Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Prerrequisitos
Haber terminado satisfactoriamente el módulo CCNAv7: Introduction to Networks.
Agradecimientos
A NetTel por brindar la oportunidad de realizar este curso.
A mi bruja personal (casi esposa jaja) por aguantar que me acueste tarde estudiando (sí,
estudiando).
Cisco and t he Cisco logo are t rademarks or regist ered trademarks of Cisco and/or it s affiliates
in t he U.S. and ot her count ries. To view a list of Cisco t rademarks, go t o t his URL:
www.cisco.com/go/t rademarks. Third party t rademarks mentioned are the property of t heir
respect ive owners. The use of t he word part ner does not imply a partnership relationship
bet ween Cisco and any ot her company.
P ági n a |3
Índice
Tabla de contenido
Switching, Routing and Wireless Essentials............................................................................22
Networking Academy CCNAv7 ..........................................................................................22
Capítulo 1_Configuración básica de dispositivos.........................................................................23
Introducción ............................................................................................................................23
¿Por qué debería tomar este módulo? .................................................................................23
¿Qué aprenderé en este módulo? ........................................................................................23
Configuración de parámetros iniciales de un switch ....................................................................24
Secuencia de arranque de un switch ...................................................................................24
El comando boot system......................................................................................................25
Indicadores LED del switch ................................................................................................25
Recuperarse de un bloqueo del sistema...............................................................................28
Acceso a administración de switches ...................................................................................29
Ejemplo de Configuración de Switch SVI ...........................................................................30
Práctica de laboratorio: configuración básica de un switch ................................................32
Configuración de puertos de un switch.......................................................................................32
Comunicación dúplex .........................................................................................................32
Configuración de puertos de switch en la capa física...........................................................33
Auto-MDIX (MDIX automático) ........................................................................................35
Switch Verification Commands...........................................................................................35
Verificar la configuración de puertos del switch. ................................................................36
Problemas de la capa de acceso a la red ..............................................................................37
1.2.7 ................................................................................................................................39
Errores de entrada y salida de interfaz ...............................................................................39
Resolución de problemas de la capa de acceso a la red........................................................40
Comprobador de sintaxis: configurar puertos de switch.....................................................41
Acceso remoto seguro...............................................................................................................42
Operación Telnet ................................................................................................................42
Funcionamiento de SSH......................................................................................................43
Verifique que el switch admita SSH ....................................................................................43
Configuración de SSH.........................................................................................................44
P ági n a |4
Dominios de difusión...........................................................................................................84
Alivio de la congestión en la red..........................................................................................85
Verifique su comprensión - Cambiar dominios ...................................................................86
Prueba y práctica del módulo ....................................................................................................89
¿Qué aprendí en este módulo? ............................................................................................89
Cuestionario del módulo: conceptos de cambio ...................................................................90
Capítulo 3_VLANs.....................................................................................................................98
¿Por qué debería tomar este módulo? .................................................................................98
¿Qué aprenderé en este módulo? ........................................................................................98
Descripción general de las VLAN .............................................................................................99
Definiciones de VLAN.........................................................................................................99
Ventajas de un diseño de VLAN ....................................................................................... 101
Tipos de VLAN................................................................................................................. 103
Packet Tracer: ¿quién escucha la difusión? ...................................................................... 105
Compruebe su comprensión - Descripción general de las VLAN ...................................... 106
Redes VLAN en un entorno conmutado múltiple ...................................................................... 109
Definición de troncos de VLAN......................................................................................... 109
Redes sin VLAN................................................................................................................ 110
Red con VLAN.................................................................................................................. 111
Identificación de VLAN con etiqueta ................................................................................ 112
VLAN nativas y etiquetado de 802.1Q .............................................................................. 114
Ejemplo de verificación de VLAN de voz.......................................................................... 117
Packet Tracer: investigación de la implementación de una VLAN.................................... 117
Compruebe su comprensión - VLAN en un entorno de multiswitch.................................. 118
Configuración de VLAN......................................................................................................... 120
Rangos de VLAN en los switches Catalyst ........................................................................ 120
Comandos de creación de VLAN ...................................................................................... 122
Comandos de asignación de puertos VLAN ...................................................................... 123
VLAN de voz, datos .......................................................................................................... 125
Verificar la información de la VLAN ................................................................................ 127
Cambio de pertenencia de puertos de una VLAN ............................................................. 128
Eliminar las VLAN ........................................................................................................... 129
Comprobador de sintaxis - Configuración de VLAN ........................................................ 130
Packet Tracer: Configuración de redes VLAN ................................................................. 136
P ági n a |6
Introducción........................................................................................................................... 597
¿Por qué debería tomar este módulo? ............................................................................... 597
¿Qué aprenderé en este módulo? ...................................................................................... 598
Configuración de WLAN del sitio remoto ................................................................................ 599
Video - Configuración de una red inalámbrica ................................................................. 599
Router inalámbrico ........................................................................................................... 599
Cisco Meraki MX64W................................................................................................... 600
Conéctese al router inalámbrico. ...................................................................................... 601
Configuración básica de red.............................................................................................. 602
Configuración inalámbrica ............................................................................................... 606
Configuración de una red de Malla Inalámbrica .............................................................. 611
NAT para IPv4 ................................................................................................................. 612
Calidad de servicio............................................................................................................ 613
Reenvío de Puerto ............................................................................................................. 614
Packet Tracer - Configurar una red inalámbrica.............................................................. 615
Práctica de laboratorio: Configuración de una red inalámbrica ....................................... 615
Configure una WLAN básica en el WLC ................................................................................. 615
Video - Configure una WLAN básica en el WLC .............................................................. 615
Topología WLC ................................................................................................................ 616
Topología ...................................................................................................................... 617
Tabla de Direcciones ..................................................................................................... 617
Iniciar sesión en el WLC................................................................................................... 618
Ver la información del punto de acceso............................................................................. 619
Configuración Avanzada .................................................................................................. 620
Configurar una WLAN..................................................................................................... 621
Configuración Básica de una WLAN en el WLC .............................................................. 625
Configure una red inalámbrica WLAN WPA2 Enterprise en el WLC......................................... 626
Video - Defina un servidor RADIUS y SNMP en el WLC. ................................................ 626
SNMP y RADIUS ............................................................................................................. 626
Configurar Información del Servidor SNMP.................................................................... 627
Configure los servidores RADIUS..................................................................................... 628
Video - Configurar una VLAN para una nueva WLAN .................................................... 630
Topologia de direcciones en VLAN 5 ................................................................................ 631
Configurar una nueva interfaz.......................................................................................... 632
P á g i n a | 18
Las habilidades y conocimientos que adquieras en SRWE te prepararán para el curso final en
CCNA. Con Cisco Networking Academy, no hay mejor momento que now. ¡Adelante!
P á g i n a | 23
Imagina que compraste un juego de tren modelo. Después de haberla configurado, te diste
cuenta de que la pista era sólo una forma ovalada simple y que los vagones de tren sólo
funcionaban en el sentido de las agujas del reloj. Es posible que desee que la pista sea una
figura de ocho con un paso elevado. Es posible que desee tener dos trenes que operen
independientemente el uno del otro y sean capaces de moverse en diferentes direcciones.
¿Cómo pudiste hacer que eso pasara? Tendrías que volver a configurar la pista y los
controles. Es lo mismo con los dispositivos de red. Como administrador de red, necesita un
control detallado de los dispositivos de su red. Esto significa configurar con precisión
switches y routeres para que su red haga lo que desea que haga. Este módulo tiene muchas
actividades de Comprobador de sintaxis y trazador de paquetes para ayudarle a desarrollar
estas habilidades. Comencemos ya mismo.
1.0.2
Verificar redes conectadas Verificar la conectividad entre dos redes que están
directamente conectadas directamente a un router.
Configuración de parámetros
iniciales de un switch
1.1.1
Después de encender un switch Cisco, pasa por la siguiente secuencia de inicio de cinco
pasos:
registros de la CPU, que controlan dónde está asignada la memoria física, la cantidad de
memoria y su velocidad. Paso 4: El cargador de arranque inicia el sistema de archivos flash
en la placa del sistema. Paso 5: Por último, el cargador de arranque localiza y carga una
imagen de software del sistema operativo de IOS en la memoria y delega el control del switch
a IOS.
1.1.2
El sistema operativo IOS luego inicializa las interfaces utilizando los comandos Cisco IOS
que se encuentran en el archivo de configuración de inicio. Se llama al archivo startup-
config config.text y se encuentra en flash.
Comando Definición
1.1.3
Los switches Cisco Catalyst tienen varios indicadores luminosos LED de estado. Puede usar los
LED del switch para controlar rápidamente la actividad y el rendimiento del switch. Los diferentes
modelos y conjuntos de características de los switches tienen diferen tes LED, y la ubicación de
estos en el panel frontal del switch también puede variar.
En la ilustración, se muestran los LED y el botón Mode de un switch Cisco Catalyst 2960.
La figura muestra los indicadores LED, el botón de modo y los puertos en la parte delantera
izquierda de un interruptor. Los indicadores LED numerados 1 - 6 de arriba a abajo son: SYST,
RPS, STAT, DUPLX, SPEED y PoE. Debajo de los indicadores LED y etiquetados 7 en la figura
está el botón de modo. Por encima de los puertos de conmutación y etiquetados 8 en la figura
están los LEDs de puerto.
El botón Modo (7 en la figura) se usa para alternar entre el estado del puerto, el dúplex del
puerto, la velocidad del puerto y, si es compatible, el estado de la alimentación a través de
Ethernet (PoE) de los LED del puerto (8 en la figura).
System LED
Muestra si el sistema está recibiendo energía y funciona correctamente. Si el LED está apagado,
significa que el sistema no está encendido. Si el LED es de color verde, el sistema funciona
normalmente. Si el LED es de color ámbar, el sistema recibe alimentación pero no funciona
correctamente.
Muestra el estado de RPS. Si el LED está apagado, el RPS está apagado o no está conectado
correctamente. Si el LED es de color verde, el RPS está conectado y listo para proporcionar
alimentación de respaldo. Si el LED parpadea y es de color verde, el RPS está conectado pero
no está disponible porque está proporcionando alimentación a otro dispositivo. Si el LED es de
color ámbar, el RPS está en modo de reserva o presenta una falla. Si el LED parpadea y es de
color ámbar, la fuente de alimentación interna del switch presenta una falla, y el RPS está
proporcionando alimentación.
Indica que el modo de estado del puerto está seleccionado cuando el LED está verde. Este es
el modo predeterminado. Al seleccionarlo, los indicadores LED del puerto muestran colores con
diferentes significados. Si el LED está apagado, no hay enlace, o el puerto estaba
administrativamente inactivo. Si el LED es de color verde, hay un enlace presente. Si el LED
parpadea y es de color verde, hay actividad, y el puerto está enviando o recibiendo datos. Si el
LED alterna entre verde y ámbar, hay una falla en el enlace. Si el LED es de color ámbar, el
puerto está bloqueado para asegurar que no haya un bucle en el dominio de reenvío y no
reenvía datos (normalmente, los puertos permanecen en este estado durante los primeros
30 segundos posteriores a su activación). Si el LED parpadea y es de color ámbar, el puerto
está bloqueado para evitar un posible bucle en el dominio de reenvío.
Indica que el modo dúplex del puerto está seleccionado cuando el LED está verde. Al
seleccionarlo, los LED del puerto que están apagados están en modo semidúplex. Si el LED del
puerto es de color verde, el puerto está en modo dúplex completo.
Indica que el modo de velocidad del puerto está seleccionado. Al seleccionarlo, los indicadores
LED del puerto muestran colores con diferentes significados. Si el LED está apagado, el puerto
está funcionando a 10 Mbps. Si el LED es verde, el puerto está funcionando a 100 Mbps. Si el
LED parpadea en verde, el puerto está funcionando a 1000 Mbps.
Si se admite PoE, estará presente un LED de modo PoE. Si el LED está apagado, indica que
no se seleccionó el modo de alimentación por Ethernet, que a ninguno de los puertos se le negó
el suministro de alimentación y ninguno presenta fallas. Si el LED está parpadeando en ámb ar,
el modo PoE no está seleccionado, pero al menos uno de los puertos ha sido denegado o tiene
P á g i n a | 28
una falla PoE. Si el LED es de color verde, indica que se seleccionó el modo de alimentación
por Ethernet, y los LED del puerto muestran colores con diferentes significados. Si el LED del
puerto está apagado, la alimentación por Ethernet está desactivada. Si el LED del puerto es de
color verde, la alimentación por Ethernet está activada. Si el LED del puerto alterna entre verde
y ámbar, se niega la alimentación por Ethernet, ya que, si se suministra energía al dispositivo
alimentado, se excede la capacidad de alimentación del switch. Si el LED parpadea en ámbar,
PoE está apagado debido a una falla. Si el LED es de color ámbar, se inhabilitó la alimentación
por Ethernet para el puerto.
1.1.4
Se puede acceder al cargador de arranque mediante una conexión de consola con los siguientes
pasos:
Paso 1. Conecte una computadora al puerto de consola del switch co n un cable de consola.
Configure el software de emulación de terminal para conectarse al switch. Paso 2. Desconecte
el cable de alimentación del switch. Paso 3. Vuelva a conectar el cable de alimentación al
interruptor y, en 15 segundos, presione y mantenga presionado el botón Mode mientras el LED
del sistema todavía parpadea en verde. Paso 4. Continúe presionando el botón Mode hasta
que el LED del sistema se vuelva brevemente ámbar y luego verde sólido; luego suelte el
botón Mode. Paso 5. The boot loader switch: El mensaje aparece en el software de emulación
de terminal en la PC.
Escriba help o ? en el símbolo del gestor de arranque para ver una lista de comandos
disponibles.
Después de que flash haya terminado de inicializar, puede ingresar el comando dir flash: para
ver los directorios y archivos en flash, como se muestra en la salida.
Introduzca el BOOT=flash comando para cambiar la ruta de la variable de entorno BOOT que
utiliza el switch para cargar el nuevo IOS en flash. Para verificar la nueva ruta de la variable de
entorno BOOT, vuelva a set ejecutar el comando. Finalmente, para cargar el nuevo IOS escriba
el boot comando sin ningún argumento, como se muestra en la salida.
Los comandos del gestor de arranque admiten la inicialización de flash, el formateo de flash, la
instalación de un nuevo IOS, el cambio de la variable de entorno BOOT y la recuperación de
contraseñas pérdidas u olvidadas.
1.1.5
S1. La SVI es una interfaz virtual, no un puerto físico del switch. Se utiliza un cable de consola
para acceder a una PC de modo que el switch puede configurar específicamente.
1.1.6
Desde el modo de configuración de la interfaz VLAN, se aplica una dirección IPv4 y una máscara
de subred a la SVI de administración del switch.
Nota: El SVI para VLAN 99 no aparecerá como "activo / activo" hasta que se cree VLAN 99 y
haya un dispositivo conectado a un puerto de switch asociado con VLAN 99.
Nota:Es posible que el switch debata configurar para IPv6. Por ejemplo, antes de que pueda
configurar el direccionamiento IPv6 en un Cisco Catalyst 2960 que ejecute IOS versión 15.0,
deberá ingresar el comando de configuración global sdm prefer dual-ipv4-and-ipv6 default y,
a continuación, reload el switch.
P á g i n a | 31
Paso 2
Paso 3
Verificar Configuración
P á g i n a | 32
Los comandos show ip interface brief y show ipv6 interface brief, son útiles para determinar
el estado de las interfaces físicas y virtuales. La información que se muestra confirma que la
interfaz VLAN 99 se ha configurado con una dirección IPv4 e IPv6.
Nota: Una dirección IP aplicada al SVI es solo para el acceso de administración remota al switch;
esto no permite que el switch enrute paquetes de Capa 3.
1.1.7
Configuración de puertos de un
switch
1.2.1
Comunicación dúplex
Los puertos de un switch se pueden configurar de forma independiente para diferentes
necesidades. En este tema se describe cómo configurar los puertos del switch, cómo verificar
P á g i n a | 33
1.2.2
Los puertos de switch se pueden configurar manualmente con parámetros específicos de dúplex
y de velocidad. Use el comando duplex del modo de configuración de interfaz duplex para
especificar manualmente el modo dúplex de un puerto de switch. Use el comando speed, del
modo de configuración de la interfaz, para especificar manualmente la velocidad. Por ejemplo,
ambos switches de la topología deben funcionar siempre en dúplex completo a 100 Mbps.
La tabla muestra los comandos para S1. Los mismos comandos se pueden aplicar a S2.
Cuando se solucionan problemas relacionados con el puerto del switch, es importante que se
verifique la configuración de dúplex y velocidad.
Nota: Si la configuración para el modo dúplex y la velocidad de puertos del switch presenta
incompatibilidades, se pueden producir problemas de conectividad. Una falla de
autonegociación provoca incompatibilidades en la configuración.
P á g i n a | 35
Todos los puertos de fibra óptica, como los puertos 1000BASE-SX, solo funcionan a una
velocidad predefinida y siempre son dúplex completo.
1.2.3
Con la característica auto-MDIX habilitada, se puede usar cualquier tipo de cable para
conectarse a otros dispositivos, y la interfaz se ajusta de manera automática para proporcionar
comunicaciones satisfactorias. En los switches Cisco más nuevos, el comando mdix auto del
modo de configuración de interfaz habilita la función. Al usar auto -MDIX en una interfaz, la
velocidad de la interfaz y el dúplex deben configurarse para que la función auto funcione
correctamente.
1.2.4
1.2.5
El comando show interfaces es otro comando de uso común, que muestra información de
estado y estadísticas en las interfaces de red del switch. El comando show interfaces se usa
con frecuencia al configurar y monitorear dispositivos de red.
La primera línea de salida para el comando show interfaces fastEthernet 0/18 indica que la
interfaz FastEthernet 0/18 está activa / activa, lo que significa que está operativa. Más abajo en
el resultado, se muestra que el modo dúplex es full (completo) y la velocidad e s de 100 Mb/s.
1.2.6
Según el resultado del comando show interfaces, los posibles problemas se pueden solucionar
de la siguiente manera:
Si la interfaz está activa y el protocolo de línea está inactivo, hay un problema. Puede haber una
incompatibilidad en el tipo de encapsulación, la interfaz en el otro extremo puede estar
inhabilitada por errores o puede haber un problema de hardware.
Si el protocolo de línea y la interfaz están inactivos, no hay un cable conectado o existe algún
otro problema de interfaz. Por ejemplo, en una conexión directa, el otro extremo de la conexión
puede estar administrativamente inactivo.
If the interface is administratively down, it has been manually disabled (the **** shutdown) en la
configuración activa.
P á g i n a | 38
El resultado del comando show interfaces muestra contadores y estadísticas para la interfaz
Fastethernet0/18, como se destaca en el ejemplo.
Algunos errores de los medios no son lo suficientemente graves como para hacer que el circuito
falle, pero causan problemas de rendimiento de la red. La tabla explica algunos de estos errores
comunes que se pueden detectar con el comando show interfaces.f
1.2.7
Runt Frames - las tramas Ethernet que son más cortas que la longitud mínima permitida de 64
bytes se llaman runts. La NIC en mal funcionamiento son la causa habitual de las tramas
excesivas de fragmentos de colisión, pero también pueden deberse a colisiones.
Giants -Las tramas de Ethernet que son más grandes que el tamaño máximo permitido se
llaman gigantes.
CRC errors -En las interfaces Ethernet y serie, los errores de CRC generalmente indican un
error de medios o cable. Las causas más comunes incluyen interferencia eléctrica, conexiones
flojas o dañadas o cableado incorrecto. Si aparecen muchos errores de CRC, hay demasiado
ruido en el enlace, y se debe examinar el cable. También se deben buscar y eliminar las fuentes
de ruido.
“Output errors” es la suma de todos los errores que impiden la transmisión final de los
datagramas por la interfaz que se analiza. Los errores de salida informado s del comando show
interfaces incluyen lo siguiente:
Colisión: Las colisiones en operaciones half-duplex son normales. Sin embargo, nunca debe
observar colisiones en una interfaz configurada para la comunicación en dúplex completo.
P á g i n a | 40
Colisiones tardías: Una colisión tardía se refiere a una colisión que ocurre después de que se
han transmitido 512 bits de la trama. La longitud excesiva de los cables es la causa más
frecuente de las colisiones tardías. Otra causa frecuente es la configuración incorrecta de
dúplex. Por ejemplo, el extremo de una conexión puede estar configurado para dúplex completo
y el otro para semidúplex. Las colisiones tardías se verían en la interfaz que está configurada
para semidúplex. En ese caso, debe configurar los mismos parámetros de dúplex en ambos
extremos. Una red diseñada y configurada correctamente nunca debería tener colisiones
tardías.
1.2.8
Una colisión tardía se refiere a una colisión que ocurre después de que se han transmitido 512
bits de la trama.
pasos: verificar los cables adecuados; comprobar si hay daños en los cables y conectores y
verificar que la velocidad esté correctamente ajustada en ambos extremos. Si la respuesta es
afirmativa, esto pasa a los siguientes pasos: ¿hay indicios de EMI/ruido? En c aso afirmativo,
elimine las fuentes; y verifique que la configuración dúplex esté configurada correctamente en
ambos extremos. Estos fluyen hasta la pregunta, ¿está resuelto el problema? Si la respuesta
es no, entonces el siguiente paso es documentar el trabajo realizado y escalar el problema. Si
la respuesta es sí, entonces listo.
Verifique que se usen los cables adecuados. Además, revise los cables y los conectores para
detectar daños. Si se sospecha que hay un cable defectuoso o incorrecto, reemplácelo.
Si la interfaz continúa inactiva, el problema puede deberse a una incompatibilidad en la
configuración de velocidad. La velocidad de una interfaz generalmente se negocia
automáticamente; por lo tanto, incluso si se aplica manualmente a una interfaz, la interfaz de
conexión debe negociarse automáticamente en consecuencia. Si se produce una
incompatibilidad de velocidad debido a una configuración incorrecta o a un problema de
hardware o de software, esto podría provocar que la interfaz quede inactiva. Establezca
manualmente la misma velocidad en ambos extremos de la conexión si se sospecha que hay
un problema.
Si la interfaz está activa pero aún hay problemas de conectividad, realice lo siguiente:
Using the comando show interfaces , verifique si hay indicios de ruido excesivo. Los indicios
pueden incluir un aumento en los contadores de fragmentos de colisión, de fragmentos gigantes
y de errores de CRC. Si hay un exceso de ruido, primero busque el origen del ruido y, si es
posible, elimínelo. Además, verifique qué tipo de cable se utiliza y que el cable no supere la
longitud máxima.
Si no hay problemas de ruido, verifique si hay un exceso de colisiones. Si hay colisiones o
colisiones tardías, verifique la configuración de dúplex en ambos extremos de la conexión. Al
igual que la configuración de velocidad, la configuración dúplex generalmente se negocia
automáticamente. Si parece haber una diferencia entre dúplex, configure manualmente el
dúplex como full (completo) en ambos extremos de la conexión.
1.2.9
S1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
P á g i n a | 42
S1(config)#interface FastEthernet0/1
S1(config-if)#duplex auto
S1(config-if)#speed auto
S1(config-if)#mdix auto
End out of interface configuration mode and save the configuration to NVRAM.
S1(config-if)#end
%SYS-5-CONFIG_I: Configured from console by console
S1#copy running-config startup-config
You have successfully configured duplex, speed, and Auto-MDIX settings on
a switch interface and saved the configuration to NVRAM.
Operación Telnet
Es posible que no siempre tenga acceso directo al switch cuando necesite configurar lo.
Necesita poder acceder a él de forma remota y es imperativo que su acceso sea seguro. En
este tema se explica cómo configurar Secure Shell (SSH) para el acceso remoto. Una
actividad Packet Tracer le da la oportunidad de probar esto usted mismo.
Telnet utiliza el puerto TCP 23. Es un protocolo más antiguo que utiliza la transmisión de
texto sin formato segura tanto de la autenticación de inicio de sesión (nombre de usuario y
contraseña) como de los datos transmitidos entre los dispositivos de comunicación. Un actor
de amenazas puede monitorear paquetes usando Wireshark. Por ejemplo, en la figura, el actor
de amenazas capturó el nombre de usuario admin y la contraseña ccna de una sesión Telnet.
Captura de pantalla
de una captura
WireShark de una
sesión Telnet que
muestra el nombre
de usuario y la
contraseña enviados
en texto sin formato.
P á g i n a | 43
1.3.2
Funcionamiento de SSH
Secure Shell (SSH) es un protocolo seguro que utiliza el puerto TCP 22. Proporciona una
conexión de administración segura (encriptada) a un dispositivo remoto. El SSH debe
reemplazar a Telnet para las conexiones de administración. SSH proporciona seguridad para
las conexiones remotas mediante el cifrado seguro cuando se autentica un dispositivo
(nombre de usuario y contraseña) y también para los datos transmitidos entre los dispositivos
que se comunican.
Por ejemplo, la figura muestra una captura Wireshark de una sesión SSH. Proporciona una
conexión de administración segura (encriptada) a un dispositivo remoto. Sin embargo, a
diferencia de Telnet, con SSH el nombre de usuario y la contraseña están cifrados.
Captura de
pantalla de una
captura
WireShark de
una sesión SSH
que muestra el
nombre de
usuario y la
contraseña están
cifrados.
1.3.3
1.3.4
Configuración de SSH
Antes de configurar SSH, el switch debe tener configurado, como mínimo, un nombre de
host único y los parámetros correctos de conectividad de red.
Use el comando show ip ssh para verificar que el switch sea compatible con SSH. Si el
switch no ejecuta un IOS que admita características criptográficas, este comando no se
reconoce.
Paso 2
Configure el IP domain.
Paso 3
No todas las versiones del IOS utilizan la versión 2 de SSH de manera predeterminada, y la
versión 1 de SSH tiene fallas de seguridad conocidas. Para configurar SSH versión 2, emita el
comando del modo de configuración global ip ssh version 2. La creación de un par de claves
RSA habilita SSH automáticamente. Use el comando del modo de configuración global crypto
key generate rsa, para habilitar el servidor SSH en el switch y generar un par de claves RSA.
Al crear claves RSA, se solicita al administrador que introduzca una longitud de módulo. La
configuración de ejemplo en la figura 1 utiliza un tamaño de módulo de 1024 bits. Una longitud
de módulo mayor es más segura, pero se tarda más en generarlo y utiliza rlo.
P á g i n a | 45
Nota:Para eliminar el par de claves RSA, use el comando del modo de configuración
global crypto key zeroize rsa. Después de eliminarse el par de claves RSA, el servidor SSH
se deshabilita automáticamente.
Paso 4
El servidor SSH puede autenticar a los usuarios localmente o con un servidor de autenticación.
Para usar el método de autenticación local, cree un par de nombre de usuario y contraseña con
el comando usernameusernamesecret password modo de configuración global. En el ejemplo,
se asignó la contraseña ccna al usuario admin.
Paso 5
Habilite el protocolo SSH en las líneas vty utilizando el comando del modo de configuración de
línea transport input ssh. El switch Catalyst 2960 tiene líneas vty que van de 0 a 15. Esta
configuración evita las conexiones que no son SSH (como Telnet) y limita al switch a que acepte
solo las conexiones SSH. Use el comando line vty del modo de configuración global y luego el
comando login local del modo de configuración de línea para requerir autenticación local para
las conexiones SSH de la base de datos de nombre de usuario local.
Paso 6
De manera predeterminada, SSH admite las versiones 1 y 2. Al admitir ambas versiones, esto
se muestra en la salida show ip ssh como compatible con la versión 2. Habilite la versión SSH
utilizando el comando de configuración global ip ssh version 2.
P á g i n a | 46
1.3.5
La figura muestra la configuración de PuTTy para PC1 para iniciar una conexión SSH a la
dirección SVI VLAN IPv4 de S1.
La figura muestra un host conectado a un switch y la configuración PuTTY para iniciar una
conexión SSH al SVI del switch. El PC1 del host, con dirección 172.17.99.21, tiene una
conexión de red a un switch S1, con dirección 172.17.99.11. Una captura de pantalla de la
configuración PuTTY en PC1 muestra la dirección 172.17.99.11 introducida en el cuadro
bajo Nombre de host (o dirección IP) y 22 introducida en el cuadro bajo Puerto. SSH se ha
seleccionado como el tipo de conexión.
P á g i n a | 47
Cuando está conectado, se solicita al usuario un nombre de usuario y una contraseña como
se muestra en el ejemplo. Usando la configuración del ejemplo anterior, se ingresan el
nombre de usuario: admin y la contraseña: ccna. Después de ingresar la combinació n
correcta, el usuario se conecta a través de SSH a la interfaz de línea de comando (CLI) en el
switch Catalyst 2960.
1.3.6
Configure SSH
Los routers y switches Cisco tienen muchas similitudes. Admiten sistemas operativos modales
y estructuras de comandos similares, así como muchos de los mismos comandos. Además, los
pasos de configuración inicial son similares para ambos dispositivos. Por ejemplo, las siguientes
tareas de configuración siempre deben realizarse. Asigne un nombre al dispositivo para
distinguirlo de otros routeres y configure contraseñas, como se muestra en el ejemplo:
1.4.2
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R2
Configure cisco as the console line password and require users to login. Then exit line
configuration mode.
R1(config)#line console 0
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#exit
Configure cisco as the vty password for lines 0 through 4 and require users to login.
R1(config)#line vty 0 4
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#exit
R1(config)#service password-encryption
Enter the banner Authorized Access Only! and use # as the delimiting character.
R1(config)#exit
R1#copy running-configu start-config
You must enter the exact and full command.
R1#copy run-config start-config
You must enter the exact and full command.
R1#copy running-config startup-config
Destination filename [startup-config]?
P á g i n a | 50
Building configuration...
[OK]
You successfully configured R2 with initial settings.
1.4.3
Topología de red de doble pila que consta de múltiples hosts, switches y r outeres con interfaces
configuradas con direcciones IPv4 e IPv6
1.4.4
Para que una interfaz esté disponible, debe cumplir los siguientes requisitos:
P á g i n a | 51
Configurado con al menos una dirección IP: - Use the los comandos de configuración: ip
addressipv6 ip-address subnet-mask and the address ipv6-address / prefix interface.
Activado: - By default, LAN and WAN interfaces are not activated (shutdown). To enable an
interface, it must be activated using the no shutdown command. (Es como encender la
interfaz.) La interfaz también debe estar conectada a otro dispositivo (un hub, un switch u otro
router) para que la capa física se active.
Descripción \ - Opcionalmente, la interfaz también se puede configurar con una breve
descripción de hasta 240 caracteres. Es aconsejable configurar una descripción en cada
interfaz. En las redes de producción, los beneficios de las descripciones de la interfaz se
obtienen rápidamente, ya que son útiles para solucionar problemas e identificar una conexión
de terceros y la información de contacto.
1.4.5
Router(config)#interface g0/0/0
Router(config-if)#interface g0/0/1
Router(config-if)#ip address 10.1.2.1 255.255.255.0
Router(config-if)#ipv6 address 2001:db8:acad:5::1/64
Router(config-if)#description Link to LAN 4
Router(config-if)#no shutdown
%LINK-3-UPDOWN: Interface GigabitEthernet0/0/1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/1,
changed state to up
Router(config-if)#interface s0/0/0
Router(config-if)#ip address 209.165.200.226 255.255.255.252
Router(config-if)#ipv6 address 2001:db8:acad:3::226/64
Router(config-if)#description Link to R1
Router(config-if)#no shutdown
%LINK-3-UPDOWN: Interface Serial0/0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed
state to up
You successfully configured the R2 router interfaces.
1.4.6
La interfaz de bucle invertido es una interfaz lógica interna del router. No está asignado a un
puerto físico y nunca se puede conectar a ningún otro dispositivo. Se la considera una interfaz
de software que se coloca automáticamente en estado "up" (activo), siempre que el router esté
en funcionamiento.
La interfaz loopback es útil para probar y administrar un dispositivo Cisco IOS, ya que as egura
que por lo menos una interfaz esté siempre disponible. Por ejemplo, se puede usar con fines de
prueba, como la prueba de procesos de routing interno, mediante la emulación de redes detrás
del router.
P á g i n a | 53
Se pueden habilitar varias interfaces loopback en un router. La dirección IPv4 para cada interfaz
de bucle invertido debe ser única y no debe ser utilizada por ninguna otra interfaz, como se
muestra en la configuración de ejemplo de la interfaz de bucle invertido 0 en R1.
1.4.7
Hay varios comandos show, que se pueden usar para verificar el funcionamiento y la
configuración de una interfaz. La topología de la figura se utiliza para demostrar la
verificación de la configuración de la interfaz del router.
Los siguientes comandos son especialmente útiles para identificar rápidamente el estado de
una interfaz:
show ip interface brief and show ipv6 interface brief -Estos muestran un resumen de todas las
interfaces, incluida la dirección IPv4 o IPv6 de la interfaz y el estado operativo actual.
show running-config interface interface-id -Esto muestra los comandos aplicados a la interfaz
especificada.
show ip route and show ipv6 route - Este muestra el contenido de la tabla IPv4 o IPv6 almacenada
en la memoria RAM. En Cisco IOS 15, las interfaces activas deben aparecer en la tabla de ruteo con
dos entradas relacionadas identificadas con el código 'C' (Conectado) o 'L' (Local). En versiones
anteriores de IOS, solo aparece una entrada con el código 'C'.
1.5.2
1.5.3
1.5.4
Los dos comandos siguientes se usan para recopilar información más detallada sobre la
interfaz:
1.5.5
Verificar rutas
La salida de los show ip route comandos show ipv6 route y muestra las tres entradas de red
conectadas directamente y las tres entradas de interfaz de ruta de host local, como se muestra
en el ejemplo. La ruta de host local tiene una distancia administrativa de 0. También tiene
una máscara /32 para IPv4 y una máscara /128 para IPv6. La ruta del host local es para rutas
en el router que posee la dirección IP. Estas se usan para permitir que el router procese los
paquetes destinados a esa dirección IP.
Una ‘C’ junto a una ruta dentro de la tabla de enrutamiento indica que se trata de una red
conectada directamente. Cuando la interfaz del router está configurada con una dirección de
unidifusión global y está en el estado "arriba / arriba", el prefijo IPv6 y la longitud del prefijo
se agregan a la tabla de enrutamiento IPv6 como una ruta conectada.
utiliza las rutas locales para procesar eficazmente los paquetes cuyo destino es la dirección
de la interfaz del router.
El comando ping para IPv6 es idéntico al comando usado con IPv4, excepto que se usa una
dirección IPv6. Como se muestra en el ejemplo, el comando ping se usa para verificar la
conectividad de Capa 3 entre R1 y PC1.
1.5.6
Otra característica muy útil que mejora la experiencia del usuario en la CLI, es el filtrado de
salida show. Los comandos de filtrado se pueden utilizar para mostrar secciones específicas
de los resultados. Para habilitar el comando de filtrado, ingrese una barra vertical partida (|)
después del comando show, y luego ingrese un parámetro de filtrado y una expresión de
filtrado.
sección
Muestra la sección completa que comienza con la expresión de filtrado, como se muestra en el
ejemplo.
P á g i n a | 59
include
Incluye todas las líneas de salida que coinciden con la expresión de filtrado, como se muestra
en el ejemplo.
exclude
Excluye todas las líneas de salida que coinciden con la expresión de filtrado, como se muestra
en el ejemplo.
begin
Muestra todas las líneas de salida desde un punto determinado, comenzando con la línea que
coincide con la expresión de filtrado, como se muestra en el ejemplo.
