponemos en la interfaz G0/1 vemos que el flujo es de salida a la interfaz, es decir tenemos que poner nuestra ACL con el sentido de Outbound.


Entonces como saber en donde ponerla, ambas opciones son validas pero la recomendación es poner la ACL en la interfaz que recibe el tráfico en este caso la G0/0 ya que al llegar a la interfaz no tiene que procesar el paquete y le ayuda a no consumir recursos, mientras que si la ponemos en la G0/1 el paquete entra y es procesado por el router para ser entregado por esta interfaz.



Configuración básica de ACL Standard:

1.- Creación de la ACL

(config)#access-list "#" "acción" "IP Host/Red" "wildcard"

En este comando tenemos las siguientes variables:

#: se refiere al número de ACL, en las ACL estandar es de 1 al 99.

Acción: Se refiere a que hará la ACL con el tráfico donde tenemos permit,deny y remark este ultimo es para poner comentarios en las ACL.

IP Host/Red: IP del dispositivo o la red que va a ser permitida o bloqueada.

Wildcard: La wildcard se entiende como la máscara opuesta a la máscara de red, ya que usa los bits que estan en 0 en la máscara de red de un dispositivo o red.

Ejemplo:

permite: 192.168.10.0 255.255.255.0

(config)#access-list 1 permit 192.168.10.0 0.0.0.255

Como vemos la wildcard se activan los bits opuestos a la máscara de red, si pusimos atención al post de subneteo lo podemos entender como los bits que se usan para la red, con esto lo que hace el equipo es saber que bits se activan solo para los hosts y omite los bits que identifican a la red.


Podemos validar el ACL con el comando:

#show access-lists


Como vemos en la imagen tenemos el número 10 antes de nuestra ACL, este número representa el orden en donde se encuentra nuestra ACL, como las ACL se leen de arriba hacia abajo se les agrega una numeración para identificar su posición.

Agregamos la siguiente sentencia:

permite: 192.168.11.0 255.255.255.0

(config)# access-list 1 permit 192.168.11.0 0.0.0.255




como vemos la agrego y la puso en la posición 20, es decir mas abajo de la posición de la primera regla que creamos para la red 192.168.10.0/24.

La última regla es la de denegar el tráfico de la red 192.168.1.0/24, esto se puede hacer de dos maneras, la primera es crear la regla para esa red y la segunda es omitiendo la red en nuestras reglas, ya que al final de la ACL, existe una regla implícita que por default deniega todo el tráfico.

Las ACL las encontramos en 3 formas:

Standard
*se basa en la dirección de origen (source address)
*utiliza menos procesamiento del dispositivo.


Extended:
*Se basan en la red de origen y destino, asi como protocolos, y número de puerto.
*utiliza mas procesamiento del dispositivo
*la sintaxis es un poco mas compleja

Reflexive:
*Esta regla es especial ya que maneja el tráfico statefull de los firewalls, supongamos que tenemos una regla para un source NAT, en este tipo de regla cambiamos la IP privada por una pública, no hay que hacer una ACL para el tráfico de entrada, esto es debido a que al momento de que la PC inicia la sesión esta se queda en el router y cuando regresa el tráfico desde Internet respeta esa sesión siempre y cuando se llegue con los mismos parámetros.

Como ultimo punto sobre las ACL Standard es que podemos crearlas con un nombre en lugar de un número, el comando para poder crear una ACL por nombre es el siguiente:

(config)#ip access-list standard "nombre"


CONFIGURACIÓN


A continuación veremos un ejemplo de ACL Standard, para eso utilizaremos la siguiente topología:


vamos a configurar los siguientes escenarios (Usando ACL Standard)

1.- Usar una ACL para bloquear el acceso de la IP 1.1.1.1 a la IP 1.1.1.6 y la red 172.16.1.0/24

2.- Usar una ACL para bloquear el acceso a la red 172.16.1.0/24 desde la red 172.16.2.0/25

3.- Usar una ACL para bloquear el acceso de la IP 172.16.2.50 a la IP 1.1.1.1


ESCENARIO 1 

Usar una ACL para bloquear el acceso de la IP 1.1.1.1 a la IP 1.1.1.6 y la red 172.16.1.0/24.

