Blog personal de Sergio Madrigal donde encontrar textos sobre ciencia y tecnología, psicología, cine y literatura y quizá alguna cosita más.

Etiqueta: networking (página 1 de 2)

MPLS – Introducción

MPLS (Conmutación de etiquetas multiprotocolo) es un mecanismo empleado en redes de telecomunicaciones de alto rendimiento que es capaz de enrutar información de una red a otra basándose en etiquetas locales en lugar de emplear largas direcciones de red como lo hacen la mayoría de protocolos de enrutamiento.

Su uso está ampliamente extendido en entornos de provisión de servicios debido a su rapidez de conmutación y una serie de ventajas añadidas que convierten a MPLS en la solución idónea para dar respuesta a las necesidades que tienen estos entornos: grandes cantidades de redes, anchos de banda grandes, necesidad de minimizar el retardo y el jitter, etc.

Algunas de estas características son:

Multiprotocolo

MPLS proporciona el servicio de transporte conmutado extremo a extremo y es independiente del protocolo que se esté empleando tanto a nivel 2 como a nivel 3 incluyendo tecnologías de acceso como: T1/E1, ATM, Frame Relay, y DSL.

Traffic Engineering

Además, MPLS incluye su propio sistema de enrutamiento que va a permitir al ingeniero de redes modificar dependendiendo de las necesidades en cada momento haciendo uso de las etiquetas así como de ciertos atributos como medio para condicionar el camino empleado.

Túneles con RSVP

Una de las características más interesantes de MPLS es la creación de rutas dinámicas a través de su red que, a diferencia de otros IGPs (OSPF, EIGRP, IS-IS), sí que tienen en cuenta el estado actual de los enlaces.

Como muchos sabéis, OSPF o EIGRP por ejemplo, utilizan unos parámetros que caracterizan a cada uno de los enlaces o saltos para así decidir cuál es la ruta más óptima para alcanzar el destino. El problema de este mecanismo es que es estático: la definición de las características del enlace se realiza en la configuración de los equipos.

Esto puede dar lugar a la sobreutilización de determinados enlaces con buenas características y la infrautilización de enlaces alternativos con características inferiores.

Con MPLS esta situación se resuelve dado que emplea RSVP para establecer un camino basándose en el estado actual de la red. Asegura así que el ancho de banda que requiere la comunicación es, de hecho, el disponible y lo reserva para crear un túnel para esa comunicación.

Calidad de servicio

Traffic Engineering está muy relacionado con QoS (usa RSVP para establecer los túneles extremo a extremo) lo que va a permitir al ingeniero de redes integrar fácilmente mecanismos de QoS (Quality of Service) sobre el tráfico MPLS.

MPLS TE dispone de una extensión que permite implementar DiffServ Services

 

Laboratorio de Redes #101 – BGP y OSPF – Redistribución 1

Hoy os traigo el primer capítulo de esta serie de laboratorios de routing encaminados a explicar de una forma más práctica cómo configurar equipos Cisco con protocolos de enrutamiento dinámico.

En esta primera entrega os muestro la topología que voy a utilizar, las distintas direcciones IP de los equipos a configurar y una primera parte en la que configuraré OSPF y BGP comprobando así mismo su funcionamiento.

A lo largo de los siguientes episodios buscaré desarrollar por completo la topología para finalmente proporcionaros los archivos del laboratorio en GNS3 para que podáis jugar con ellos cuanto os plazca.

[su_youtube url=»https://www.youtube.com/watch?v=7d7IMTEAFLI»]

Seguridad en Redes: Arquitectura AAA

En entornos de seguridad informática, AAA representan las siglas para: Authentication (Autenticación), Authorization (Autorización) & Accounting (Registro).

Se trata de una arquitectura de seguridad que permite la gestión de acceso definiendo políticas de seguridad.

Una forma sencilla de recordar las diferencias entre cada una de las “As” de AAA es la siguiente:

Authentication = ¿Quién?

Mediante la autenticación, el sistema descubre quién es el usuario que está tratando de acceder a determinado recurso y, una vez identificado, le aplica las políticas de seguridad definidas en función de su rol

Authorization = ¿Acceso a qué?

Una vez el usuario ha sido autenticado, es decir, identificado, se le aplican las directivas de seguridad necesarias que, finalmente, le permitirán acceso o no a determinados recursos de la red. Esta fase, conocida como autorización, es en la que se definen estos recursos accesibles para determinados roles.

