Niveles de Privilegio en Routers Huawei: Una Guía Exhaustiva

By /

El acceso y la configuración de los routers Huawei son tareas fundamentales para cualquier administrador de red. Comprender los distintos niveles de privilegio es crucial para garantizar la seguridad, la eficiencia y el correcto funcionamiento de la infraestructura de red. Este artículo explora en profundidad los conceptos de acceso, autenticación y los diferentes niveles de privilegios disponibles en los dispositivos Huawei, proporcionando una guía detallada para la gestión de usuarios y la configuración avanzada.

Diagrama de red con un router Huawei

Credenciales de Acceso y Autenticación Inicial

Las credenciales de acceso son el conjunto de datos que permite a un usuario ingresar a la interfaz de configuración de un módem o router. Generalmente, consisten en un nombre de usuario y una contraseña. Muchos módems Huawei vienen con credenciales de acceso predeterminadas que son fácilmente accesibles. Estas son las contraseñas predeterminadas de fábrica para los enrutadores Huawei. Si ha cambiado la contraseña en su enrutador, debe usar la nueva contraseña que ha establecido. Si olvidas tus credenciales de acceso debes restablecer el módem a su configuración de fábrica. Para hacerlo, localiza el botón de reset en la parte trasera del dispositivo y mantenlo presionado durante unos segundos.

Para acceder a la interfaz de gestión, el proceso es sencillo. Conecta tu PC o teléfono a la red Wi-Fi del router o conecta la PC al puerto LAN del router mediante un cable Ethernet. En la barra de direcciones del navegador, ingresa la dirección IP predeterminada e inicia sesión en la página de gestión web del router. Esta dirección IP suele ser 192.168.3.1 o 192.168.1.1, dependiendo del modelo y la configuración.

La seguridad de la red inalámbrica es un aspecto primordial. En el modo sin encriptación (Sin datos), tu red inalámbrica no estará protegida por contraseña, lo que la hace vulnerable a accesos no autorizados. La elección del protocolo de encriptación es vital. WPA2 PSK es más seguro que WPA/WPA2 PSK hybrid, y el modo WPA2 PSK / WPA3 SAE es aún más seguro que el modo WPA/WPA2 PSK hybrid. Por lo tanto, se recomienda que configures el modo de encriptación de tu router en WPA/WPA2 PSK hybrid para un equilibrio entre seguridad y compatibilidad.

Gestión de Usuarios y Niveles de Privilegio

La creación de usuarios y la asignación de privilegios son mecanismos esenciales para controlar el acceso a las funciones de configuración del router. En los routers Huawei, el sistema AAA (Authentication, Authorization, and Accounting) juega un papel central en esta gestión.

Creación de Usuarios y Niveles de Privilegio

El proceso de creación de un usuario implica definir un nombre de usuario y una contraseña. Estos son los datos primarios para la autenticación. Posteriormente, se asignan niveles de privilegio al usuario. Estos niveles determinan el alcance de las acciones que el usuario puede realizar en el dispositivo. Los niveles de privilegio suelen ir del 0 al 3, donde:

  • Nivel 0 (Nivel de Visita): Los usuarios con este nivel solo pueden ver configuraciones básicas y estado del sistema. No tienen permisos para realizar cambios.
  • Nivel 1 (Nivel de Usuario): Permite la ejecución de comandos de diagnóstico y monitoreo, así como la visualización de configuraciones.
  • Nivel 2 (Nivel de Administrador): Los usuarios con este nivel pueden realizar la mayoría de las configuraciones generales, como la configuración de interfaces, protocolos de ruteo y gestión de usuarios.
  • Nivel 3 (Nivel de Superadministrador): Este es el nivel más alto de privilegio. Los usuarios con este nivel tienen acceso completo a todas las configuraciones y funciones del router, incluyendo la modificación de la configuración del sistema, la gestión de licencias y la actualización del firmware.