En este escenario lo primero es determinar en donde pondremos la ACL y determinar la dirección del tráfico en la interfaz, en este caso la opción mas viable y recomendada es el Router0 en la interfaz s0/0/0 ya que al llegar el tráfico a este router podemos controlar el tráfico que entra por la interfaz.

La dirección del tráfico sera inbound ya que el tráfico es de entrada a esa interfaz.


En este escenario hay diferentes maneras de configurar la ACL, la manera correcta depende de los estándares que se tengan en la empresa o si se tiene una documentación homologada para estos casos, expondré las maneras que se puede solucionar este escenario.

Caso 1 - Denegar el tráfico de 1.1.1.1 y permitir el tráfico de las otras redes, poniendo cada una en una regla diferente.

Paso 1: Creamos la ACL 1 y denegamos el acceso a la IP 1.1.1.1/32

Aquí es importante ver porque la máscara que se usa es la /32, esto significa que solo haremos la exclusión o denegación de tráfico a un host en particular, al tener activados todos los bits en su máscara de red se entiende que es un equipo en especifico, quedando de la siguiente manera:

1.1.1.1/32 -> 1.1.1.1/255.255.255.255

Como necesitamos la wildcard de la máscara de red tendremos que ver cual es su opuesto en este caso:



como vemos la wildcard queda en 0.0.0.0 ya que al restar la máscara nos queda todo en 0.

(config)#access-list 1 deny 1.1.1.1 0.0.0.0

Paso 2: Creamos las reglas para las redes que están involucradas en la topología.

En este caso podemos ver las wildcards de esas redes:




Como vemos para cada una de las redes la wildcard será la siguiente, en este caso utilice la máscara /24 para la red 172.16.2.0 y 172.16.2.128, ya que sumarizo ambas redes.

(config)#access-list 1 permit 1.1.1.0 0.0.0.3
(config)#access-list 1 permit 1.1.1.4 0.0.0.3
(config)#access-list 1 permit 172.16.2.0 0.0.0.255


Usando el comando show access-lists


Antes de agregar la ACL a la interfaz podemos hacer una prueba de ping desde el Router2 hacia la IP 1.1.1.6 que se encuentra en el Router0 y vemos que nos responde:


Paso 3: Agregamos la ACL a la interfaz s0/0/0

Ingresamos a la interfaz
(config)#int serial s0/0/0

Usando el siguiente comando agregamos la ACL y la dirección del tráfico
(config-if)#ip access-group "ACL"in 

Quedando de la siguiente manera:

interface serial s0/0/0
ip access-group 1 in


Con esto terminamos la configuración, solo queda hacer una prueba de ping nuevamente:


Como podemos observar ahora nos manda el mensaje de U (Unreachable) podemos también ver cuantas veces se aplico la ACL con el comando show access-lists


Caso 2 - Denegar el tráfico de 1.1.1.1 y permitir todo el tráfico por default, en este caso solo denegamos el acceso a la IP 1.1.1.1/32 y dejamos un permit por default.

(config)#access-list 1 deny 1.1.1.1 0.0.0.3
(config)#access-list 1 permit 0.0.0.0 255.255.255.255

Las siguientes son las mismas configuraciones solo que le ponemos un nombre a la ACL para identificarla mas cómodamente que en lugar de un número.

Caso 1 - Con nombre - 
(config)#ip  access-list standard ESCENARIO1
(config)#deny host 1.1.1.1
(config)#permit 1.1.1.0 0.0.0.3
(config)#permit 1.1.1.4 0.0.0.3
(config)#permit 172.16.2.0 0.0.0.255



*Como vemos aquí podemos usar el comando host y solo ponemos la IP del dispositivo a bloquear sin necesidad de poner la wildcard.

Caso 2 - Con nombre - En este caso ponemos el orden en el que acomodaremos las reglas
(config)#ip access-list standard ESCENARIO1 2 permit 0.0.0.0 255.255.255.255
(config)#ip   access-list standard ESCENARIO1 1 deny 1.1.1.1 0.0.0.0



Como vemos se acomodaron según el orden establecido.