Accounting = Log.

La última A es la encarga de registrar todos los accesos y movimientos que se realicen a través del sistema de seguridad para disponer de esa información en cualquier momento. Esta parte de la arquitectura puede parecer la menos importante al ser la menos crítica durante la fase de acceso a los recursos pero es de vital importancia cuando se realizan análisis post-incidente para poder encontrar las causas raíz de una brecha de seguridad.

Fundamentalmente existen dos protocolos muy extendidos para la implementación de servicios AAA: RADIUS y TACACS+.

RADIUS

Es la versión pública y más extendida de protocolo AAA. Se trata de un protocolo cliente-servidor que proporciona los tres servicios AAA de forma centralizada y que se ha convertido en el modelo estándar de IETF.

TACACS+

Es la evolución del protocolo TACACS realizada por Cisco que permite añadir a la original autenticación de la que disponía éste de autorización y registro para así convertirlo en un protocolo AAA completo.

LAB: Configuración Básica de OSPF

Dado el siguiente escenario:

LAB_1

Tenemos dos routers asociados a dos redes LAN independientes que no tienen conectividad entre sí. El objetivo de este laboratorio será definir un área OSPF común en el que los routers intercambien las rutas a su redes internas a través de la misma.

Para ello configuramos en primer lugar el router de Valencia:

Empezaremos definiendo las interfaces. Al tratarse de un router de la serie 1700 sólo disponemos de una interfaz FastEthernet que será la que emplearemos para conectarnos con el router del ISP. Para emular la subred de Valencia asignaremos la IP del rango 10.1.0.0/16 a una interfaz Loopback que hará las funciones de equipo dentro de la subred.

interface FastEthernet0
 description ENLACE CON MADRID
 ip address 10.0.0.1 255.255.255.252

interface Loopback0
 ip address 10.1.0.1 255.255.0.0
!

Realizaremos el mismo proceso en el router de Madrid:

interface FastEthernet0
 description ENLACE CON VALENCIA
 ip address 10.0.0.5 255.255.255.252

interface Loopback0
 ip address 10.1.0.1 255.255.0.0

Y por último el router del ISP dispondrá de dos enlaces FastEthernet dedicados a cada sede:

interface FastEthernet0/0
 description ISP TO VALENCIA
 ip address 10.0.0.2 255.255.255.252
!
interface FastEthernet1/0
 description ISP TO MADRID
 ip address 10.0.0.6 255.255.255.252
!

Una vez configurados los equipos podemos comprobar que desde la LAN de Valencia no se alcanza la LAN de Madrid.

VALENCIA#ping 10.2.0.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.0.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

Si observamos la tabla de enrutamiento veremos cómo, como es obvio, el router de Valencia sólo puede alcanzar las redes a las que está conectado.

VALENCIA#sh ip route

Gateway of last resort is not set

     10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C       10.0.0.0/30 is directly connected, FastEthernet0
C       10.1.0.0/16 is directly connected, Loopback0

Para solucionar esta situación haremos uso de un protocolo de enrutamiento dinámico: OSPF.

Debemos definir un Área OSPF en la que los tres dispositivos intercambien rutas. Como el Router ISP no tiene rutas propias que intercambiar nos servirá exclusivamente de pasarela entre Valencia y Madrid.

Configuraremos de forma análoga OSPF tanto en Valencia como en Madrid.

VALENCIA
router ospf 1
 log-adjacency-changes
 network 10.0.0.0 0.0.0.3 area 0
 network 10.1.0.0 0.0.255.255 area 0

MADRID
router ospf 1
 log-adjacency-changes
 network 10.0.0.4 0.0.0.3 area 0
 network 10.2.0.0 0.0.255.255 area 0

Por último configuraremos OSPF en el ISP y observaremos como se producen las adyacencias oportunas.

router ospf 1
 log-adjacency-changes
 network 10.0.0.0 0.0.0.3 area 0
 network 10.0.0.4 0.0.0.3 area 0

Una vez el proceso converge, las rutas de todos los dispositivos han sido compartidas y nos encontramos con que las tablas de enrutamiento de los 3 routers han sufrido una actualización gracias al proceso OSPF. Esto nos va a permitir tener interconectividad entre las redes LAN de Madrid y Valencia.