La configuración de usuarios y sus respectivos privilegios se realiza directamente bajo el modo AAA. Es posible definir esquemas de autenticación (scheme) para controlar cómo los usuarios acceden al dispositivo. Estos esquemas pueden incluir autenticación local (usando credenciales almacenadas en el router), autenticación remota (a través de servidores RADIUS o TACACS+) o autenticación por contraseña.

Autenticación Remota y SSH

Para entornos de red más grandes y seguros, la autenticación remota es la opción preferida. Mediante la configuración de servidores RADIUS o TACACS+, las credenciales de acceso se gestionan centralmente, lo que simplifica la administración de usuarios y mejora la seguridad.

El acceso remoto seguro a los routers Huawei se logra principalmente a través de SSH (Secure Shell). SSH cifra toda la comunicación entre el cliente y el servidor, protegiendo las credenciales y los comandos de ser interceptados. La activación de SSH en el router permite que los administradores realicen la autenticación y accedan a la interfaz de línea de comandos (CLI) de forma segura desde una red remota. La configuración de SSH implica definir parámetros como el puerto de escucha, las versiones de protocolo soportadas y, opcionalmente, la configuración de claves de host.

Icono de seguridad SSH

Configuración de Protocolos de Ruteo

Los routers Huawei soportan una amplia gama de protocolos de ruteo, permitiendo la interconexión de diferentes redes y la optimización del tráfico.

Configuración de Protocolo de Ruteo RIP

El Protocolo de Información de Ruteo (RIP) es un protocolo de ruteo de gateway interior (IGP) basado en el vector distancia. Es uno de los protocolos de ruteo más antiguos y simples. La configuración de RIP en un router Huawei implica varios pasos:

  1. Activación de RIP: Se habilita el proceso RIP en el router.
  2. Definición de la versión de RIP: Se especifica la versión de RIP a utilizar (RIPv1 o RIPv2). RIPv2 es generalmente preferido por su soporte para subredes de longitud variable (VLSM) y autenticación.
  3. Anuncio de redes: Se anuncian las redes directamente conectadas al router que deben ser incluidas en el proceso RIP.
  4. Configuración de autenticación (opcional): Para mejorar la seguridad, se puede configurar la autenticación para los anuncios de RIP.
  5. Visualización de la configuración: Se utilizan comandos para verificar la configuración de RIP y el estado de las tablas de ruteo.

Es importante tener en cuenta el proceso para RIP. La activación automática al borde classful puede ser útil en redes simples, pero para un control más granular, la configuración manual es recomendada.

Configuración de RIP en routers CISCO | | UPV

Activación de OSPF

El Protocolo de Ruteo de Puerta de Enlace Abierto (OSPF) es un protocolo de ruteo de estado de enlace (LSA) más avanzado y escalable que RIP. Es ampliamente utilizado en redes empresariales y de proveedores de servicios.

La activación de OSPF en un router Huawei generalmente sigue estos pasos:

  1. Habilitar el proceso OSPF: Se inicia el proceso OSPF y se le asigna un ID.
  2. Definir áreas: OSPF opera bajo un concepto de áreas. Se define un área 0 (el área de backbone) y otras áreas que se conectan a ella.
  3. Anunciar interfaces: Se especifican las interfaces del router que participarán en OSPF y a qué área pertenecen.
  4. Configurar parámetros de red: Se pueden ajustar parámetros como el tipo de red, los temporizadores y la prioridad del router.
  5. Configurar autenticación (opcional): OSPF soporta autenticación para las comunicaciones entre vecinos.
  6. Monitorear OSPF: Se utilizan comandos para verificar el estado de las adyacencias de vecinos OSPF y la tabla de ruteo.

Activación de BGP

El Protocolo de Gateway de Borde (BGP) es el protocolo de ruteo estándar utilizado en Internet para intercambiar información de ruteo entre Sistemas Autónomos (AS). La configuración de BGP es compleja y se utiliza principalmente en interconexiones entre proveedores de servicios o entre grandes organizaciones.