P á g i n a | 60
Nota: Los filtros de salida se pueden usar en combinación con cualquier show comando.
1.5.7
Introduzca el comando para filtrar el resultado del comando show running -config para la sección
'line con'.
P á g i n a | 61
1.5.8
Historial de comandos
La función de historial de comandos es útil porque almacena temporalmente la lista de
comandos ejecutados para recuperar.
Un ejemplo de los comandos terminal history size y show history, se muestra en la figura.
P á g i n a | 62
1.5.9
1.5.10
1.5.11
1.6.3
Después de encender un switch Cisco, pasa por una secuencia de arranque de cinco pasos.
La variable de entorno BOOT se establece utilizando el boot systemcomando del modo de
configuración global. El IOS se encuentra en una carpeta distinta y se especifica la ruta de la
P á g i n a | 68
carpeta. Utilice los LED del interruptor para supervisar la actividad y el rendimiento del
interruptor: SYST, RPS, STAT, DUPLX, SPEED y PoE. El cargador de arranque
proporciona acceso al switch si no se puede usar el sistema operativo debido a la falta de
archivos de sistema o al daño de estos. El cargador de arranque tiene una línea de comando
que proporciona acceso a los archivos almacenados en la memoria flash. Para el acceso a la
administración remota de un switch, este se debe configurar con una dirección IP y una
máscara de subred. Para administrar el switch desde una red remota, el switch debe
configurarse con una puerta de enlace predeterminada. Para configurar el switch SVI,
primero debe configurar la interfaz de administración, luego configurar la puerta de enlace
predeterminada y, finalmente, verificar la configuración.
Telnet (que usa el puerto TCP 23) es un protocolo más antiguo que utiliza la transmisión de
texto sin formato segura tanto de la autenticación de inicio de sesión (nombre de usuario y
contraseña) como de los datos transmitidos entre los dispositivos de comunicación. SSH
(utilizando el puerto TCP 22) es un protocolo seguro que proporciona una conexión de
administración cifrada a un dispositivo remoto. SSH proporciona seguridad para las
conexiones remotas mediante el cifrado seguro cuando se autentica un dispositivo (nombre
de usuario y contraseña) y también para los datos transmitidos entre los dispositivos que se
comunican. Utilice el comando show version del switch para ver qué IOS está ejecutando
el switch. Un nombre de archivo de IOS que incluye la combinación «k9» admite
características y capacidades criptográficas. Para configurar SSH, debe verificar que el
switch lo admita, configurar el dominio IP, generar pares de claves RSA, configurar la
autenticación de uso, configurar las líneas VTY y habilitar SSH versión 2. Para verificar que
SSH esté operativo, use el comando show ip ssh para mostrar la versión y los datos de
configuración de SSH en el dispositivo.
P á g i n a | 69
Utilice los siguientes comandos para identificar rápidamente el estado de una interfaz: show
ip interface brief y show ipv6 interface brief para ver un resumen de todas las interfaces
(direcciones IPv4 e IPv6 y estado operativo), show running-config interface interface-
id para ver los comandos aplicados a una interfaz especificada show ip route y show ipv6
route para ver el de la tabla de enrutamiento IPv4 o IPv6 almacenada en la RAM. La salida
de los comandos show ip interface brief y show ipv6 interface brief, se puede usar para
revelar rápidamente el estado de todas las interfaces en el enrutador. El comando show ipv6
interface gigabitethernet 0/0/0 muestra el estado de la interfaz y todas las direcciones IPv6
que pertenecen a la interfaz. Junto con la dirección local del enlace y la dirección de
unidifusión global, la salida incluye las direcciones de multidifusión asignadas a la interfaz.
La salida del comando show running-config interface muestra los comandos actuales
aplicados a una interfaz específica. El comando show interfaces muestra la información de
la interfaz y el recuento de flujo de paquetes para todas las interfaces en el dispositivo.
Verifique la configuración de la interfaz mediante los comandos show ip interface y show
ipv6 interface, que muestran la información relacionada con IPv4 e IPv6 para todas las
interfaces de un router. Compruebe las rutas mediante los comandos show ip route y show
ipv6 route. Filtrar la salida del comando show usando el carácter pipe (|). Usar expresiones
de filtro: sección, inclusión, exclusión y comienzo. De forma predeterminada, el historial de
comandos está habilitado y el sistema captura las últimas 10 líneas de comando en su búfer
de historial. Utilice el comando EXEC privilegiado show history, para mostrar el contenido
del búfer.
P á g i n a | 70
1.6.4
Puede conectar y configurar switches, ¡eso es genial!. Pero incluso una red con la tecnología
más reciente desarrolla sus propios problemas eventualmente. Si tiene que solucionar
problemas de la red, necesita saber cómo funcionan los switches. Este módulo le proporciona
los fundamentos de los switches y su funcionamiento. Por suerte, el funcionamiento del
switch es fácil de entender.
Objetivos del módulo: Explique cómo los switches de capa 2 reenvían datos.
Reenvío de tramas
2.1.1
Switching en la red
El concepto de switching y reenvío de tramas es universal en la tecnología de redes y en las
telecomunicaciones. En las redes LAN, WAN y en la red pública de telefonía conmutada
(PSTN), se usan diversos tipos de switches.
La decisión sobre cómo un switch reenvía el tráfico se toma en relación con el flujo de ese
tráfico. Hay dos términos asociados a las tramas que entran y salen de una interfaz:
Entrada - Este término se usa para describir el puerto por donde una trama ingresa al dispositivo.
Salida - Este término se usa para describir el puerto que las tramas utilizarán al salir del
dispositivo.
Un switch LAN mantiene una tabla a la que hace referencia al reenviar tráfico a través del
switch. La única inteligencia de un switch LAN es su capacidad de usar su tabla para
reenviar tráfico. Un switch LAN reenvía tráfico basado en el puerto de entrada y la
dirección MAC de destino de una trama Ethernet. Con un switch LAN, hay solamente una
tabla de switching principal que describe una asociación estricta entre las direcciones MAC
y los puertos; por lo tanto, una trama Ethernet con una dirección de destino determinada
siempre sale por el mismo puerto de salida, independientemente del puerto de entrada por
el que ingresa.
Nota: Una trama Ethernet nunca se reenviará fuera del mismo puerto en el que se recibió.
Haga clic en el botón Reproducir para ver una animación del proceso de switching.
2.1.2
Para definir qué puerto usar para transmitir una trama, el switch primero debe saber qué
dispositivos existen en cada puerto. A medida que el switch aprende la relación de los puertos
con los dispositivos, construye una tabla llamada tabla de direcciones MAC. Esta tabla se
almacena en la Memoria de Contenido Direccionable (Content-Addressable Memory,
CAM), la cual es un tipo especial de memoria utilizada en aplicaciones de búsqueda de alta
P á g i n a | 78
velocidad. Por esta razón, la tabla de direcciones MAC a veces también se denomina tabla
CAM.
Los switches LAN determinan cómo manejar las tramas de datos entrantes manteniendo la
tabla de direcciones MAC. Un switch llena su tabla de direcciones MAC al registrar la
dirección MAC de origen de cada dispositivo conectado a cada uno de sus puertos. El switch
hace referencia a la información en la tabla de direcciones MAC para enviar tramas
destinadas a un dispositivo específico fuera del puerto que se ha asignado a ese dispositivo.
2.1.3
Se revisa cada trama que ingresa a un switch para obtener información nueva. Esto se realiza
examinando la dirección MAC de origen de la trama y el número de puerto por el que ingresó
al switch.
Si la dirección MAC de origen no existe en la tabla de direcciones MAC, la dirección MAC y el número
de puerto entrante son agregados a la tabla.
Si la dirección MAC de origen existe, el switch actualiza el temporizador para esa entrada. De manera
predeterminada, la mayoría de los switches Ethernet guardan una entrada en la tabla durante cinco
minutos. Si la dirección MAC de origen existe en la tabla, pero en un puerto diferente, el switch la
trata como una entrada nueva. La entrada se reemplaza con la misma dirección MAC, pero con el
número de puerto más actual.
Si la dirección MAC de destino está en la tabla, reenviará la trama por el puerto especificado.
Si la dirección MAC de destino no está en la tabla, el switch reenviará la trama por todos los puertos,
excepto por el de entrada. Esto se conoce como unidifusión desconocida. Si la dirección MAC de
destino es de difusión o de multidifusión, la trama también se envía por todos los puertos, excepto
por el de entrada.
P á g i n a | 79
2.1.4
3: 05
2.1.5
Los switches de capa 2 utilizan uno de estos dos métodos para cambiar tramas:
Almacenamiento y reenvío de switching - Este método toma una decisión de reenvío en una trama
después de haber recibido la trama completa y revisada para la detección de errores mediante un
mecanismo matemático de verificación de errores conocido como Verificación por Redundancia
Cíclica (Cyclic Redundancy Check, CRC). El intercambio por almacenamiento y envío es el método
principal de switching LAN de Cisco.
Método de corte - Este método inicia el proceso de reenvío una vez que se determinó la dirección
MAC de destino de una trama entrante y se estableció el puerto de salida.
P á g i n a | 80
2.1.6
Error checking - Después de recibir la trama completa en el puerto de entrada, el switch compara
el valor de Secuencia de Verificación de Trama (Frame Check Sequence, FCS) en el último campo del
datagrama con sus propios cálculos de FCS. FCS es un proceso de verificación de errores que
contribuye a asegurar que la trama no contenga errores físicos ni de enlace de datos. Si la trama no
posee errores, el switch la reenvía. De lo contrario, se descartan las tramas.
Almacenamiento en búfer automático - El proceso de almacenamiento en buffer que usan los
switches de almacenamiento y envío proporciona la flexibilidad para admitir cualquier combinación
de velocidades de Ethernet. Por ejemplo, manejar una trama entrante que viaja a un puerto
Ethernet de 100 Mbps que debe enviarse a una interfaz de 1 Gbps, requeriría utilizar el método de
almacenamiento y reenvío. Ante cualquier incompatibilidad de las velocidades de los puertos de
entrada y salida, el switch almacena la trama completa en un buffer, calcula la verificación de FCS,
la reenvía al buffer del puerto de salida y después la envía.
La figura ilustra cómo almacenar y reenviar toma una decisión basada en la trama Ethernet.
2.1.7
Por el contrario, los switches que usan el método de corte pueden reenviar tramas no válidas,
ya que no realizan la verificación de FCS. Sin embargo, el switching de corte tiene la
capacidad de realizar un cambio de trama rápida. Esto significa que los switches que usan el
método de corte pueden tomar una decisión de reenvío tan pronto como encuentren la
dirección MAC de destino de la trama en la tabla de direcciones MAC, tal y como se muestra
en la ilustración.
El switch no tiene que esperar a que el resto de la trama ingrese al puerto de entrada antes de
tomar la decisión de reenvío.
El switching libre de fragmentos es una forma modificada de corte, en la que el switch solo
comienza a reenviar la trama después de haber leído el campo Tipo. El switching libre de
fragmentos proporciona una mejor verificación de errores que el método de corte, con
prácticamente ningún aumento de latencia.
La velocidad de latencia más baja del switching por corte hace que resulte más adecuado para
las aplicaciones mas demandantes de Tecnología Informática de Alto Rendimiento (High-
Performance Computing, HPC) que requieren latencias de proceso a proceso de
10 microsegundos o menos.
El método switching de corte puede reenviar tramas con errores. Si hay un índice de error
alto (tramas no válidas) en la red, el switching por método de corte puede tener un impacto
negativo en el ancho de banda, de esta forma, se obstruye el ancho de banda con las tramas
dañadas y no válidas.
P á g i n a | 82
2.1.8
Actividad: El Switch!
Utilice esta actividad para comprobar su comprensión de cómo un switch aprende y reenvía
tramas.
P á g i n a | 83
Dominios de switching
2.2.1
Dominios de colisiones
En el tema anterior, obtuvo una mejor comprensión de lo que es un switch y cómo
funciona. En este tema se explica cómo funcionan los switches entre sí y con otros
dispositivos para eliminar colisiones y reducir la congestión de la red. Los términos
colisiones y congestión se utilizan aquí de la misma manera que se utilizan en el tráfico
callejero.
En segmentos Ethernet basados en hubs antiguos, los dispositivos de red compitieron por el
medio compartido. Los segmentos de red que comparten el mismo ancho de banda entre
dispositivos se conocen como dominios de colisión. Cuando dos o más dispositivos del
P á g i n a | 84
Como se muestra en la figura, se elige dúplex completo si ambos dispositivos cuentan con
la funcionalidad, junto con su ancho de banda común más elevado.
El diagrama muestra
que un PC y un switch
negociarán
automáticamente la
configuración y las
velocidades dúplex
correspondientes. En
este caso, dúplex
completo y 100Mb por
segundo.
2.2.2
Dominios de difusión
Una serie de switches interconectados forma un dominio de difusión simple. Solo los
dispositivos de capa de red, como los routers, pueden dividir un dominio de difusión de capa
2. Los routers se utilizan para segmentar los dominios de difusión, pero también segmentan
un dominio de colisión.
P á g i n a | 85
Cuando un dispositivo desea enviar una difusión de capa 2, la dirección MAC de destino de
la trama se establece solo en números uno binarios.
Cuando un switch recibe una trama de difusión, la reenvía por cada uno de sus puertos,
excepto por el puerto de entrada en el que se recibió la trama de difusión. Cada dispositivo
conectado al switch recibe una copia de la trama de difusión y la procesa.
En ocasiones, las difusiones son necesarias para localizar inicialmente otros dispositivos y
servicios de red, pero también reducen la eficacia de la red. El ancho de banda de red se usa
para propagar el tráfico de difusión. Si hay demasiadas difusiones y una carga de tráfico
intensa en una red, se puede producir una congestión, lo que reduce el rendimiento de la red.
Cuando hay dos switches conectados entre sí, se aumenta el dominio de difusión, como se ve
en la segunda mitad de la animación. En este caso, se reenvía una trama de difusión a todos
los puertos conectados en el switch S1. El switch S1 está conectado al switch S2. Luego, la
trama se propaga a todos los dispositivos conectados al switch S2.
2.2.3
Los switches interconectan segmentos LAN, usan una tabla de direcciones MAC para
determinar los puertos de salida y pueden reducir o eliminar por completo las colisiones. Las
características de los switches que alivian la congestión de la red incluyen las siguientes:
Velocidades de puertos rápidas : las velocidades de los puertos del switch Ethernet varían según el
modelo y el propósito. Por ejemplo, la mayoría de los switches de capa de acceso admiten
velocidades de puerto de 100 Mbps y 1 Gbps. Los switches de capa de distribución admiten
velocidades de puerto de 100 Mbps, 1 Gbps y 10 Gbps y los switches de nivel central y centro de
datos admiten velocidades de puerto de 100 Gbps, 40 Gbps y 10 Gbps. Los switches con velocidades
de puerto más rápidas cuestan más pero pueden reducir la congestión.
Cambio interno rápido : los switches utilizan un bus interno rápido o memoria compartida para
proporcionar un alto rendimiento.
Búferes de trama grande : los switches utilizan búferes de memoria grande para almacenar
temporalmente más tramas recibidas antes de tener que empezar a descartarlas. Esto permite que
el tráfico de entrada desde un puerto más rápido (por ejemplo, 1 Gbps) se reenvíe a un puerto de
salida más lento (por ejemplo, 100 Mbps) sin perder tramas.
Alta densidad de puertos : un switch de alta densidad de puertos reduce los costos generales
porque reduce el número de switches requeridos. Por ejemplo, si se necesitaran 96 puert os de
acceso, sería menos costoso comprar dos switches de 48 puertos en lugar de cuatro switches de 24
puertos. Los switches de alta densidad de puertos también ayudan a mantener el tráfico local, lo
que ayuda a aliviar la congestión.
2.2.4
La decisión sobre cómo un conmutador reenvía el tráfico se basa en el flujo de ese tráfico. El
término ingreso describe el puerto por donde una trama ingresa a un dispositivo. El término
egress describe el puerto que usarán los marcos al salir del dispositivo. Una trama de Ethernet
nunca se reenviará por el puerto por el que entró. Para que un conmutador sepa qué puerto
utilizar para transmitir una trama, primero debe saber qué dispositivos existen en cada
puerto. A medida que el switch aprende la relación de los puertos con los dispositivos, crea
una tabla llamada tabla de direcciones MAC. Cada trama que ingresa a un conmutador se
comprueba para obtener nueva información al examinar la dirección MAC de origen de la
trama y el número de puerto donde la trama ingresó al conmutador. Si la dirección MAC de
destino es una dirección unicast, el switch buscará una coincidencia entre la dirección MAC
de destino de la trama y una entrada en su tabla de direcciones MAC. Los métodos de reenvío
de conmutadores incluyen almacenamiento y reenvío y corte directo. El almacenamiento y
reenvío utiliza la verificación de errores y el almacenamiento en búfer automático. El corte a
través no comprueba los errores. En su lugar, realiza una conmutación rápida de tramas. Esto
significa que el switch puede tomar una decisión de reenvío tan pronto como haya buscado
la dirección MAC de destino de la trama en su tabla de direcciones MAC.
Cambio de dominios
puerto rápidas, conmutación interna rápida, búferes de tramas grandes y alta densidad de
puertos.
2.3.2
Capítulo 3_VLANs
Introducción
3.0.1
Imagina que estás a cargo de una conferencia muy grande. Hay personas de todas partes que
comparten un interés común y algunas que también tienen una experiencia especial.
Imagínese si cada experto que quisiera presentar su información a un público más pequeño
tuviera que hacerlo en la misma sala grande con todos los demás expertos y sus audiencias
más pequeñas. Nadie podría oír nada. Tendrías que encontrar salas separadas para todos los
expertos y sus audiencias más pequeñas. La LAN virtual (VLAN) hace algo similar en una
red. Las VLAN se crean en la Capa 2 para reducir o eliminar el tráfico de difusión. Las
VLAN son la forma en que divide la red en redes más pequeñas, de modo que los dispositivos
y las personas dentro de una sola VLAN se comunican entre sí y no tienen que adminis trar
el tráfico de otras redes. El administrador de red puede organizar las VLAN por ubicación,
quién las está utilizando, el tipo de dispositivo o cualquier categoría que se necesite. Sabes
que quieres aprender a hacer esto, ¡así que no esperes!
3.0.2
Objetivos del módulo: Implemente VLAN y enlaces troncales en una red conmutada.
Definiciones de VLAN
Por supuesto, organizar su red en redes más pequeñas no es tan simple como separar tornillos
y ponerlos en frascos. Pero hará que su red sea más fácil de administrar. Dentro de una red
conmutada, las VLAN proporcionan la segmentación y la flexibilidad organizativa. Un grupo
de dispositivos dentro de una VLAN se comunica como si cada dispositivo estuviera
conectados al mismo cable. Las VLAN se basan en conexiones lógicas, en lugar de
conexiones físicas.
Como se muestra en la figura, las VLAN en una red conmutada permiten a los usuarios de
varios departamentos (por ejemplo, TI, recursos humanos y ventas) conectarse a la misma
red, independientemente del switch físico que se esté utilizando o de la ubicación en una
LAN del campus.
P á g i n a | 100
La figura muestra un edificio de 3 plantas con un interruptor en cada planta. Los switches
están conectados a otro switch que está conectado a un router. Cada planta tiene múltip les
hosts conectados a ella. Hay tres VLAN que abarcan las tres plantas y contienen varios hosts
en cada planta. Las VLAN son: VLAN 2, IT, 10.0.2.0/24; VLAN 3, HR, 10.0.3.0/24; VLAN
4, Sales, 10.0.4.0/24.
Las VLAN permiten que el administrador divida las redes en segmentos según factores como
la función, el equipo del proyecto o la aplicación, sin tener en cuenta la ubicación física del
usuario o del dispositivo. Cada VLAN se considera una red lógica diferente. Los dispositivos
dentro de una VLAN funcionan como si estuvieran en su propia red independiente, aunque
compartan una misma infraestructura con otras VLAN. Cualquier puerto de switch puede
pertenecer a una VLAN.
Varias subredes IP pueden existir en una red conmutada, sin el uso de varias VLAN. Sin
embargo, los dispositivos estarán en el mismo dominio de difusión de capa 2. Esto signif ica
que todas las difusiones de capa 2, tales como una solicitud de ARP, serán recibidas por todos
los dispositivos de la red conmutada, incluso por aquellos que no se quiere que reciban la
difusión.
Una VLAN crea un dominio de difusión lógico que puede abarcar varios segmentos LAN
físicos. Las VLAN mejoran el rendimiento de la red mediante la división de grandes
dominios de difusión en otros más pequeños. Si un dispositivo en una VLAN envía una trama
de Ethernet de difusión, todos los dispositivos en la VLAN reciben la trama, pero los
dispositivos en otras VLAN no la reciben.
P á g i n a | 101
Mediante las VLAN, los administradores de red pueden implementar políticas de acceso y
seguridad de acuerdo con a grupos específicos de usuarios. Cada puerto de switch se puede
asignar a una sola VLAN (a excepción de un puerto conectado a un teléfono IP o a otro
switch).
3.1.2
La figura muestra una topología de red con varios conmutadores, varias VLAN y
direccionamiento de red contiguo. En la parte superior de la topología hay un router R1
conectado a un switch de abajo. El switch está conectado a otros dos switches. El conmutador
de la izquierda tiene tres hosts conectados a él, cada uno asignado a una VLAN diferente.
PC1 conectado al puerto F0/11 tiene la siguiente asignación: Facultad, VLAN 10,
172.17.10.21/24. PC2 conectado al puerto F0/18 tiene la siguiente asignación: Estudiante,
VLAN 20, 172.17.20.22/24. PC3 conectado al puerto F0/6 tiene la siguiente asignació n:
Invitado, VLAN 30, 172.17.30.23/24. El conmutador de la derecha también tiene tres hosts
conectados a él, cada uno asignado a una VLAN diferente. PC4 conectado al puerto F0/11
tiene la siguiente asignación: Facultad, VLAN 10, 172.17.10.24/24. PC5 conectado al puerto
P á g i n a | 102
F0/18 tiene la siguiente asignación: Estudiante, VLAN 20, 172.17.20.25/24. PC6 conectado
al puerto F0/6 tiene la siguiente asignación: Invitado, VLAN 30, 172.1.7.20.26/24.
Ventaja Descripción
3.1.3
Tipos de VLAN
Las VLAN se utilizan por diferentes razones en las redes modernas. Algunos tipos de VLAN
se definen según las clases de tráfico. Otros tipos de VLAN se definen según la función
específica que cumplen.
VLAN predeterminada
La VLAN predeterminada para los switches Cisco es la VLAN 1. Por lo tanto, todos los
puertos del switch están en VLAN 1 a menos que esté configurado explícitamente para estar
en otra VLAN. Todo el tráfico de control de capa 2 se asocia a la VLAN 1 de manera
predeterminada.
Entre los datos importantes que hay que recordar acerca de la VLAN 1 se incluyen los
siguientes:
Por ejemplo, en la ilustración show vlan brief , todos los puertos están asignados a la VLAN
1 predeterminada. No hay ninguna VLAN nativa asignada explícitamente ni otras VLAN
activas; por lo tanto, la VLAN nativa de la red que se diseñó es la VLAN de administrac ió n.
Esto se considera un riesgo de seguridad.
P á g i n a | 104
VLAN de datos
Las VLAN de datos son VLAN configuradas para separar el tráfico generado por el usuario.
Las VLAN de datos se usan para dividir la red en grupos de usuarios o dispositivos. Una red
moderna tendría muchas VLAN de datos en función de los requisitos organizativos. Tenga en
cuenta que no se debe permitir el tráfico de administración de voz y red en las VLAN de datos.
VLAN nativa
El tráfico de usuario de una VLAN debe etiquetarse con su ID de VLAN cuando se envía a otro
switch. Los puertos troncal se utilizan entre conmutadores para admitir la transmisión de
tráfico etiquetado. Específicamente, un puerto troncal 802.1Q inserta una etiqueta de 4 bytes
en el encabezado de trama Ethernet para identificar la VLAN a la que pertenece la trama.
Es posible que un switch también tenga que enviar tráfico sin etiqueta a través de un enlace
troncal. El tráfico sin etiquetas es generado por un switch y también puede provenir de
dispositivos heredados. El puerto de enlace troncal 802.1Q coloca el tráfico sin etiquetar en la
VLAN nativa. La VLAN nativa en un switch Cisco es VLAN 1 (es decir, VLAN predeterminada).
Se recomienda configurar la VLAN nativa como VLAN sin utilizar, independiente de la VLAN 1
y de otras VLAN. De hecho, es común utilizar una VLAN fija para que funcione como VLAN
nativa para todos los puertos de enlace troncal en el dominio conmutado.
P á g i n a | 105
3.1.4
3.1.5
Un enlace troncal es un enlace punto a punto entre dos dispositivos de red que lleva más de
una VLAN. Un enlace troncal de VLAN amplía las VLAN a través de toda la red. Cisco
admite IEEE 802.1Q para coordinar enlaces troncales en las interfaces Fast Ethernet, Gigabit
Ethernet y 10-Gigabit Ethernet.
Un enlace troncal no pertenece a una VLAN específica. Es más bien un conducto para las
VLAN entre los switches y los routers. También se puede utilizar un enlace troncal entre un
dispositivo de red y un servidor u otro dispositivo que cuente con una NIC con capacidad
802.1Q. En los switches Cisco Catalyst, se admiten todas las VLAN en un puerto de enlace
troncal de manera predeterminada.
P á g i n a | 110
La figura es una topología de red con varios conmutadores y varias VLAN que resaltan los
vínculos troncal de VLAN entre los conmutadores. En la parte superior de la topología está
el interruptor S1. S1 está conectado a través del puerto F0/1 al conmutador S2 en el puerto
F0/1. Esta conexión se resalta. S1 también está conectado a través del puerto F0/3 para
conmutar S3 en el puerto F0/3. Esta conexión también se resalta. Tanto S2 como S3 tienen
tres hosts conectados a ellos, cada uno asignado a una VLAN diferente. Están conectados a
S2 PC1, PC2 y PC3. PC1 está conectado al puerto F0/11 tiene la siguiente asignació n:
Facultad, VLAN 10, 172.17.10.21. PC2 está conectado al puerto F0/18 tiene la siguie nte
asignación: Estudiante, VLAN 20, 172.17.20.22. PC3 está conectado al puerto F0/6 tiene la
siguiente asignación: Invitado, VLAN 30, 172.17.30.23. Están conectados a S3 PC4, PC5 y
PC6. PC4 está conectado al puerto F0/11 tiene la siguiente asignación: Facultad, VLAN 10,
172.17.10.24. PC5 está conectado al puerto F0/18 tiene la siguiente asignación: Estudiante,
VLAN 20, 172.17.20.25. PC6 está conectado al puerto F0/6 tiene la siguiente asignació n:
Invitado, VLAN 30, 172.1.7.20.26.
3.2.2
trama de difusión por todos sus puertos. Finalmente, toda la red recibe la difusión porque la
red es un dominio de difusión.
La PC1 envía una difusión de capa 2 local. Los switches reenvían la trama del broadca st a
todos los puertos disponibles.
3.2.3
La PC1 envía una difusión de capa 2 local. Los switches reenvían la trama de la difusión
solamente a los puertos configurados para VLAN 10.
P á g i n a | 112
Los puertos que componen la conexión entre los switches S2 y S1 (puertos F0/1), y entre el
S1 y el S3 (puertos F0/3) son enlaces troncales y se configuraron para admitir todas las VLAN
en la red.
Cuando el S1 recibe la trama de difusión en el puerto F0/1, reenvía la trama de difusión por
el único puerto configurado para admitir la VLAN 10, que es el puerto F0/3. Cuando el S3
recibe la trama de difusión en el puerto F0/3, reenvía la trama de difusión por el único puerto
configurado para admitir la VLAN 10, que es el puerto F0/11. La trama de difusión llega a
la única otra computadora de la red configurada en la VLAN 10, que es la computadora PC4
del cuerpo docente.
3.2.4
Cuando el switch recibe una trama en un puerto configurado en modo de acceso y asignado
a una VLAN, el switch coloca una etiqueta VLAN en el encabezado de la trama, vuelve a
calcular la Secuencia de Verificación de Tramas (FCS) y envía la trama etiquetada por un
puerto de enlace troncal.
Tipo - Un valor de 2 bytes denominado “ID de Protocolo de Etiqueta” (TPID). Para Ethernet, este
valor se establece en 0x8100 hexadecimal.
Prioridad de usuario - Es un valor de 3 bits que admite la implementación de nivel o de servicio.
Identificador de Formato Canónico (CFI) - Es un identificador de 1 bit que habilita las tramas Token
Ring que se van a transportar a través de los enlaces Ethernet.
VLAN ID (VID) - Es un número de identificación de VLAN de 12 bits que admite hasta 4096 ID de
VLAN.
Una vez que el switch introduce los campos tipo y de información de control de etiquetas,
vuelve a calcular los valores de la FCS e inserta la nueva FCS en la trama.
P á g i n a | 114
3.2.5
Algunos dispositivos que admiten los enlaces troncales agregan una etiqueta VLAN al tráfico
de las VLAN nativas. El tráfico de control que se envía por la VLAN nativa no se debe
etiquetar. Si un puerto de enlace troncal 802.1Q recibe una trama etiquetada con la misma
ID de VLAN que la VLAN nativa, descarta la trama. Por consiguiente, al configurar un
puerto de un switch Cisco, configure los dispositivos de modo que no envíen tramas
etiquetadas por la VLAN nativa. Los dispositivos de otros proveedores que admiten tramas
etiquetadas en la VLAN nativa incluyen: teléfonos IP, servidores, routers y switches que no
pertenecen a Cisco.
Cuando un puerto de enlace troncal de un switch Cisco recibe tramas sin etiquetar (poco
usuales en las redes bien diseñadas), envía esas tramas a la VLAN nativa. Si no hay
dispositivos asociados a la VLAN nativa (lo que es usual) y no existen otros puertos de enlace
troncal (es usual), se descarta la trama. La VLAN nativa predeterminada es la VLAN 1. Al
configurar un puerto de enlace troncal 802.1Q, se asigna el valor de la ID de VLAN nativa a
la ID de VLAN de puerto (PVID) predeterminada. Todo el tráfico sin etiquetar entrante o
saliente del puerto 802.1Q se reenvía según el valor de la PVID. Por ejemplo, si se configura
la VLAN 99 como VLAN nativa, la PVID es 99, y todo el tráfico sin etiquetar se reenvía a
la VLAN 99. Si no se volvió a configurar la VLAN nativa, el valor de la PVID se establece
en VLAN 1.
La figura es una topología de red que muestra el flujo de tráfico sin etiqueta en la VLAN
nativa. En la parte superior de la figura hay un interruptor. El conmutador está conectado a
otros cuatro conmutadores a través de un enlace troncal 802.1Q a cada uno. Entre el
conmutador superior y el conmutador en el extremo izquierdo hay un concentrador al que
está conectado el PC1 host. El conmutador extremo izquierdo tiene un puerto en VLAN 1 y
un puerto en VLAN 2. El segundo conmutador de la izquierda tiene un puerto en VLAN 3.
El tercer conmutador de la izquierda tiene un puerto en la VLAN 1. El switch de la derecha
tiene un puerto en VLAN 2 y un puerto en VLAN 3. Las flechas anaranjadas muestran el
tráfico enviado desde los flujos PC1 al concentrador que lo envía a ambos conmutadores
conectados. El conmutador extremo izquierdo lo envía por el puerto de la VLAN 1. El
conmutador superior lo envía al tercer conmutador desde la izquierda, que lo envía por el
puerto conectado a la VLAN 1.
La PC1 envía el tráfico sin etiquetar, que los switches asocian a la VLAN nativa configurada
en los puertos de enlace troncal y que reenvían según corresponda. El tráfico etiquetado del
enlace troncal que recibe la PC1 se descarta. Esta situación refleja un diseño de red deficie nte
por varios motivos: utiliza un hub, tiene un host conectado a un enlace troncal y esto implica
que los switches tengan puertos de acceso asignados a la VLAN nativa. También ilustra la
motivación de la especificación IEEE 802.1Q para que las VLAN nativas sean un medio de
manejo de entornos antiguos.
3.2.6
Se necesita una red VLAN de voz separada para admitir VoIP. Esto permite aplicar políticas
de calidad de servicio (QoS) y seguridad al tráfico de voz.
El puerto de acceso del switch envía paquetes CDP que indican al teléfono IP conectado que
envíe tráfico de voz de una de las tres maneras. El método utilizado varía según el tipo de
tráfico:
El tráfico VLAN de voz debe etiquetarse con un valor de pri oridad CoS de Capa 2 adecuado.
En una VLAN de acceso con una etiqueta de valor de prioridad de CoS de capa 2
En una VLAN de acceso sin etiqueta (sin valor de prioridad de CoS de capa 2)
3.2.7
3.2.8
3.2.9
P á g i n a | 118
Pregunta 1 Topología
Pregunta 3 Topología
P á g i n a | 120
Configuración de VLAN
3.3.1
Los distintos switches Cisco Catalyst admiten diversas cantidades de VLAN. La cantidad de
VLAN que admiten es suficiente para satisfacer las necesidades de la mayoría de las
organizaciones. Por ejemplo, los switches de las series Catalyst 2960 y 3560 admiten más de
P á g i n a | 121
4000 VLAN. Las VLAN de rango normal en estos switches se numeran del 1 al 1005, y las VLAN
de rango extendido se numeran del 1006 al 4094. En la ilustración, se muestran las VLAN
disponibles en un switch Catalyst 2960 que ejecuta IOS de Cisco, versión 15.x.
Los proveedores de servicios los utilizan para dar servicio a varios clientes, y por las empresas
globales lo suficientemente grandes como para necesitar identificadores de VLAN de rango
extendido.
Nota: Nota: la cantidad máxima de VLAN disponibles en los switches Catalyst es 4096, ya que
el campo ID de VLAN tiene 12 bits en el encabezado IEEE 802.1Q.
P á g i n a | 122
3.3.2
En la figura 1, se muestra la sintaxis del comando de IOS de Cisco que se utiliza para agregar
una VLAN a un switch y asignarle un nombre. Se recomienda asignarle un nombre a ca da VLAN
en la configuración de un switch.
3.3.3
En la figura, se muestra cómo se configura la VLAN para estudiantes (VLAN 20) en el switch
S1.
Nota: Además de introducir una única ID de VLAN, se puede introducir una serie de ID de VLAN
separadas por comas o un rango de ID de VLAN separado por guiones usando
el vlan comando vlan-id . Por ejemplo, al introducir el comando de configuración vlan
100,102,105-107 global se crearían las VLAN 100, 102, 105, 106 y 107.
3.3.4
En la figura se muestra la sintaxis para definir un puerto como puerto de acceso y asignarlo a
una VLAN. EL comando switchport mode access es optativo, pero se aconseja como práctica
recomendada de seguridad. Con este comando, la interfaz cambia al modo de acceso
permanente.
Switch(config-if)#
Asigne el puerto a una VLAN. switchport access vlan
vlan-id
Nota: Use el interface range comando para configurar simultáneamente varias interfaces
3.3.5
Las VLAN se configuran en el puerto del switch y no en el terminal. La PC2 se configura con
una dirección IPv4 y una máscara de subred asociadas a la VLAN, que se configura en el puerto
de switch. En este ejemplo, es la VLAN 20. Cuando se configura la VLAN 20 en otros switches,
el administrador de red debe configurar las otras computadoras de alumnos para que estén en
la misma subred que la PC2 (172.17.20.0/24).