*NOTA: Podemos también cambiar el número del orden con el comando resequence

(config)#ip access-list resequence "Nombre" "#_de_inicio" "#_de_incremento"

Ejemplo:

(config)#ip access-list resequence ESCENARIO1 1 1


ESCENARIO 2

Usar una ACL para bloquear el acceso a la red 172.16.1.0/24 desde la red 172.16.2.0/25

En este caso lo que se requiere es que la LAN 172.16.1.0/24 no tenga acceso a la LAN 172.16.2.0/25, como vemos en este caso solamente es esa LAN, por lo cual pondremos la ACL en el puerto Gig0/0 en cual es el puerto de nuestra LAN y como el tráfico saldrá por esa interfaz, se pondrá como OUTBOUND.




Configuramos la ACL:

Paso 1: Obtenemos la wildcard de la red a bloquear.



Paso 2 - Configurar la ACL



Paso 3 - Asignar la ACL a la interfaz



Comprobamos con un ping desde la PC 172.16.2.50 a la PC 172.16.1.50:



Ahora revisamos los logs en el Router:


En las ACL ESCENARIO1 y ESCENARIO2 vemos la misma cantidad de matches, esto es porque al ingresar el tráfico por la interfaz s0/0/0 se deja pasar pero al llegar a la interfaz de salida Gig0/0 cae en la ACL ESCENARIO2 y es donde se hace la denegación del tráfico.


ESCENARIO 3

Usar una ACL para bloquear el acceso de la IP 172.16.2.50 a la IP 1.1.1.1

En este caso se requiere bloquear de un host a un host, para este escenario colocaremos la ACL en el puerto s0/0/1 del router 2 y como dirección será IN.



Configuramos la ACL:

Paso 1: Obtenemos la wildcard de la red a bloquear.



Paso 2 - Configurar la ACL


*NOTA: como vemos aquí no se configuro la regla de permit default como permi 0.0.0.0 255.255.255.255 sino que se utilizo permit any , que es exactamente lo mismo que el primer comando.

Paso 3 - Asignar la ACL a la interfaz



Comprobamos con un ping desde la PC 172.16.2.50 a la interfaz del router 1.1.1.1




Ahora revisamos los logs en el Router:



La configuración de ACL Standard es un proceso muy sencillo, el único reto que se puede encontrar es descifrar la dirección y en que interfaz la colocaremos para causar el menor impacto en el procesamiento del equipo y tambien crear una ACL que sea efectiva.

Espero este post haya sido de su agrado, pueden dejar sus comentarios.

sábado, 7 de septiembre de 2019

Subneteo - Parte 5 de 5 - VLSM

VLSM


VLSM (Variable Length Subnet Mask) es un mecanismo de subneteo para optimizar aún mas las redes, con el VLSM lo que hacemos es en teoria subnetear una red ya previamente subneteada, esto suena muy complejo, pero en realidad es muy sencillo, ya que se estará trabajando con la mascara restante, para poner en contexto el VLSM usaremos la siguiente topología:

 


Como vemos cada una de las vlans requiere de diferentes tamaños según los hosts que pueden ser utilizados, si usamos una red para cada vlan nos quedaran muchas IP sin utilizar o una red mezclada de redes clase B y C sin ningún tipo de control sobre las redes y en el caso de la red que interconecta a los dos routers tendríamos un desperdicio mayor ya que solo ocupa 2 IP válidas.

Para solucionar esto usaremos el VLSM, como primer paso vamos a hacer un listado con cada subred que necesitamos y el número de hosts por subred:

  • 300 Hosts
  • 100 Hosts
  • 50   Hosts
  • 25   Hosts
  • 10   Hosts
  • 2     Hosts
En este caso son 6 subredes cada una con un requerimiento de IPs diferente, es necesario acomodarlas de mayor número de host a menor, ya que al hacer VLSM el número de IP utilizables va decreciendo.

Para este ejemplo, tomare la siguiente IP:

172.16.0.0

La primera red es de 300 hosts así que es necesario hacer el procedimiento de subneteo por Hosts.

Paso 1: El primer paso es identificar la clase a la cual pertenece la IP ya que usaremos la máscara default como base para crear las redes.