VALENCIA#ping 10.2.0.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 36/52/96 ms

ISP#sh ip route
Gateway of last resort is not set

     10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
C       10.0.0.8/30 is directly connected, FastEthernet2/0
O       10.2.0.1/32 [110/2] via 10.0.0.5, 00:07:28, FastEthernet1/0
O       10.1.0.1/32 [110/2] via 10.0.0.1, 00:07:28, FastEthernet0/0
C       10.0.0.0/30 is directly connected, FastEthernet0/0
C       10.0.0.4/30 is directly connected, FastEthernet1/0

Podéis descargaros la topología para GNS3  con la configuración aplicada desde el siguiente enlace:

https://sergiomadrigal.com/labs/OSPF1.zip

Introducción a la QoS

Con el aumento considerable de servicios proporcionados a través de las redes llegó un momento que se observó que existían dos recursos limitados: el ancho de banda y la latencia. 

Había llegado el momento de gestionar eficientemente estos dos recursos si se quería seguir prestando servicios de calidad puesto que se hacía inviable su aumento infinito. 

Parte de la solución para esta administración eficiente de recursos fue la llegada de la calidad de servicio o, en sus siglas en inglés: QoS. 

El mecanismo de la QoS es tan simple como efectivo. Entendemos que no todos los tráficos generados en nuestro ordenador tienen un comportamiento y un nivel de criticidad equivalente. No es lo mismo que una página web nos tarde un segundo más en cargar que el hecho de que una conversación a través de Skype tenga ese mismo retraso de un segundo. Para solucionar este problema se decidió priorizar el tráfico en función de su sensibilidad ante determinados factores inherentes a una red de computadores: latencia, pérdidas de paquetes, límite de ancho de banda, etc. 

Esta priorización se puede llevar a cabo en muchos niveles del modelo OSI pero la que aquí nos ocupa se realiza en el nivel 3, es decir, en los routers. 

¿Por qué? 

Fundamentalmente porque son elementos presentes en toda la cadena de comunicación desde el emisor de la información al receptor. Y aquí aparece la característica más importante a la hora de aplicar calidad de servicio a nuestro tráfico: todos y cada uno de los dispositivos que formen parte de la comunicación deben implementar QoS. En el momento en el que uno solo de estos dispositivos no tenga configurados los parámetros adecuados la QoS dejará de tener efecto. 

Esto es obvio si pensamos en que si nuestro objetivo es darle prioridad máxima a un tipo de tráfico, todos los dispositivos encargados de encaminar ese tráfico deben estar al tanto de esta situación. Si uno de ellos no lo hace, se producirá un retraso no previsto, una pérdida no deseada y, por tanto, una merma de la calidad del servicio. 

¿Cómo se prioriza?

La forma que tiene la QoS de ponerse a funcionar es tan simple como añadir una cabecera a los paquetes IP en la que se indique su nivel de QoS definido. La complejidad, esto es, el análisis y toma de decisiones, lo realizarán los routers dependiendo del tipo de QoS definida en ellos. La forma de decidir qué tráfico se marca con determinadas etiquetas se debe configurar y puede atender a variables de nivel 3: redes o subredes, vaiables de nivel 4: puertos/protocolos, interfaces específicas, etc. 

En la actualidad la QoS está muy presente en las empresas dado que debido a la convergencia de servicios, tráficos de voz, vídeo y datos suelen compartir medios de comunicación y es vital separar y dotar de la prioridad adecuada a cada uno de estos servicios.

Existe un interesante artículo que explica el tipo de marcado que se realiza a los paquetes IP en el siguiente enlace: http://diecarvi.wordpress.com/2013/05/05/understanding-qos-numbering/

Haz de tu casa un servidor web accesible.

Una de las cosas que más pueden interesar a un desarrollador web es montar su propio entorno de desarrollo en su propia casa.

El primer paso será instalar y configurar las máquinas que van a proporcionar los servicios que el desarrollador necesite, esto es: un servidor web (Apache, IIS), módulos de ejecución de código dinámico (PHP, PERL, .NET), y bases de datos (MySQL, PostgreSQL, SQLite).

Una vez tengamos los servicios funcionando hay un punto importante a tener en cuenta: estos servicios sólo serán accesibles a través de nuestra red local y los equipos que estén conectados a ella.

¿Y sí queremos hacerlos accesibles desde el exterior?

Para ello necesitaremos configurar nuestros equipos de red convenientemente.