3.3.6
Consulte la topología en la figura. En este ejemplo, la PC5 está conectada con el teléfono IP de
Cisco, que a su vez está conectado a la interfaz FastEthernet 0/18 en S3. Para implementar
esta configuración, se crean una VLAN de datos y una VLAN de voz.
El PC5 del host se encuentra en la VLAN 20 del estudiante en la dirección 172.17.20.25. PC5
está conectado a un teléfono IP que está conectado al switch S3 en el puerto F0/18. Un cuadro
de texto con una flecha que apunta a este puerto dice: El puerto de conmutación debe admitir
el tráfico de VLAN para el tráfico de voz al teléfono IP y el tráfico de datos a PC5. S3 está
conectado a través del puerto F0/3 al conmutador S1 en el puerto F0/3.
P á g i n a | 126
3.3.7
Las redes LAN que admiten tráfico de voz por lo general también tienen la Calidad de Servicio
(QoS) habilitada. El tráfico de voz debe etiquetarse como confiable apenas ingrese en la red.
Use el comando de configuración mls qos trust [cos | device cisco-phone | dscp | ip-
precedence] para establecer el estado confiable de una interfaz, y para indicar qué campo s
del paquete se usan para clasificar el tráfico.
La configuración en el ejemplo crea las dos VLAN (es decir, VLAN 20 y VLAN 150), y a
continuación, asigna la interfaz F0/18 de S3 como un puerto de switch en VLAN 20. También
asigna el tráfico de voz en VLAN 150 y permite la clasificación de QoS basada en la Clase de
Servicio (CoS) asignado por el teléfono IP.
El switchport access vlan comando fuerza la creación de una VLAN si es que aún no existe
en el switch. Por ejemplo, la VLAN 30 no está presente en la salida del comando show vlan
brief del switch. Si se introduce el comando switchport access vlan 30 en cualquier interfaz
sin configuración previa, el switch muestra lo siguiente:
P á g i n a | 127
3.3.8
El show vlan comando muestra la lista de todas las VLAN configuradas. El comando show
vlan también se puede utilizar con opciones. La sintaxis completa es show vlan [brief | id vlan-
id | name vlan-name | summary].
El comando show vlan summary muestra la lista de todas las VLAN configuradas.
3.3.9
En la salida, por ejemplo, Fa0/18 está configurado para estar en la VLAN 1 predeterminada, tal
como lo confirma el comando show vlan brief.
P á g i n a | 129
La salida del comando show interfaces f0/18 switchport también se puede utilizar para
verificar que la VLAN de acceso para la interfaz F0/18 se ha restablecido a la VLAN 1 como se
muestra en la salida.
3.3.10
Caution: Antes de borrar una VLAN, reasigne todos los puertos miembros a una VLAN distinta.
Los puertos que no se trasladen a una VLAN activa no se podrán comunicar con otros hosts
una vez que se elimine la VLAN y hasta que se asignen a una VLAN activa.
P á g i n a | 130
Se puede eliminar el archivo vlan.dat en su totalidad con el comando delete flash:vlan.dat delete
flash:vlan.datdel modo EXEC con privilegios. Se puede utilizar la versión abreviada del
comando (delete vlan.dat) delete vlan.dat si no se trasladó el archivo vlan.dat de su ubicación
predeterminada. Después de emitir este comando y de volver a cargar el switch, las VLAN
configuradas anteriormente ya no están presentes. Esto vuelve al switch a la condición
predeterminada de fábrica con respecto a la configuración de VLAN.
3.3.11
S1#configure terminal
S1#configure terminal
S1(config)#vlan 20
S1(config-vlan)#name student
S1(config-vlan)#end
Gi0/1, Gi0/2
20 student active
S1#configure terminal
S1(config)#vlan 150
S1(config-vlan)#name VOICE
S1(config-vlan)#exit
Complete the following steps to assign the data and voice VLANs to a
port:
Enable QoS settings with the mls qos trust cos command.
P á g i n a | 132
S1(config)#interface fa0/18
S1(config-if)#end
Gi0/2
S1#configure terminal
S1(config)#interface fa0/18
Gi0/1, Gi0/2
20 student active
S1(config-if)#interface fa0/11
S1(config-if)#end
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1
Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ -
-----
Name: Fa0/11
Switchport: Enabled
(output omitted)
3.3.12
VLAN Configuration
VLAN Configuration
Para habilitar los vínculos troncal, configure los puertos de interconexión con el conjunto de
comandos de configuración de interfaz que se muestran en la tabla.
3.4.2
Una topología de red muestra tres hosts en diferentes VLAN conectados al mismo switch, S2.
PC1 está en la Facultad VLAN 10 con dirección 172.17.10.21. PC2 está en el Student VLAN 20
con la dirección 172.17.20.22. PC3 está en la VLAN invitada 30 con la dirección 172.17.30.23.
S2 está conectado a través del puerto F0/1 al conmutador S1 en F0/1. Esta conexión está
rotulada como troncal.
VLAN 10
172.17.10.21Estudiante
P á g i n a | 138
El ejemplo muestra la configuración del puerto F0/1 en el conmutador S1 como puerto troncal.
La VLAN nativa se cambia a VLAN 99 y la lista de VLAN permitidas se restringe a 10, 20, 30 y
99.
Nota: Esta configuración supone el uso de los switches Cisco Catalyst 2960 que utilizan de
manera automática la encapsulación 802.1Q en los enlaces troncales. Es posible que otros
switches requieran la configuración manual de la encapsulación. Siempre configure ambo s
extremos de un enlace troncal con la misma VLAN nativa. Si la configuración de enlace troncal
802.1Q no es la misma en ambos extremos, el software IOS de Cisco registra errores.
3.4.3
En el área superior resaltada, se muestra que el modo administrativo del puerto F0/1 se
estableció en trunk. El puerto está en modo de enlace troncal. En la siguiente área resaltada,
se verifica que la VLAN nativa es la VLAN 99. Más abajo en el resultado, en el área inferior
resaltada, se muestra que las VLAN 10,20,30 y 99 están habilitadas en el enlace troncal.
3.4.4
3.4.5
Configure Trunks
Configure Trunks
3.4.6
Introducción a DTP
Algunos switches Cisco tienen un protocolo propietario que les permite negociar
automáticamente la conexión troncal con un dispositivo vecino. Este protocolo se denomina
Protocolo de Enlace Troncal Dinámico (DTP). DTP puede acelerar el proceso de
configuración de un administrador de red. Las interfaces troncal Ethernet admiten diferentes
modos de enlace troncal. Una interfaz se puede establecer en trunking o no trunking, o para
negociar trunking con la interfaz vecina. La negociación de enlaces troncales entre
dispositivos de red la maneja el Protocolo de Enlace Troncal Dinámico (DTP), que solo
funciona de punto a punto.
DTP es un protocolo exclusivo de Cisco que se habilita de manera automática en los switches
de las series Catalyst 2960 y Catalyst 3560. DTP maneja la negociación de enlaces troncales
sólo si el puerto del switch vecino está configurado en un modo de enlace troncal que admite
DTP. Los switches de otros proveedores no admiten el DTP.
La configuración DTP predeterminada para los switches Catalyst 2960 y 3650 de Cisco es
automática dinámica.
Para habilitar los enlaces troncales desde un switch de Cisco hacia un dispositivo que no
admite DTP, utilice los comandos del modo de configuración de interfaz switchport mode
trunk y switchport nonegotiate. Esto hace que la interfaz se convierta en un troncal, pero
no generará tramas DTP.
Si los puertos que conectan dos conmutadores están configurados para ignorar todos los
anuncios DTP con los comandos switchport mode trunk y switchport nonegotiate, los
puertos se quedarán en modo de puerto troncal. Si los puertos de conexión están configurados
en automático dinámico, no negociarán un tronco y permanecerán en el estado de modo de
acceso, creando un enlace troncal inactivo.
P á g i n a | 143
Cuando configure un puerto para que esté en modo de enlace troncal, utilice el comando
switchport mode trunk. No existe ambigüedad sobre el estado en que se encuentra el enlace
troncal: este se encuentra siempre activo.
3.5.2
Opción Descripción
Opción Descripción
3.5.3
Dinámico Dinámico
Troncal Acceso
automático deseado
Dinámico
Acceso Troncal Troncal Acceso
automático
Dinámico
Troncal Troncal Troncal Acceso
deseado
P á g i n a | 145
Dinámico Dinámico
Troncal Acceso
automático deseado
Conectividad
Troncal Troncal Troncal Troncal
limitada
Conectividad
Acceso Acceso Acceso Acceso
limitada
3.5.4
Nota: Una mejor práctica general cuando se requiere un enlace troncal es establecer la
interfaz en trunk y nonegotiate cuando se necesita un enlace troncal. Se debe inhabilitar
DTP en los enlaces cuando no se deben usar enlaces troncales.
3.5.5
Configure DTP
Configure DTP
3.5.6
3.6.2
3.6.3
Las LANS virtuales (VLANs) es un grupo de dispositivos dentro de una VLAN que puede
comunicarse con cada dispositivo como si estuvieran conectados al mismo cable. Las VLAN
se basan en conexiones lógicas, en lugar de conexiones físicas. Los administradores utiliza n
VLAN para segmentar redes en función de factores como la función, el equipo o la
aplicación. Cada VLAN se considera una red lógica diferente. Cualquier puerto de switch
puede pertenecer a una VLAN. Una VLAN crea un dominio de difusión lógico que puede
abarcar varios segmentos LAN físicos. Las VLAN mejoran el rendimiento de la red mediante
la división de grandes dominios de difusión en otros más pequeños. Cada VLAN de una red
conmutada corresponde a una red IP; por lo tanto, el diseño de VLAN debe utilizar un
esquema jerárquico de direccionamiento de red. Los tipos de VLAN incluyen la VLAN
predeterminada, las VLAN de datos, la VLAN nativa, las VLAN de administración. y las
VLAN de voz.
Un enlace troncal no pertenece a una VLAN específica. Es un conducto para las VLAN entre
los switches y los routers. Un enlace troncal es un enlace punto a punto entre dos dispositivos
de red que lleva más de una VLAN. Un enlace troncal de VLAN amplía las VLAN a través
de toda la red. Cuando se implementan las VLAN en un switch, la transmisión del tráfico de
unidifusión, multidifusión y difusión desde un host en una VLAN en particular se limita a
los dispositivos presentes en esa VLAN. Los campos de etiqueta de VLAN incluyen el tipo,
prioridad de usuario, CFI y VID. Algunos dispositivos que admiten los enlaces troncales
agregan una etiqueta VLAN al tráfico de las VLAN nativas. Si un puerto de enlace troncal
802.1Q recibe una trama etiquetada con la misma ID de VLAN que la VLAN nativa, descarta
la trama. Se necesita una red VLAN de voz separada para admitir VoIP. Las directivas de
QoS y seguridad se pueden aplicar al tráfico de voz. El tráfico VLAN de voz debe etiquetarse
con un valor de prioridad CoS de Capa 2 adecuado.
Configuración de VLAN
Los diferentes switches Catalyst de Cisco soportan varias cantidades de VLAN, incluidas las
VLAN de rango normal y las VLAN de rango extendido. Al configurar redes VLAN de rango
normal, los detalles de configuración se almacenan en la memoria flash del switch en un
archivo denominado vlan.dat. Aunque no es necesario, se recomienda guardar los cambios
de configuración en ejecución en la configuración de inicio. Después de crear una VLAN, el
siguiente paso es asignar puertos a la VLAN. Hay muchos comandos para definir un puerto
como puerto de acceso y asignarlo a una VLAN. Las VLAN se configuran en el puerto del
switch y no en el terminal. Un puerto de acceso puede pertenecer a sólo una VLAN por vez.
Sin embargo un puerto puede tambien estar asociado a una VLAN de voz. Por ejemplo, un
puerto conectado a un teléfono IP y un dispositivo final se asociaría con dos VLAN: una para
voz y otra para datos. Una vez que se configura una VLAN, se puede validar la configurac ió n
con los comandos show show de IOS de Cisco Si el puerto de acceso del switch se ha
asignado incorrectamente a una VLAN, simplemente vuelva a ingresar el comando de
configuración de interface switchport access vlan vlan-id con el ID de VLAN correcto. El
comando de modo de configuración gloabl no vlan vlan-id se usa para remover una VLAN
desde el archivo del switch vl vlan.dat.
P á g i n a | 151
Un enlace troncal de VLAN es un enlace de capa 2 entre dos switches que transporta el tráfico
para todas las VLAN. Hay varios comandos para configurar los puertos de interconexió n.
Para verificar la configuración troncal de VLAN , utilice el comando switchport show
interfaces interface-ID. Use el comando no switchport trunk allowed vlan y el
comando no switchport trunk native vlan para eliminar las VLAN permitidas y restablecer
la VLAN nativa del enlace troncal.
Una interfaz se puede establecer en trunking o no trunking, o para negociar trunking con la
interfaz vecina. La negociación de enlaces troncales entre dispositivos de red la maneja el
Protocolo de Enlace Troncal Dinámico (DTP), que solo funciona de punto a punto. DTP
maneja la negociación de enlaces troncales solo si el puerto del switch vecino está
configurado en un modo de enlace troncal que admite DTP. Para habilitar los enlaces
troncales desde un switch de Cisco hacia un dispositivo que no admite DTP, utilice los
comandos de modo de configuración de interfaz switchport mode trunk y switchport
nonegotiate. El comando switchport mode tiene opciones adicionales para negociar el
modo de interfaz, incluyendo acceso, automático dinámico, dinámico deseable y troncal.
Para verificar el modo DTP actual, ejecute el comando show dtp interface.
3.6.4
Ahora sabe cómo segmentar y organizar su red en VLAN. Los hosts pueden comunicarse
con otros hosts de la misma VLAN y ya no tiene hosts que envíen mensajes de difusión a
cualquier otro dispositivo de la red, consumiendo el ancho de banda necesario. Pero, ¿qué
pasa si un host de una VLAN necesita comunicarse con un host de otra VLAN? Si es
administrador de red, sabe que las personas querrán comunicarse con otras personas fuera de
la red. Aquí es donde el inter-VLAN routing puede ayudarle. El inter-VLAN routing utiliza
un dispositivo de capa 3, como un router o un switch de capa 3. Vamos a llevar su experiencia
VLAN y combinarla con sus habilidades de capa de red y ponerlos a prueba.
4.0.2
Router-on-a-Stick Inter-VLAN
Configure router-on-a-Stick inter-VLAN Routing
Routing
Funcionamiento de Inter-VLAN
Routing
4.1.1
Inter-VLA routing es el proceso de reenviar el tráfico de red de una VLAN a otra VLAN.
4.1.2
Por ejemplo, consulte la topología donde R1 tiene dos interfaces conectadas al switch S1.
La topología de red física muestra dos PC, un switch y un router. PC1 a la izquierda tiene la
dirección IP 192.168.10.10, está en VLAN 10 y está conectado el switch en el puerto F0/11.
PC2 a la derecha tiene la dirección IP 192.168.20.10, está en VLAN 20 y está conectado al
switch en el puerto F0/24. El switch, S1, tiene dos enlaces al router, R1. El puerto del switch
F0/1 está conectado a la interfaz G0/0/0 en R1. El puerto del switch F0/2 está conectado a la
interfaz G0/0/1 en R1. La interfaz del router G0/0/0 tiene la dirección IP 192.168.10.1. La
interfaz del router G0/0/1 tiene la dirección IP 192.168.20.1.
Cuando PC1 envía un paquete a PC2 en otra red, lo reenvía a su puerta de enlace
predeterminada 192.168.10.1. R1 recibe el paquete en su interfaz G0/0/0 y examina la
dirección de destino del paquete. R1 luego enruta el paquete hacia fuera de su interfaz G0/0/1
al puerto F0/12 en la VLAN 20 en S1. Finalmente, S1 reenvía la trama a PC2.
Inter-VLAN routing heredado, usa las interfaces fisicas funciona, pero tiene limitacio nes
significantes. No es razonablemente escalable porque los routers tienen un número limitado
de interfaces físicas. Requerir una interfaz física del router por VLAN agota rápidamente la
capacidad de la interfaz física del router
En nuestro ejemplo, R1 requería dos interfaces Ethernet separadas para enrutar entre la
VLAN 10 y la VLAN 20. ¿Qué ocurre si hubiera seis (o más) VLAN para interconectar? Se
necesitaría una interfaz separada para cada VLAN. Obviamente, esta solución no es
escalable.
4.1.3
Una interfaz Ethernet del router Cisco IOS se configura como un troncal 802.1Q y se conecta
a un puerto troncal en un switch de capa 2. Específicamente, la interfaz del router se configura
mediante subinterfaces para identificar VLAN enrutables.
Las subinterfaces configuradas son interfaces virtuales basadas en software. Cada uno está
asociado a una única interfaz Ethernet física. Estas subinterfaces se configuran en el software
del router. Cada una se configura de forma independiente con sus propias direcciones IP y
una asignación de VLAN. Las subinterfaces se configuran para subredes diferentes que
corresponden a su asignación de VLAN. Esto facilita el enrutamiento lógico.
Haga clic en Reproducir en la figura para ver una animación de la forma en que un router-
on-a-stick desempeña su función de routing.
Paso 3. Switch S1 reenvía el tráfico etiquetado fuera del otra interfaz troncal en el puerto
F0 / 3 al interfaz en el router R1.
Paso 5. El tráfico de unidifusión se etiqueta con VLAN 30, ya que se envía desde la interfaz
del router al switch S1.
Paso 6. Switch S1 reenvía el tráfico de unidifusión etiquetado por el otro enlace troncal para
cambiar S2.
Paso 7. El Switch S2 elimina la etiqueta VLAN del unicast marco y reenvía el marco a PC3
en puerto F0 / 23.
4.1.4
Nota: Un switch de capa 3 también se denomina switch multicapa ya que funciona en la capa
2 y la capa 3. Sin embargo, en este curso usamos el término switch de capa 3.
La topología de red física muestra dos PC, dos switches de capa 2 y un switch de capa 3. El
PC de la izquierda está en VLAN 10 y está conectado a un switch de capa 2 que a su vez está
conectado al switch de capa 3. El PC de la derecha está en VLAN 20 y está conectado a un
switch de capa 2 que a su vez está conectado al switch de capa 3. El switch de capa 3 tiene
P á g i n a | 167
dos interfaces SVI. SVI1 está en VLAN 10 y tiene la dirección IP 10.1.10.1. SVI2 está en
VLAN 20 y tiene la dirección IP 10.1.20.1.
Los SVIs entre VLAN se crean de la misma manera que se configura la interfaz de VLAN
de administración. El SVI se crea para una VLAN que existe en el switch. Aunque es virtual,
el SVI realiza las mismas funciones para la VLAN que lo haría una interfaz de router.
Específicamente, proporciona el procesamiento de Capa 3 para los paquetes que se envían
hacia o desde todos los puertos de switch asociados con esa VLAN.
A continuación se presentan las ventajas del uso de switches de capa 3 para inter-VLAN
routing:
Es mucho más veloz que router-on-a-stick, porque todo el switching y el routing se realizan por
hardware.
El routing no requiere enlaces externos del switch al router. No se* limitan a un enlace porque los
EtherChannels de Capa 2 se pueden utilizar como enlaces troncal entre los switches para aumentar
el ancho de banda.
La latencia es mucho más baja, dado que los datos no necesitan salir del switch para ser enrutados
a una red diferente. Se* implementan con mayor frecuencia en una LAN de campus que en routers.
4.1.5
Escenario A
La topología de red física muestra dos PC, un switch y un router. PC1 tiene la dirección IP
10.17.10.4/24, está en VLAN 10 y está conectado al switch S2. PC2 tiene la dirección IP
1.17.20.4/24, está en VLAN 20 y está conectado al switch S3. Tanto S2 como S3 se conectan
al switch de capa 3, S1. S1 tiene una interfaz SVI en VLAN 10 con dirección IP 10.17.10.1/24
y una interfaz SVI en VLAN 20 con dirección IP 10.17.20.1/24.
P á g i n a | 169
Escenario B
La topología de red física muestra dos PC, un switch y un router. PC2 a la izquierda tiene la
dirección IP 10.17.20.4/24, está en VLAN 20 y está conectado el switch S1. PC1 a la derecha
tiene la dirección IP 10.17.10.4/24, está en VLAN 10 y está conectado el switch S1. El switch,
S1, tiene dos enlaces al router, R1 en la interfaz G0/0/0 y G0/0/1. La interfaz del router G0/0/0
tiene la dirección IP 10.17.10.1/25 y la interfaz del router G0/0/1 tiene la dirección IP
10.17.20.1/04.
Escenario C
La topología de red física muestra tres PC, un switch y un router. PC1 tiene la dirección IP
10.17.10.4/24, está en VLAN 10 y está conectado el switch S1. PC2 tiene la dirección IP
10.17.20.4/24, está en VLAN 20 y está conectado el switch S1. PC3 tiene la dirección IP
10.17.30.4/24, está en VLAN 30 y está conectado el switch S1. El switch, S1, se conecta al
router, R1 en la interfaz G0/0/0 está configurado con tres subinterfaces: G0/0/0.10 tiene
dirección IP 10.17.10.1/25, G0/0/0.20 tiene dirección IP 10.17.20.1/04, G0/0/0.30 tiene
dirección IP 10.17.30.1/04.
P á g i n a | 170
1. Refer to each of the scenario topologies. ¿Qué instrucciones describen mejor los diferentes
tipos de soluciones de inter-VLAN routing? (Elija todas las opciones que correspondan).
P á g i n a | 171
Escenario Router-on-a-Stick
En el tema anterior, se enumeraron tres formas diferentes de crear inter-VLAN routing y se
detalló el inter-VLAN routing heredado. Este tema detalla como configurar router-on-a-stick
inter-VLAN routing. Puede ver en la figura que el router no está en el centro de la topología,
sino que parece estar en un palo cerca del borde, de ahí el nombre.
La topología de red física muestra dos PC, dos switches y un router. PC1 tiene la dirección
IP 192.168.10.10/24, un default gateway de 192.168.10.1 y está en VLAN 10. PC2 tiene la
dirección IP 192.168.20.10/24, un default gateway 192.168.20.1 y está en VLAN 20. PC1 se
conecta al switch S1 en el puerto F0/6. PC2 se conecta al switch S2 en el puerto F0/18. El
switch S1 y el switch S2 están interconectados entre sí a través de un enlace troncal en el
P á g i n a | 172
G0/0/1.10 10 192.168.10.1/24
G0/0/1.20 20 192.168.20.1/24
G0/0/1.99 99 192.168.99.1/24
Suponga que R1, S1 y S2 tienen configuraciones básicas iniciales. Actualmente, PC1 y PC2
no pueden hacer ping entre sí porque están en redes separadas. Sólo S1 y S2 pueden hacer
ping uno al otro, pero son inalcanzables por PC1 o PC2 porque también están en diferentes
redes.
Para permitir que los dispositivos se hagan ping entre sí, los switches deben configurarse con
VLAN y trunking, y el router debe configurarse para el inter-VLAN routing.
4.2.2
La topología de red física muestra dos PC, dos switches y un router. PC1 tiene la dirección
IP 192.168.10.10/24. PC2 tiene la dirección IP 192.168.20.10/24. PC1 se conecta al switch
S1 en el puerto F0/6. PC2 se conecta al switch S2 en el puerto F0/18. El switch S1 y el switch
S2 están interconectados entre sí en el puerto F0/1. El switch S1 está conectado al router R1
en el puerto del switch F0/5 que se conecta a las interfaces G0/0/1 en R1. La dirección IP de
administración en S1 es 192.168.99.2/24. La dirección IP de administración en S1 es
192.168.99.3/24.
En primer lugar, las VLAN se crean y nombran. Las VLAN sólo se crean después de salir
del modo de subconfiguración de VLAN.
P á g i n a | 174
Por último, los puertos Fa0/1 que se conectan a S2 y Fa05 que se conectan a R1 se
configuran como puertos troncal.
P á g i n a | 175
4.2.3
La topología de red física muestra dos PC, dos switches y un router. PC1 tiene la dirección
IP 192.168.10.10/24, un default gateway de 192.168.10.1 y está en VLAN 10. PC2 tiene la
dirección IP 192.168.20.10/24, un default gateway 192.168.20.1 y está en VLAN 20. PC1 se
conecta al switch S1 en el puerto F0/6. PC2 se conecta al switch S2 en el puerto F0/18. El
switch S1 y el switch S2 están interconectados entre sí a través de un enlace troncal en el
puerto F0/1. El switch S1 está conectado al router R1 a través de un enlace troncal en el
puerto del switch F0/5 que se conecta a las interfaces G0/0/1 en R1. La dirección IP de
administración en S1 es 192.168.99.2/24. La dirección IP de administración en S1 es
192.168.99.3/24.
P á g i n a | 176
4.2.4
Configuración de subinterfaces de R1
Para el método de router-on-a-stick, se requieren subinterfaces configuradas para cada
VLAN que se pueda enrutar.
encapsulation dot1q vlan_id [native] - Este comando configura la subinterfaz para responder al
tráfico encapsulado 802.1Q, desde la vlan-id especificada. La palabra clave native, sólo se agrega
para establecer la VLAN nativa en algo distinto de VLAN 1.
ip address ip-address subnet-mask - Este comando configura la dirección IPv4 de la subinterfaz. Esta
dirección normalmente sirve como default gateway para la VLAN identificada.
P á g i n a | 177
Repita el proceso para cada VLAN que se vaya a enrutar. Es necesario asignar una dirección
IP a cada subinterfaz del router en una subred única para que se produzca el routing.
Cuando se hayan creado todas las subinterfaces, habilite la interfaz física mediante el
comando de configuración de interfaz no shutdown. Si la interfaz física está deshabilitada,
todas las subinterfaces están deshabilitadas.
En la siguiente configuración, las subinterfaces R1 G0/0/1 se configuran para las VLAN 10,
20 y 99.
La topología de red física muestra dos PC, dos switches y un router. PC1 tiene la dirección
IP 192.168.10.10/24. PC2 tiene la dirección IP 192.168.20.10/24. PC1 se conecta al switch
S1 en el puerto F0/6. PC2 se conecta al switch S2 en el puerto F0/18. El switch S1 y el switch
S2 están interconectados entre sí en el puerto F0/1. El switch S1 está conectado al router R1
en el puerto del switch F0/5 que se conecta a las interfaces G0/0/1 en R1. La dirección IP de
administración en S1 es 192.168.99.2/24. La dirección IP de administración en S1 es
192.168.99.3/24.
P á g i n a | 178
4.2.5
Desde un host, compruebe la conectividad con un host de otra VLAN mediante el comando
ping. Es una buena idea verificar primero la configuración IP del host actual mediante el
comando ipconfig en un host Windows.
P á g i n a | 179
4.2.6
show ip route
show ip interface brief
show interfaces
show interfaces trunk
Otro comando útil del router es show ip interface brief, como se muestra en el resultado. El
resultado confirma que las subinterfaces tienen configurada la dirección IPv4 correcta y que
están operativas.
P á g i n a | 181
La configuración incorrecta también podría estar en el puerto troncal del switch. Por lo tanto,
también es útil verificar los enlaces troncales activos en un switch de Capa 2 mediante
el comando show interfaces trunk, como se muestra en el ejemplo. El resultado confirma que
el enlace a R1 es troncal para las VLAN requeridas.
4.2.7
4.2.8
Las redes empresariales modernas rara vez usan router -on-a-stick porque no se escalan
fácilmente para cumplir los requisitos. En estas redes muy grandes, los administradores de red
utilizan switches de capa 3 para configurar el inter-VLAN routing.
Las LAN de campus empresariales utilizan switches de capa 3 para proporcionar inter -VLAN
routing. Los switches de capa 3 utilizan switching basado en hardware para lograr velocidades
de procesamiento de paquetes más altas que los routers. Los switches de capa 3 también se
implementan comúnmente en armarios de cableado de capa de distribución empresarial.
Ruta de una VLAN a otra mediante múltiples interfaces virtuales de switch (SVIs).
Convierta un puerto de switch de capa 2 en una interfaz de capa 3 (es decir, un puerto enrutado).
Un puerto enrutado es similar a una interfaz física en un router Cisco IOS.
Para proporcionar enrutamiento entre VLAN, los switches de capa 3 utilizan SVIs. Los SVIs se
configuran utilizando el mismo comando interface vlan vlan-id utilizado para crear el SVI de
administración en un switch de capa 2. Se debe crear un SVI de Capa 3 para cada una de las
VLAN enrutables.
4.3.2
La topología de red física muestra dos PC, un switch y un router. PC1 a la izquierda tiene la
dirección IP 192.168.10.10, la dirección del default gateway 192.168.10.1/24, está en VLAN 10
y está conectado el switch en el puerto G1/0/6. PC2 a la derecha tiene la dirección IP
192.168.20.10, la dirección del default gateway 192.168.20.10/24, está en VLAN 20 y está
conectado el switch en el puerto G1/0/18.
VLAN
Dirección IP
Interface
10 192.168.10.1/24
20 192.168.20.1/24
4.3.3
Configurar el SVI para VLANs 10 y 20 Las direcciones IP configuradas servirán como default
gateways para los hosts de las VLAN respectivas. Observe que los mensajes inf ormativos que
muestran el protocolo de línea en ambos SVIs cambiaron a funcionales.
A continuación, configure los puertos de acceso que se conectan a los hosts y asígnelos a sus
respectivas VLAN.
P á g i n a | 186
4. Habilitar IP routing.
4.3.4
Desde un host, compruebe la conectividad con un host de otra VLAN mediante el comando
ping. Es una buena idea verificar primero la configuración IP del host actual mediante el
comando ipconfig en un host Windows. El resultado confirma la dirección IPv4 y el default
gateway de PC1.
A continuación, verifique la conectividad con PC2 mediante el comando host de ping Windows,
como se muestra en el ejemplo. El resultado del ping, confirma correctamente que el
enrutamiento entre VLANs está funcionando.
P á g i n a | 187
4.3.5
4.3.6
La configuración de enrutamiento.
Nota: OSPF se cubre en otro curso. En este módulo, se le darán comandos de configuración
OSPF en todas las actividades y evaluaciones. No es necesario que comprenda la configuración
para habilitar el enrutamiento OSPF en el switch de capa 3.
P á g i n a | 188
La topología de red física muestra dos PC, un switch de capa 3 (D1), un router (R1) y un servidor.
PC1 tiene la dirección IP 192.168.10.10, la dirección del default gateway 192.168.10.1/24, está
en VLAN 10 y está conectado el switch en el puerto G1/0/6. PC2 tiene la dirección IP
192.168.20.10, la dirección del default gateway 192.168.20.10/24, está en VLAN 20 y está
conectado el switch en el puerto G1/0/18. El switch, D1, interfaz G0/0/1 tiene dirección IP
10.10.10.2/24 y se conecta a la interfaz R1, G0/0/1 que tiene dirección IP 10.10.1/24. El router,
R1, se conecta al servidor a través de la red 10.10.20.0/24 con el R1 que tiene la dirección ip
10.10.10.1 y el servidor que tiene la dirección ip 10.10.20.254. El router también está ejecutando
OSPF.
4.3.7
Configuración de enrutamiento en un
switch de capa 3
Complete los siguientes pasos para configurar D1 para enrutar con R1:
Configure G1/0/1 para que sea un puerto enrutado, asígnele una dirección IPv4 y habilítelo.
2. Activar el routing.
3. Configurar el enrutamiento.
Configure el protocolo de enrutamiento OSPF para anunciar las redes VLAN 10 y VLAN 20,
junto con la red que está conectada a R1. Observe el mensaje informándole de que se ha
establecido una adyacencia con R1.
P á g i n a | 190
4. Verificar enrutamiento.
Verifique la tabla de enrutamiento en D1. Observe que D1 ahora tiene una ruta a la red
10.20.20.0/24.
5. Verificar la conectividad.
En este momento, PC1 y PC2 pueden hacer ping al servidor conectado a R1.
P á g i n a | 191
4.3.8
Hay varias razones por las que una configuración entre VLANs puede no funcionar. Todos
están relacionados con problemas de conectividad. En primer lugar, compruebe la capa
física para resolver cualquier problema en el que un cable pueda estar conectado al puerto
incorrecto. Si las conexiones son correctas, utilice la lista de la tabla para otras razones
comunes por las que puede fallar la conectividad entre VLAN.
P á g i n a | 192
4.4.2
G0/0/0.10 10 192.168.10.1/24
G0/0/0.20 20 192.168.20.1/24
G0/0/0.30 99 192.168.99.1/24
P á g i n a | 194
4.4.3
VLAN faltantes
Un problema de conectividad entre VLAN podría deberse a la falta de una VLAN. La VLAN
podría faltar si no se creó, se eliminó accidentalmente o no se permite en el enlace troncal.
Por ejemplo, PC1 está conectado actualmente a la VLAN 10, como se muestra en el ejemplo
del comando show vlan brief.
Ahora suponga que la VLAN 10 se elimina accidentalmente, como se muestra en el siguie nte
resultado.
P á g i n a | 195
Observe que ahora falta VLAN 10 en el resultado Observe también que el puerto Fa0/6 no
se ha reasignado a la VLAN predeterminada. Cuando elimina una VLAN, cualquier puerto
asignado a esa VLAN queda inactivo. Permanecen asociados con la VLAN (y, por lo tanto,
inactivos) hasta que los asigne a una nueva VLAN o vuelva a crear la VLAN que falta.
Si se vuelve a crear la VLAN que falta, se reasignarán automáticamente los hosts a ella, como
se muestra en el siguiente resultado.
Observe que la VLAN no se ha creado como se esperaba. La razón se debe a que debe salir
del modo de subconfiguración de VLAN para crear la VLAN, como se muestra en el
siguiente resultado:
P á g i n a | 196
Ahora observe que la VLAN está incluida en la lista y que el host conectado a Fa0/6 está en
la VLAN 10.
4.4.4
Sin embargo, con una solución router-on-a-stick, la causa más común es un puerto troncal
mal configurado.
Por ejemplo, suponga que PC1 pudo conectarse a hosts de otras VLAN hasta hace poco. Un
vistazo rápido a los registros de mantenimiento reveló que recientemente se accedió al switch
S1 Capa 2 para el mantenimiento rutinario. Por lo tanto, sospecha que el problema puede
estar relacionado con ese switch.
P á g i n a | 197
En S1, verifique que el puerto que se conecta a R1 (es decir, F0/5) esté configurado
correctamente como enlace troncal utilizando el comando show interfaces trunk , como se
muestra.
Como pueden ver, el puerto fue apagado accidentalmente. Para corregir el problema,
vuelva a habilitar el puerto y verifique el estado de enlace troncal, como se muestra en el
ejemplo.
Para reducir el riesgo de una falla en el enlace entre switch es que interrumpa el inter-VLAN
routing, el diseño de red debe contar con enlaces redundantes y rutas alternativas.
4.4.5
Cuando sospeche que hay un problema con una configuración del switch, utilice los distintos
comandos de verificación para examinar la configuración e identificar el problema.
Supongamos que PC1 tiene la dirección IPv4 correcta y el default gateway, pero no es capaz
de ping su propio default gateway PC1 se supone que debe estar conectado a un puerto
VLAN 10.
4.4.6
Por ejemplo, R1 debería proporcionar inter-VLAN routing para los usuarios de VLAN 10,
20 y 99. Sin embargo, los usuarios de VLAN 10 no pueden llegar a ninguna otra VLAN.
A las subinterfaces se les han asignado las direcciones IPv4 correctas y están operativas.