La activación de BGP en un router Huawei implica:

  1. Habilitar el proceso BGP: Se inicia el proceso BGP y se define el número del Sistema Autónomo local.
  2. Configurar vecinos BGP: Se especifican las direcciones IP de los routers vecinos y sus números de Sistema Autónomo. Típicamente, N=2 vecinos se configuran.
  3. Establecer políticas de ruteo: Se configuran políticas para controlar qué rutas se anuncian y se reciben de los vecinos.
  4. Monitorear la sesión BGP: Se utilizan comandos para verificar el estado de la sesión BGP con los vecinos y la tabla de ruteo BGP.

Configuración de VLANs y Troncales

Las Redes de Área Local Virtual (VLANs) permiten segmentar una red física en múltiples redes lógicas. Esto mejora la seguridad, el rendimiento y la gestión de la red.

Configuración de Troncales y Puertos de Acceso

En los routers Huawei, la configuración de VLANs se realiza a menudo en las subinterfaces de los puertos Ethernet. Un puerto troncal (trunk) es esencial para transportar tráfico de múltiples VLANs entre switches o entre un switch y un router.

El proceso general incluye:

  1. Crear VLANs: Se definen las VLANs en el router, asignándoles un número de identificación.
  2. Configurar subinterfaces: Para cada VLAN que necesita ser enrutada, se crea una subinterfaz en el puerto físico correspondiente.
  3. Asignar etiquetas de VLAN: A cada subinterfaz se le asigna el número de la VLAN que atiende. Se define el protocolo estándar a usar (por ejemplo, 802.1Q).
  4. Configurar el puerto troncal: Si el puerto físico se conecta a otro dispositivo que también maneja múltiples VLANs, se configura como troncal, permitiendo el paso de las VLANs deseadas.
  5. Configurar puertos de acceso: Los puertos que conectan dispositivos finales (como PCs) a una VLAN específica se configuran como puertos de acceso.

La configuración de un puerto troncal implica definir las VLANs permitidas en ese enlace. El puerto troncal actúa como un "troncal" que transporta el tráfico de múltiples VLANs. Las puertas asignadas en el puerto troncal determinan qué VLANs pueden pasar.

Diagrama ilustrando configuración de VLANs y troncales

Configuración de Ruteo InterVLAN

El ruteo InterVLAN permite la comunicación entre dispositivos que pertenecen a diferentes VLANs. Esto se logra configurando una interfaz de capa 3 en el router para cada VLAN. Cada subinterfaz virtual se configura con una dirección IP que actúa como la puerta de enlace para esa VLAN.

El proceso implica:

  1. Creación de VLANs: Definir las VLANs en el router.
  2. Configuración de subinterfaces: Crear una subinterfaz para cada VLAN en el puerto físico del router.
  3. Asignación de IPs a subinterfaces: Asignar una dirección IP y máscara de subred a cada subinterfaz. Esta IP servirá como la puerta de enlace para los dispositivos en esa VLAN.
  4. Configuración del protocolo de encapsulación: Especificar el protocolo de encapsulación (por ejemplo, 802.1Q) para cada subinterfaz y el número de la VLAN.

Protocolos de Red y Seguridad

Además de los protocolos de ruteo, los routers Huawei soportan una variedad de otros protocolos y características de seguridad.

Configuración de STP/MSTP

El Protocolo de Árbol de Expansión (STP) y su variante Multi-Spanning Tree Protocol (MSTP) son cruciales para prevenir bucles de conmutación en redes con múltiples enlaces redundantes.

  • STP: Crea un árbol lógico sin bucles en la red, bloqueando enlaces redundantes para evitar tormentas de broadcast.
  • MSTP: Permite la creación de múltiples instancias de STP, cada una mapeada a un conjunto específico de VLANs. Esto optimiza el uso del ancho de banda al permitir que diferentes VLANs utilicen diferentes rutas de conmutación.