Paso 2: Convertir la máscara de red en binario:



Paso 3: Para dividir redes por hosts es necesario hacerlo de derecha a izquierda, quedando de la siguiente manera:


Paso 4: Elegimos cuantos bits vamos a utilizar para completar la tarea de dividir esa red en redes que contengan 300, en este caso serán 9 bits, ya que 512 es el número mas cercano a 300, que es el que necesitamos para las redes:


Paso 5: Lo siguiente es obtener la máscara de red, para esto si observamos lo que acabamos de obtener son los saltos que dará entre cada subred, usamos los bits que quedaron para obtener la nueva máscara de red:


Como vemos para obtener la máscara de red, utilizaremos los bits restantes de derecha a izquierda que estos representan la parte de la subred.




La forma de pasar de binario a decimal es fácil, solo hay que sumar los bits que se encuentran activos y el resultado es la máscara resultante, por lo tanto queda la mascara de la siguiente manera:


Paso 6: Ya que tenemos la nueva máscara hay que buscar los "brincos" que se harán entre cada red,para esto usamos la porción de los hosts, usando la segunda tabla, que es para obtener el valor de las posiciones:


En este caso los bits sobrantes es 1 bit, y con esto obtenemos el número con el cual haremos los brincos sumando el valor según las posiciones, en este caso son brincos de 2 en 2 en el tercer octeto.


*Se omitieron algunas redes por tema de poner una tabla breve.

En este caso no es necesario poner todas las redes ya que solo nos interesa tener una que soporte 300 Hosts.

Con esto podemos decir que la primera red, es de la siguiente manera:


EL CIDR cambia de /16 a /23 ya que a los 16 bits originales se le suman los 7 bits que se ocuparon para las redes.


Ya tenemos la primera red que es 172.16.0.0/23, la siguiente red por subnetear es la siguiente:

Red: 172.16.2.0/23
Requerimiento: 100 Hosts

Como podemos ver la IP con la que vamos a trabajar es con la subred siguiente en este caso 172.16.2.0 con una máscara 255.255.254.0, ahora nuestra máscara "original" no será de la clase B sino esta nueva que nos quedo.

Para subnetear esta subred hay que realizar los mismo pasos, en este caso podemos omitir el paso 1 y 2 ya que lo tenemos del ejercicio anterior.

Paso 3: Para dividir redes por hosts es necesario hacerlo de derecha a izquierda, quedando de la siguiente manera:


Paso 4: Elegimos cuantos bits vamos a utilizar para completar la tarea de dividir esa red en redes que contengan 100, en este caso serán 7 bits, ya que 128 es el número mas cercano a 100, que es el que necesitamos para las redes:


Paso 5: Lo siguiente es obtener la máscara de red, para esto si observamos lo que acabamos de obtener son los saltos que dará entre cada subred, usamos los bits que quedaron para obtener la nueva máscara de red:


Como vemos para obtener la máscara de red, utilizaremos los bits restantes de derecha a izquierda que estos representan la parte de la subred.


La forma de pasar de binario a decimal es fácil, solo hay que sumar los bits que se encuentran activos y el resultado es la máscara resultante, por lo tanto queda la mascara de la siguiente manera:


Paso 6: Ya que tenemos la nueva máscara hay que buscar los "brincos" que se harán entre cada red,para esto usamos la porción de los hosts, usando la segunda tabla, que es para obtener el valor de las posiciones:


En este caso los bits sobrantes son 7 bits, y con esto obtenemos el número con el cual haremos los brincos sumando el valor según las posiciones, en este caso son brincos de 128 en 128 en el cuarto octeto.


*Se omitieron algunas redes por tema de poner una tabla breve.

En este caso no es necesario poner todas las redes ya que solo nos interesa tener una que soporte 100 Hosts.

Con esto podemos decir que la segunda red, es de la siguiente manera:


EL CIDR cambia de /23 a /25 ya que a los 23 bits originales se le suman los 2 bits que se ocuparon para las redes.


Ya tenemos la segunda red que es 172.16.2.0/25, la siguiente red por subnetear es la siguiente:

Red: 172.16.2.128/25
Requerimiento: 50 Hosts

Como podemos ver la IP con la que vamos a trabajar es con la subred siguiente en este caso 172.16.2.128 con una máscara 255.255.255.128, ahora nuestra máscara "original" es la que se modifico de nuevo.

Para subnetear esta subred hay que realizar los mismo pasos, en este caso podemos omitir el paso 1 y 2 ya que lo tenemos del ejercicio anterior.