Compruebe en qué VLAN se encuentra cada una de las subinterfaces. Para ello, el comando
show interfaces es útil, pero genera una gran cantidad de resultados adicionales no
requeridos. El resultado del comando se puede reducir utilizando filtros de comando IOS
como se muestra en el ejemplo:
El símbolo de tubería (|) junto con algunas palabras clave de selección es un método útil para
ayudar a filtrar el resultado del comando. En este ejemplo, la palabra clave include se utilizó
para identificar que sólo se mostrarán las líneas que contienen las letras «Gig» o «802.1Q».
Debido a la forma en que se enumera naturalmente la salida del comando show interface, el
uso de estos filtros genera una lista condensada de interfaces y sus VLAN asignadas.
Para corregir este problema, configure la subinterfaz G0/0/1.10 para que esté en la VLAN
correcta mediante el comando encapsulation dot1q 10, en el modo de configuración de
subinterfaz.
P á g i n a | 203
Una vez asignada la subinterfaz a la VLAN correcta, los dispositivos en esa VLAN pueden
acceder a ella, y el router puede realizar inter-VLAN routing.
4.4.7
4.4.8
4.4.9
4.5.2
4.5.3
Los hosts de una VLAN no pueden comunicarse con los hosts de otra VLAN a menos que
haya un router o un switch de capa 3 para proporcionar servicios de enrutamiento. Inter-VLA
routing es el proceso de reenviar el tráfico de red de una VLAN a otra VLAN. Tres opciones
incluyen heredado, router-on-a-stick y switch de capa 3 con SVIs. Heredado utiliza un router
con múltiples interfaces Ethernet. Cada interfaz del router estaba conectada a un puerto del
switch en diferentes VLAN . Requerir una interfaz física del router por VLAN agota
P á g i n a | 208
Para configurar un switch con VLAN y enlaces troncales, realice los siguientes pasos: cree y
asigne un nombre a las VLAN, cree la interfaz de administración, configure los puertos de
acceso y configure los puertos de enlace troncal. Para el método de router-on-a-stick, se
requieren subinterfaces configuradas para cada VLAN que se pueda enrutar. Se crea una
subinterfaz mediante el comando interface interface_id_subinterface_id, del modo de
configuración global. Es necesario asignar una dirección IP a cada subinterfaz del router en
una subred única para que se produzca el routing. Cuando se han creado todas las
subinterfaces, la interfaz física debe habilitarse mediante el comando de configuración de
interfaz no shutdown . Desde un host, compruebe la conectividad con un host de otra VLAN
mediante el ping comando. Utilíce ping para verificar la conectividad con el host y el
switch. Para verificar y solucionar problemas utilice los comandos show ip route, show ip
interface brief, show interfaces y show interfaces trunk.
Hay varias razones por las que una configuración entre van puede no funcionar . Todos están
relacionados con problemas de conectividad, como las VLAN faltantes, los problemas del
puerto troncal del switch, los problemas del puerto de acceso del switch y los problemas de
configuración del router. Podría faltar una VLAN si no se creó, se eliminó accidentalme nte
o no se permite en el enlace troncal. Otro problema para el enrutamiento entre VLAN incluye
puertos de switch mal configurados. En una solución interVLAN heredada, podría producirse
un puerto de switch mal configurado cuando el puerto del router de conexión no está asignado
a la VLAN correcta. Con una solución router-on-a-stick, la causa más común es un puerto
troncal mal configurado. Cuando se sospecha un problema con una configuración del puerto
de acceso del switch, utilice los comandos ping, show interfaces interface-
id switchport para identificar el problema. Los problemas de configuración del router con
configuraciones de router-on-a-stick suelen estar relacionados con configuraciones erróneas
de subinterfaz. Verificar el estatus de las interfaces usando el comando show ip interface
brief.
4.5.4
Una red de nivel 2 bien diseñada tendrá conmutadores y rutas redundantes para garantizar
que si un conmutador se apaga, otra ruta a otro conmutador esté disponible para reenviar
datos. Los usuarios de la red no experimentarían ninguna interrupción del servicio. La
redundancia en un diseño de red jerárquica soluciona el problema de un solo punto de falla,
pero puede crear un tipo diferente de problema llamado bucles de Capa 2.
¿Qué es un bucle? Imagina que estás en un concierto. El micrófono del cantante y el altavoz
amplificado pueden, por diversas razones, crear un bucle de retroalimentación. Lo que se oye
es una señal amplificada del micrófono que sale del altavoz que luego es recogido de nuevo
por el micrófono, amplificado más y pasado de nuevo a través del altavoz. El sonido
rápidamente se vuelve muy fuerte, desagradable y hace que sea imposible escuchar música
real. Esto continúa hasta que se corta la conexión entre el micrófono y el altavoz.
Un bucle de capa 2 crea un caos similar en una red. Puede suceder muy rápidamente y hacer
imposible el uso de la red. Hay algunas formas comunes de crear y propagar un bucle de
Capa 2. El protocolo de árbol de expansión (STP) está diseñado específicamente para
eliminar los bucles de capa 2 en la red. Este módulo analiza las causas de los bucles y los
diversos tipos de protocolos de árbol de expansión. Incluye un vídeo y una actividad Packet
Tracer para ayudarle a entender los conceptos STP.
5.0.2
Objetivo del módulo: Explique cómo STP permite la redundancia en una red de capa 2.
P á g i n a | 221
Funcionamientos del STP Explicar cómo opera STP en una red conmutada simple.
Las LAN Ethernet requieren una topología sin bucles con una única ruta entre dos
dispositivos. Un bucle en una LAN Ethernet puede provocar una propagación continua de
tramas Ethernet hasta que un enlace se interrumpe y interrumpa el bucle.
5.1.2
Haga clic en Reproducir en la figura para ver una animación de STP en acción.
El S2 reenvía la difusión por todos los puertos, excepto el puerto de origen y el puerto bloqueado.
5.1.3
Recalcular STP
Haga clic en Reproducir en la siguiente figura para ver una animación del recálculo de STP
cuando ocurre una falla.
El S2 reenvía la difusión por todos los puertos del switch, excepto el puerto de orige n y el enlace que falló para Enlace_troncal1.
El S3 reenvía la difusión por todos los puertos de switch disponibles, excepto el puerto de origen.
5.1.4
router dejará caer el paquete. Los switches Ethernet y Ethernet no tienen un mecanismo
comparable para limitar el número de veces que un switches retransmite una trama de Capa
2. STP fue desarrollado específicamente como un mecanismo de prevención de bucles para
Ethernet de Capa 2.
5.1.5
Bucles de la capa 2
Sin STP habilitado, se pueden formar bucles de capa 2, lo que hace que las tramas de difusió n,
multidifusión y unidifusión desconocidos se reproduzcan sin fin. Esto puede derribar una red
en un período de tiempo muy corto, a veces en pocos segundos. Por ejemplo, las tramas de
difusión, como una solicitud ARP, se reenvían a todos los puertos del conmutador, excepto
el puerto de entrada original. Esto asegura que todos los dispositivos en un dominio de
difusión reciban la trama. Si hay más de una ruta para reenviar la trama, se puede formar un
bucle infinito. Cuando se produce un bucle, la tabla de direcciones MAC en un conmutador
cambiará constantemente con las actualizaciones de las tramas de difusión, lo que resulta en
la inestabilidad de la base de datos MAC. Esto puede causar una alta utilización de la CPU,
lo que hace que el switch no pueda reenviar tramas.
Las tramas de difusión no son el único tipo de tramas que son afectadas por los bucles. Si se
envían tramas de unidifusión desconocidas a una red con bucles, se puede producir la llegad a
de tramas duplicadas al dispositivo de destino. Una trama de unidifusión desconocida se
produce cuando el switch no tiene la dirección MAC de destino en la tabla de direcciones
MAC y debe reenviar la trama a todos los puertos, excepto el puerto de ingreso.
Haga clic en Reproducir en la figura para ver la animación. Cuando la animación se detiene,
lea el texto que describe la acción. La animación continuará después de una pausa breve.
P á g i n a | 225
El S2 reenvía la difusión por todos los puertos, excepto el puerto en el que la recibió.
El S3 y el S1 reenvían la difusión por todos los puertos, excepto el puerto en el que la recibieron.
El S1 y el S3 reciben un paquete de la PC1 en un nuevo puerto. Estos actualizan su tabla de direcciones MAC según corresponda .
El S1 y el S3 reenvían la difusión por todos los puertos, excepto el puerto en el que la recibieron.
El S2 actualiza su tabla de direcciones MAC para la PC1 con el último puerto en el que recibió la trama de difusión.
El S2 reenvía la trama de difusión por todos los puertos, excepto el último puerto en el que la recibió. El ciclo vuelve a em pezar.
5.1.6
Broadcast Storm
Una tormenta de difusión es un número anormalmente alto de emisiones que abruman la red
durante un período específico de tiempo. Las tormentas de difusión pueden deshabilitar una
red en cuestión de segundos al abrumar los conmutadores y los dispositivos finales. Las
tormentas de difusión pueden deberse a un problema de hardware como una NIC defectuosa
o a un bucle de capa 2 en la red.
Las emisiones de capa 2 en una red, como las solicitudes ARP, son muy comunes. Es
probable que un bucle de capa 2 tenga consecuencias inmediatas y de desactivación en la red.
Las multidifusión de capa 2 normalmente se reenvían de la misma manera que una difusió n
por el conmutador. Por lo tanto, aunque los paquetes IPv6 nunca se reenvían como una
difusión de Capa 2, ICMPv6 Neighbor Discovery utiliza multidifusión de Capa 2.
Haga clic en Reproducir en la figura para ver una animación que muestra los efectos cada
vez más adversos de un bucle a medida que los fotogramas de difusión y de unidifus ió n
desconocidos continúan propagándose indefinidamente en una tormenta de difusión.
P á g i n a | 226
La PC4 reenvía una nueva difusión que también queda atrapada en el bucle de capa 2.
La PC2 reenvía una trama de difusión, pero no se puede procesar debido a la sobrecarga de tráfico en la red.
Un host atrapado en un bucle de capa 2 no está accesible para otros hosts en la red. Además,
debido a los constantes cambios en su tabla de direcciones MAC, el conmutador no sabe
desde qué puerto reenviar las tramas de unidifusión. En la animación anterior, los
conmutadores tendrán los puertos incorrectos listados para PC1. Cualquier trama de
unidifusión con destino a la PC1 se repite en bucle por la red, como lo hacen las tramas de
difusión. Cuando se repiten en bucle cada vez más tramas, se termina creando una tormenta
de difusión.
Para evitar que ocurran estos problemas en una red redundante, se debe habilitar algún tipo
de árbol de expansión en los switches. De manera predeterminada, el árbol de expansión está
habilitado en los switches Cisco para prevenir que ocurran bucles en la capa 2.
5.1.7
Sin el protocolo de prevención de bucles, se producirían bucles que harían inoperable una
red de conmutadores redundantes.
Topología de la situación
Este escenario STA utiliza una LAN Ethernet con conexiones redundantes entre varios
conmutadores.
S3 se conecta a los Switches S1 y S5. Switch S4 se conecta a los Switches S2 and S5. Switch
S5 se conecta a los Switches S1, S3, S4, y S6. Switch S6 se conecta al Switch S5. El switch
S7 se conecta al switch S8. El switch S8 se conecta a los switches S4, S5 y S7.
Note: STA y STP se refieren a conmutadores como puentes . Esto se debe a que en los primeros
días de Ethernet, los switches se denominaban puentes.
P á g i n a | 228
STP asegura que solo haya una ruta lógica entre todos los destinos en la red al bloquear
intencionalmente las rutas redundantes que podrían causar un bucle, c omo se muestra en la
figura. Cuando se bloquea un puerto, se impide que los datos del usuario entren o salgan de
ese puerto. El bloqueo de las rutas redundantes es fundamental para evitar bucles en la red.
Un puerto bloqueado tiene el efecto de convertir ese enlace en un vínculo no reenvío entre los
dos switches, como se muestra en la figura. Observe que esto crea una topología en la que
cada conmutador tiene una única ruta al puente raíz, similar a las ramas de un árbol que se
conectan a la raíz del árbol.
P á g i n a | 229
Cada enrutador tiene ahora, sólo una ruta de envío al puente raíz.
Las rutas físicas aún existen para proporcionar la redundancia, pero las mismas se deshabilitan
para evitar que se generen bucles. Si alguna vez la ruta es necesaria para compensar la falla
de un cable de red o de un switch, STP vuelve a calcular las rutas y desbloquea los puertos
necesarios para permitir que la ruta redundante se active. Los recálculos STP también pueden
ocurrir cada vez que se agrega un nuevo conmutador o un nuevo vínculo entre switches a la
red.
La figura muestra un error de enlace entre los conmutadores S2 y S4 que hace que STP se
vuelva a calcular. Observe que el vínculo anteriormente redundante entre S4 y S5 se está
reenviando para compensar este error. Todavía hay solo una ruta entre cada switch y el puente
raíz.
STP evita que ocurran bucles mediante la configuración de una ruta sin bucles a través de la
red, con puertos “en estado de bloqueo” ubicados estratégicamente. Los switches que
ejecutan STP pueden compensar las fallas mediante el desbloqueo dinámico de los puertos
bloqueados anteriormente y el permiso para que el tráfico se transmita por las rutas
alternativas.
P á g i n a | 230
5.1.8
6: 18
5.1.9
5.1.10
Durante las funciones STA y STP, los conmutadores utilizan unidades de datos de protocolo
de puente (BPDU) para compartir información sobre sí mismos y sus conexiones. Las BPDU
se utilizan para elegir el root bridge, los root ports, los puertos designados y los puertos
alternativos. Cada BPDU contiene una ID de puente (BID) que identifica qué switch envió
la BPDU. El BID participa en la toma de muchas de las decisiones STA, incluidos los roles
de puertos y root bridge. El BID contiene un valor de prioridad, la dirección MAC del
conmutador y un ID de sistema extendido. El valor de BID más bajo lo determina la
combinación de estos tres campos.
El gráfico muestra tres cuadros, cada uno de los cuales representa un componente del ID de
puente. De izquierda a derecha, el primer cuadro es Bridge Priority, que tiene 4 bits de
longitud, el segundo cuadro es Extended System ID, que tiene 12 bits de longitud, y el tercer
cuadro es la dirección MAC que tiene 48 bits de longitud. El texto a la derecha de los cuadros
indica Bridge ID con Extended System ID. El texto en la parte inferior del gráfico dice El
BID incluye la prioridad del puente, el ID del sistema extendido y la dirección MAC del
conmutador.
El BID está compuesto por un valor de prioridad del puente, una ID de sistema extendido y
la dirección MAC del switch.
Prioridad de puente
El valor de prioridad predeterminado para todos los switches Cisco es el valor decimal 32768.
El rango va de 0 a 61440 y aumenta de a 4096. Es preferible una prioridad de puente más
baja. La prioridad de puente 0 prevalece sobre el resto de las prioridades de puente.
Sistema extendido ID
El valor de ID del sistema extendido es un valor decimal agregado al valor de prioridad del
puente en el BID para identificar la VLAN para esta BPDU.
Las primeras implementaciones de IEEE 802.1D estaban diseñadas para redes que no
utilizaban VLAN. Existía un único árbol de expansión común para todos los switches. Por
esta razón, en los switches más antiguos, el ID del sistema extendido no se incluía en las
BPDU. A medida que las VLAN se volvieron más comunes en la segmentación de la
infraestructura de red, se fue mejorando el estándar 802.1D para incluir a las VLAN, lo que
requirió que se incluyera la ID de VLAN en la trama de BPDU. La información de VLAN
se incluye en la trama BPDU mediante el uso de la ID de sistema extendido.
El ID del sistema extendido permite que las implementaciones posteriores de STP, como
Rapid STP (RSTP) tengan diferentes root bridge para diferentes conjuntos de VLAN. Esto
puede permitir que enlaces redundantes y sin reenvío en una topología STP para un conjunto
de VLAN sean utilizados por un conjunto diferente de VLAN que utilice un root bridge
diferente.
Dirección MAC
Cuando dos switches están configurados con la misma prioridad y tienen la misma ID de
sistema extendido, el switch que posee la dirección MAC con el menor valor, expresado en
hexadecimal, tendrá el menor BID.
5.2.2
Un proceso de elección determina el switch que se transforma en el puente raíz. Todos los
switches del dominio de difusión participan del proceso de elección. Una vez que el switch
arranca, comienza a enviar tramas BPDU cada dos segundos. Estas tramas BPDU contienen
el BID del switch de envío y el BID del root bridge, conocido como Root ID.
El switch que tiene el BID más bajo se convierte en el puente raíz. Al principio, todos los
conmutadores se declaran a sí mismos como el puente raíz con su propio BID establecido
como ID raíz. Eventualmente, los switches aprenden a través del intercambio de BPDU qué
switch tiene el BID más bajo y acordarán un puente raíz.
La topología de red física muestra tres switches interconectados, S1, S2 y S3, y cuatro PC,
PC1, PC2, PC3, PC4. S1 es el root bridge. El Bridge ID de S1 es prioridad = 32769 y
dirección MAC = 000A00333333. S1 se conecta a S3 a través del puerto del switch F0/2 y
se conecta a S2 a través del puerto del switch F0/1. El enlace entre S1 y S2 se etiqueta Trunk
1. El enlace entre S1 y S3 se etiqueta Trunk 3. S1 se conecta a PC4 a través del puerto del
switch F0/3. El Bridge ID de S2 es prioridad = 32769 y dirección MAC = 000A00111111.
S2 se conecta a S3 a través del puerto del switch F0/2 y se conecta a S1 a través del puerto
del switch F0/1. El enlace entre S2 y S3 se etiqueta Trunk 2. S2 se conecta a PC1 a través del
puerto del switch F0/11, se conecta a PC2 a través del puerto del switch F0/18 y a PC3 a
través del puerto del switch F0/6. El Bridge ID de S3 es prioridad = 32769 y dirección MAC
= 000A00222222. S3 se conecta a S2 a través del puerto del switch F0/2 y se conecta a S1 a
través del puerto del switch F0/1. La dirección IP de PC1 es 172.17.10.21. La dirección IP
de PC2 es 172.17.10.22. La dirección IP de PC3 es 172.17.10.23. La dirección IP de PC4 es
172.17.10.27.
P á g i n a | 236
5.2.3
En la figura, todos los switches están configurados con la misma prioridad de 32769. Aquí
la dirección MAC se convierte en el factor decisivo en cuanto a qué interruptor se convierte
en el puente raíz. El conmutador con el valor de dirección MAC hexadecimal más bajo es el
puente raíz preferido. En este ejemplo, S2 tiene el valor más bajo para su dirección MAC y
se elige como el puente raíz para esa instancia de árbol de expansión.
La topología de red física muestra tres switches interconectados, S1, S2 y S3, y cuatro PC,
PC1, PC2, PC3, PC4. S2 es el root bridge. El Bridge ID de S1 es prioridad = 32769 y
dirección MAC = 000A00333333. S1 se conecta a S3 a través del puerto del switch F0/2 y
se conecta a S2 a través del puerto del switch F0/1. El enlace entre S1 y S2 se etiqueta Trunk
1. El enlace entre S1 y S3 se etiqueta Trunk 3. S1 se conecta a la PC4 a través del puerto del
conmutador F0/3. El Bridge ID de S2 es prioridad = 32769 y dirección MAC =
P á g i n a | 237
5.2.4
Note: La BPDU incluye el costo de la ruta raíz. Este es el costo de la ruta que va desde el
switch que envía los datos hasta el puente raíz.
Cuando un switch recibe la BPDU, agrega el costo del puerto de ingreso del segmento para
determinar el costo interno de la ruta hacia la raíz.
Los costos de los puertos predeterminados se definen por la velocidad a la que funcionan los
mismos. La tabla muestra los costos de puerto predeterminados sugeridos por IEEE. Los
switches Cisco utilizan de forma predeterminada los valores definidos por el estándar IEEE
802.1D, también conocido como costo de ruta corta, tanto para STP como para RSTP. Sin
embargo, el estándar IEEE sugiere usar los valores definidos en el IEEE-802.1w, también
conocido como costo de ruta larga, cuando se usan enlaces de 10 Gbps y más rápido.
Note: RSTP se discute con más detalle más adelante en este módulo.
Velocidad de
STP Cost: IEEE 802.1D-1998 Costo de RSTP: IEEE 802.1w-2004
enlace
10Gbps 2 2000
1Gbps 4 20000
P á g i n a | 238
Velocidad de
STP Cost: IEEE 802.1D-1998 Costo de RSTP: IEEE 802.1w-2004
enlace
100Mbps 19 200000
Pese a que los puertos de switch cuentan con un costo de puerto predeterminado asociado a
los mismos, tal costo puede configurarse. La capacidad de configurar costos de puerto
individuales le da al administrador la flexibilidad para controlar de forma manual las rutas
de árbol de expansión hacia el puente raíz.
5.2.5
El costo interno de la ruta raíz es igual a la suma de todos los costos del puerto a lo largo de
la ruta al root bridge, como se muestra en la figura. Las rutas con el costo más bajo se
convierten en las preferidas, y el resto de las rutas redundantes se bloquean. En el ejemplo,
el costo de ruta interno desde S2 al root bridge S1 a través de la ruta 1 es de 19 (según el
costo de puerto individual especificado por el IEEE), mientras que el costo interno de la ruta
hacia la raíz a través de la ruta 2 es de 38. Debido a que la ruta 1 tiene un costo de ruta general
más bajo para el root bridge, es la ruta preferida y F0 / 1 se convierte en el root port en S2.
P á g i n a | 239
La topología de red física muestra tres switches interconectados, S1, S2 y S3, y cuatro PC,
PC1, PC2, PC3, PC4. S1 es el root bridge. El Bridge ID de S1 es prioridad = 32769 y
dirección MAC = 000A00333333. S1 se conecta a S3 a través del puerto del switch F0/2 y
se conecta a S2 a través del puerto del switch F0/1. El enlace entre S1 y S2 se etiqueta Trunk
1. El enlace entre S1 y S3 se etiqueta Trunk 3. S1 se conecta a PC4 a través del puerto del
switch F0/3. El Bridge ID de S2 es prioridad = 32769 y dirección MAC = 000A00111111.
S2 se conecta a S3 a través del puerto del switch F0/2 y se conecta a S1 a través del puerto
del switch F0/1. El puerto del switch F0/1 en S2 se indica como el puerto raíz. El enlace entre
S2 y S3 se etiqueta Trunk 2. La ruta de S2 a S1 se llama Ruta 1. La ruta de S2 a S3 se llama
path2. S2 se conecta a PC1 a través del puerto del switch F0/11, se conecta a PC2 a través
del puerto del switch F0/18 y a PC3 a través del puerto del switch F0/6. El Bridge ID de S3
es prioridad = 32769 y dirección MAC = 000A00222222. S3 se conecta a S2 a través del
puerto del switch F0/2 y se conecta a S1 a través del puerto del switch F0/1. El puerto del
switch F0/1 en S3 se indica como el puerto raíz. La ruta de S3 a S1 se etiqueta ruta 2. La
dirección IP de PC1 es 172.17.10.21. La dirección IP de PC2 es 172.17.10.22. La dirección
IP de PC3 es 172.17.10.23. La dirección IP de PC4 es 172.17.10.27. El texto en la parte
inferior del gráfico dice Ruta 1 Costo = 19x1=19. Coste de la ruta 2 = 19x2=38. La ruta 1 es
la ruta preferida.
5.2.6
Cada segmento entre dos switches tendrá un puerto designado. El puerto designado es un
puerto en el segmento (con dos switches) que tiene el costo de ruta raíz interna al puente raíz.
En otras palabras, el puerto designado tiene la mejor ruta para recibir el tráfico que conduce
al puente raíz.
Todos los puertos en el root bridge son puertos designados. Esto se debe a que el root bridge
tiene el costo más bajo para sí mismo.
La topología de red física muestra tres switches interconectados, S1, S2 y S3, y cuatro PC,
PC1, PC2, PC3, PC4. S1 es el root bridge. S1 se conecta a S3 a través del puerto del switch
F0/2 y se conecta a S2 a través del puerto del switch F0/1. El enlace entre S1 y S2 se etiqueta
Trunk 1. El enlace entre S1 y S3 se etiqueta Trunk 3. S1 se conecta a PC4 a través del puerto
del switch F0/3. El puerto del switch F0/3 en S1 es un puerto designado. El puerto del switch
P á g i n a | 241
Note: Todos los puertos del switch con dispositivos finales (hosts) conectados son puertos
designados.
P á g i n a | 242
Esto deja solo segmentos entre dos switches donde ninguno de los switches es el puente raíz.
En este caso, el puerto del switch con la ruta de menor costo al puente raíz es el puerto
designado para el segmento. Por ejemplo, en la figura, el último segmento es el que está entre
S2 y S3. Tanto S2 como S3 tienen el mismo costo de ruta para el puente raíz. El algoritmo del
árbol de expansión utilizará el ID del puente como un interruptor de corbata. Aunque no se
muestra en la figura, S2 tiene un BID menor. Por lo tanto, el puerto F0/2 de S2 se elegirá como
el puerto designado. Los puertos designados están en estado de reenvío.
5.2.7
5.2.8
Cuando un switch tiene varias rutas de igual costo al puente raíz, el switch determinará un
puerto utilizando los siguientes criterios:
La figura muestra una topología con cuatro conmutadores, incluido el conmutador S1 como
puente raíz. Al examinar los roles de puerto, vemos que el puerto F0/1 del switch S3 y el
puerto F0/3 del switch S4 se han seleccionado como puertos raíz porque tienen la ruta con el
menor costo (costo de la ruta hacia la raíz) al puente raíz para sus respectivos switches. S2
tiene dos puertos, F0 / 1 y F0 / 2 con rutas de igual costo al puente raíz. En este caso los ID
de puente de los switches vecinos, S3 y S4, se utilizan para definir el empate. Esto se conoce
como BID del emisor. S3 tiene un BID de 32769.5555.5555.5555 y S4 tiene un BID de
32769.1111.1111.1111. Como S4 tiene un BID más bajo, el puerto F0 / 1 de S2, que es el
puerto conectado a S4, será el puerto raíz.
P á g i n a | 245
La topología de red física muestra cuatro conmutadores interconectados, S1, S2, S3 y S4. S1
es el puente raíz y se conecta a S4 a través del puerto del switch F0/1 y S3 a través del puerto
troncal F0/2. El enlace entre S1 y S4 se etiqueta Trunk 1. La interfaz F0/1 en S1 es un puerto
designado. El ID de puente de S1 es 24577.3333.3333.3333. S1 se conecta a S3 a través del
puerto del switch F0/2. El enlace entre S1 y S3 se etiqueta Trunk 3. La interfaz F0/2 en S1
es un puerto designado. S4 está conectado a S1 a través del puerto del switch F0/3, que es un
puerto raíz. S4 está conectado a S2 a través del puerto del switch F0/1, que es un puerto
designado. El enlace entre S1 y S2 se etiqueta Trunk 1. El ID de puente de S4 es
32769.1111.1111.1111. S2 está conectado a S4 a través del puerto del switch F0/1, que es un
puerto raíz y está conectado a S3 a través del puerto del switch F0/2, que es un puerto
alternativo. El enlace entre S2 y S3 se llama Trunk 2. Hay una X roja junto a la interfaz F0/2
de S2 que indica que está bloqueando el tráfico. El ID de puente de S2 es
32769.AAAA.AAAA.AAA. S3 está conectado a S2 sobre el puerto del switch F0/2 que es
un puerto designado y a S1 sobre el puerto del switch F0/1 que es un puerto raíz. El ID de
puente de S3 es 32769.5555.5555.5555.
Para demostrar estos dos criterios siguientes, la topología se cambia a uno donde dos switches
están conectados con dos paths de igual costo entre ellos. S1 es el puente raíz, por lo que
ambos puertos son puertos designados.
S4 tiene dos puertos con rutas de igual costo al puente raíz. Dado que ambos puertos están
conectados al mismo conmutador, el BID (S1) del remitente es igual. Entonces el primer paso
es un empate.
A continuación en la lista está la prioridad del puerto del remitente (S1). La prioridad de puerto
predeterminada es 128, por lo que ambos puertos de S1 tienen la misma prioridad de puerto.
Esto también es una corbata. Sin embargo, si cualquiera de los puertos de S1 se configuraba
con una prioridad de puerto más baja, S4 pondría su puerto adyacente en estado de reenvío. El
otro puerto en S4 sería un estado de bloqueo.
5.2.9
Hello Timer -El tiempo de saludo es el intervalo entre BPDU. El valor predeterminado es 2 segundos,
pero se puede modificar entre 1 y 10 segundos.
P á g i n a | 247
Forward Delay Timer -El retraso directo es el tiempo que se pasa en el estado de escucha y
aprendizaje. El valor predeterminado es 15 segundos, pero se puede modificar a entre 4 y 30
segundos.
Max Age Timer La antigüedad máxima es la duración máxima de tiempo que un switch espera antes
de intentar cambiar la topología STP. El valor predeterminado es 20 segundos, pero se puede
modificar entre 6 y 40 segundos.
Note: Los tiempos predeterminados se pueden cambiar en el puente raíz, que dicta el valor
de estos temporizadores para el dominio STP.
STP facilita la ruta lógica sin bucles en todo el dominio de difusión. El árbol de expansión
se determina a través de la información obtenida en el intercambio de tramas de BPDU entre
los switches interconectados. Si un puerto de switch pasa directamente del estado de bloqueo
al de reenvío sin información acerca de la topología completa durante la transición, el puerto
puede crear un bucle de datos temporal. Por esta razón, STP tiene cinco estados de puertos,
cuatro de los cuales son estados de puertos operativos, como se muestra en la figura. El estado
deshabilitado se considera no operativo.
El gráfico muestra un diagrama de flujo que representa los cuatro estados operativos STP.
En la parte superior del diagrama de flujo se encuentra el estado de bloqueo. En el estado de
bloqueo No se recibe BPDU y la edad máxima = 20 segundos. Una flecha apunta desde el
estado Bloqueo al estado Listening. El estado de escucha tiene un retraso de avance de 15
segundos. Hay una flecha que apunta desde el estado Listening al estado Learning. El estado
de aprendizaje tiene un delday hacia adelante = 15 segundos. Hay una flecha que apunta
desde el estado de aprendizaje al estado de reenvío. Hay un diagrama de flujo títulos cuadro
Enlace viene con una flecha que apunta a un segundo cuadro titulado Bloqueo. El texto del
cuadro Bloqueo indica En estado de bloqueo hasta que SPT determine si el puerto es raíz o
puerto designado. Este cuadro tiene una flecha que apunta al estado Listening.
Estado del
Descripción
puerto
5.2.10
Reenvío de
Tabla de direcciones
Estado del puerto BPDU framesde
MAC
datos
Aprendizaje Actualización de la
Recibir y enviar No
(Learning) tabla
Reenvío Actualización de la
Recibir y enviar Sí
(Forwarding) tabla
Deshabilitado
No se ha enviado ni recibido No hay actualización No
(Disabled)
5.2.11
In Per-VLAN Spanning Tree (PVST) versions of STP, there is a root bridge elected for
each spanning tree instance. Esto hace posible tener diferentes puentes raíz para diferentes
conjuntos de VLAN. STP opera una instancia independiente de STP para cada VLAN
individual. Si todos los puertos de todos los switches pertenecen a la VLAN 1, solo se da
una instancia de árbol de expansión.
5.2.12
Compruebe su comprensión —
Operaciones STP
Elija la MEJOR repuesta para las siguientes preguntas y compruebe su conocimiento sobre
VLANs.
P á g i n a | 250
P á g i n a | 251
P á g i n a | 252
P á g i n a | 253
P á g i n a | 254
Hasta ahora, hemos utilizado el término Protocolo Spanning Tree y el acrónimo STP, que
puede ser engañoso. La mayoría de los profesionales suele utilizar estas denominaciones para
referirse a las diversas implementaciones del árbol de expansión, como el protocolo de árbol
de expansión rápido (RSTP) y el protocolo de árbol de expansión múltiple (MSTP). Para
comunicar los conceptos del árbol de expansión correctamente, es importante hacer
referencia a la implementación o al estándar del árbol de expansión en contexto.
Desde el lanzamiento del estándar IEEE 802.1D original, surgió una gran variedad de
protocolos de árbol de expansión.
Variedad
Descripción
STP
El árbol de expansión por VLAN (PVST +) es una mejora de Cisco de STP que
provides a separate 802.1D spanning tree instance for each VLAN Configure la
PVST+
red PVST+ soporta PortFast, UplinkFast, BackboneFast, BPDU guard, BPDU filter,
root guard, y loop guard.
802.1D-
Esta es una versión actualizada del estándar STP, que incorpora IEEE 802.1w.
2004
Esta es una mejora de Cisco de RSTP que utiliza PVST + y proporciona un instancia
PVST+
separada de 802.1w por VLAN. Cada instancia independiente admite PortFast,
rápido
BPDU guard, BPDU filter, root guard, y loop guard.
P á g i n a | 256
Variedad
Descripción
STP
Es posible que un profesional de red, cuyas tareas incluyen la administración de los switches,
deba decidir cuál es el tipo de protocolo de árbol de expansión que se debe implementar.
Los switches de Cisco con IOS 15.0 o posterior ejecutan PVST+ de manera predeterminada.
Esta versión incluye muchas de las especificaciones IEEE 802.1D-2004, como puertos
alternativos en lugar de los puertos no designados anteriores. Los conmutadores deben
configurarse explícitamente para el modo de árbol de expansión rápida para ejecutar el
protocolo de árbol de expansión rápida.
5.3.2
Conceptos de RSTP
RSTP (IEEE 802.1w) reemplaza al 802.1D original mientras conserva la compatibilidad con
versiones anteriores. La terminología de STP 802.1w sigue siendo fundamentalmente la
misma que la de STP IEEE 802.1D original. La mayoría de los parámetros se han dejado sin
cambios. Los usuarios que estén familiarizados con el estándar STP original pueden
configurar fácilmente RSTP. El mismo algoritmo de árbol de expansión se utiliza tanto para
STP como para RSTP para determinar los roles de puerto y la topología.
RSTP aumenta la velocidad del recálculo del árbol de expansión cuando cambia la topología
de la red de Capa 2. RSTP puede lograr una convergencia mucho más rápida en una red
configurada en forma adecuada, a veces sólo en unos pocos cientos de milisegundos. Si un
puerto está configurado como puerto alternativo o de respaldo, puede cambia r
automáticamente al estado de reenvío sin esperar a que converja la red.
Note: PVST+ rápido es la implementación que hace Cisco de RSTP por VLAN. Con Rapid
PVST + se ejecuta una instancia independiente de RSTP para cada VLAN.
P á g i n a | 257
5.3.3
Solo hay tres estados de puerto en RSTP que corresponden a los tres estados operativos
posibles en STP. Los estados de desactivación, bloqueo y escucha 802.1D se fusionan en un
único estado de descarte 802.1w.
El gráfico muestra los estados del puerto STP y RSTP juntos para la comparación. A la
izquierda se muestran los estados del puerto STP en orden de arriba hacia abajo:
Deshabilitado, Bloqueo, Escuchar, Aprendizaje, Reenvío. A la derecha se muestran los
estados del puerto RSTP en orden de arriba hacia abajo: Descartar, Aprendizaje, Reenviar.
P á g i n a | 258
Como se muestra en la figura, los puertos raíz y los puertos designados son los mismos para
STP y RSTP. Sin embargo, hay dos roles de puerto RSTP que corresponden al estado de
bloqueo de STP. En STP, un puerto bloqueado se define como no ser el puerto designado o
raíz. RSTP tiene dos funciones de puerto para este propósito.