Por lo general, en una red convencional de un hogar disponemos de un dispositivo que nos facilita la conexión a Internet. Este equipo es el que hace de frontera entre nuestra red local (LAN) y la red exterior (WAN). Estos dispositivos normalmente llevan por defecto configurado el servicio NAT.

Esto implica que en el exterior nuestros equipos, todos, tienen una misma y única dirección IP que los identifique. La IP pública.

Para dirigir el tráfico HTTP (puerto 80) hacia la máquina local que está prestando los servicios, debemos realizar lo siguiente:

1. Configura los Cortafuegos (Firewall) software que tengas instalado en la máquina para que permitan las peticiones al puerto 80.  Esto parece trivial y obvio pero muchos de los problemas de conectividad vienen provocados por el dichoso firewall de Windows.

2. En el router de casa, configura la redirección de puertos (NAT o PAT) para que se produzca la redirección automática entre cualquier IP del exterior que consulte nuestra IP pública en el puerto 80 y la IP privada de nuestra máquina en ese mismo puerto.

3. Comprueba que el puerto está abierto: [http://www.yougetsignal.com/tools/open-ports/] Ten presente que esta prueba la debes realizar poniendo siempre la IP pública, que es la que va a ser accesible desde el exterior.

Por lo general, salvo que tengas contratado un servicio especial, tu dirección IP pública no es estática y varía con el tiempo. Esto se debe a que los proveedores de servicio disponen de un número limitado de direcciones IP y las van reasignando conforme se van empleando.

Para evitar tener que estar constantemente comprobando qué dirección IP tienes [www.cualesmiip.com], existen servicios gratuitos como DynDNS [http://dyn.com/dns/] que te permiten asociar tu IP pública a un nombre preestablecido y de esa forma sólo tener que memorizar ese nombre.

Herramientas de redes: ping y traceroute.

Ante cualquier anomalía de red un técnico debe actuar de forma concisa y rápida buscando aislar por completo la fuente de error.

En la mayoría de los casos el primer paso será comprobar el alcance de la anomalía y qué servicios o equipos están inaccesibles debido a ella.

Para poder obtener esta información de forma rápida y más o menos precisa todo técnico de redes dispone de dos herramientas básicas para ello: el ping y el traceroute.

Ping

PING’ el acrónimo de Packet Internet Groper, el que puede significar «Buscador o rastreador de paquetes en redes» es una utilidad que envía paquetes ICMP de solicitud y respuesta y cuya finalidad es comprobar que el equipo destino está activo y disponible. También se puede emplear para obtener la latencia (o tiempo de respuesta RTT) entre dos equipos para tener una noción del retardo existente en la conexión. [fuente: Wikipedia]

Esta utilidad suele venir instalada en la práctica totalidad de sistemas operativos/equipos de red y de ahí que ante cualquier situación problemática con una red podamos hacer uso de ella.

Para poder emplearla bajo sistemas Microsoft Windows deberemos primero lanzar una ventana de MS-DOS:

blog_pingtracert_01

Una vez en ella bastará con que empleemos el comando: ping -equipo-, siendo equipo la dirección IP o el nombre de la máquina (siempre que dispongamos de su traducción DNS correspondiente):

Si el resultado es satisfactorio la respuesta nos dirá además el tiempo de respuesta o latencia y el TTL (Time-to-live). Este último parámetro indica el número de saltos que el paquete ha realizado hasta llegar a destino, pero es un número que depende de otros factores como el tipo de conexión y que explicaremos más adelante.

blog_pingtracert_03

Si, por el contrario, el equipo no es accesible, la respuesta obtenida será la siguiente.

blog_pingtracert_04

De este modo con una única utilidad podremos obtener información acerca de la disponibilidad de determinado equipo y, por ende, de determinado servicio.

Traceroute

Traceroute es una utilidad de diagnóstico que permite seguir la pista de los paquetes que vienen desde un host (punto de red). Se obtiene además una estadística del RTT o latencia de red de esos paquetes, lo que viene a ser una estimación de la distancia a la que están los extremos de la comunicación. [fuente: Wikipedia]

En este caso lo que se realizan son llamadas a cada uno de los saltos que realiza el paquete y, por tanto, se nos informa del camino (traza la ruta) que sigue el paquete.

Mediante esta utilidad podemos comprender de forma más coherente el camino que siguen los paquetes e identificar problemas de enrutamiento, balanceo, filtado, etc.