Paso 3: Para dividir redes por hosts es necesario hacerlo de derecha a izquierda, quedando de la siguiente manera:


Paso 4: Elegimos cuantos bits vamos a utilizar para completar la tarea de dividir esa red en redes que contengan 50 Hosts, en este caso será 1 bit, ya que 64 es el número mas cercano a 50, que es el que necesitamos para las redes:


Paso 5: Lo siguiente es obtener la máscara de red, para esto si observamos lo que acabamos de obtener son los saltos que dará entre cada subred, usamos los bits que quedaron para obtener la nueva máscara de red:


Como vemos para obtener la máscara de red, utilizaremos los bits restantes de derecha a izquierda que estos representan la parte de la subred.


La forma de pasar de binario a decimal es fácil, solo hay que sumar los bits que se encuentran activos y el resultado es la máscara resultante, por lo tanto queda la mascara de la siguiente manera:


Paso 6: Ya que tenemos la nueva máscara hay que buscar los "brincos" que se harán entre cada red,para esto usamos la porción de los hosts, usando la segunda tabla, que es para obtener el valor de las posiciones:


En este caso los bits sobrantes son 6 bits, y con esto obtenemos el número con el cual haremos los brincos sumando el valor según las posiciones, en este caso son brincos de 64 en 64 en el cuarto octeto.


Con esto podemos decir que la tercera red, es de la siguiente manera:


EL CIDR cambia de /25 a /26 ya que a los 25 bits originales se le suma 1 bit que se ocupó para las redes.



Ya tenemos la tercera red que es 172.16.2.128/26, la siguiente red por subnetear es la siguiente:

Red: 172.16.2.192/26
Requerimiento: 25 Hosts

Como podemos ver la IP con la que vamos a trabajar es con la subred siguiente en este caso 172.16.2.192 con una máscara 255.255.255.192, ahora nuestra máscara "original" es la que se modifico de nuevo.

Para subnetear esta subred hay que realizar los mismo pasos, en este caso podemos omitir el paso 1 y 2 ya que lo tenemos del ejercicio anterior.

Paso 3: Para dividir redes por hosts es necesario hacerlo de derecha a izquierda, quedando de la siguiente manera:


Paso 4: Elegimos cuantos bits vamos a utilizar para completar la tarea de dividir esa red en redes que contengan 25 Hosts, en este caso serán 5 bits, ya que 32 es el número mas cercano a 25, que es el que necesitamos para las redes:



Paso 5: Lo siguiente es obtener la máscara de red, para esto si observamos lo que acabamos de obtener son los saltos que dará entre cada subred, usamos los bits que quedaron para obtener la nueva máscara de red:


Como vemos para obtener la máscara de red, utilizaremos los bits restantes de derecha a izquierda que estos representan la parte de la subred.


La forma de pasar de binario a decimal es fácil, solo hay que sumar los bits que se encuentran activos y el resultado es la máscara resultante, por lo tanto queda la mascara de la siguiente manera:


Paso 6: Ya que tenemos la nueva máscara hay que buscar los "brincos" que se harán entre cada red,para esto usamos la porción de los hosts, usando la segunda tabla, que es para obtener el valor de las posiciones:


En este caso los bits sobrantes son 5 bits, y con esto obtenemos el número con el cual haremos los brincos sumando el valor según las posiciones, en este caso son brincos de 32 en 32 en el cuarto octeto.


Con esto podemos decir que la cuarta red, es de la siguiente manera:


EL CIDR cambia de /26 a /27 ya que a los 26 bits originales se le suma 1 bit que se ocupó para las redes.



Ya tenemos la cuarta red que es 172.16.2.192/27, la siguiente red por subnetear es la siguiente:


Red: 172.16.2.224/27
Requerimiento: 10 Hosts

Como podemos ver la IP con la que vamos a trabajar es con la subred siguiente en este caso 172.16.2.224 con una máscara 255.255.255.224, ahora nuestra máscara "original" es la que se modifico de nuevo.

Para subnetear esta subred hay que realizar los mismo pasos, en este caso podemos omitir el paso 1 y 2 ya que lo tenemos del ejercicio anterior.