El gráfico muestra los rollos de puertos STP y RSTP al lado del otro para la comparación. A la
izquierda están los rollos de puertos STP enumerados en orden de arriba hacia abajo: Puerto
raíz, Puerto designado, Puerto bloqueado (Puerto no designado). A la derecha están los rollos
de puertos RSTP listados en orden de arriba hacia abajo: Puerto raíz, Puerto designado, Puerto
de copia de seguridad, Puerto alternativo.
Como se muestra en la figura, el puerto alternativo tiene una ruta alternativa al puente raíz. El
puerto de copia de seguridad es una copia de seguridad en un medio compartido, como un
concentrador. Un puerto de copia de seguridad es menos común porque ahora los
concentradores se consideran dispositivos heredados.
P á g i n a | 259
5.3.4
Note: Aunque esto puede ocurrir con clientes que envían mensajes de solicitud de enrutador
ICMPv6, el enrutador continuará enviando mensajes de anuncio de enrutador ICMPv6 para
que el dispositivo sepa cómo obtener su información de dirección.
Cuando un puerto de conmutador se configura con PortFast, ese puerto pasa del bloqueo al
estado de reenvío inmediatamente, omitiendo los estados de escucha y aprendizaje STP y
P á g i n a | 260
evitando un retraso de 30 segundos. Use PortFast en los puertos de acceso para permitir que
los dispositivos conectados a estos puertos, como los clientes DHCP, accedan a la red de
inmediato, en lugar de esperar a que STP converja en cada VLAN. Debido a que el propósito
de PortFast es minimizar el tiempo que los puertos de acceso deben esperar a que el árbol de
expansión converja, solo debe usarse en los puertos de acceso. Si habilita PortFast en un
puerto que se conecta a otro switch, corre el riesgo de crear un bucle de árbol de expansión.
PortFast solo se puede usar en puertos conmutadores que se conectan a dispositivos finales.
La topología de red física muestra tres conmutadores interconectados, S1, S2 y S3 y tres PC,
PC1, PC2 y PC3. S1 se conecta a S3 a través del puerto del switch F0/2 y se conecta a S2 a
través del puerto del switch F0/1 que tiene la letra D junto a él. El enlace entre S1 y S2 se
etiqueta Trunk 1. El enlace entre S1 y S3 se etiqueta Trunk 3. S1 se conecta a PC4 a través
del puerto del switch F0/2 que tiene la letra D junto a él. S2 se conecta a S3 a través del
puerto del switch F0/2, que tiene la letra D junto a él y se conecta a S1 a través del puerto del
switch F0/1 que tiene la letra R junto a él. El enlace entre S2 y S3 se etiqueta Trunk 2. S2 se
conecta a PC1 a través del puerto del switch F0/11, se conecta a PC2 a través del puerto del
switch F0/18 y a PC3 a través del puerto del switch F0/6. S3 se conecta a S2 sobre el puerto
del switch F0/2 que como la letra A junto a él y se conecta a S1 sobre el puerto del switch
F0/1 que tiene la letra R junto a él. Se coloca un símbolo X rojo en el enlace troncal entre S3
y S2. La dirección IP de PC1 es 172.17.10.21. La dirección IP de PC2 es 172.17.10.22. La
dirección IP de PC3 es 172.17.10.23. Un cuadro de texto lee PortFast y BPDU Guard y tiene
flechas que apuntan a los tres puertos del conmutador en S2, F0/11, F0/18 y F0/6.
En una configuración de PortFast válida, nunca se deben recibir BPDU, ya que esto indicar ía
que hay otro puente o switch conectado al puerto, lo que podría causar un bucle de árbol de
P á g i n a | 261
expansión. Esto potencialmente causa un bucle de árbol de expansión. Para evitar que se
produzca este tipo de escenario, los switches Cisco admiten una función llamada guardia
BPDU. Cuando está habilitado, inmediatamente pone el puerto del conmutador en un estado
errdisabled (error-disabled) al recibir cualquier BPDU. Esto protege contra posibles bucles
al apagar eficazmente el puerto. La característica de protección BPDU proporciona una
respuesta segura a la configuración no válida, ya que se debe volver a activar la interfaz de
forma manual.
5.3.5
Alternativas a STP
STP era y sigue siendo un protocolo de prevención de bucles Ethernet. A lo largo de los años,
las organizaciones requerían una mayor resiliencia y disponibilidad en la LAN. Las LAN
Ethernet pasaron de unos pocos conmutadores interconectados conectados conectados a un
único enrutador, a un sofisticado diseño de red jerárquica que incluye conmutadores de
acceso, distribución y capa central, como se muestra en la figura.
Dos topologías de red físicas que muestran un diseño de red jerárquico y un diseño de núcleo
contraído
P á g i n a | 262
La topología de red física muestra cuatro conmutadores de capa 3, tres conmutadores de capa
2 y seis PC. Dos switches de capa 3 en la parte superior de la topología están en el núcleo.
Dos switches de capa 3 están en la capa de distribución. Los tres conmutadores de capa 2 y
los seis equipos están en la capa Access.
La topología de red física muestra siete switches de capa 3 y seis PC. Dos switches de capa
3 en la parte superior de la topología están en el núcleo. Dos switches de capa 3 están en la
capa de distribución. Tres conmutadores de capa 3 están conectando las capas de distribuc ió n
y acceso. Los seis equipos están completamente en la capa Access.
Aunque es muy probable que STP siga utilizándose como mecanismo de prevención de
bucles en la empresa, en los conmutadores de capa de acceso también se están utiliza ndo
otras tecnologías, incluidas las siguientes:
5.3.6
Las rutas redundantes en una red Ethernet conmutada pueden causar bucles de Capa 2 físicos
y lógicos. Un bucle de capa 2 puede provocar inestabilidad en la tabla de direcciones MAC,
saturación de enlaces y alta utilización de CPU en conmutadores y dispositivos finales. Esto
hace que la red se vuelva inutilizable. A diferencia de los protocolos de Capa 3, IPv4 e IPv6,
Layer 2 Ethernet no incluye un mecanismo para reconocer y eliminar tramas de bucle sin fin.
Las LAN Ethernet requieren una topología sin bucles con una única ruta entre dos
dispositivos. STP es un protocolo de red de prevención de bucles que permite redundancia
mientras crea una topología de capa 2 sin bucles. Sin STP, se pueden formar bucles de capa
2, lo que hace que las tramas de difusión, multidifusión y unicast desconocidos se
reproduzcan sin fin, lo que reduce una red. Una tormenta de difusión es un número
anormalmente alto de emisiones que abruman la red durante un período específico de tiempo.
Las tormentas de difusión pueden deshabilitar una red en cuestión de segundos al abrumar
los conmutadores y los dispositivos finales. STP se basa en un algoritmo inventado por Radia
Perlman. Su algoritmo de árbol de expansión (STA) crea una topología sin bucles al
seleccionar un único puente raíz donde todos los demás conmutadores determinan una única
ruta de menor costo.
Operaciones STP
Usando STA, STP crea una topología sin bucles en un proceso de cuatro pasos: elija el puente
raíz, elija los puertos raíz, elija los puertos designados y elija los puertos alternativos
(bloqueados). Durante las funciones STA y STP, los conmutadores utilizan BPDU para
compartir información sobre sí mismos y sus conexiones. Las BPDU se utilizan para elegir
el puente raíz, los puertos raíz, los puertos designados y los puertos alternativos. Cada BPDU
contiene un BID que identifica al switch que envió la BPDU. El BID participa en la toma de
muchas de las decisiones STA, incluidos los roles de puente raíz y puerto. El BID contiene
un valor de prioridad, la dirección MAC del conmutador y un ID de sistema extendido. El
valor de BID más bajo lo determina la combinación de estos tres campos. El switch que tiene
el BID más bajo se convierte en el puente raíz. Dado que el BID predeterminado es 32.768,
es posible que dos o más conmutadores tengan la misma prioridad. En este escenario, donde
las prioridades son las mismas, el conmutador con la dirección MAC más baja se convertirá
en el puente raíz. Cuando se ha elegido el puente raíz para una instancia de árbol de expansión
dado, el STA determina las mejores rutas al puente raíz desde todos los destinos en el dominio
de difusión. La información de la ruta, conocida como el costo interno de la ruta raíz, está
determinada por la suma de todos los costos de los puertos individuales a lo largo de la ruta
desde el conmutador hasta el puente raíz. Después de determinar el puente raíz, el algoritmo
STA selecciona el puerto raíz. El puerto raíz es el puerto más cercano al puente raíz en
P á g i n a | 267
términos de costo total, que se denomina costo de ruta raíz interna. Después de que cada
switch selecciona un puerto raíz, los switches seleccionarán los puertos designados. El puerto
designado es un puerto en el segmento (con dos switches) que tiene el costo de ruta raíz
interna al puente raíz. Si un puerto no es un puerto raíz o un puerto designado, se convierte
en un puerto alternativo (o de copia de seguridad). Los puertos alternativos y los puertos de
respaldo están en estado de descarte o bloqueo para evitar bucles. Cuando un switch tiene
varias rutas de igual costo al puente raíz, el switch determinará un puerto utilizando los
siguientes criterios: BID del remitente más bajo, prioridad del puerto del remitente más bajo
y, finalmente, el ID del puerto del remitente más bajo. La convergencia STP requiere tres
temporizadores: el temporizador de saludo, el temporizador de retardo de avance y el
temporizador de edad máxima. Los estados de puerto están bloqueando, escuchando,
aprendiendo, reenviando y deshabilitados. En las versiones PVST de STP, hay un puente raíz
elegido para cada instancia de árbol de expansión. Esto hace posible tener diferentes puentes
raíz para diferentes conjuntos de VLAN.
Evolución de STP.
El término Protocolo Spanning Tree y el acrónimo STP pueden ser engañosos. STP se utiliza
a menudo para hacer referencia a las diversas implementaciones del árbol de expansión,
como RSTP y MSTP. RSTP es una evolución de STP que proporciona una convergencia más
rápida que STP. Los estados del puerto RSTP están aprendiendo, reenviando y descartando.
PVST + es una mejora de Cisco de STP que proporciona una instancia de árbol de expansión
separada para cada VLAN configurada en la red. PVST + admite PortFast, UplinkFast,
BackboneFast, protección BPDU, filtro BPDU, protección raíz y protección de bucle. Los
switches de Cisco con IOS 15.0 o posterior ejecutan PVST+ de manera predeterminada.
Rapid PVST+ es una mejora de Cisco de RSTP que utiliza PVST+ y proporciona una
instancia independiente de 802.1w por VLAN. Cuando un puerto de conmutador se configura
con PortFast, ese puerto pasa del bloqueo al estado de reenvío inmediatamente, omitiendo
los estados de escucha y aprendizaje STP y evitando un retraso de 30 segundos. Use PortFast
en los puertos de acceso para permitir que los dispositivos conectados a estos puertos, como
los clientes DHCP, accedan a la red de inmediato, en lugar de esperar a que STP converja en
cada VLAN. Los switches Cisco admiten una función llamada BPDU guard que coloca
inmediatamente el puerto del switch en un estado de error deshabilitado al recibir cualquier
BPDU para protegerlo contra posibles bucles. A lo largo de los años, las LAN Ethernet
pasaron de unos pocos conmutadores interconectados conectados conectados a un único
router, a un sofisticado diseño de red jerárquica. Dependiendo de la implementación, la capa
2 puede incluir no solo la capa de acceso, sino también la distribución o incluso las capas
principales. Estos diseños pueden incluir cientos de switches, con cientos o incluso miles de
VLAN. STP se ha adaptado a la redundancia y complejidad añadida con mejoras como parte
de RSTP y MSTP. El enrutamiento de capa 3 permite rutas y bucles redundantes en la
topología, sin bloquear puertos. Por esta razón, algunos entornos están en transición a la capa
3 en todas partes, excepto donde los dispositivos se conectan al conmutador de capa de
acceso.
P á g i n a | 268
5.4.2
Capítulo 6_EtherChannel
Introducción
6.0.1
El diseño de la red incluye switches y enlaces redundantes. Usted tiene alguna versión de
STP configurada para evitar bucles de Capa 2. Pero ahora usted, como la mayoría de los
P á g i n a | 273
administradores de red, se da cuenta de que podría usar más ancho de banda y redundancia
en su red. ¡Nada de qué preocuparse, EtherChannel está aquí para ayudarle! EtherChanne l
agrega enlaces entre dispositivos en paquetes. Estos paquetes incluyen enlaces redundantes.
STP puede bloquear uno de esos enlaces, pero no los bloqueará todos. ¡Con EtherChannel su
red puede tener redundancia, prevención de bucles y mayor ancho de banda!
Hay dos protocolos, PAgP y LACP. Este módulo explica ambos y también muestra cómo
configurarlos, verificarlos y solucionarlos. Un Verificador de sintaxis y dos actividades
Packet Tracer le ayudan a comprender mejor estos protocolos. ¿Qué está esperando?
6.0.2
Funcionamiento de EtherChannel
6.1.1
Añadidura de enlaces
Hay escenarios en los que se necesita más ancho de banda o redundancia entre dispositivos
que lo que puede proporcionar un único enlace. Se pueden conectar varios enlaces entre
dispositivos para aumentar el ancho de banda. Sin embargo, el Spanning Tree Protocol
(STP), que está habilitado en dispositivos de capa 2 como switches de Cisco de forma
P á g i n a | 274
Se necesita una tecnología de agregación de enlaces que permita enlaces redundantes entre
dispositivos que no serán bloqueados por STP. Esa tecnología se conoce como EtherChanne l.
EtherChannel es una tecnología de agregación de enlaces que agrupa varios enlaces Ethernet
físicos en un único enlace lógico. Se utiliza para proporcionar tolerancia a fallos, uso
compartido de carga, mayor ancho de banda y redundancia entre switches, routers y
servidores.
La tecnología de EtherChannel hace posible combinar la cantidad de enlaces físicos entre los
switches para aumentar la velocidad general de la comunicación switch a switch.
Dos switches multicapa conectados cada uno a un switch LAN a través de dos conexiones de
red físicas; una de las dos conexiones se muestra como bloqueada por STP.
6.1.2
EtherChannel
En los inicios, Cisco desarrolló la tecnología EtherChannel como una técnica switch a switch
LAN para agrupar varios puertos Fast Ethernet o gigabit Ethernet en un único canal lógico.
P á g i n a | 275
Dos switches multicapa conectados cada uno a un switch LAN a través de dos conexiones de
red físicas; ambas conexiones se han combinado en un EtherChannel.
6.1.3
Ventajas de EtherChannel
La tecnología EtherChannel tiene muchas ventajas, que incluye:
EtherChannel proporciona redundancia, ya que el enlace general se ve como una única conexión
lógica. Además, la pérdida de un enlace físico dentro del canal no crea ningún cambio en la
topología. Por lo tanto, no es necesario volver a calcular el árbol de expansión. Suponiendo que haya
por lo menos un enlace físico presente, el EtherChannel permanece en funcionamiento, incluso si
su rendimiento general disminuye debido a la pérdida de un e nlace dentro del EtherChannel.
6.1.4
Restricciones de implementación
EtherChannel tiene ciertas restricciones de implementación, entre las que se incluyen las
siguientes:
No pueden mezclarse los tipos de interfaz. Por ejemplo, Fast Ethernet y Gigabit Ethe rnet no se
pueden mezclar dentro de un único EtherChannel.
En la actualidad, cada EtherChannel puede constar de hasta ocho puertos Ethernet configurados de
manera compatible. El EtherChannel proporciona un ancho de banda full-duplex de hasta 800 Mbps
(Fast EtherChannel) u 8 Gbps (Gigabit EtherChannel) entre un switch y otro switch o host.
El switch Cisco Catalyst 2960 Layer 2 soporta actualmente hasta seis EtherChannels. Sin embargo, a
medida que se desarrollan nuevos IOS y cambian las plataformas, algunas tarjetas y plataformas
pueden admitir una mayor cantidad de puertos dentro de un enlace EtherChannel, así como una
mayor cantidad de Gigabit EtherChannels.
La configuración de los puertos individuales que forman parte del grupo EtherChannel debe ser
coherente en ambos dispositivos. Si los puertos físicos de un lado se configuran como enlaces
troncales, los puertos físicos del otro lado también se deben configurar como enlaces troncales
dentro de la misma VLAN nativa. Además, todos los puertos en cada enlace EtherChannel se deben
configurar como puertos de capa 2.
Cada EtherChannel tiene una interfaz de canal de puertos lógica, como se muestra en la figura. La
configuración aplicada a la interfaz de canal de puertos afecta a todas las interfaces físicas que se
asignan a esa interfaz.
P á g i n a | 277
El diagrama ilustra la vista frontal de un switch 2960 que muestra los enlaces de grupos de
canales de múltiples puertos físicos 10/100/1000 en interfaces lógicas de canal de puerto.
Una interfaz de canal de puerto lógico une los puertos físicos 1 - 6 juntos y la otra une los
puertos 9 - 12 juntos.
6.1.5
6.1.6
Funcionamiento PAgP
PAgP (pronunciado “Pag - P”) es un protocolo patentado por Cisco que ayuda en la creación
automática de enlaces EtherChannel. Cuando se configura un enlace EtherChannel mediante
PAgP, se envían paquetes PAgP entre los puertos aptos para EtherChannel para negociar la
formación de un canal. Cuando PAgP identifica enlaces Ethernet compatibles, agrupa los
enlaces en un EtherChannel. El EtherChannel después se agrega al árbol de expansión como
un único puerto.
Cuando se habilita, PAgP también administra el EtherChannel. Los paquetes PAgP se envían
cada 30 segundos. PAgP revisa la coherencia de la configuración y administra los enlaces
que se agregan, así como las fallas entre dos switches. Cuando se crea un EtherChanne l,
asegura que todos los puertos tengan el mismo tipo de configuración.
Nota: En EtherChannel, es obligatorio que todos los puertos tengan la misma velocidad, la
misma configuración de dúplex y la misma información de VLAN. Cualquier modificac ió n
de los puertos después de la creación del canal también modifica a los demás puertos del
canal.
On - Este modo obliga a la interfaz a proporcionar un canal sin PAgP. Las interfaces configuradas en
el modo encendido no intercambian paquetes PAgP.
P á g i n a | 278
PAgP deseable - Este modo PAgP coloca una interfaz en un estado de negociación activa en el que
la interfaz inicia negociaciones con otras interfaces al enviar paquetes PAgP.
PAgP automático - Este modo PAgP coloca una interfaz en un estado de negociación pasiva en el
que la interfaz responde a los paquetes PAgP que recibe, pero no inicia la negociación PAgP.
Los modos deben ser compatibles en cada lado. Si se configura un lado en modo automático,
se coloca en estado pasivo, a la espera de que el otro lado inicie la negociación del
EtherChannel. Si el otro lado se establece en modo automático, la negociación nunca se inicia
y no se forma el canal EtherChannel. Si se deshabilitan todos los modos usando no el
comando, o si se configura el modo no, el EtherChannel se deshabilitará.
El hecho de que no haya negociación entre los dos switches significa que no hay un control
para asegurarse de que todos los enlaces en el EtherChannel terminen del otro lado o de que
haya compatibilidad con PAgP en el otro switch.
6.1.7
dos switches LAN conectados entre sí a través de dos conexiones de red físicas que han
formado un EtherChannel mediante PAgP
Modos PAgP
S1 S2 Establecimiento del canal
Activo Activo Sí
Activado Desdeseable/Automático No
Deseado Deseado Sí
Deseado Automático Sí
Automático Deseado Sí
Automático Automático No
6.1.8
Operación LACP
LACP forma parte de una especificación IEEE (802.3ad) que permite agrupar varios puertos
físicos para formar un único canal lógico. LACP permite que un switch negocie un grupo
automático mediante el envío de paquetes LACP al otro switch. Realiza una función similar
a PAgP con EtherChannel de Cisco. Debido a que LACP es un estándar IEEE, se puede usar
para facilitar los EtherChannels en entornos de varios proveedores. En los dispositivos de
Cisco, se admiten ambos protocolos.
Nota: LACP en los inicios, se definió como IEEE 802.3ad. Sin embargo, LACP ahora se
define en el estándar más moderno IEEE 802.1AX para la redes de área local y metropolita na.
LACP proporciona los mismos beneficios de negociación que PAgP. LACP ayuda a crear el
enlace EtherChannel al detectar la configuración de cada lado y al asegurarse de que sean
compatibles, de modo que se pueda habilitar el enlace EtherChannel cuando sea necesario.
Los modos para LACP son los siguientes:
On - Este modo obliga a la interfaz a proporcionar un canal sin LACP. Las interfaces configuradas en
el modo encendido no intercambian paquetes LACP.
LACP activo - Este modo de LACP coloca un puerto en estado de negociación activa. En este estado,
el puerto inicia negociaciones con otros puertos mediante el envío de paquetes LACP.
P á g i n a | 280
LACP pasivo - Este modo de LACP coloca un puerto en estado de negociación pasiva. En este estado,
el puerto responde a los paquetes LACP que recibe, pero no inicia la negociación de paquetes LACP.
Al igual que con PAgP, los modos deben ser compatibles en ambos lados para que se forme
el enlace EtherChannel. Se repite el modo encendido, ya que crea la configuración de
EtherChannel incondicionalmente, sin la negociación dinámica de PAgP o LACP.
El protocolo LACP permite ocho enlaces activos y, también, ocho enlaces de reserva. Un
enlace de reserva se vuelve activo si falla uno de los enlaces activos actuales.
6.1.9
Dos switches LAN conectados entre sí a través de dos conexiones de red físicas que han
formado un EtherChannel utilizando LACP.
Modos LACP
S1 S2 Establecimiento del canal
Activo Activo Sí
Activado Activo/pasivo No
P á g i n a | 281
Activo Activo Sí
Pasivo Activo Sí
Pasivo Pasivo No
6.1.10
Verifique su comprensión -
Funcionamiento de EtherChannel
Verifique su comprensión del funcionamiento de EtherChannel eligiendo la MEJOR
respuesta a las siguientes preguntas.
P á g i n a | 282
P á g i n a | 283
P á g i n a | 284
Configuración de EtherChannel
6.2.1
Instrucciones de configuración
Ahora que ya sabe qué es EtherChannel, en este tema se explica cómo configurarlo. Las
siguientes pautas y restricciones son útiles para configurar EtherChannel:
P á g i n a | 285
Soporte de EtherChannel - Todas las interfaces Ethernet deben admitir EtherChannel, sin
necesidad de que las interfaces sean físicamente contiguas
Velocidad y dúplex - Configure todas las interfaces en un EtherChannel para que funcionen a
la misma velocidad y en el mismo modo dúplex.
Coincidencia VLAN - Todas las interfaces en el grupo EtherChannel se deben asignar a la
misma VLAN o se deben configurar como enlace troncal (mostrado en la figura).
Rango de VLAN - An EtherChannel supports the same allowed range of VLANs on all the
interfaces in a trunking EtherChannel. If the allowed range of VLANs is not the same, the
interfaces do not form an EtherChannel, even when they are set to modo or auto desirable.
La figura muestra una configuración que permitiría que se forme un EtherChannel entre el S1 y
el S2.
El diagrama muestra dos switches LAN conectados entre sí a través de dos conexiones de red
físicas que han formado un EtherChannel basado en sus configuraciones de puerto. Las
configuraciones de puertos S1 y S2 son; velocidad de 1 Gbps, dúplex completo y VLAN 10.
En la siguiente figura, los puertos de S1 están configurados en modo semidúplex. Por lo tanto,
no se formará un EtherChannel entre el S1 y el S2.
P á g i n a | 286
El diagama muestra dos switches LAN conectados entre sí a través de dos conexiones de red
físicas que no han formado un EtherChannel en función de sus configuraciones de puerto. Las
configuraciones de puerto S1 son; velocidad de 1 Gbps, mitad dúplex y VLAN 10. Las
configuraciones de puertos S2 son; velocidad de 1 Gbps, dúplex completo y VLAN 10.
El canal de puertos se puede configurar en modo de acceso, modo de enlace troncal (más
frecuente) o en un puerto enrutado.
6.2.2
Dos switches, S1 y S2, están conectados entre sí a través de dos conexiones de red físicas que
han formado un EtherChannel; el puerto F0/1 en S1 está conectado al puerto F0/1 en S2; el
puerto F0/2 en S1 está conectado al puerto F0/2 en S2.
Paso 1. Especifique las interfaces que conforman el grupo EtherChannel mediante el interface
range el comando de modo de configuración interface global. La palabra clave range le permite
seleccionar varias interfaces y configurarlas a la vez.
Paso 2. Cree la interfaz port channel con el channel-group comando mode active identifier en
el modo de configuración de interface range. El identificador especifica el número del grupo del
canal. Las mode active palabras clave identifican a esta configuración como EtherChannel
LACP.
P á g i n a | 287
6.2.3
Dos switches, S1 y S2, están conectados entre sí a través de dos conexiones de red físicas que
han formado un EtherChannel; el puerto F0/1 en S1 está conectado al puerto F0/1 en S2; el
puerto F0/2 en S1 está conectado al puerto F0/2 en S2.
Ingrese al modo interface range para FastEthernet0/1 y FastEthernet0/2. Úselo fa 0/1 - 2 como
designación de interfaz.
Use context sensitive help (?) to display the options for the channel-group command.
S1(config-if-range)#channel-group ?
<1-6> Channel group number
P á g i n a | 288
S1(config-if-range)#channel-group 1 ?
mode Etherchannel Mode of the interface
Enter the mode keyword and display the next set of options.
S1(config-if-range)#channel-group 1 mode ?
active Enable LACP unconditionally
auto Enable PAgP only if a PAgP device is detected
desirable Enable PAgP unconditionally
on Enable Etherchannel only
passive Enable LACP only if a LACP device is detected
Configure the switchport settings for the port-channel that was created:
S1(config-if-range)#interface port-channel 1
P á g i n a | 289
6.2.4
Configure EtherChannel
Configure EtherChannel
Verificación y solución de
problemas de EtherChannel
6.3.1
Verificar EtherChannel
Como siempre, al configurar dispositivos en su red, debe verificar su configuración. Si hay
problemas, también deberá poder solucionarlos y solucionarlos. En este tema se proporcionan
los comandos que se deben verificar, así como algunos problemas comunes de red
EtherChannel y sus soluciones.
Dos switches, S1 y S2, están conectados entre sí a través de dos conexiones de red físicas que
han formado un EtherChannel; el puerto F0/1 en S1 está conectado al puerto F0/1 en S2; el
puerto F0/2 en S1 está conectado al puerto F0/2 en S2.
Cuando se configuren varias interfaces de canal de puertos en el mismo dispositivo, puede usar
el comando show etherchannel summary para mostrar una única línea de información por
canal de puertos. En el resultado, el switch tiene un EtherChannel configurado; el grupo 1 utiliza
el LACP.
Use el comando show etherchannel port-channel para mostrar información sobre la interfaz
del canal de puertos específica, como se muestra en el resultado. En el ejemplo, la interfaz de
canal de puertos 1 consta de dos interfaces físicas, FastEthernet0/1 y FastEthernet0/2. Esta usa
LACP en modo activo. Está correctamente conectada a otro switch con una configuración
compatible, razón por la cual se dice que el canal de puertos está en uso.
P á g i n a | 292
6.3.2
Los puertos asignados en el EtherChannel no son parte de la misma VLAN ni son configurados
como enlace troncal. Los puertos con VLAN nativas diferentes no pueden formar un
EtherChannel. La* conexión troncal se configuró en algunos de los puertos que componen el
EtherChannel, pero no en todos ellos. No se recomienda que configure el modo de enlace
troncal en los puertos individuales que conforman el EtherChannel. Al configurar un enlace
troncal en un EtherChannel, compruebe el modo de enlace troncal en EtherChannel.
Si el rango permitido de VLANs no es el mismo, los puertos no formarán un EtherChannel,
incluso cuando PAgP está configurado en modo auto o desirable.
Las opciones de negociación dinámica para PAgP y LACP no se encuentran con figuradas de
manera compatible en ambos extremos del EtherChannel.
P á g i n a | 293
Nota: Es fácil confundir PAgP o LACP con DTP, ya que ambos son protocolos que se usan para
automatizar el comportamiento en los enlaces troncales. PAgP y LACP se usan para la
agregación de enlaces (EtherChannel). DTP se usa para automatizar la creación de enlaces
troncales. Cuando se configura un enlace troncal de EtherChannel, normalmente se configura
primero EtherChannel (PAgP o LACP) y después DTP.
6.3.3
Dos switches, S1 y S2, están conectados entre sí a través de dos conexiones de red físicas que
han formado un EtherChannel; el puerto F0/1 en S1 está conectado al puerto F0/1 en S2; el
puerto F0/2 en S1 está conectado al puerto F0/2 en S2.
La salida del comando show etherchannel summary indica que el EtherChannel está caído.
P á g i n a | 294
En la salida de show run | begin interface port-channel, una salida más detallada indica que
existen modos PAgP incompatibles configurados en los switches S1 y S2.
Nota: EtherChannel y STP deben interoperar. Por este motivo, el orden en el que se introducen
los comandos relacionados con EtherChannel es importante, y por ello se puede ver que se
quitó el canal de puertos de interfaz1 y después se volvió a agregar con el comando channel-
group, en vez de cambiarse directamente. Si se intenta cambiar la configuración directamente,
los errores STP hacen que los puertos asociados entren en estado de bloqueo o errdisabled.
P á g i n a | 295
El EtherChannel ahora está activo según lo verificado por la salida del comando show
etherchannel summary.
6.3.4
Troubleshoot EtherChannel
Troubleshoot EtherChannel
Implement Etherchannel
Implement Etherchannel
6.4.2
Implement Etherchannel
P á g i n a | 297
6.4.3
Para aumentar el ancho de banda o la redundancia, se pueden conectar varios enlaces entre
dispositivos. Sin embargo, el STP bloquea los enlaces redundantes para evitar los bucles de
switching. EtherChannel es una tecnología de agregación de enlaces que permite enlaces
redundantes entre dispositivos que no serán bloqueados por STP. EtherChannel agrupa varios
enlaces Ethernet físicos en un único enlace lógico. Proporciona tolerancia a fallos, uso
compartido de carga, mayor ancho de banda y redundancia entre conmutadores, enrutadores
y servidores. Cuando se configura un EtherChannel, la interfaz virtual resultante se denomina
“canal de puertos”. EtherChannel tiene varias ventajas, así como algunas restricciones a la
implementación. Los EtherChannels se pueden formar por medio de una negociación con
uno de dos protocolos: PAgP o LACP. Estos protocolos permiten que los puertos con
características similares formen un canal mediante una negociación dinámica con los
switches adyacentes. Cuando se configura un enlace EtherChannel mediante un propietario
Cisco PAgP, se envían paquetes PAgP entre los puertos aptos para EtherChannel para
negociar la formación de un canal. Los modos PAgP se encienden, PAgP deseable y PAgP
automático. LACP realiza una función similar a PAgP con EtherChannel de Cisco. Debido a
que LACP es un estándar IEEE, se puede usar para facilitar los EtherChannels en entornos
de varios proveedores. Los modos LACP se encienden, LACP activo y LACP pasivo.
Configurar EtherChannel
EtherChannel support - Todas las interfaces Ethernet en todos los módulos deben admitir
EtherChannel, sin necesidad de que las interfaces sean físicamente contiguas o estén en el mismo
módulo.
Speed and duplex - Configure todas las interfaces en un EtherChannel para que funcionen a la
misma velocidad y en el mismo modo dúplex.
VLAN match - Todas las interfaces en el grupo EtherChannel se deben asignar a la misma VLAN o se
deben configurar como enlace troncal.
Range of VLANs - Un EtherChannel admite el mismo rango permitido de VLAN en todas las
interfaces de un EtherChannel de enlace troncal.
Paso 2. Cree la interfaz de canal de puerto con el comando channel-group identifier mode
active en el modo de configuración de rango de interfaz.
P á g i n a | 298
Existe una variedad de comandos para verificar una configuración EtherChannel que
incluye, show interfaces port-channel, show etherchannel summary, show etherchanne l
port-channel y show interfaces etherchannel. Entre los problemas comunes de
EtherChannel se incluyen los siguientes:
Los puertos asignados en el EtherChannel no son parte de la misma VLAN ni son configurados como
enlace troncal. Los puertos con VLAN nativas diferentes no pueden formar un EtherChannel.
La conexión troncal se configuró en algunos de los puertos que componen el EtherChannel, pero no
en todos ellos. Si el rango permitido de VLAN no es el mismo, los puertos no forman un
EtherChannel, incluso cuando PAgP se establece en modo automático o deseado. Las opciones de
negociación dinámica para PAgP y LACP no se encuentran configuradas de manera compatible en
ambos extremos del EtherChannel.
6.4.4
Capítulo 7_DHCPv4
Introducción
7.0.1
En este módulo, aprenderá a configurar un router Cisco IOS para que sea un servidor
DHCPv4. A continuación, aprenderá cómo configurar un router Cisco IOS como cliente. Este
módulo incluye algunos comprobadores de sintaxis y una actividad Packet Tracer para
ayudarle a probar sus nuevos conocimientos. Las habilidades de configuración DHCPv4
reducirán significativamente su carga de trabajo, ¿y quién no quiere eso?
P á g i n a | 309
7.0.2
Conceptos DHCPv4
7.1.1
1. El proceso de concesión DHCPv4 comienza con el cliente enviando un mensaje solicitando los
servicios de un servidor DHCP.
2. Si hay un servidor DHCPv4 que recibe el mensaje, responderá con una dirección IPv4 y otra
información de configuración de red posible.
7.1.2
Funcionamiento de DHCPv4
DHCPv4 funciona en un modo cliente/servidor. Cuando un cliente se comunica con un
servidor de DHCPv4, el servidor asigna o arrienda una dirección IPv4 a ese cliente. El cliente
se conecta a la red con esa dirección IPv4 arrendada hasta que caduque el arrendamiento. El
cliente debe ponerse en contacto con el servidor de DHCP periódicamente para extender el
arrendamiento. Este mecanismo de arrendamiento asegura que los clientes que se trasladan
o se desconectan no mantengan las direcciones que ya no necesitan. Cuando caduca un
P á g i n a | 311
7.1.3
Paso 1 del proceso DHCPv4: comienza con un mensaje de difusión DHCPDISCOVER desde
el cliente DHCPv4 a un servidor DHCPv6 que dice, en esencia, que me gustaría solicitar una
dirección.
P á g i n a | 312
Cuando el cliente recibe el mensaje DHCPOFFER proveniente del servidor, envía un mensaje
DHCPREQUEST. Este mensaje se utiliza tanto para el origen como para la renovación del
arrendamiento. Cuando se utiliza para el origen del arrendamiento, el mensaje DHCPREQUEST
sirve como notificación de aceptación vinculante al servidor seleccionado para los parámetros
que ofreció y como un rechazo implícito a cualquier otro servidor que pudiera haber
proporcionado una oferta vinculante al cliente.
Paso 4 del proceso DHCPv4 es un mensaje de unidifusión DHCPACK enviado desde el servidor
DHCPv4 al cliente DHCPv4 que dice, en esencia, que se reconoce su aceptación .
7.1.4
7.1.5
La topología de red muestra un router, que funciona como un servidor DHCPv4, conectando
dos LAN juntas. A la izquierda está la red 192.168.10.0/24 que consiste en el host PC1
conectado al switch S1 conectado al router R1 en G0/0/0 con una dirección de .1. A la derecha
está la red 192.168.11.0/24 que consiste en el host PC2 y un servidor DNS en la dirección
192.168.11.6/24 conectado al switch S2 que está conectado a R1 en G0/0/1 con una dirección
de .1.