En los sistemas MS Windows la aplicación a emplear es tracert. El procedimiento a seguir es similar, deberemos abrir una ventana de MS DOS y lanzar la aplicación: tracert -equipo-

En la respuesta veremos reflejados todos y cada uno de los saltos que realiza el equipo

blog_pingtracert_05

Si observamos, algunas líneas muestran * en lugar de valores. Esto se debe a que en ese salto nuestro equipo no ha recibido respuesta del equipo destino: hay varias razones para ello pero entre otras el equipo puede tener deshabilitadas las respuestas por motivos de seguridad.

Generalmente si realizamos esta consulta dentro de nuestra red local deberíamos poder ver todas las respuestas.

Con estas dos utilidades, un técnico de redes puede en cuestión de minutos aislar casi por completo la fuente de error de la red y de este modo enfocar todos sus esfuerzos en resolver el punto de fallo. En entornos donde existen una gran cantidad de equipos de red funcionando resulta fundamental discriminar la mayor cantidad de equipos para poder comenzar con el proceso de análisis con un número de variables reducido.

Conceptos básicos de seguridad de red (I)

blog_seguridad

Cuando nos enfrentamos ante la realidad de tener que proporcionar las medidas de seguridad necesarias para preservar la integridad de una red de comunicaciones es fundamental tener muy claros y definidos los conceptos básicos que subyacen a la securización de estas redes.

Confidencialidad, Integridad y Disponibilidad.

Existen tres puntos que debemos asegurar:

Confidencialidad: Sólo los usuarios o sistemas autorizados deben poder ver información sensible o clasificada. Encriptar los datos y separar las redes (datos, management) son un buen primer paso.

Integridad: Los cambios en la información deben ser realizados sólo por usuarios o sistemas autorizados. La corrupción de datos provoca un fallo importante en la seguridad. Existen mecanismos de hashing (resumen) que proporcionan respuesta a esta necesidad asegurando que la información no ha sido modificada durante su transporte.

Disponibilidad: Mantenimiento del estado normal de funcionamiento de los sistemas y la información. Ataques como los DoS (Denial of Service) buscan tumbar sistemas para que la información no esté disponible. Esto puede afectar muy negativamente al normal desarrollo de la actividad de la empresa.

Análisis de seguridad – Conceptos clave.

  • Activo: Cualquier cosa que es valiosa para una organización.
  • Vulnerabilidad: Debilidad explotable en un sistema o en su diseño.
  • Riesgo: Daño potencial a un activo.
  • Contramedida: Acción que de alguna manera mitiga el riesgo potencial.

El valor de un activo depende de muchos factores. La relación coste-beneficio se obtendrá teniendo en cuenta el valor del activo y el coste de su protección.

Vulnerabilidades

Una lista de posibles vulnerabilidades

  • Errores en política de seguridad.
  • Errores de diseño.
  • Debilidad de protocolos.
  • Errores de configuración.
  • Vulnerabilidad de software o hardware.
  • Factores humanos.
  • Software malicioso.
  • Acceso físico a los recursos de red.

Contramedidas

  • Administrativas: Políticas de seguridad, procedimientos, guías y estándares.
  • Físicas: Seguridad física, vigilancia.
  • Lógicas: Contraseñas, firewalls, IPS, Listas de acceso, conexiones seguras vía VPN, etc.

Atacantes potenciales

El perfil de los atacantes ha variado mucho desde que Internet y las redes de comunicaciones iniciaran sus pasos hace ya unos cuantos años. Se ha pasado de un atacante que buscaba notoriedad o el simple hecho de conseguir acceso a algo para lo que no disponía del mismo a empresas y organizaciones dedicadas al espionaje y al robo de información relevante (financiera, política, etc.). Así, grupos terroristas, agencias gubernamentales, estados, hackers, empleados disgustados, competidores, etc., pueden ser potenciales atacantes de nuestras redes.

Métodos básicos de ataque

Reconocimiento: Se trata de un técnica que busca descubrir información sobre la red atacada. Suele ser el primer paso que se da y en el que se obtienen parámetros básicos de la red: direccionamiento, hosts, tipo de tráfico, medidas de seguridad, etc.

Ingeniería social: Su objetivo es el usuario final de forma que obtengan información de él. El Phising, un enlace que parece el real pero que no lo es y que proporciona información al atacante y el Pharming, redirigir al usuario de una página válida a una que no lo es, son métodos de ingeniería social muy extendidos.