Paso 3: Para dividir redes por hosts es necesario hacerlo de derecha a izquierda, quedando de la siguiente manera:


Paso 4: Elegimos cuantos bits vamos a utilizar para completar la tarea de dividir esa red en redes que contengan 10 Hosts, en este caso serán 4 bits, ya que 16 es el número mas cercano a 10, que es el que necesitamos para las redes:



Paso 5: Lo siguiente es obtener la máscara de red, para esto si observamos lo que acabamos de obtener son los saltos que dará entre cada subred, usamos los bits que quedaron para obtener la nueva máscara de red:


Como vemos para obtener la máscara de red, utilizaremos los bits restantes de derecha a izquierda que estos representan la parte de la subred.


La forma de pasar de binario a decimal es fácil, solo hay que sumar los bits que se encuentran activos y el resultado es la máscara resultante, por lo tanto queda la mascara de la siguiente manera:


Paso 6: Ya que tenemos la nueva máscara hay que buscar los "brincos" que se harán entre cada red,para esto usamos la porción de los hosts, usando la segunda tabla, que es para obtener el valor de las posiciones:


En este caso los bits sobrantes son 4 bits, y con esto obtenemos el número con el cual haremos los brincos sumando el valor según las posiciones, en este caso son brincos de 16 en 16 en el cuarto octeto.


Con esto podemos decir que la quinta red, es de la siguiente manera:


EL CIDR cambia de /27 a /28 ya que a los 27 bits originales se le suma 1 bit que se ocupó para las redes.



Ya tenemos la quinta red que es 172.16.2.224/26, la siguiente red por subnetear es la siguiente:


Red: 172.16.2.240/28
Requerimiento: 2 Hosts

Como podemos ver la IP con la que vamos a trabajar es con la subred siguiente en este caso 172.16.2.240 con una máscara 255.255.255.240, ahora nuestra máscara "original" es la que se modifico de nuevo.

*NOTA: Recordemos que los hosts son el número total de hosts válidos menos 2 el ID de red y el broadcast, en este caso necesitamos 4 Hosts para completar el ejercicio.

Para subnetear esta subred hay que realizar los mismo pasos, en este caso podemos omitir el paso 1 y 2 ya que lo tenemos del ejercicio anterior.

Paso 3: Para dividir redes por hosts es necesario hacerlo de derecha a izquierda, quedando de la siguiente manera:


Paso 4: Elegimos cuantos bits vamos a utilizar para completar la tarea de dividir esa red en redes que contengan 4 Hosts, en este caso serán 2 bits, ya que 4 es el número igual a 4, que es el que necesitamos para las redes:


Paso 5: Lo siguiente es obtener la máscara de red, para esto si observamos lo que acabamos de obtener son los saltos que dará entre cada subred, usamos los bits que quedaron para obtener la nueva máscara de red:


Como vemos para obtener la máscara de red, utilizaremos los bits restantes de derecha a izquierda que estos representan la parte de la subred.


La forma de pasar de binario a decimal es fácil, solo hay que sumar los bits que se encuentran activos y el resultado es la máscara resultante, por lo tanto queda la mascara de la siguiente manera:


Paso 6: Ya que tenemos la nueva máscara hay que buscar los "brincos" que se harán entre cada red,para esto usamos la porción de los hosts, usando la segunda tabla, que es para obtener el valor de las posiciones:


En este caso los bits sobrantes son 2 bits, y con esto obtenemos el número con el cual haremos los brincos sumando el valor según las posiciones, en este caso son brincos de 4 en 4 en el cuarto octeto.


Con esto podemos decir que la quinta red, es de la siguiente manera:


EL CIDR cambia de /28 a /30 ya que a los 28 bits originales se le suman 2 bits que se ocupó para las redes.



Ya tenemos la ultima red que es 172.16.2.240/30, como podemos ver con este ultimo subneteo se terminan las IPs disponibles.

Haciendo una pequeña tabla tenemos un resumen de las redes:



Ya solo resta asignar cada segmento en la topologia y configurar los equipos.



CONFIGURACIÓN

PC'S

Orden Izquierda->Derecha









SWITCHS










ROUTERS








Tabla de Ruteo - R1



Tabla de Ruteo - R2



Pruebas desde PC1









Como podemos observar el direccionamiento fue correcto y todas las pruebas fueron satisfactorias. Espero este post les haya dejado claro el como funciona el VLSM, ya que es un tema muy importante en los protocolos de ruteo.