P á g i n a | 318
7.2.2
El router que funciona como servidor de DHCPv4 asigna todas las direcciones IPv4 en un
conjunto de direcciones DHCPv4, a menos que esté configurado para excluir direcciones
específicas. Generalmente, algunas direcciones IPv4 de un conjunto se asignan a dispositivos
de red que requieren asignaciones de direcciones estáticas. Por lo tanto, estas direcciones IPv4
no deben asignarse a otros dispositivos. La sintaxis del comando para excluir direcciones IPv4
es la siguiente:
Se puede excluir una única dirección o un rango de direcciones especificando la dirección más
baja y la dirección más alta del rango. Las direcciones excluidas deben incluir las direcciones
asignadas a los routers, a los servidores, a las impresoras y a los demás dispositivos que se
configuraron o se configurarán manualmente. También puede introducir el comando varias
veces.
La tabla indica las tareas para finalizar la configuración del pool de DHCPv4.
Otros comandos del pool de DHCPv4 son optativos. Por ejemplo, la dirección IPv4 del servidor
DNS que está disponible para un cliente DHCPv4 se configura mediante el comando dns-
server. El comando domain-name se utiliza para definir el nombre de dominio. La duración del
arrendamiento de DHCPv4 puede modificarse mediante el comando lease. El valor de
arrendamiento predeterminado es un día. El comando netbios-name-server se utiliza para
definir el servidor WINS con NetBIOS.
7.2.3
Ejemplo de configuración
La topología para el ejemplo de configuración se muestra en la figura.
P á g i n a | 320
La topología de red muestra un router, que funciona como un servidor DHCPv4, conectando
dos LAN juntas. A la izquierda está la red 192.168.10.0/24 que consiste en el host PC1
conectado al switch S1 conectado al router R1 en G0/0/0 con una dirección de .1. A la derecha
está la red 192.168.11.0/24 que consiste en el host PC2 y un servidor DNS en la dirección
192.168.11.5/24 conectado al switch S2 que está conectado a R1 en G0/0/1 con una direcc ión
de .1.
7.2.4
Comando Descripción
7.2.5
La topología de red muestra un router, que funciona como un servidor DHCPv4, conectando
dos LAN juntas. A la izquierda está la red 192.168.10.0/24 que consiste en el host PC1
conectado al switch S1 que está conectado al router R1 en G0/0/0 con una dirección de .1. A la
derecha está la red 192.168.11.0/24 que consta del host PC2 y un DNS server en la dirección
192.168.11.5/24 conectado al switch S2, el cual está conectado a R1 at G0/0/1 con una
dirección de .1.
La salida de la show ip dhcp server statistics, se utiliza para verificar que los mensajes están
siendo recibidos o enviados por el router. Este comando muestra información de conteo con
respecto a la cantidad de mensajes DHCPv4 que se enviaron y recibieron.
P á g i n a | 323
El comando ipconfig /all cuando se emite en la PC1, muestra los parámetros TCP/IP, como se
muestra en el ejemplo. Dado que la PC1 se conectó al segmento de red 192.168.10.0/24, recibió
automáticamente un sufijo DNS, una dirección IPv4, una máscara de subred, un gateway
predeterminado y una dirección del servidor DNS de ese pool. No se requiere ninguna
configuración de interfaz del router específica de DHCP. Si una computadora está conectada a
un segmento de red que tiene un pool de DHCPv4 disponible, la computadora puede obtener
una dirección IPv4 del pool adecuado de manera automática.
P á g i n a | 324
7.2.6
La topología de red muestra un router, que funciona como un servidor DHCPv4, conectando
dos LAN juntas. A la izquierda está la red 192.168.10.0/24 que consiste en el host PC1
conectado al conmutador S1 que está conectado al router R1 en G0/0/0 con una dirección de
.1. A la derecha está la red 192.168.11.0/24 que consiste en el host PC2 y un servidor DNS en
la dirección 192.168.11.5/24 conectado al switch S2 que está conectado a R1 en G0/0/1 con
una dirección de .1.
7.2.7
Nota: Si se borra los enlaces DHCP o se detiene y reinicia el servicio DHCP, se pueden asignar
temporalmente direcciones IP duplicadas en la red.
7.2.8
Retransmisión DHCPv4
En una red jerárquica compleja, los servidores empresariales suelen estar ubicados en una
central. Estos servidores pueden proporcionar servicios DHCP, DNS, TFTP y FTP para la red.
Generalmente, los clientes de red no se encuentran en la misma subred que esos servidores.
Para ubicar los servidores y recibir servicios, los clientes con frecuencia utilizan mensajes de
difusión.
P á g i n a | 326
En la figura, la PC1 intenta adquirir una dirección IPv4 de un servidor de DHCPv4 mediante un
mensaje de difusión. En esta situación, el router R1 no está configurado como servidor de
DHCPv4 y no reenvía el mensaje de difusión. Dado que el servidor de DHCPv4 está ubicado
en una red diferente, la PC1 no puede recibir una dirección IP mediante DHCP. R1 debe
configurarse para retransmitir mensajes DHCPv4 al servidor DHCPv4.
La topología de red muestra un router que conecta dos LAN juntas. A la izquierda está la red
192.168.10.0/24 que consiste en el host PC1 conectado al switch S1 que está conectado al
router R1 en G0/0/0 con una dirección de .1. Texto debajo de PC1 lee; buscando un servidor
DHCPv4. Texto debajo del router lee; No puedo reenviar transmisiones entre redes. A la
derecha se encuentra la red 192.168.11.0/24 que consiste en el host PC2, un servidor DNS en
la dirección 192.168.11.5/24 y un servidor DHCPv4 en la dirección 192.168.11.6/24, todos
conectados al switch S2 que está conectado a R1 en G0/0/1 con una dirección de .1.
ipconfig /release
ipconfig /renew
El administrador de red podría agregar servidores DHCPv4 en R1 para todas las subredes.
Sin embargo, esto crearía costos adicionales y gastos administrativos.
ip helper-address
show ip interface
ipconfig /all
Como se muestra en la salida, PC1 ahora puede adquirir una dirección IPv4 del servidor
DHCPv4 como se ha verificado con el comando ipconfig /all.
7.2.9
7.2.10
Configure DHCPv4
Configure DHCPv4
En ocasiones, los routers Cisco en oficinas pequeñas y oficinas domésticas (SOHO) y en los
sitios de sucursales deben configurarse como clientes DHCPv4 de manera similar a los equipos
cliente. El método específico utilizado depende del ISP. Sin embargo, en su configuración más
simple, se utiliza la interfaz Ethernet para conectarse a un cable módem o a un módem DSL.
Para configurar una interfaz Ethernet como cliente DHCP, utilice el comando ip address dhcp
del modo de configuración de interfaz.
En la figura, suponga que un ISP ha sido configurado para proporcionar a clientes seleccionados
direcciones IP del rango de red 209.165.201.0/27 despu és de que la interfaz G0/0/1 es
configurada con el comando ip address dhcp.
P á g i n a | 330
Un router configurado como cliente DHCPv4 se conecta a través de G0/0/1 a un módem por
cable o DSL que luego se conecta a la nube que luego se conecta a un router ISP que funciona
como servidor DHCPv4.
7.3.2
Ejemplo de configuración
Para configurar una interfaz Ethernet como cliente DHCP, utilice el comando ip address
dhcp del modo de configuración de interfaz, como se muestra en el ejemplo. Esta configuración
supone que el ISP se ha configurado para proporcionar a los clientes seleccionados información
de direcciones IPv4.
El comando show ip interface g0/0/1 confirma que la interfaz está activa y que la dirección fue
asignada por un servidor DHCPv4.
7.3.3
se conecta a un cable módem o DSL y actúa como cliente DHCPv4 y solicita una dirección IPv4
del ISP.
7.3.4
Un router configurado como cliente DHCPv4 se conecta a través de G0/0/1 a un módem por
cable o DSL que luego se conecta a la nube que luego se conecta a un router ISP que funciona
como servidor DHCPv4.
SOHO(config)#interface g0/0/1
Configure the interface to acquire IPv4 addressing information from the ISP.
SOHO(config-if)#no shutdown
SOHO(config-if)#end
Use the show ip interface g0/0/1 command to verify the IPv4 information.
(output omitted)
dos routers LAN para retransmitir el tráfico DHCP entre las LAN y el router que sirve como
servidor DHCP.
Implement DHCPv4
Implement DHCPv4
7.4.2
Implement DHCPv4
7.4.3
Un router Cisco que ejecuta el software IOS de Cisco puede configurarse para que funcio ne
como servidor de DHCPv4. Siga los pasos siguientes para configurar un servidor DHCPv4
del IOS de Cisco: excluir direcciones IPv4, definir un nombre de grupo DHCPv4 y configurar
P á g i n a | 334
La interfaz Ethernet se usa para conectarse a un cable o modem DSL. Para configurar una
interfaz Ethernet como cliente DHCP, utilice el comando ip address dhcp interface del
modo de configuración. Los routers de los hogares se configuran para recibir información de
asignación de dirección IPv4 automáticamente desde el ISP. El tipo de conexión de internet
está establecido en Automatic Configuration - DHCP. Se utiliza esta selección cuando el
router se conecta a un cable módem o DSL y actúa como cliente DHCPv4 y solicita una
dirección IPv4 del ISP.
P á g i n a | 335
7.4.4
Bienvenido
Bienvenido a SLAAC y DHCPv6!
SLAAC y DHCPv6 son protocolos de direccionamiento dinámico para una red IPv6. Por lo tanto,
un poco de configuración hará que su día como administrador de red sea mucho más fácil . En
este módulo, aprenderá a usar SLAAC para permitir a los hosts crear su propia dirección de
unidifusión global IPv6, así como configurar un router Cisco IOS para que sea un servidor
DHCPv6, un cliente DHCPv6 o un agente de retransmisión DHCPv6. Este mó dulo incluye un
laboratorio donde configurará DHCPv6 en equipos reales!
8.0.2
Muestra la ventana de
propiedades del
Protocolo de Internet
versión 6 y la dirección
IPv6 estática y la
configuración del
servidor DNS.
Introducir manualmente una GUA IPv6 puede llevar mucho tiempo y ser algo propenso a
errores. Por lo tanto, la mayoría de los hosts de Windows están habilitados para adquirir
dinámicamente una configuración GUA IPv6, como se muestra en la figura.
P á g i n a | 348
Muestra la ventana de
propiedades del Protocolo de
Internet versión 6 y la
configuración automática de
la dirección IPv6 DHCP y del
servidor DNS.
8.1.2
En la figura, observe que la interfaz no creó una GUA IPv6. La razón se debe a que, en este
ejemplo, el segmento de red no tiene un router que proporcione instrucciones de
configuración de red para el host.
A veces, los sistemas operativosNote: host mostrarán una dirección link-local anexada con
un «%» y un número. Esto se conoce como Id. de zona o Id. de ámbito. Es utilizado por el
sistema operativo para asociar el LLA con una interfaz específica.
8.1.3
IPv6 GUA se puede asignar dinámicamente utilizando servicios stateless y stateful, como se
muestra en la figura.
Todos los métodos stateless y stateful de este módulo utilizan mensajes de RA ICMPv6 para
sugerir al host cómo crear o adquirir su configuración IPv6. Aunque los sistemas operativos
del host siguen la sugerencia del RA, la decisión real depende en última instancia del host.
P á g i n a | 350
Un diagrama de árbol invertido comienza con Asignación GUA dinámica, se divide en dos:
stateless y stateful Stateless se divide en SLAAC y SLAAC con servidor DHCPv6 y conduce
a un servidor DHCPv6 stateful.
8.1.4
Un mensaje de RA ICMPv6 incluye tres flags para identificar las opciones dinámicas
disponibles para un host, como se indica a continuación:
8.1.5
SLAAC
8.2.1
SLAAC es un servicio stateless. Esto significa que no hay ningún servidor que mantenga
información de direcciones de red para saber qué direcciones IPv6 se están utilizando y
cuáles están disponibles.
Un host también puede enviar un mensaje Router Solicitation (RS) solicitando que un router
habilitado para IPv6 envíe al host un RA.
8.2.2
Activación de SLAAC
Consulte la topología siguiente para ver cómo está habilitado SLAAC para proporcionar
asignación GUA dinámica stateless.
P á g i n a | 354
Muestra una
topología con un
router conectado a
un switch
conectado a un PC
host.
El resultado del comando show ipv6 interface muestra la configuración actual en la interfaz G0/0/1.
Aunque la interfaz del router tiene una configuración IPv6, todavía no está habilitada para enviar
RA que contengan información de configuración de direcciones a hosts que utilicen SLAAC .
Para habilitar el envío de mensajes RA, un router debe unirse al grupo de todos los routers IPv6
mediante el comando ipv6 unicast-routing global config, como se muestra en el ejemplo.
P á g i n a | 355
El grupo de todos los routers IPv6 responde a la dirección de multidifusión IPv6 ff02 :: 2. Puede
utilizar el comando show ipv6 interface para verificar si un router está habilitado como se
muestra, en el ejemplo.
Un router Cisco habilitado para IPv6 envía mensajes RA a la dirección de multidifusión de todos
los nodos IPv6 ff02: :1 cada 200 segundos.
8.2.3
El flag A = 1 sugiere al cliente que cree su propio IPv6 GUA, usando el prefijo anunciado
en la RA. El cliente puede crear su propio ID de interfaz utilizando el método Extended
Unique Identifier (EUI-64) o hacer que se genere aleatoriamente.
Los flags O=0 y M=0, le indican al cliente que use la información del mensaje RA
exclusivamente. Esto incluye información del prefijo, de la longitud de prefijo, del servidor
DNS, de la MTU y del default gateway. No se encuentra disponible ninguna otra informac ió n
de un servidor de DHCPv6.
P á g i n a | 356
Muestra que con sólo SLAAC el router tiene el flag A establecido en 1 en el RA.
En el ejemplo, PC1 esta habilitada para obtener su información de direccion de IPv6 de forma
automática. Debido a la configuración de los flags A, O y M, PC1 sólo realiza SLAAC,
utilizando la información contenida en el mensaje RA enviado por R1.
La dirección del default gateway es la dirección IPv6 de origen del mensaje RA, que es la
LLA para R1. El default gateway solo se puede obtener de forma automática mediante un
mensaje RA. Un servidor DHCPv6 no proporciona esta información.
P á g i n a | 357
8.2.4
ICMPv6 RS Messages
Un router envía mensajes de RA cada 200 segundos. Sin embargo, también enviará un
mensaje RA si recibe un mensaje RS de un host.
Muestra el PC enviando
un mensaje RS a la
dirección de
multidifusión de todos
los routers y obteniendo
una RA en respuesta.
1. PC1 acaba de encender y aún no ha recibido un mensaje de RA. Por lo tanto, envía un mensaje RS a
la dirección de multidifusión IPv6 de todos los routers ff02: :2 solicitando una RA.
2. R1 forma parte del grupo de todos los routers IPv6 y recibió el mensaje RS. Genera un RA que
contiene el prefijo de red local y la longitud del prefijo (por ejemplo, 2001:db8:acad:1: :/64).
Entonces envía el mensaje RA a la dirección de multidifusión de todos los nodos IPv6 ff02::1. PC1
utiliza esta información para crear una GUA IPv6 única.
P á g i n a | 358
8.2.5
8.2.6
Ya que SLAAC es stateless; por lo tanto, un host tiene la opción de verificar que una
dirección IPv6 recién creada sea única antes de que pueda usarse Un host utiliza el proceso
de detección de direcciones duplicadas (DAD) para asegurarse de que IPv6 GUA es único.
DAD se implementa usando ICMPv6. Para realizar DAD, el host envía un mensaje ICMPv6
NS con una dirección de multidifusión especialmente construida, llamada dirección de
multidifusión de nodo solicitado. Esta dirección duplica los últimos 24 bits de dirección IPv6
del host.
Si ningún otro dispositivo responde con un mensaje NA, prácticamente se garantiza que la
dirección es única y puede ser utilizada por la PC1. Si un mensaje NA es recibido por el host,
la dirección no es única, y el sistema operativo debe determinar una nueva ID de interfaz
para utilizar.
Internet Engineering Task Force (IETF) recomienda que DAD se utilice en todas las
direcciones de unidifusión IPv6 independientemente de si se crea con SLAAC sólo, se
obtiene con DHCPv6 stateful, o se configura manualmente. DAD no es obligatorio porque
un ID de interfaz de 64 bits proporciona 18 quintillion de posibilidades y la posibilidad de
que haya una duplicación es remota. Sin embargo, la mayoría de los sistemas operativos
realizan DAD en todas las direcciones de unidifusión IPv6, independientemente de cómo se
configure la dirección.
8.2.7
DHCPv6
8.3.1
Si bien DHCPv6 es similar a DHCPv4 en cuanto a lo que proporciona, los dos protocolos
son independientes respecto sí.
El host comienza las comunicaciones cliente / servidor DHCPv6 después de que se indica
DHCPv6 stateles o DHCPv6 stateful en el RA.
Los mensajes DHCPv6 de servidor a cliente utilizan el puerto de destino UDP 546, mientras
que los mensajes DHCPv6 de cliente a servidor utilizan el puerto de destino UDP 547.
El cliente, ahora un cliente DHCPv6, necesita localizar un servidor DHCPv6 y envía un mensaje
DHCPv6 SOLICIT a la dirección reservada de todos los servidores DHCPv6 de multidifusión
IPv6 de ff02 :: 1: 2. Esta dirección de multidifusión tiene alcance link-local, lo cual significa que
los routers no reenvían los mensajes a otras redes.
Uno o más servidores DHCPv6 responden con un mensaje unidifusión DHCPv6 ADVERTISE
El mensaje ADVERTISE le informa al cliente DHCPv6 que el servidor se encuentra disponible
para el servicio DHCPv6.
Cliente DHCPv6 Stateless - El cliente crea una dirección IPv6 utilizando el prefijo en el mensaje
RA y una ID de interfaz autogenerada. El cliente envía un mensaje DHCPv6 INFORMATION-
REQUEST al servidor de DHCPv6 en el que solicita solamente parámetros de configuración,
como la dirección del servidor DNS.
Cliente DHCPv6 Stateful - el cliente envía un mensaje DHCPv6 REQUEST al servidor para
obtener una dirección IPv6 y todos los demás parámetros de configuración del servidor.
P á g i n a | 365
Note: El cliente usara la direccion IPv6 link-local de origen del RA como su direccion default
gateway. Un servidor DHCPv6 no proporciona esta información.
8.3.2
Este proceso se conoce como DHCPv6 stateless, debido a que el servidor no mantiene
información de estado del cliente (es decir, una lista de direcciones IPv6 asignadas y
P á g i n a | 366
Muestra un diagrama en
el que el PC obtiene la
información del servidor
DHCPv6 stateless del
router R1.
1. PC1 recibe un mensaje de RA DHCP stateless. El mensaje RA contiene el prefijo de red y la longitud
del prefijo. El flag M para DHCP stateful se establece en el valor predeterminado 0. El flag A=1
indica al cliente que use SLAAC. El flag O=1 flag se utiliza para informarle al cliente que hay
información de configuración adicional disponible de un servidor de DHCPv6 stateless.
2. El cliente envía un mensaje DHCPv6 SOLCIT buscando un servidor DHCPv6 stateless para obtener
información adicional (por ejemplo, direcciones de servidor DNS).
8.3.3
El resultado resaltado confirma que la RA le indicará a los hosts receptores que usen la
configuración automática stateless (A flag = 1) y se comunique con un servidor DHCPv6
para obtener otra información de configuración (O flag = 1).
Note: Se puede usar the no ipv6 nd other-config flag para restablecer la interfaz a la opción
predeterminada de SLAAC sólo (O flag = 0).
P á g i n a | 367
8.3.4
Esto se conoce como DHCPv6 stateful, debido a que el servidor de DHCPv6 mantiene
información de estado de IPv6. Esto es similar a la asignación de direcciones para IPv4 por
parte de un servidor de DHCPv4.
Note: Si A=1 y M=1, algunos sistemas operativos como Windows crearán una dirección IPv6
mediante SLAAC y obtendrán una dirección diferente del servidor DHCPv6 stateful. En la
mayoría de los casos, se recomienda establecer manualmente el flag A en 0.
8.3.5
El resultado resaltado en el ejemplo confirma que RA indicará al host que obtenga toda la
información de configuración IPv6 de un servidor DHCPv6 (flag M = 1).
8.3.6
8.4.2
Muestra un
diagrama en el que
un router cliente
obtiene la
información del
servidor DHCPv6
stateless del router
R1.
En este ejemplo,
R1 proporcionará servicios SLAAC para la configuración IPv6 del host y los servicios
DHCPv6.
P á g i n a | 372
Hay cinco pasos para configurar y verificar un router como servidor DHCPv6 stateless:
Step 1. Habilite el enrutamiento IPv6. Step 2. Defina un nombre de grupo DHCPv6. Step
3. Configure el grupo DHCPv6. Step 4. Enlace el grupo DHCPv6 a una interfaz. Step 5.
Compruebe que los hosts han recibido información de direccionamiento IPv6.
Cree el grupo DHCPv6 mediante el comando ipv6 dhcp pool POOL-NAME global config. Esto
entra en el modo de subconfiguración del grupo DHCPv6 identificado por el Router(config-
dhcpv6)# mensaje .
Note: El nombre del grupo no tiene que estar en mayúsculas. Sin embargo, el uso de un nombre
en mayúsculas facilita la visualización en una configuración.
El grupo DHCPv6 debe vincularse a la interfaz mediante el comando del modo de configuración
de interface ipv6 dhcp server POOL-NAME, como se muestra en el ejemplo.
El router responde a las solicitudes de DHCPv6 stateless en esta interfaz con la información
incluida en el pool. El flag O debe cambiarse manualmente de 0 a 1 utilizando el comando de
interfazipv6 nd other-config-flag. Los mensajes RA enviados en esta interfaz indican que hay
información adicional disponible de un servidor de DHCPv6 stateless. El flag A es 1 de forma
predeterminada, indicando a los clientes que usen SLAAC para crear su propio GUA.
Para comprobar DHCP stateless en un host de Windows, utilice el ipconfig /all comando. El
resultado de ejemplo muestra la configuración en PC1.
Observe en el resultado que PC1 creó su GUA IPv6 utilizando el prefijo 2001:db8:acad:1: :/64.
Observe también que el default gateway es la dirección link-local IPv6 de R1. Esto confirma que
PC1 derivó su configuración IPv6 de la RA de R1.
El resultado resaltado confirma que PC1 ha aprendido el nombre de dominio y la dirección del
servidor DNS del servidor DHCPv6 stateless.
P á g i n a | 374
8.4.3
Hay cinco pasos para configurar y verificar un router como servidor DHCPv6 stateless:
P á g i n a | 375
Step 1. Habilite el enrutamiento IPv6. Step 2. Configure el router cliente para crear una
LLA. Step 3. Configure el router cliente para usar SLAAC. Step 4. Verifique que el router
cliente tenga asignado un GUA. Step 5. Verifique que el enrutador cliente haya recibido
otra información DHCPv6 necesaria.
En el router cliente DHCPv6 debe estar habilitado con el comando ipv6 unicast-routing.
8.4.4
En la figura, R1 proporcionará servicios DHCPv6 stateful a todos los hosts de la red local.
Configurar un servidor de DHCPv6 stateful es similar a configurar un servidor stateless. La
diferencia más importante es que un servidor stateful también incluye información de
direccionamiento IPv6 de manera similar a un servidor DHCPv4.
Hay cinco pasos para configurar y verificar un router como servidor DHCPv6 stateless:
P á g i n a | 376
Step 1. Habilite el enrutamiento IPv6. Step 2. Defina un nombre de grupo DHCPv6. Step
3. Configure el grupo DHCPv6. Step 4. Enlace el grupo DHCPv6 a una interfaz. Step 5.
Compruebe que los hosts han recibido información de direccionamiento IPv6.
Cree el grupo DHCPv6 mediante el comando de configuración global ipv6 dhcp pool POOL-
NAME.
Note: Este ejemplo está configurando el servidor DNS en el servidor DNS público de Google.
P á g i n a | 377
El grupo DHCPv6 debe vincularse a la interfaz mediante el comando ipv6 dhcp server POOL-
NAME interface config.
The M flag is manually changed from 0 to 1 using the interface command ipv6 nd managed-
config-flag.
The A flag is manually changed from 1 to 0 using the interface command ipv6 nd prefix
default no-autoconfig. El flag A se puede dejar en 1, pero algunos sistemas operativos cliente
como Windows crearán una GUA usando SLAAC y obtendrán una GUA del servidor DHCPv6
stateful. Establecer el flag A en 0 indica al cliente que no utilice SLAAC para crear un GUA.
The El comando IPv6 dhcp server vincula el conjunto de DHCPv6 con la interfaz. R1
responderá ahora con la información contenida en el grupo cuando reciba solicitudes DHCPv6
stateful en esta interfaz.
Note: You can use the no ipv6 nd managed-config-flag to set the M flag back to its default of
0. The no ipv6 nd prefix default no-autoconfig comando establece el flag A su valor
predeterminado de 1.
Para comprobar en un host de Windows, utilice el ipconfig /all comando para comprobar el
método de configuración DHCP stateful. El ejemplo muestra la configuración en PC1. El
resultado resaltado muestra que PC1 ha recibido su GUA IPv6 de un servidor DHCPv6 stateful.
P á g i n a | 378
8.4.5
Hay cinco pasos para configurar y verificar un router como servidor DHCPv6 stateless:
P á g i n a | 379
Step 1. Habilite el enrutamiento IPv6. Step 2. Configure el router cliente para crear una
LLA. Step 3. Configure el router cliente para que use DHCPv6. Step 4. Verifique que el
router cliente tenga asignado un GUA. Step 5. Verifique que el enrutador cliente haya
recibido otra información DHCPv6 necesaria.
Utilice el comando show ipv6 interface brief para verificar la configuración del host como se
muestra.
P á g i n a | 380
El comando show ipv6 dhcp interface g0/0/1 confirma que R3 aprendió el DNS y los nombres
de dominio.
P á g i n a | 381
8.4.6
El comando show ipv6 dhcp pool verifica el nombre del pool de DHCPv6 y sus parámetros.
El comando también identifica el número de clientes activos. En este ejemplo, el grupo IPV6-
STATEFUL tiene actualmente 2 clientes, lo que refleja PC1 y R3 que reciben su dirección
de unidifusión global IPv6 de este servidor.
Cuando un router proporciona servicios DHCPv6 stateful, también mantiene una base de
datos de direcciones IPv6 asignadas.
Utilice el resultado del comando show ipv6 dhcp binding para mostrar la dirección link-local
IPv6 del cliente y la dirección de unidifusión global asignada por el servidor.
El resultado muestra el enlace con estado actual en R1. El primer cliente en el resultado es PC1
y el segundo cliente es R3.
8.4.7
La sintaxis del comando para configurar un router como agente de retransmisión DHCPv6
es la siguiente:
P á g i n a | 383
Este comando se configura en la interfaz que frente a los clientes DHCPv6 y especifica la
dirección del servidor DHCPv6 y la interfaz de salida para llegar al servidor, como se
muestra en el ejemplo. La interfaz de salida sólo es necesaria cuando la dirección de salto
siguiente es una LLA.
8.4.8
En R3, utilice el comando show ipv6 dhcp binding, para comprobar si se ha asignado una
configuración IPv6 a alguno de los hosts.
Observe que a una dirección link-local de cliente se le ha asignado un GUA IPv6. Podemos
suponer que esto es PC1.
P á g i n a | 384
Por último, utilice ipconfig /all en PC1 para confirmar que se le ha asignado una configuración
IPv6. Como puede ver, PC1 ha recibido su configuración IPv6 del servidor DHCPv6.
8.4.9
Configure DHCPv6
P á g i n a | 389
8.5.2
En un router, las direcciones globales de unidifusión (GUA) IPv6 se configuran manualme nte
mediante el comando de configuración de interface ipv6 address ipv6-address/prefix-length.
Cuando se selecciona el direccionamiento IPv6 automático, el host intentará obtener y
configurar automáticamente la dirección IPv6 información en la interfaz. La dirección local
del vínculo IPv6 es creada automáticamente por el host cuando se inicia y la interfaz Ethernet
es activo. De forma predeterminada, un router habilitado para IPv6 anuncia su informac ió n
IPv6, lo que permite a un host crear o adquirir dinámicamente su configuración IPv6. IPv6
GUA se puede asignar dinámicamente utilizando servicios stateless y stateful. La decisión
de cómo un cliente obtendrá un GUA IPv6 depende de la configuración dentro del mensaje
RA. Un mensaje de RA ICMPv6 incluye tres flags para identificar las opciones dinámicas
disponibles para un host, como se indica a continuación:
Un flag : este es el indicador de configuración automática de direcciones. Utilice SLAAC para crear
una GUA IPv6.
O flag - Este es otro indicador de configuración (Other) Otra información está disponible desde un
servidor DHCPv6 stateless.
M flag - Este es es indicador Managed Address. Utilice un servidor DHCPv6 stateful para obtener
una GUA IPv6.
SLAAC
El método SLAAC permite a los hosts crear su propia dirección única global IPv6 sin los
servicios de un servidor DHCPv6. SLAAC, que es stateless, utiliza mensajes ICMPv6 RA
para proporcionar direccionamiento y otra información de configuración que normalme nte
proporcionaría un servidor DHCP SLAAC se puede implementar como SLAAC solamente,
o SLAAC con DHCPv6. Para habilitar el envío de mensajes RA, un router debe unirse al
grupo de todos los routers IPv6 mediante el comando de configuración global ipv6 unicast-
routing. Utilice el comando show ipv6 interface para verificar si un router está habilitado.
El método SLAAC sólo, está habilitado de forma predeterminada cuando se configura el
comando ipv6 unicast-routing. Todas las interfaces Ethernet habilitadas con un GUA IPv6
configurado comenzarán a enviar mensajes RA con el flag A establecido en 1 y los flags O
y M establecidos en 0. El flag A = 1 sugiere al cliente crear su propio IPv6 GUA usando el
prefijo anunciado en RA. Los flags O =0 y M=0 le indican al cliente que use la informac ió n
del mensaje RA exclusivamente. Un router envía mensajes de RA cada 200 segundos. Sin
embargo, también enviará un mensaje RA si recibe un mensaje RS de un host. Mediante
SLAAC, un host suele adquirir su información de subred IPv6 de 64 bits del RA del router.
Sin embargo, debe generar el identificador de interfaz (ID) de 64 bits restante utilizando uno
de estos dos métodos: generado aleatoriamente, o EUI-64. Un host utiliza el proceso DAD
para asegurarse de que IPv6 GUA es único. DAD se implementa usando ICMPv6. Para
realizar DAD, el host envía un mensaje ICMPv6 NS con una dirección de multidifus ió n
P á g i n a | 390
DHCPv6
El host comienza las comunicaciones cliente / servidor DHCPv6 después de que se indica
DHCPv6 stateles o DHCPv6 stateful en el RA. Los mensajes DHCPv6 de servidor a cliente
utilizan el puerto de destino UDP 546, mientras que los mensajes DHCPv6 de cliente a
servidor utilizan el puerto de destino UDP 547. La opción de DHCPv6 stateless informa al
cliente que utilice la información del mensaje RA para el direccionamiento, pero que hay
más parámetros de configuración disponibles de un servidor de DHCPv6. Esto se denomina
DHCPv6 stateless porque el servidor no mantiene ninguna información de estado del cliente.
DHCPv6 Stateless está habilitado en una interfaz de router mediante el comando ipv6 nd
other-config-flag interface configuration. Esto establece el flag O en 1. En este caso, el
mensaje RA indica al cliente que obtenga toda la información de direccionamiento de un
servidor DHCPv6 stateful, excepto la dirección del default gateway que es la dirección link -
local IPv6 de origen de la RA. Esto se conoce como DHCPv6 stateful, debido a que el
servidor de DHCPv6 mantiene información de estado de IPv6. DHCPv6 Stateful es
habilitado en una interfaz de router mediante el comando ipv6 nd managed-config-
flag interface configuration Esto establece el flag M en 1.
Un router Cisco IOS se puede configurar para proporcionar servicios de servidor DHCPv6
como uno de los tres tipos siguientes: servidor DHCPv6, cliente DHCPv6 o agente de
retransmisión DHCPv6. La opción de servidor DHCPv6 stateless requiere que el router
anuncie la información de direccionamiento de red IPv6 en los mensajes RA. Un router
también puede ser un cliente DHCPv6 y obtener una configuración IPv6 de un servidor
DHCPv6. La opción de servidor DHCP stateful requiere que el router habilitado para IPv6
indique al host que se ponga en contacto con un servidor DHCPv6 para obtener toda la
información de direccionamiento de red IPv6 necesaria. El router cliente debe tener ipv6
unicast-routing habilitado y una dirección link-local IPv6 para enviar y recibir mensajes
IPv6. Utilice los comandos show ipv6 dhcp pool y show ipv6 dhcp binding para verificar
el funcionamiento DHCPv6 en un router. Si el servidor de DHCPv6 está ubicado en una red
distinta de la del cliente, el router IPv6 puede configurarse como agente de retransmis ió n
DHCPv6 utilizando el comando ipv6 dhcp relay destination ipv6-address [interface-type
interface-number]. Este comando se configura en la interfaz que enfrenta a los clientes
DHCPv6 y especifica la dirección del servidor DHCPv6 y la interfaz de salida para llegar al
servidor. La interfaz de salida sólo es necesaria cuando la dirección de salto siguiente es una
LLA. Compruebe que el agente de retransmisión DHCPv6 esté operativo con
los comandos show ipv6 dhcp interface y show ipv6 dhcp binding.
P á g i n a | 391
8.5.3
Puede evitar este problema fácilmente. Los protocolos de redundancia de primer salto
(FHRP) son la solución que necesita. Este módulo analiza lo que hace la FHRP y todos los
tipos de FHRP disponibles para usted. Uno de estos tipos es un FHRP propietario de Cisco
llamado Hot Standby Router Protocol (HSRP). Aprenderá cómo funciona HSRP y
completará una actividad en Packet Tracer donde configurará y verificará HSRP. ¡No
esperes, empieza!
P á g i n a | 400
9.0.2
Objetivos del módulo: Explique cómo los FHRP proporcionan servicios de gateway
predeterminados en una red redundante.
Protocolos de Redundancia de
Primer Salto
9.1.1
En una red conmutada, cada cliente recibe solo un gateway predeterminado. No hay forma
de usar un gateway secundario, incluso si existe una segunda ruta que transporte paquetes
fuera del segmento local.
enruta paquetes de redes externas que habrían pasado por el R1. Sin embargo, el tráfico de la
red interna asociado al R1, incluido el tráfico de las estaciones de trabajo, de los servidores
y de las impresoras que se configuraron con el R1 como gateway predeterminado, aún se
envía al R1 y se descarta.
Nota: Nota: Para los efectos del análisis de la redundancia de los routers, no hay diferencia
funcional entre un switch capa 3 y un router en la capa de distribución. En la práctica, es
común que un switch capa 3 funcione como gateway predeterminado para cada VLAN en
una red conmutada. Esta discusión se centra en la funcionalidad del enrutamie nto,
independientemente del dispositivo físico utilizado.
Por lo general, los dispositivos finales o terminales se configuran con una única dirección
IPv4 para un gateway predeterminado. Esta dirección no se modifica cuando cambia la
topología de la red. Si no se puede llegar a esa dirección IPv4 de gateway predeterminado, el
dispositivo local no puede enviar paquetes fuera del segmento de red local, lo que lo
desconecta completamente de las demás redes. Aunque exista un router redundante que sirva
como puerta de enlace predeterminada para ese segmento, no hay un método dinámico para
que estos dispositivos puedan determinar la dirección de una nueva puerta de enlace
predeterminada.