Escala de privilegios: Ir ganando privilegios de acceso a determinados servicios o sistemas.

Puertas traseras: Tanto el software como el hardware pueden tener fallos de diseño que permitan a un individuo acceder sin permiso a determinadas partes. Así mismo, terceras aplicaciones (Troyanos) abren puertas para que los atacantes accedan a los sistemas.

Debemos, pues, centrar nuestros esfuerzos en evitar que esos métodos puedan llevarse a cabo con éxito.

Laboratorio de redes I: Subnetting

Una de las primeras cosas que debemos conocer cuando nos desenvolvemos en entornos de redes son las subredes.

Breve introducción.

En uno de los primeros capítulos sobre Redes, os explicaba el concepto de dirección IP y el de Clase de dirección. Por resumir un poco nos encontramos que cuando las redes de computadores se diseñaron se concibieron tres grandes grupos de IPs. Las de clase A, pocas, pero que serían capaces de albergar un número grande direcciones, las de clase B, en mayor número pero con menor número de direcciones y las de Clase C, las más extendidas, que dispondrían de un número bastante reducido de direcciones.

Con la popularización de las redes y la llegada de Internet pronto se observó que ese modelo era incompatible con el crecimiento de los equipos y las redes puesto que se asignaban grupos con un número fijo de direcciones (A,B,C) independientemente de la necesidad que tuviera cada empresa. Sin embargo, al estar ya establecido se antojaba complejo reestructurarlo. Por ello se decidió introducir un nuevo concepto, el de subredes.

Subnetting o el aprovechamiento máximo.

La idea se fundamenta en un nuevo concepto: la máscara de subred.

Este número, que al igual que las direcciones IP está compuesto de 4 grupos de números entre 0 y 255, es el patrón que se superpone a la dirección IP y nos indica qué parte es considerada «dirección de red» y qué parte es considerada «dirección del host».

Aclaremos un poco esto antes:

Supongamos que se nos asigna un número de dirección IP como el siguiente:

128.1.0.0

Esta dirección es de Clase B por lo que tiene asociadas 65.534 direcciones posibles: de la 128.1.0.1 a la 128.1.255.254 (recordad que ni la acabada en o, que es la dirección de red, ni la acabada en .255, la dirección de broadcast, pueden emplearse).

En este ejemplo queda bastante claro que la parte de dirección de red es: 128.1 mientras que la parte de dirección de host son los dos últimos octetos.

Pero qué sucede si no necesitamos más de 65.000 direcciones pero las 254 que nos ofrece la Clase C no son suficientes: aquí es donde nace el subnetting y el concepto de máscara de red.

De lo que se trata es de «alargar» la dirección de red aumentando así el número de posibles redes disminuyendo el número de direcciones de host asociadas.

Para ello añadiremos a la dirección de red la máscara: 128.1.0.0 255.255.128.0

La máscara de subred es, como he comentado antes, un patrón que se superpone a la dirección de red y que discrimina la parte de dirección de red de la parte de dirección de host. Para ello, en binario, si la máscara tiene un 1, el bit de la dirección de red se mantiene en su estado, si la máscara tiene un 0, el bit de la dirección de red pasa a 0 (operación binaria AND).

¿Qué hemos conseguido?

Al añadir esta máscara de subred nos encontramos con que pasamos de las 65.534 direcciones de host a la mitad: 32.767

¿Cómo es posible?

En el ejemplo inicial tanto la dirección 128.1.1.150 como la dirección 128.1.220.140 pertenecían al mismo rango: 128.1.0.0

Aplicando la máscara de su red, sin embargo, vemos que no es así:

En el caso de la dirección 128.1.1.150 255.255.128.0 , con una AND binaria tenemos que pertenece a la red: 128.1.0.0

En el caso de la dirección 128.1.220.140 255.255.128.0, obtenemos sin embargo que pertenece a la red: 128.1.128.0

Otras formas de mostrar la máscara de subred.

Comúnmente la máscara de subred no se muestra completa sino que se añade a la dirección de red como el número de 1 consecutivos que tiene la misma en binario.

En nuestro ejemplo, nuestra máscara 255.255.128.0 tiene 17 1 consecutivos por lo que la forma de representar la dirección sería: 128.1.0.0/17

Laboratorio Práctico