La configuración de MSTP en un router Huawei implica:

  1. Habilitar MSTP: Activar el protocolo MSTP en el dispositivo.
  2. Crear una región MSTP: Definir una región MSTP con un nombre y una revisión.
  3. Mapear VLANs a instancias MSTP: Asignar las VLANs a las instancias MSTP creadas.
  4. Configurar parámetros de MSTP: Ajustar parámetros como el Bridge ID y los temporizadores.
  5. Visualizar configuración de STP: Utilizar comandos para verificar la configuración de STP/MSTP en el dispositivo y en interfaces específicas.

Monitoreo de Red y DHCP

Los routers Huawei ofrecen herramientas robustas para el monitoreo de la red y la gestión de servicios como DHCP (Dynamic Host Configuration Protocol).

  • Monitoreo: Los administradores pueden monitorear el estado de las interfaces, el uso del ancho de banda, el rendimiento del sistema y el tráfico de red utilizando comandos específicos o interfaces de gestión web. Es posible configurar alertas para notificar sobre eventos críticos.
  • Servidor DHCP: El router puede configurarse como un servidor DHCP para asignar automáticamente direcciones IP, máscaras de subred, puertas de enlace predeterminadas y servidores DNS a los dispositivos en la red. Esto simplifica la gestión de direcciones IP. La configuración de DHCP incluye la definición de pools de direcciones, el tiempo de concesión y las opciones de configuración.

Enlaces PPP y Autenticación

Para conexiones punto a punto, como enlaces WAN o conexiones a proveedores de servicios de Internet, se utiliza a menudo el Protocolo de Túnel Punto a Punto (PPP).

La configuración de un enlace PPP en un router Huawei puede incluir:

  1. Configurar la interfaz física: Preparar la interfaz para la comunicación PPP.
  2. Definir el protocolo PPP: Habilitar el uso de PPP en la interfaz.
  3. Configurar autenticación: Establecer mecanismos de autenticación para el enlace PPP, como PAP (Password Authentication Protocol) o CHAP (Challenge-Handshake Authentication Protocol). Esto asegura que solo los equipos autenticados puedan establecer la conexión.
  4. Configurar parámetros de red: Asignar direcciones IP o configurar la negociación de direcciones si es necesario.

Depuración y Solución de Problemas

La capacidad de depurar y diagnosticar problemas es fundamental para mantener una red operativa. Los routers Huawei proporcionan herramientas de depuración (debug) para analizar el comportamiento del sistema y los protocolos en tiempo real.

Activación de Mensajes de Debug

Para identificar y resolver problemas, los administradores pueden activar mensajes de debug para protocolos específicos, como OSPF, BGP o RIP. Estos mensajes proporcionan información detallada sobre los eventos que ocurren en el router, lo que ayuda a rastrear la causa de los fallos.

Por ejemplo, se pueden activar mensajes de debug para visualizar el proceso de establecimiento de una sesión BGP, el intercambio de paquetes OSPF o la recepción de actualizaciones de ruteo RIP. Es importante desactivar los mensajes de debug una vez que el problema se ha resuelto, ya que pueden consumir recursos del sistema y generar una gran cantidad de logs.

Conclusión

La gestión de niveles de privilegio, la configuración de protocolos de ruteo avanzados como OSPF y BGP, la segmentación de red con VLANs y troncales, y la implementación de medidas de seguridad como SSH y la autenticación PPP, son pilares fundamentales en la administración de routers Huawei. Comprender y aplicar estas configuraciones de manera efectiva permite construir redes robustas, seguras y eficientes, adaptadas a las necesidades específicas de cada entorno. El conocimiento detallado de las credenciales de acceso, la creación de usuarios con distintos niveles de privilegio y la utilización de herramientas de depuración son esenciales para cualquier profesional de redes que trabaje con dispositivos Huawei.

tags: #niveles #de #privilegios #router #huawei

Publicaciones populares:

  • UCI Ambulancias Ñuñoa
  • Protección de VLAN con Listas de Control de Acceso
  • Guía de banda UHF para radios
  • Seguridad de red NuCom
  • Conexiones Fiables con Cable de Red Blanco