9.1.2
La topología de red física muestra cuatro PC, tres routers y una nube de red troncal de Internet
o ISP. Los cuatro PCs y los tres routers están conectados a una LAN. Los tres routers también
tienen un enlace que sube a la red troncal Iternet o IPS. Hay un router de reenvío con
dirección IP 192.0.2.1/24. Hay un router virtual con dirección IP 192.0.2.100/24. Hay un
router en espera con dirección IP 192.0.2.2/24. Una flecha que representa un paquete enviado
desde PC2 va al router virtual en la dirección IP 192.0.2.100, luego al router de reenvío con
la dirección IP 192.0.2.1 y luego al Internet o ISP.
La dirección IPv4 del router virtual se configura como la puerta de enlace predeterminada
para las estaciones de trabajo de un segmento específico de IPv4. Cuando se envían tramas
desde los dispositivos host hacia el gateway predeterminado, los hosts utilizan ARP para
resolver la dirección MAC asociada a la dirección IPv4 del gateway predeterminado. La
resolución de ARP devuelve la dirección MAC del router virtual. El router actualme nte
activo dentro del grupo de routers virtuales puede procesar físicamente las tramas que se
P á g i n a | 403
envían a la dirección MAC del router virtual. Los protocolos se utilizan para identificar dos
o más routers como los dispositivos responsables de procesar tramas que se envían a la
dirección MAC o IP de un único router virtual. Los dispositivos host envían el tráfico a la
dirección del router virtual. El router físico que reenvía este tráfico es transparente para los
dispositivos host.
La capacidad que tiene una red para recuperarse dinámicamente de la falla de un dispositivo
que funciona como gateway predeterminado se conoce como “redundancia de primer salto”.
9.1.3
1. El router de reserva deja de recibir los mensajes de saludo del router de reenvío.
2. El router de reserva asume la función del router de reenvío.
3. Debido a que el nuevo router de reenvío asume tanto la dirección IPv4 como la dirección MAC del
router virtual, los dispositivos host no perciben ninguna interrupción en el servicio.
P á g i n a | 404
La topología de red física muestra cuatro PC, tres routers y una nube de red troncal de Internet
o ISP. Los cuatro PCs y los tres routers están conectados a una LAN. Los tres routers también
tienen un enlace que sube a la red troncal Iternet o IPS. Hay un router de reenvío con
dirección IP 192.0.2.1/24. Hay un router virtual con dirección IP 192.0.2.100/24. Hay un
router en espera con dirección IP 192.0.2.2/24. Hay una X a través del enlace LAN al router
con la dirección IP 192.0.2.1 que anteriormente era un router de reenvío. Una flecha que
representa un paquete enviado desde PC2 va al router virtual en la dirección IP 192.0.2.100,
luego al nuevo router de reenvío con dirección IP 192.0.2.2 y luego a la red troncal de Internet
o ISP.
9.1.4
Opciones de FHRP
La FHRP utilizada en un entorno de producción depende en gran medida del equipo y las
necesidades de la red. La tabla muestra todas las opciones disponibles para FHRP.
9.1.5
HSRP
9.2.1
Es el protocolo FHRP exclusivo de Cisco diseñado para permitir la conmutación por falla
transparente de los dispositivos IPv4 de primer salto.
HSRP proporciona una alta disponibilidad de red, ya que proporciona redundancia de routing
de primer salto para los hosts IPv4 en las redes configuradas con una dirección IPv4 de
gateway predeterminado. HSRP se utiliza en un grupo de routers para seleccionar un
dispositivo activo y un dispositivo de reserva. En un grupo de interfaces de dispositivo, el
dispositivo activo es aquel que se utiliza para enrutar paquetes, y el dispositivo de reserva es
el que toma el control cuando falla el dispositivo activo o cuando se cumplen condiciones
previamente establecidas. La función del router de suspensión del HSRP es controlar el
estado operativo del grupo de HSRP y asumir rápidamente la responsabilidad de reenvío de
paquetes si falla el router activo.
9.2.2
Prioridad HSRP
La prioridad HSRP se puede utilizar para determinar el router activo. El router con la
prioridad HSRP más alta será el router activo. De manera predeterminada, la prioridad HSRP
es 100. Si las prioridades son iguales, el router con la dirección IPv4 numéricamente más alta
es elegido como router activo.
Para configurar un router para que sea el router activo, utilice el comando de interfaz standby
priority. El rango de prioridad HSRP es de 0 a 255.
P á g i n a | 410
Preferencias HSRP
Para forzar un nuevo proceso de elección HSRP a tener lugar cuando un router de mayor
prioridad entra en línea, la preferencia debe habilitarse mediante el comando de
interface standby preempt. El intento de prioridad es la capacidad de un router HSRP de
activar el proceso de la nueva elección. Con este intento de prioridad activado, un router
disponible en línea con una prioridad HSRP más alta asume el rol de router activo.
El intento de prioridad solo permite que un router se convierta en router activo si tiene una
prioridad más alta. Un router habilitado para intento de propiedad, con una prioridad
equivalente pero una dirección IPv4 más alta, no desplazará la prioridad de un router activo.
Consulte la topología de la figura.
La topología de red física muestra tres PCs conectadas a un switch. El switch a su vez está
conectado a dos routers, el router R1 con dirección IP 172.16.10.2/24 que es el router activo
currect con una prioridad de 150, y el router R2 con dirección IP 172.16.10.3/24 que es el
router en espera actual con una prioridad de 100. R1 y R2 se conectan a una nube troncal.
Hay un router virtual con una dirección IP virtual de 172.16.10.1/24 y una dirección MAC
virtual de 0000.0C07.AC01.
de energía que solo afecta al R1, el router activo ya no está disponible y el router de reserva
R2 asume el rol de router activo. Después de que se restaura la energía, el R1 vuelve a estar
en línea. Dado que R1 tiene una prioridad más alta y el intento de prioridad se encuentra
habilitado, forzará un nuevo proceso de elección. R1 reanudará su rol de router activo y el
R2 volverá al rol de router de reserva.
Nota: Nota: Si el intento de prioridad está desactivado, el router que arranque primero será
el router activo si no hay otros routers en línea durante el proceso de elección.
9.2.3
9.2.4
Si falla un router o una interfaz del router (que funciona como gateway predeterminado), los
hosts configurados con ese gateway predeterminado quedan aislados de las redes externas.
Se necesita un mecanismo para proporcionar gateways predeterminados alternativos en las
redes conmutadas donde hay dos o más routers conectados a las mismas VLAN. Una forma
de evitar un único punto de falla en el gateway predeterminado es implementar un router
virtual. Como se muestra en la figura, para implementar este tipo de redundancia de router,
se configuran varios routers para que funcionen juntos y así dar la sensación de que hay un
único router a los hosts en la LAN. Cuando falla el router activo, el protocolo de redundancia
hace que el router de reserva asuma el nuevo rol de router activo. Estos son los pasos que se
llevan a cabo cuando falla el router activo:
1. El router de reserva deja de recibir los mensajes de saludo del router de reenvío.
2. El router de reserva asume la función del router de reenvío.
3. Debido a que el nuevo router de reenvío asume tanto la dirección IPv4 como la dirección MAC del
router virtual, los dispositivos host no perciben ninguna interrupción en el servicio.
La FHRP utilizada en un entorno de producción depende en gran medida del equipo y las
necesidades de la red. Estas son las opciones disponibles para FHRP:
HSRP
Es el protocolo HSRP exclusivo de Cisco diseñado para permitir la conmutación por falla
transparente de los dispositivos IPv4 de primer salto. HSRP se utiliza en un grupo de routers
para seleccionar un dispositivo activo y un dispositivo de reserva. En un grupo de interfaces
de dispositivo, el dispositivo activo es aquel que se utiliza para enrutar paquetes, y el
dispositivo de reserva es el que toma el control cuando falla el dispositivo activo o cuando
se cumplen condiciones previamente establecidas. La función del router de suspensión del
HSRP es controlar el estado operativo del grupo de HSRP y asumir rápidamente la
responsabilidad de reenvío de paquetes si falla el router activo. El router con la prioridad
HSRP más alta será el router activo. El intento de prioridad es la capacidad de un router
HSRP de activar el proceso de la nueva elección. Con este intento de prioridad activado, un
router disponible en línea con una prioridad HSRP más alta asume el rol de router activo.
Los estados HSRP incluyen inicial, aprendizaje, escucha, habla y espera.
P á g i n a | 416
9.3.2
9.3.3
En esta actividad Packet Tracer, aprenderá a configurar Hot Standby Router Protocol (HSRP)
para proporcionar dispositivos de puerta de enlace predeterminados redundantes a hosts en
LAN. Después de configurar HSRP, probará la configuración para comprobar que los hosts
pueden utilizar la puerta de enlace predeterminada redundante si el dispositivo de puerta de
enlace actual no está disponible.
después. ¡Es una prioridad para ellos! De hecho, mucha gente en TI ahora trabaja
exclusivamente en el área de seguridad de la red.
¿Usted entiende lo que hace a una LAN segura? ¿Sabe lo que los usuarios maliciosos pueden
hacer para romper la seguridad de la red? ¿Usted sabe lo que puede hacer para detenerlos?
Este módulo es su introducción al mundo de la seguridad en redes, no espere más, ¡haga clic
en Siguiente!
10.0.2
Objetivo del Módulo: Explique cómo las vulnerabilidades ponen en riesgo la seguridad de
LAN.
Amenazas a la seguridad de
Identifique vulnerabilidades de la Capa 2.
Capa 2
10.1.2
P á g i n a | 426
Red Privada Virtual (VPN): proporciona una conexión segura para que usuarios remotos se
conecten a la red empresarial a través de una red pública. Los servicios VPN pueden ser
integrados en el firewall.
10.1.3
Protección de terminales
Los dispositivos LAN como los switches, los Controladores de LAN Inalámbricos (WLCs),
y otros puntos de acceso (AP) interconectan puntos terminales. La mayoría de estos
dispositivos son susceptibles a los ataques LAN que se cubren en este módulo.
Los puntos terminales son hosts que generalmente consisten en computadoras portátiles,
computadoras de escritorio, servidores y teléfonos IP, así como dispositivos propiedad de los
empleados (BYOD). Los puntos terminales son particularmente susceptibles a ataques
relacionados con malware que se originan a través del correo electrónico o la navegación
web. Estos puntos finales suelen utilizar características de seguridad tradicionales basadas en
host, como antivirus/antimalware, firewalls basados en host y sistemas de prevención de
intrusiones (HIPS) basados en host. Sin embargo, actualmente los puntos finales están más
protegidos por una combinación de NAC, software AMP basado en host, un Dispositivo de
Seguridad de Correo Electrónico (ESA) y un Dispositivo de Seguridad Web (WSA). Los
productos de Protección Avanzado de Malware (AMP) incluyen soluciones de dispositivos
finales como Cisco AMP.
P á g i n a | 428
La figura es una topología simple que representa todos los dispositivos de seguridad de red
y soluciones de dispositivos finales discutidas en este módulo.
10.1.4
Según el Talos Intelligence Group de Cisco, en junio de 2019, el 85% de todos los correos
electrónicos enviados eran spam. Los ataques de suplantación de identidad son una forma de
correo electronico no deseado paticularmente virulento. Recuerde que un ataque de phishing
lleva al usuario a hacer clic en un enlace o abrir un archivo adjunto. Spear phishing selecciona
como objetivo a empleados o ejecutivos de alto perfil que pueden tener credenciales de inicio
de sesión elevadas. Esto es particularmente crucial en el ambiente actual, donde, de acuerdo
al instituto SANS, 95% de todos los ataques en redes empresariales son del resultado de un
spear phishing exitoso.
El dispositivo Cisco ESA está diseñado para monitorear el Protocolo Simple de Transferenc ia
de Correo (SMTP). Cisco ESA se actualiza en tiempo real de Cisco Talos, quien detecta y
correlaciona las amenazas con un sistema de monitoreo que utiliza una base de datos mundia l.
Cisco ESA extrae estos datos de inteligencia de amenazas cada tres o cinco minutos. Estas
son algunas funciones de Cisco ESA:
10.1.5
P á g i n a | 430
Cisco WSA proporciona un control completo sobre cómo los usuarios acceden a Internet.
Ciertas funciones y aplicaciones, como chat, mensajería, video y audio, pueden permitirse,
restringirse con límites de tiempo y ancho de banda, o bloquearse, de acuerdo con los
requisitos de la organización. La WSA puede realizar listas negras de URL, filtrado de URL,
escaneo de malware, categorización de URL, filtrado de aplicaciones web y cifrado y
descifrado del tráfico web.
Un usuario interno trata de conectarse a un sitio que esta en lista negra; el firewall lo desvía
al WSA y este lo descarta.
10.1.6
Control de Acceso
10.2.1
Muchas formas de autenticación pueden ser llevadas a cabo en dispositivos de red, y cada
método ofrece diferentes niveles de seguridad. El método más simple de autenticación para
acceso remoto consiste en configurar un inicio de sesión, combinando nombre de usuario y
contraseña, a nivel de consola, lineas vty, y puertos auxiliares, como se muestra en el
siguiente ejemplo. Este método es el más simple de implementar, pero también el mas débil
y menos seguro. Este método no es fiable y la contraseña es enviada en texto plano. Cualquier
persona con la contraseña puede acceder al dispositivo.
El siguiente ejemplo ilustra el SSH y métodos de acceso remoto a una base de datos local:
P á g i n a | 434
Las cuenta de usuario deben ser configuradas localmente en cada dispositivo. En una gran empresa
con múltiples routers y switches que controlar, puede tomar mucho tiempo implementar y cambiar
bases de datos locales en cada dispositivo.
Además, la configuración de la base de datos local no proporciona ningún método de autenticación
de respaldo. Por ejemplo, ¿qué sucede si el administrador olvida el nombre de usuario y la
contraseña para ese dispositivo? Sin un método de respaldo disponible para la autenticación, la
restauración se convierte en la única opción.
Una mejor solución es hacer que todos los dispositivos se refieran a la misma base de datos
de nombres de usuario y contraseñas alojados en un servidor central.
10.2.2
Componentes AAA
AAA significa Autenticación, Autorización y Registro El concepto de AAA es similar al uso
de una tarjeta de crédito, como se muestra en la imagen La tarjeta de crédito identifica quién
la usa y cuánto puede gastar puede el usuario de esta, y mantiene un registro de cuántos
elementos o servicios adquirió el usuario.
"AAA" o "triple A", estos servicios proporcionan el marco principal para ajustar el control
de acceso en un dispositivo de red. AAA es un modo de controlar quién tiene permitido
acceder a una red (autenticar), controlar lo que las personas pueden hacer mientras se
encuentran allí (autorizar) y qué acciones realizan mientras acceden a la red (registrar).
P á g i n a | 435
10.2.3
Autenticación
Dos métodos de implementación de autenticación AAA son Local y basado en servidor.
Los AAA locales guardan los nombres de usuario y contraseñas localmente en un dispositivo
de red como el router de Cisco. Los usuarios se autentican contra la base de datos local, como
se muestra en la figura. AAA local es ideal para las redes pequeñas.
Con el método basado en servidor, el router accede a un servidor central de AAA, como se
muestra en la imagen El servidor AAA contiene los nombres de usuario y contraseñas de
todos los usuarios. El router AAA usa el protocolo de Sistema de Control de Acceso del
Controlador de Acceso Terminal Mejorado (TACACS+) o el protocolo de Servicio de
Autenticación Remota de Usuario de Discado (RADIUS) para comunicarse con el servidor
de AAA. Cuando hay múltiples enrutadores y switches, el método basado en el servidor es
más apropiado.
10.2.4
Autorización
La autorización es automática y no requiere que los usuarios tomen medidas adiciona les
después de la autenticación. La autorización controla lo que el usuario puede hacer o no en
la red después de una autenticación satisfactoria:
P á g i n a | 437
La autorización utiliza un conjunto de atributos que describe el acceso del usuario a la red.
Estos atributos son usados por el servidor AAA para determinar privilegios y restricciones
para ese usuario, como se muestra en la figura.
1. Cuando un usuario ha sido autenticado, una sesión es establecida entre el router y el servidor
AAA.
2. El router pide autorización al servidor AAA para la solicitud de servicio del cliente.
3. El servidor AAA responde con un PASS/FAIL a la solicitud.
10.2.5
Registro
El registro de AAA recopila y reporta datos de uso. La organización puede utilizar estos datos
para fines como auditorías o facturación. Los datos recopilados pueden incluir la hora de
inicio y finalización de la conexión, los comandos ejecutados, la cantidad de paquetes y el
número de bytes.
Un uso muy implementado debe registro consiste en combinarlo con la autenticación AAA.
Los servidores AAA mantienen un registro detallado de lo que el usuario autenticado hace
exactamente en el dispositivo, como se muestra en la imagen Esto incluye todos los
comandos EXEC y de configuración que emite el usuario. El registro contiene varios campos
de datos, incluidos el nombre de usuario, la fecha y hora, y el comando real que introdujo el
usuario. Esta información resulta útil para solucionar problemas de dispositivos. Ademas
proporciona evidencia contra individuos que realizan actividades maliciosas.
P á g i n a | 438
1. Cuando se autentica a un usuario, el proceso de registro AAA genera un mensaje para comenzar el
proceso de registro.
2. Cuando el usuario termina, se registra un mensaje de finalización y se da por terminado el proceso
de registro.
10.2.6
802.1x
El estándar IEEE 802.1X define un control de acceso y un protocolo de autenticación basados
en puertos. Este protocol evita que las estaciones de trabajo no autorizadas se conecten a una
LAN a través de puertos de switch de acceso público. El servidor de autenticación autentica
cada estación de trabajo, que está conectada a un puerto del switch, antes de habilitar
cualquier servicio ofrecido por el switch o la LAN.
Con la autenticación 802.1X basada en puertos, los dispositivos de la red cumplen roles
específicos, como se muestra en la figura:
Cliente (suplicante) - Este es un dispositivo ejecutando software de cliente 802.1X, el cual esta
disponible para dispositivos conectados por cable o inalámbricos.
Switch (Autenticador) –El switch funciona como actúa intermediario (proxy) entre el cliente y el
servidor de autenticación. Solicita la identificación de la información del cliente, verifica dicha
información al servidor de autenticación y transmite una respuesta al cliente. Otro dispositivo que
puede actuar como autenticador es un punto de acceso inalámbrico.
Servidor de autenticación El servidor valida la identidad del cliente y notifica al switch o al punto de
acceso inalámbrico si el cliente esta o no autorizado para acceder a la LAN y a los servicios del Switch.
P á g i n a | 439
10.2.7
Capa 2 Vulnerabilidades
Los dos temas anteriores discutieron seguridad en puntos terminales. En este tema, usted va
a seguir aprendiendo sobre formas de asegurar una LAN, enfocándose en las tramas de la
Capa de Enlace (Capa 2) y el switch.
Recuerde que el modelo de referencia OSI está dividido en siete capas, las cuales trabajan de
manera independiente una de otra. La figura muestra la función de cada capa y los principa les
componentes que pueden ser explotados.
El diagrama muestra el numero, nombre, y otra información relacionada con las capas del
modelo OSI desde arriba a abajo: 7 - aplicación, 6- presentación, 5 - sesión, 4 - transporte, 3
- Red, 2 - enlace de datos, y 1 - física. Muestra que las tramas Ethernet en Capa 2 pueden ser
comprometidss, y con una flecha se indica que todas las capas superiores también se ven
comprometidas.
P á g i n a | 442
10.3.2
Ataques de Capa 2
Categoría Ejemplos
10.3.3
Solución Descripción
Protección de IP de origen
Impide los ataques de suplantación de direcciones MAC e IP.
(IPSG)
Utilice siempre variantes seguras de protocolos de administración como SSH, Protocolo de Copia
Segura (SCP), FTP Seguro (SFTP) y Seguridad de capa de sockets seguros / capa de transporte (SSL /
TLS).
Considere usar una red de administración fuera de banda para administrar dispositivos.
Usar una VLAN de administración dedicada que solo aloje el tráfico de administración.
Use ACL para filtrar el acceso no deseado.
10.3.4
Recuerde que para tomar decisiones de reenvío, un Switch LAN de Capa 2 crea una tabla
basada en las direcciones MAC de origen que se encuentran en las tramas recibidas. Como
se muestra en la figura, esto es llamado un tabla de direcciones MAC. Tabla de direcciones
MAC se guarda en la memoria y son usadas para reenviar tramas de forma eficiente.
10.4.2
Cuando esto ocurre, el switch trata la trama como un unicast desconocido y comienza a
inundar todo el tráfico entrante por todos los puertos en la misma VLAN sin hacer referencia
P á g i n a | 448
a la tabla MAC. Esta condición ahora permite que un atacante capture todas las tramas
enviadas desde un host a otro en la LAN local o VLAN local.
Nota: El tráfico se satura solo dentro de la LAN o VLAN local. El atacante solo puede
capturar el tráfico dentro de la LAN o VLAN local a la que está conectado el atacante.
La figura, muestra como el atacante puede fácilmente usar la herramienta de ataque de red
llamada macof para desbordar una tabla de direcciones MAC.
1. El atacante esta conectado a VLAN 10 y usa macof para rápidamente generar de manera aleatoria
muchas direcciones MAC y IP de origen y destino.
2. En un corto periodo de tiempo la tabla MAC del switch se llena.
3. Cuando la tabla MAC esta llena, el switch empieza a reenviar todas las tramas que recibe. Mientras
que macof continúe ejecutándose, la tabla MAC se mantiene llena y el switch continua reenviando
todas las tramas que ingresan hacia cada puerto asociado a la VLAN 10.
4. Luego, el atacante usa el software de analizador de paquetes para capturar frames desde
cualquier dispositivo conectado en la VLAN 10.
10.4.3
Otra razón por la que estas herramientas de ataque son peligrosas, es porque no solo afectan
el switch local sino que también afectan switches conectados de Capa 2. Cuando la tabla de
direcciones MAC de un switch está llena, comienza a desbordar todos los puertos, incluidos
los conectados a otros switches de Capa 2.
Para mitigar los ataques de saturación de la tabla de direcciones MAC, los administradores
de red deben implementar la seguridad del puerto. Seguridad de puertos (Port security)
permitirá que el puerto aprenda sólo un número específico de direcciones MAC de origen.
Seguridad de puertos (Port security) será discutido más adelante en otro módulo.
10.4.4
Ataques a la LAN
10.5.1
Haga clic en reproducir en la figura para ver un video sobre ataques de denegación de
servicio.
5:21
10.5.2
switch de conexión. Si es exitoso, el switch establece un enlace troncal con el host, como se
muestra en la figura. Ahora el atacante puede acceder todas las VLANS en el switch. El
atacante puede enviar y recibir tráfico en cualquier VLAN, saltando efectivamente entre las
VLAN.
Un atacante esta conectado a un switch que esta conectado a otro switch por medio de un
troncal 802.1Q. El segundo switch tiene una conexión con el servidor 1 en la VLAN 10 y
una conexión al servidor 2 en la VLAN 20. El atacante estableció un enlace troncal 802.1Q,
no autorizado, al switch para ganar acceso a la VLAN del servidor.
10.5.3
El atacante envía una trama 802.1Q con doble etiqueta (double tag) al switch. El encabezado
externo tiene la etiqueta VLAN del atacante, que es la misma que la VLAN nativa del puerto
de enlace troncal. Para fines de este ejemplo, supongamos que es la VLAN 10. La etiqueta
interna es la VLAN víctima; en este caso, la VLAN 20.
P á g i n a | 453
Un atacante esta conectado al switch, este tiene un enlace troncal a otro switch, y la VLAN
nativa esta configurada como VLAN nativa 10. El segundo switch tiene un host objetivo
adjunto en VLAN 20. El atacante esta enviando una trama al primer switch con los siguie ntes
campos: Ethernet, VLAN 10, VLAN 20, y datos.
El frame llega al primer switch, que mira la primera etiqueta 802.1Q de 4 bytes. El switch ve
que la trama esta destinada para la VLAN 10, la cual es una VLAN nativa. El switch reenvía el
paquete a todos los puertos de VLAN 10, después de quitar la etiqueta de VLAN 10. La trama
no es re-etiquetada porque es parte de la VLAN nativa. En este punto, la etiqueta de VLAN 20
todavía está intacta y no ha sido inspeccionada por el primer switch.
P á g i n a | 454
La trama llega al segundo switch, que no tiene conocimiento de que debía ser para la VLAN 10.
El switch emisor no etiqueta el tráfico de la VLAN nativa, como se especifica en la especificación
802.1Q. El segundo switch observa solo la etiqueta interna 802.1Q, que el atacante insertó, y
ve que la trama está destinada a la VLAN 20 (la VLAN víctima). El segundo switch envía el
paquete al puerto víctima o lo satura, dependiendo de si existe una entrada en la tabla de MAC
para el host víctima.
10.5.4
Mensajes DHCP
Los servidores DHCP, de manera dinámica, proporcionan información de configuración de
IP a los clientes, como la dirección IP, la máscara de subred, el gateway predeterminado, los
servidores DNS y más. Una revisión de la secuencia típica de un intercambio de mensajes
DHCP entre el cliente y el servidor es mostrada en la figura.
10.5.5
Ataques de DHCP
Los dos tipos de ataques DHCP son agotamiento y suplantación de identidad. Ambos ataques
pueden ser mitigados implementando DHCP snooping.
Gobbler tiene la capacidad de ver todo el alcance de las direcciones IP alquilables e intenta
alquilarlas todas. Específicamente, este crea un mensaje DHCP DISCOVER con una
dirección MAC falsa.
Supongamos que un atacante conecta con éxito un servidor DHCP no autorizado a un puerto
de switch en la misma subred que los clientes. El objetivo del servidor no autorizado es
proporcionar a los clientes información de configuración de IP falsa.
La oferta maliciosa fue recibida primero, y por lo tanto, el client e hace envía un DHCP
REQUEST, tipo broadcast, aceptando los parámetros IP definidos por el atacante. El servidor
legítimo y el dudoso recibirán la solicitud.
P á g i n a | 459
Solamente el servidor no autorizado emite una respuesta individual al cliente para acusar
recibo de su solicitud. El servidor legítimo dejará de comunicarse con el cliente.
10.5.6
10.5.7
Ataques ARP
Recuerde que los hosts transmiten una solicitud de ARP a otros hosts del segmento para
determinar la dirección MAC de un host con una dirección IP específica. Esto es típicame nte
hecho para descubrir la dirección MAC de una puerta de enlace predeterminada. Todos los
hosts de la subred reciben y procesan la solicitud de ARP. El host con la dirección IP que
coincide con la de la solicitud de ARP envía una respuesta de ARP.
Según ARP RFC, cualquier cliente puede enviar una respuesta de ARP no solicitada llamada
“ARP gratuito” Cuando un host envía un ARP gratuito, otros hosts en la subred almacenan
en sus tablas de ARP la dirección MAC y la dirección IP que contiene dicho ARP.
El problema es que un atacante puede enviar un mensaje ARP gratuito al switch y el switch
podría actualizar su tabla MAC de acuerdo a esto. Por lo tanto, cualquier host puede reclamar
ser el dueño de cualquier combinación de direccion IP Y MAC que ellos elijan. En un ataque
típico el atacante puede enviar respuestas ARP, no solicitadas, a otros hosts en la subred con
la dirección MAC del atacante y la dirección IP de la puerta de enlace predeterminada.
Hay muchas herramientas disponibles en Internet para crear ataques de MITM de ARP, como
dsniff, Cain & Abel, ettercap y Yersinia. IPv6 utiliza el protocolo de descubrimiento de
vecinos ICMPv6 para la resolución de direcciones de Capa 2. IPv6 utiliza el protocolo de
descubrimiento de vecinos ICMPv6 para la resolución de direcciones de capa 2.
Cada dispositivo tiene una tabla MAC actualizada con la dirección IP y MAC correctas de
cada dispositivo en la red.
P á g i n a | 461
Nota: Las
direcciones
MAC, se están
mostrando con
24 bits para
efectos de
hacerlo
sencillo.
El atacante envía dos respuestas gratuitas falsas en un intento de reemplazar R1 como la puerta
de enlace predeterminada.
1. En el primero ARP informa todos los dispositivos en la LAN que la direccion MAC del atacante
(CC:CC:CC) está mapeado a la direccion IP de la PC1, 10.0.0.11.
2. EL segundo le informa a todos los dispositivos en la LAN que la direccion MAC del atacante
(CC:CC:CC) está mapeado a la direccion IP de la PC1, 10.0.0.11.
Nota: Las
direcciones
MAC, se están
mostrando con
24 bits para
efectos de
hacerlo sencillo.
.
R1 y PC1 remueven la entrada correcta de la dirección MAC de cada uno y la reemplaza con la
dirección MAC de PC2. El atacante ha logrado envenenar la caché ARP de todos los
dispositivos en la subred. El envenenamiento ARP lleva a varios ataques MITM, posando una
seria amenaza de seguridad en la red.
Nota: Las
direcciones
MAC, se están
mostrando con
24 bits para
efectos de
hacerlo sencillo.
10.5.8
Los atacantes cambian la dirección MAC de su host para que coincida con la dirección MAC
conocida de un otro host objetivo. Luego, el host atacante envía una trama a través de la red
con la dirección MAC recién configurada. Cuando el switch recibe la trama, examina la
dirección MAC de origen. El switch sobrescribe la entrada actual en la tabla MAC y asigna
la dirección MAC al nuevo puerto, como se ve en la figura. Luego, sin darse cuenta, reenvía
las tramas host atacante.
P á g i n a | 463
Nota: Las
direcciones MAC,
se están mostrando
con 24 bits para
efectos de hacerlo
sencillo.
Un atacante en
PC2 esta conectado al puerto Fa0/2 de un switch. Conectado al switch en el puerto Fa0/1 esta
la PC1 con la MAC BB:BB:BB. El atacante está enviando un mensaje al switch que dice, mi
MAC es BB:BB:BB. La tabla de direcciones MAC del switch ahora no muestra ninguna otra
direccion MAC mapeada al puerto Fa0/1 excepto la MAC BB:BB:BB.
Cuando el host de destino envía tráfico, el switch corregirá el error, re-alineando la dirección
MAC al puerto original. Para evitar que el switch corrija la asignación del puerto a su estado
correcto, el atacante puede crear un programa o script que constantemente enviará tramas al
switch, para que el switch mantenga la información incorrecta o falsificada. No hay un
mecanismo de seguridad en la Capa 2 que permita a un switch verificar la fuente de las
direcciones MAC, lo que lo hace tan vulnerable a la suplantación de identidad.
10.5.9
Ataque de STP
Los atacantes de red pueden manipular el Protocolo de Árbol de Expansión (STP) para
realizar un ataque falsificando el root bridge y cambiando la topología de una red. Los
atacantes hacen que su host parezca ser un root bridge; por lo tanto capturan todo el trafico
para el dominio del Switch inmediato.
Para realizar un ataque de manipulación de STP, el host atacante transmite Unidades de Datos
de Protocolo de Puente STP (BPDU), que contienen cambios de configuración y topología
que forzarán los re-cálculos de Árbol de Expansión, como se muestra en la figura. Las BPDU
enviadas por el host atacante anuncian una prioridad de puente (bridge) inferior, en un intento
de ser elegidas como root bridge.
P á g i n a | 464
Si tiene éxito, el host atacante se convierte en el puente raíz, como se muestra en la figura, y
ahora puede capturar una variedad de frames, que de otro modo no serían accesibles.
P á g i n a | 465
Este ataque STP es mitigado implementando BPDU Guard en todos los puertos de acceso.
BPDU Guard se discute con detalle más adelante en el curso.
10.5.10
Reconocimiento CDP
Cisco Discovery Protocol (CDP) es un protocolo de detección de enlaces de Capa 2
patentado. Está habilitado en todos los dispositivos de Cisco de manera predeterminada. CDP
puede detectar automáticamente otros dispositivos con CDP habilitado y ayudar a configurar
automáticamente la conexión. Los administradores de red también usan CDP para configurar
dispositivos de red y solucionar problemas.
La información de CDP se envía por los puertos con CDP habilitado en transmisio nes
periódicas sin encriptar. La información de CDP incluye la dirección IP del dispositivo, la
P á g i n a | 466
La información de CDP es muy útil para la solución de problemas de red. Por ejemplo, CDP
puede usarse para verificar la conectividad de Capa 1 y 2. Si un administrador no puede hacer
ping a una interfaz con conexión directa, pero aún recibe información de CDP, es probable
que el problema esté en la configuración de Capa 3.
Sin embargo, un atacante puede usar la información proporcionada por CDP para detectar
vulnerabilidades en la infraestructura de red.
Para mitigar la explotación de CDP, se debe limitar el uso de CDP en los dispositivos o
puertos. Por ejemplo, se debe deshabilitar CDP en los puertos de extremo que se conectan a
dispositivos no confiables.
P á g i n a | 467
10.5.11
AAA es un modo de controlar quién tiene permitido acceder a una red (autenticar), controlar
lo que las personas pueden hacer mientras se encuentran allí (autorizar) y qué acciones
realizan mientras acceden a la red (registrar). La autorización utiliza un conjunto de atributos
que describe el acceso del usuario a la red. Un uso muy implementado del Registro es en
combinación con la Autenticación AAA. Los servidores AAA mantienen un registro
detallado de lo que el usuario autenticado hace exactamente en el dispositivo. El estándar
IEEE 802.1X define un control de acceso y un protocolo de autenticación basado en puertos,
que evita que las estaciones de trabajo no autorizadas se conecten a una LAN a través de los
puertos de switch acceso público.
Los ataques por saturación de MAC, saturan la tabla de direcciones MAC del switch, con
información falsa, hasta que este llena. Cuando esto ocurre, el switch trata la trama como un
unicast desconocido, y comienza a reenviar todo el tráfico entrante por todos los puertos en
la misma VLAN, sin hacer referencia a la tabla MAC. El atacante puede ahora capturar todas
las tramas enviadas desde un host para otro host en una LAN o VLAN local. El atacante
usa macof para rapidamente generar, de manera aleatoria, muchas direcciones MAC y IP de
origen y destino. Para mitigar los ataques de saturación de la tabla de direcciones MAC, los
administradores de red deben implementar la seguridad del puerto.
El VLAN Hopping permite que una VLAN pueda ver el tráfico de otra VLAN sin cruzar
primero un router. El atacante configura a un host para actuar como un Switch y tomar ventaja
P á g i n a | 472
Los ataques de VLAN hopping and VLAN double-tagging se pueden evitar mediante la
implementación de las siguientes pautas de seguridad troncal:
Ataque ARP: un atacante puede enviar un mensaje ARP gratuito al switch y el switch podría
actualizar su tabla MAC de acuerdo a esto. Ahora el atacante envía respuestas ARP no
solicitadas a otros hosts en la subred con la dirección MAC del actor amenazante y la
dirección IP del default gateway. La suplantación de identidad ARP y el envenenamie nto
ARP son mitigados implementando DAI.
Ataque STP: el amenazante manipula STP para conducir un ataque suplantando root bridge
y cambiando la topologia de la red. Los atacantes hacen que su host aparezca como un root
bridge; por lo tanto capturan todo el trafico para el dominio del Switch inmediato. Este ataque
STP es mitigado implementando BPDU guard en todos los puertos de acceso.
La información de CDP se envía por los puertos con CDP habilitado en transmisio nes
periódicas sin encriptar. La información de CDP incluye la dirección IP del dispositivo, la
versión de software de IOS, la plataforma, las funcionalidades y la VLAN nativa. El
dispositivo que recibe el mensaje CDP actualiza su base de datos CDP, la informac ió n
suministrada por el CDP puede también ser usada por un atacante para descubrir
vulnerabilidades en la infraestructura de la red. Para mitigar la explotación de CDP, se debe
limitar el uso de CDP en los dispositivos o puertos.
P á g i n a | 473
10.6.2
¿Cómo mantenemos la red segura y estable? ¿Cómo la protegemos de ataques malic iosos
desde adentro de la red? ¿Cómo nos aseguramos que los empleados no estén agregando
switches, servidores y otros dispositivos a la red que podrían comprometer las operaciones
de la red?
11.0.2
Module Objective: Configure la seguridad del switch para mitigar los ataques de LAN.
Implementación de Seguridad de
Puertos
11.1.1
Se deben proteger todos los puertos del switch (interfaces) a ntes de implementar el switch para
su uso en producción. Como un puerto es protegido depende de su función.
Un método simple que muchos administradores usan para contribuir a la seguridad de la red
ante accesos no autorizados es inhabilitar todos los puertos del switch que no se utilizan. Por
ejemplo, si un switch Catalyst 2960 tiene 24 puertos y hay tres conexiones Fast Ethernet en
uso, es aconsejable inhabilitar los 21 puertos que no se utilizan. Navegue a cada puerto no
utilizado y emita el comando shutdown de Cisco IOS. Si un puerto debe reactivarse más tarde,
se puede habilitar con el comando no shutdown.
Por ejemplo, para apagar los puertos for Fa0/8 hasta Fa0/24 en S1, usted deb e ingresar el
siguiente comando:
11.1.2
EL gráfico muestra un switch conectado a tres dispositivos Arriba del switch esta la tabal a de
direcciones MAC con el puerto 0/1 permitiendo la MAC AA:AA:AA, el puerto 0/2 la MAC
BB:BB:BB, y el puerto 0/2 la MAC CC:CC:CC. El switch muestra que el puerto 0/1 esta
conectado a una PC con la direccion MAC AA:AA:AA. El enlace esta marcado en verde EL
puerto 0/2 de ese switch esta conectado a una computadora portátil no autorizada con la
direccion MAC BA:AD:01. El enlace tiene un circulo rojo con una linea a traves. El puerto 0/3 de
ese switch tambien esta conectado a una computadora portatil no autor izada con la direccion
MAC BA:AD:02. Este enlace tambien tiene un circulo rojo con una linea a traves. Hay una nota
al en la parte de abajo del diagrama que dice que las direcciones MAC se estan mostrando con
24bits para efectos de hacerlo sencillo.
P á g i n a | 481
11.1.3
Note: La seguridad del puerto troncal está más allá del alcance de este curso.
Use el comando show port-security interface para mostrar la configuración de seguridad del
puerto actual para FastEthernet 0/1, como se muestra en el ejemplo. Note que port security esta
P á g i n a | 482
habilitado, el modo de violación esta apagado, y que el numero máximo de direcciones MAC
permitidas es 1. Si un dispositivo esta conectado al puerto, el switch automáticamente agregara
la direccion MAC de este dispositivo como una direccion MAC segura. En este ejemplo, no
existe ningún dispositivo conectado al puerto.
Note: Si un puerto activo está configurado con el comando switchport port-security y hay más
de un dispositivo conectado a ese puerto, el puerto pasará al estado de error desactivado. Esta
condición se discute mas adelante en este capitulo.
Una vez que se activa port security, se pueden configurar otras funciones especificas de port
security, como se muestra en el ejemplo.
11.1.4
El switch se puede configurar para aprender direcciones MAC en un puerto seguro de tres
maneras:
1. Manually Configured
2. Dynamically Learned
La salida del comando show port-security interface, verifica que port-security está habilitado,
hay un host conectado al puerto (i.e., Secure-up), un total de 2 MAC addresses serán permitidas,
y S1 ha aprendido una MAC address staticamente, y una MAC address dynamicamente (i.e.,
sticky).
La salida del comando show port-security address lista las dos MAC address aprendidas.
P á g i n a | 485
11.1.5
Absolute - Las direcciones seguras en el puerto se eliminan después del tiempo de caducidad
especificado.
Inactivity - Las direcciones seguras en el puerto se eliminan solo si están inactivas durante el
tiempo de caducidad especificado.
Utilice el vencimiento para remover las direcciones MAC seguras en un puerto seguro sin
necesidad de eliminar manualmente las direcciones MAC existentes. Los tiempos limite de
vencimiento pueden ser incrementados para asegurarse que las direcciones MAC pasadas se
queden, aun cuando se agregan nuevas direcciones MAC. El vencimiento de direcciones
seguras configuradas estáticamente puede ser habilitado o des-habilitado por puerto.
Parámetro Descripción
Note: Las direcciones MAC se están mostrando con 24 bits para efectos de hacerlo sencillo.
11.1.6
Protect Sí No No No
Restrict Sí Sí Sí No
Apagado Sí Sí Sí Sí
11.1.7
Note: The port protocol and link status are changed to down and the port LED is turned off.
En el ejemplo, el comando show interface identifica el port status como err-disabled. La salida
del comando show port-security interface, ahora muestra el estado del puerto como secure-
shutdown. El contador de violación incrementa en uno.
Para volver a habilitar el puerto, primero use el comando shutdown, luego use el comando no
shutdown para que el puerto sea operativo, como se muestra en el ejemplo.
P á g i n a | 490
11.1.8
Para mostrar la configuración de seguridad del puerto para el conmutador, use el comando
show port-security. El ejemplo indica que todas las 24 interfaces están configuradas con el
comando switchport port-security, porque el máximo permitido es 1 y el modo de violación
está en shutdown. No hay dispositivos conectados Por lo tanto, el contandor CurrentAddr
(Count) es 0 para cada interfaz.
Use el comando show port-security interface para ver los detalles de una interfaz específica,
como se muestra anteriormente y en este ejemplo.
P á g i n a | 491
Para verificar que las direcciones MAC están "pegadas" a la configuración, use el comando
show run, como se muestra en el ejemplo de FastEthernet 0/19.
Para mostrar todas las direcciones MAC seguras que se configuran manualmente o se aprenden
dinámicamente en todas las interfaces de conmutador, use el comando show port-security
address como se muestra en el ejemplo.
11.1.9
Usted esta actualmente en una sesión en S1 Configure FastEthernet 0/5 seguridad de puertos
usando los siguientes requerimientos
Use the interface name fa0/5 para ingresar al modo de configuración de la interfaz.
Abitar el puerto para el modo acceso.
Habilitar la seguridad del puerto.
Configurar el numero máximo de direcciones MAC a 3.
Estaticamente configurar la dirección MAC aaaa.bbbb.1234.
P á g i n a | 492
Configurar el puerto para que aprenda dinamicamente direcciones MAC adicionales y que las
agrege dinamicamente a la configuracion en ejecucion.
Volver al modo EXEC privilegiado.
S1(config)#interface fa0/5
S1(config-if)#switchport mode access
S1(config-if)#switchport port-security
S1(config-if)#switchport port-security maximum 3
S1(config-if)#switchport port-security mac-address aaaa.bbbb.1234
S1(config-if)#switchport port-security mac-address sticky
S1(config-if)#end
S1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security
Action
(Count) (Count) (Count)
-------------------------------------------------------------------------
--
Fa0/5 3 2 0
Shutdown
-------------------------------------------------------------------------
--
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192
Enter the command to verify port security on FastEthernet 0/5. Use fa0/5 for the interface
name.
Enter the command that will display all of the addresses to verify that the manually configured
and dynamically learned MAC addresses are in the running configuration.
You have successfully configured and verified port security for the
interface.
11.1.10
La suplantación de mensajes DTP del host atacante hace que el switch entre en modo de enlace
troncal. Desde aquí, el atacante puede enviar tráfico etiquetado con la VLAN de destino, y el
conmutador luego entrega los paquetes al destino.
Introduciendo un switch dudoso y habilitando enlaces troncales. El atacante puede acceder
todas las VLANs del switch victima desde el switch dudoso.
Otro tipo de ataque de salto a VLAN es el ataque doble etiq ueta o doble encapsulado. Este
ataque toma ventaja de la forma en la que opera el hardware en la mayoría de los switches.
P á g i n a | 494
11.2.2
Step 1:Deshabilite las negociaciones de DTP (enlace automático) en puertos que no sean
enlaces mediante el comando de configuración de la interfaz switchport mode access.
Step 4:Deshabilite las negociaciones de DTP (enlace automático) en los puertos de enlace
mediante el comando switchport nonegotiate.
Step 5: Establezca la VLAN nativa en otra VLAN que no sea la VLAN 1 mediante el
comando switchport trunk native vlan vlan \ _number.
Los puertos FastEthernet 0/1 hasta fa0/16 son puertos de acceso activos
Los puertos FastEthernet 0/17 hasta 0/20 no estan en uso
FastEthernet ports 0/21 through 0/24 son puertos troncales.
Los puertos Fastethernet 0/1 al 0/16 son puertos de acceso y por lo tanto troncal se deshabilita
poniéndolos explicitamente como puertos de acceso.
Los puertos FastEthernet 0/17 al 0/20 son puertos que no están en uso y están deshabilitados
y asignados a una VLAN que no se usa.
P á g i n a | 495
Los puertos FastEthernet 0/21 al 0/24 son enlaces troncales y se configuran manualmente como
troncales con DTP deshabilitado. La VLAN nativa también se cambia de la VLAN
predeterminada 1 a la VLAN 999 que no se usa.
11.2.3
Los puertos FastEthernet 0/1 hasta 0/4 se usan para hacer troncales con otros switches.
Los puertos FastEthernet 0/5 hasta 0/10 no están en uso.
Los puertos FastEthernet 0/11 hasta 0/24 son puertos activos en uso.
Utilíce range fa0/1 – 4 para ingresar al modo de configuración de interfaz para las troncales.
Use range fa0/5 - 10 to enter interface configuration mode for the trunks.
S1(config)#interface range fa0/5 – 10
Configure the unused ports as access ports, assign them to VLAN 86, and shutdown the ports.
Use range fa0/11 - 24 to enter interface configuration mode for the active ports and then
configure them to prevent trunking.
Sin embargo mitigar ataques DHCP de suplantación de identidad requiere mas protección.
Gobbler podría configurarse para usar la dirección MAC de la interfaz real como la
dirección Ethernet de origen, pero especifique una dirección Ethernet diferente en la carga
útil de DHCP. Esto haría que la seguridad del puerto sea ineficaz porque la dirección MAC
de origen sería legítima.
11.3.2
Indagación de DHCP
La inspección de DHCP no depende de las direcciones MAC de origen. En cambio, la
inspección de DHCP determina si los mensajes de DHCP vienen de una fuente configurada
administrativamente como confiable o no confiable. Luego filtra los mensajes de DHCP y
limita la velocidad del trafico DHCP viniendo desde fuentes no confiables.
Note que el servidor DHCP dudoso podría estar en un puerto no confiable después de
habilitar DHCP snooping. Todas las interfaces son tratadas por defecto como no confiables.
Típicamente las interfaces confiables son enlaces troncales y puertos conectados
directamente a un servidor DHCP legitimo. Estas interfasces deben ser configuradas
explicitamente como confiables.
Se crea una tabla DHCP que incluye la dirección MAC de origen de un dispositivo en un
puerto no confiable y la dirección IP asignada por el servidor DHCP a ese dispositivo. La
dirección MAC y la dirección IP están unidas. Por lo tanto, esta tabla se denomina tabla de
enlace DHCP snooping.
11.3.3
Step 3: Limite la cantidad de mensajes de descubrimiento de DHCP que puede recibir por
segundo en puertos no confiables mediante el de configuración de la interfaz ip dhcp
snooping limit rate.
Step 4. Habilite la inspección DHCP por VLAN, o por un rango de VLAN, utilizando el
comando de configuración global ip dhcp snooping vlan.
11.3.4
El gráfico tiene una leyenda con un cuadro morado; puerto confiable y un circulo rojo; puerto
no confiable, debajo de el diagrama de la Topología. Entonces el gráfico muestra una red
LAN con un switch con puertos confiables y puertos no confiables. El switch tiene una
computadora conectada a la izquierda. y un DHCP conectado a la izquierda. En la interfaz
conectada a la computadora hay un circulo rojo de una interfaz no confiable. y en la interfaz
conectada al servidor DHCP hay un cuadrado morado de un puerto confiable.
El siguiente es un ejemplo de como configurar DHCP snooping en S1. Note como DHCP
snooping es activado primero. La interfaz ascendente al servidor DHCP es explícitame nte
confiable. Luego, el rango de puertos FastEthernet desde F0/5 a F0/24 son no confiables de
manera predeterminada, de manera que se establece un limite de transferencia de seis
paquetes por segundo. Finalmente, la inspección DHCP está habilitada en VLANS 5, 10, 50,
51 y 52.
Use el comando EXEC privilegiado show ip dhcp snooping, show ip dhcp snooping
binding para verificar la inspección DHCP, y para ver los clientes que han recibido
información DHCP, como se muestra en el ejemplo.
Note: La inspección dinámica de ARP (DAI) también requiere de la inspección DHCP, que
es el siguiente tema
P á g i n a | 500
11.3.5
Usted esta actualmente en una sesion en S1 Habilite la detección global de DHCP para el
switch.
Enter interface configuration mode for g0/1 - 2, trust the interfaces, and return to global
configuration mode.
Enter interface configuration mode for f0/1 - 24, limit the DHCP messages to no more than 10
per second, and return to global configuration mode.
Enter the command to verify the current DHCP bindings logged by DHCP snooping
P á g i n a | 502
You have successfully configured and verified DHCP snooping for the switch.
La inspección dinámica (DAI) requiere de DHCP snooping y ayuda a prevenir ataques ARP
así:
11.4.2
El gráfico muestra una leyenda con un puerto confiable en un cuadro morado y un puerto no
confiable en un circulo rojo, arriba de eso hay un diagrama de LAN mostrando Inspección
de Confiabilidad de ARP Dinámico. El diagrama ilustra una red LAN con puertos confiables
y no confiables. En una interfaz en la parte inferior izquierda hay un atacante en una PC y en
la parte superior izquierda un PC regular. Ambos dispositivos están conectados al switch y
ambos tienen un circulo rojo en el puerto para switch para puertos no confiables. A la derecha
del switch está router que también está conectado al switch. La conección del router tiene un
cuadrado morado en el switch que simboliza una coneccion ARP confiable.
11.4.3
Como se muestra en el ejemplo, la inspección DHCP está habilitada porque DAI requiere
que funcione la tabla de enlace de inspección DHCP. Siguiente,la detección de DHCP y la
inspección de ARP están habilitados para la computadora en la VLAN 10. El puerto de enlace
ascendente al router es confiable y, por lo tanto, está configurado como confiable para la
inspección DHP y ARP.
DAI se puede configurar para revisar si hay direcciones MAC e IP de destino o de origen:
11.4.4
Usted esta actualmente en una sesion en S1 Habilite la detección g lobal de DHCP para el
switch.
Enter interface configuration mode for g0/1 - 2, trust the interfaces for both DHCP snooping
and DAI, and then return to global configuration mode.
PortFast \ - PortFast trae inmediatamente una interfaz configurada como puerto de acceso o
troncal al estado de reenvío desde un estado de bloqueo, sin pasar por los estados de escucha
y aprendizaje. Aplicar a todos los puertos de acceso de usuario final. PortFast solo debe
configurarse en interfaces conectadas a dispositivos finales.
Protección BPDU: el error de protección BPDU deshabilita inmediatamente un puerto que
recibe una BPDU. Al igual que PortFast, la protección BPDU solo debe conf igurarse en
interfaces conectadas a dispositivos finales.
En la figura, los puertos de acceso para S1 deberían ser configurados con PortFast y BPDU
Guard.
11.5.2
Configure PortFast
PortFast omite los estados de escucha y aprendizaje de STP para minimizar el tiempo que los
puertos de acceso deben esperar a que STP converja. Si habilita PortFast en un puerto que se
conecta a otro switch, corre el riesgo de crear un bucle de árbol de expansión.
Para verificar si PortFast está habilitado globalmente, puede usar el comando show running-
config | begin span o el comando show spanning-tree summary. Para verificar si PortFast
tiene habilitada una interfaz, use el comando show running-config interface type / number,
como se muestra en el siguiente ejemplo. El comando show spanning-tree interface type /
number detail también se puede usar para la verificación.
11.5.3
Si se recibe una BPDU en un puerto de acceso habilitado para BPDU Guard, el puerto se pone
en estado de error deshabilitado. Esto significa que el puerto se cierra y debe volver a habilitarse
manualmente o recuperarse automáticamente mediante el comando global errdisable
recovery cause psecure_violation.
Para mostrar información sobre el estado del árbol de expansión, use el comando show
spanning-tree summary En este ejemplo, PortFast predeterminado y modo de protección de
BPDU están activados como estado predeterminado para los puertos configurados como de
modo de acceso.
Note: Siempre active BPDU Guard en todos los puertos habilitados para PortFast.
P á g i n a | 509
11.5.4
Usted esta actualmente en una sesion en S1 Complete los siguientes pasos para implementar
PortFast y BPDU Guard en todos los puertos de acceso.
Verify that PortFast and BPDU Guard is enabled by default by viewing STP summary
information.
You have successfully configured and verified PortFast and BPDU Guard
for the switch.
11.6.2
Step 1. Deshabilitar las negociaciones de protocolo DTP en puertos sin enlace troncal
Step 2. Permite desactivar los puertos no utilizados.
Step 3. Habilitar manualmente el enlace troncal en los puertos troncales.
Step 4. Deshabilitar las negociaciones de protocolo DTP en puertos troncales.
Step 5. Cambie la configuración de la VLAN nativa a otra opción que no sea VLAN 1.
Para mitigar las probabilidades de ARP spoofing Y ARP poisoning, siga estas pautas de
implementación DAI
DAI se puede configurar para revisar si hay direcciones MAC e IP de destino o de origen:
P á g i n a | 513
Para mitigar los ataques de manipulación del Protocolo de árbol de expansión (STP), use
PortFast y la Unidad de datos de protocolo de puente (BPDU) Guard.
PortFast \ - PortFast trae inmediatamente una interfaz configurada como puerto de acceso o troncal
al estado de reenvío desde un estado de bloqueo, sin pasar por los estados de escucha y aprendizaje.
Aplicar a todos los puertos de acceso de usuario final. PortFast solo debe configurarse en interfaces
conectadas a dispositivos finales. PortFast omite los estados de escucha y aprendizaje de STP para
minimizar el tiempo que los puertos de acceso deben esperar a que STP converja. Si habilita PortFast
en un puerto que se conecta a otro switch, corre el riesgo de crear un bucle de árbol de expansión.
BPDU Guard - BPDU guard immediatamente deshabilita un puerto que recibes un error de BPDU.
Al igual que PortFast, BPDU guard sólo debe ser configurada en interfaces conectadas a dispositivos
finales. BPDU Guard puede ser habilitada en un puerto mediante el comando de configuración de
interface spanning-tree bpduguard enable. Alternativamente, use el comando de configuración
global spanning-tree portfast bpduguard default para habilitar globalmente BPDU guard en todos
los puertos habilitados para PortFast.
11.6.4
Existen tantas maneras de conectarse de forma inalámbrica. Como todo lo demás que tiene
que ver con las redes, este tipo de conexiones funcionan mejorar en situaciones particulares.
Requieren de dispositivos específicos y también son propensos a ciertos tipos de ataques. Y
por supuesto, existen soluciones para mitigar este tipo de ataques. ¿Desea más informac ió n?
El modulo de Conceptos de WLAN le brinda a usted el conocimiento fundamental que usted
necesita para entender qué son las LAN Inalámbricas, lo que pueden hacer y como
protegerlas.
12.0.2
Objetivo del módulo: Explique cómo las WLAN habilitan la conectividad de red.
Introducción a la tecnología
Describa la tecnología y los estándares WLAN.
inalámbrica
Introducción a la tecnología
inalámbrica
12.1.1
Una LAN inalámbrica (WLAN) es un tipo de red inalámbrica que se usa comúnmente en
hogares, oficinas y entornos de campus. Las redes deben apoyar a la gente que está en
movimiento. La gente se conecta usando computadoras, computadoras portátiles, tabletas y
teléfonos inteligentes. Hay muchas diferentes infraestructuras de red que proveen acceso a la
red, como LANs cableadas, red de proveedor de servicios, y redes de teléfonos celulares. Las
WLAN hacen posible la movilidad dentro de los entornos domésticos y comerciales.
En las empresas que cuentan con una infraestructura inalámbrica, puede haber un ahorro de
costos cada vez que se cambia el equipo, o al reubicar a un empleado dentro de un edificio,
reorganizar el equipo o un laboratorio, o mudarse a ubicaciones temporales o sitios de
proyectos. Una infraestructura inalámbrica puede adaptarse a los rápidos cambios de
necesidades y tecnologías.
12.1.2
Redes inalámbricas de área personal (WPAN) - Utiliza transmisores de baja potencia para
una red de corto alcance, generalmente de 20 a 30 pies (6 a 9 metros). Los dispositivos
basados en Bluetooth y ZigBee se usan comúnmente en WPANs. Los WPAN se basan en el
estándar 802.15 y una frecuencia de radio de 2.4 GHz.
12.1.3
Tecnologías inalámbricas
Para enviar y recibir datos, la tecnología inalámbrica usa el espectro de radio sin licencia.
Cualquier persona que tenga un router inalámbrico y tecnología inalámbrica en el dispositivo
que utilice puede acceder al espectro sin licencia.
Bluetooth - es un estándar IEEE 802.15 WPAN que utiliza un proceso de emparejamie nto
de dispositivos para comunicarse a distancias de hasta 300 pies (100m) Se puede encontrar
en dispositivos domésticos inteligentes, conexiones de audio, automóviles y otros
dispositivos que requieren una conexión de corta distancia. Hay dos tipos de radios
Bluetooth:
12.1.4
WLAN definen cómo se usan las frecuencias de radio para los enlaces inalámbricos. La
mayoría de los estándares especifican que los dispositivos inalámbricos tienen una antena
para transmitir y recibir señales inalámbricas en la frecuencia de radio especificada (2.4 GHz
o 5 GHz). Algunos de los estándares más nuevos que transmiten y reciben a velocidades más
altas requieren que los puntos de acceso (AP) y los clientes inalámbricos tengan múltip les
antenas utilizando la tecnología de entrada múltip le y salida múltiple (MIMO). MIMO utiliza
múltiples antenas como transmisor y receptor para mejorar el rendimiento de la
comunicación. Se pueden soportar hasta cuatro antenas.
A través de los años, se han desarrollado varias implementaciones de los estándares IEEE
802.11, como se muestra en la figura. La tabla destaca estos estándares.
Estándar
IEEE Radiofrecuencia Descripción
WLAN
Estándar
IEEE Radiofrecuencia Descripción
WLAN
12.1.5
Radiofrecuencia
Todos los dispositivos inalámbricos funcionan en el rango del espectro electromagnético.
Las redes WLAN operan en la banda de frecuencia de 2,4 GHz y la banda de 5 GHz. Los
dispositivos de LAN inalámbricos tienen transmisores y receptores sintonizados a
frecuencias específicas de ondas de radio para comunicarse. Específicamente, las siguie ntes
bandas de frecuencia se asignan a LAN inalámbricas 802.11:
El espectro electromagnético
P á g i n a | 531
12.1.6
Organizaciones de estándares
inalámbricos
Los estándares aseguran la interoperabilidad entre dispositivos fabricados por diferentes
fabricantes. A nivel internacional, las tres organizaciones que influyen en los estándares
WLAN son ITU-R, el IEEE, y la Wi-Fi Alliance.
12.1.7
Componentes de la WLAN
12.2.1
0: 00 5:58
12.2.2
NIC inalámbrica
Las implementaciones inalámbricas requieren un mínimo de dos dispositivos que tengan un
transmisor de radio y un receptor de radio sintonizados a las mismas frecuencias de radio:
P á g i n a | 536
Nota: Muchos dispositivos inalámbricos con los que está familiarizado no tienen antenas
visibles. Están integrados dentro de teléfonos inteligentes, computadoras portátiles y routers
domésticos inalámbricos.
12.2.3
La mayoría de los routers inalámbricos también ofrecen funciones avanzadas, como acceso
de alta velocidad, soporte para transmisión de video, direccionamiento IPv6, calidad de
servicio (QoS), utilidades de configuración y puertos USB para conectar impresoras o
unidades portátiles.
Además, los usuarios domésticos que desean ampliar sus servicios de red pueden
implementar extensores de alcance Wi-Fi. Un dispositivo puede conectarse de forma
inalámbrica al extensor, lo que aumenta sus comunicaciones para que se repitan al router
inalámbrico.
12.2.4
12.2.5
Categorías AP
Los AP se pueden clasificar como AP autónomos o AP basados en controladores.
AP autónomo
Varios dispositivos inalámbricos conectados a un AP autónomo que tiene una conexión por
cable a un switch en una red cableada.
P á g i n a | 539
Estos dispositivos no necesitan una configuración inicial y normalmente se les denomina puntos
de acceso lightweight (LAPs). Los puntos de acceso LAP usan el Protocolo Lightweight Access
Point Protocol (LWAPP) para comunicarse con el controlador WLAN (WLC), como se muestra
en la siguiente figura. Los puntos de acceso basados en controlador son útiles en situaciones
en las que se necesitan varios puntos de acceso en la red. Conforme se agregan p untos de
acceso, cada punto de acceso es configurado y administrado de manera automática por el WLC.
12.2.6
Antenas inalámbricas
La mayoría de los AP de clase empresarial requieren antenas externas para que sean unidades
completamente funcionales.
12.2.7
Funcionamiento de WLAN
12.3.1
11: 50
0:00
12.3.2
Modo ad hoc- Es cuando dos dispositivos se conectan de forma inalámbrica de igual a igual
(P2P) sin utilizar AP o routers inalámbricos. Los ejemplos incluyen clientes inalámbr icos
que se conectan directamente entre sí mediante Bluetooth o Wi-Fi Direct. El estándar IEEE
802.11 se refiere a una red ad hoc como un conjunto de servicios básicos independie ntes
(IBSS).
12.3.3
BSS y ESS
El modo de infraestructura define dos bloques de construcción de topología: un conjunto de
servicios básicos (BSS) y un conjunto de servicios extendidos (ESS).
P á g i n a | 547
Utiliza un AP único para interconectar todos los clientes inalámbricos asociados. Dos BSS
se muestran en la figura. Los círculos representan el área de cobertura del BSS, que se
denomina Área de Servicio Básico (BSA). Si un cliente inalámbrico se muda de su BSA, ya
no puede comunicarse directamente con otros clientes inalámbricos dentro de la BSA.
La dirección MAC de capa 2 del AP se utiliza para identificar de forma exclusiva cada BSS,
que se denomina Identificador de conjunto de servicios básicos (BSSID). Por lo tanto, el
BSSID es el nombre formal del BSS y siempre está asociado con un solo AP.
12.3.4
El diagrama muestra los campos de un frame 802.11. A la izquierda está el encabezado que
consta de los siguientes campos: control de la trama, duración, dirección 1, dirección 2,
dirección 3, control de secuencia y dirección 4. El siguiente es la carga útil y el último es el
campo FCS.
P á g i n a | 548
Control de la trama -identifica el tipo de trama inalámbrica y contiene subcampos para la versión
del protocolo, el tipo de trama, el tipo de dirección, la administración de energía y la configuración
de seguridad.
Duración - En general, se usa para indicar el tiempo restante necesario para recibir la siguiente
transmisión de tramas.
Dirección 1 normalmente, contiene la dirección MAC del dispositivo o AP receptor inalámbrico.
Dirección 2 normalmente, contiene la dirección MAC del dispositivo o AP receptor inalámbrico.
Dirección 3 -en ocasiones, contiene la dirección MAC del destino, como la interfaz del router
(gateway predeterminado) a la que se conecta el AP.
Control de Secuencia - Contiene información para controlar la secuencia y las tramas fragmentadas
Direccion 4 - suele estar vacío, ya que se usa solo en el modo ad hoc.
carga útil - contiene los datos para la transmisión.
FCS - Esto se utiliza para el control de errores de la capa 2.
12.3.5
CSMA/CA
Las WLAN son configuraciones de medios compartidos semidúplex. Half-duplex signif ica
que solo un cliente puede transmitir o recibir en dado momento. Medios compartidos
significa que todos los clientes pueden transmitir y recibir en el mismo canal de radio. S Esto
crea un problema porque un cliente inalámbrico no puede escuchar mientras está enviando,
lo que hace que sea imposible detectar una colisión.
Para resolver este problema las WLAN utilizan el acceso múltiple con detección de operador
con evitación de colisiones (CSMA / CA) para determinar cómo y cuándo enviar datos. Un
cliente inalámbrico hace lo siguiente:
P á g i n a | 549
1. Escucha el canal para ver si está inactivo, es decir, no hay otro tráfico actualmente en el canal. El
canal es también llamado el portador.
2. Envía un mensaje Ready to Send (RTS) al AP para solicitar acceso dedicado a la red.
3. Recibe un mensaje Clear to Send (CTS) del AP que otorga acceso para enviar.
4. Si el cliente inalámbrico no recibe el mensaje CTS este espera una cantidad de tiempo aleatoria
antes de reiniciar el proceso.
5. Después de recibir el CTS, trasmite la información.
6. Todas las transmisiones son reconocidas. Si un cliente no recibe el reconocimiento, asume que
ocurrió una colisión y reinicia el proceso.
12.3.6
Descubre un AP inalámbrico
Autenticar con el AP.
Asociarse con el AP.
La figura muestra que para asociarse con un AP, un cliente inalámbrico atraviesa un proceso
de tres etapas. Una computadora portátil representa un cliente inalámbrico que se esta
comunicando de forma inalámbrica con un AP. Una flecha que fluye del cliente al AP
representa la etapa uno en la que el cliente descubre el AP. Abajo de eso una doble flecha
P á g i n a | 550
entre los dispositivos representa la etapa de autenticación. Abajo de eso una doble flecha
entre los dispositivos representa la etapa de asociación.
Para lograr una asociación exitosa, un cliente inalámbrico y un AP deben acordar parámetros
específicos: Para permitir la negociación de estos procesos, se deben configurar los
parámetros en el AP y posteriormente en el cliente.
SSID -El nombre del SSID aparece en la lista de redes inalámbricas disponibles en un cliente. En
organizaciones más grandes que usan múltiples VLAN para segmentar el tráfico, cada SSID se asigna
a una VLAN Según la configuración de la red, varios AP en una red pueden compartir un SSID.
Contraseña - el cliente inalámbrico la necesita para autenticarse con el AP.
Network mode - Esto se refiere a los estándares WLAN 802.11a/b/g/n/ac/ad. Los AP y routers
inalámbricos pueden funcionar en modo combinado, lo que significa que pueden utilizar varios
estándares al mismo tiempo.
Modo de seguridad - : se refiere a la configuración de los parámetros de seguridad, como WEP, WPA
o WPA2. Habilite siempre el nivel más alto de seguridad que se admita.
Configuración de canales - Se refiere a las bandas de frecuencia que se usan para transmi tir datos
inalámbricos. Los routers inalámbricos y los AP pueden escanear los canales de radiofrecuencia y
seleccionar automáticamente una configuración de canal adecuada. Los routers y los AP
inalámbricos pueden elegir la configuración de canales, o esta se puede definir manualmente si
existe interferencia con otro AP o dispositivo inalámbrico.
12.3.7
Un AP que envía tres frames beacon que contienen SSID, estándares compatibles y
configuraciones de seguridad que recibe un cliente inalámbrico.
En modo activo: los clientes inalámbricos deben conocer el nombre del SSID. El cliente
inalámbrico inicia el proceso al transmitir por difusión una trama de solicitud de sondeo en varios
canales. La solicitud de sondeo incluye el nombre del SSID y los estándares admitidos. Los AP
configurados con el SSID enviarán una respuesta de prueba que incluye el SSID, los estándares
admitidos y la configuración de seguridad. Si un AP o un router inalámbrico se configuran para
que no transmitan por difusión las tramas de señal, es posible que se requiera el modo activo.
Para descubrir las redes WLAN cercanas, un cliente inalámbrico también podría enviar una
solicitud de sondeo sin un nombre de SSID. Los AP configurados para transmitir por difusión
tramas de señal responderían al cliente inalámbrico con una respuesta de sondeo y
proporcionarían el nombre del SSID. Los AP con la característica de transmisión del SSID por
difusión deshabilitada no responden.
P á g i n a | 552
Un cliente inalámbrico está enviando una solicitud de prueba que contiene el SSID y los
estándares compatibles a un AP que envía una respuesta de prueba que contiene el SSID, los
protocolos compatibles y la configuración de seguridad.
12.3.8
Funcionamiento de CAPWAP
12.4.1
Video - CAPWAP
En el tema anterior aprendiste sobre la operación de WLAN. Ahora aprenderá sobre Control
y aprovisionamiento de puntos de acceso inalámbricos (CAPWAP).
Haga clic en Reproducir para ver un video sobre el protocolo de Control y aprovisionamie nto
de puntos de acceso inalámbrico (CAPWAP).
2:18
12.4.2
Introducción a la CAPWAP
CAPWAP es un protocolo estándar IEEE que permite que un WLC administre múltiples AP
y WLANs. CAPWAP también es responsable de la encapsulación y el reenvío del tráfico del
cliente WLAN entre un AP y un WLC.
Basado en LWAPP pero agrega seguridad adicional con Datagram Transport Layer Security
(DLTS). CAPWAP establece túneles en los puertos del Protocolo de datagramas de usuario
(UDP). CAPWAP puede operar sobre IPv4 o IPv6, pero usa IPv4 de manera predeterminada.
P á g i n a | 556
IPv4 e IPv6 pueden usar los puertos UDP 5246 y 5247. Sin embargo, los túneles CAPWAP
usan diferentes protocolos IP en el encabezado de la trama. IPv4 usa el protocolo IP 17 e
IPv6 usa el protocolo IP 136.
La figura muestra una pequeña red IPv4 o IPv6 en la nube. Un WLC se conecta a tres AP
usando CAPWAP.
12.4.3
AP Funciones MAC
Funciones WLC MAC
12.4.4
Encriptación de DTLS
DTLS es un protocolo que proporciona seguridad entre el AP y el WLC. Les permite
comunicarse mediante encriptación y evita escuchas o alteraciones.
DTLS está habilitado de manera predeterminada para asegurar el canal de control CAPWAP
pero está deshabilitado de manera predeterminada para el canal de datos, como se muestra
en la figura. Todo el tráfico de control y gestión CAPWAP intercambiado entre un AP y
WLC está encriptado y protegido de forma predeterminada para proporcionar privacidad en
el plano de control y evitar ataques de Man-In-the-Middle (MITM).
El cifrado de datos CAPWAP es opcional y se habilita para cada AP. El cifrado de datos está
deshabilitado de manera predeterminada y requiere que se instale una licencia DTLS en el
WLC antes de que se pueda habilitar en el AP. Cuando está habilitado, todo el tráfico del
cliente WLAN se encripta en el AP antes de reenviarse al WLC y viceversa.
12.4.5
AP FlexConnect
FlexConnect es una solución inalámbrica para las implementaciones en sucursales y oficinas
remotas. Le permite configurar y controlar puntos de acceso en una sucursal desde la oficina
corporativa a través de un enlace WAN, sin implementar un controlador en cada oficina.
P á g i n a | 558
Modo conectado - El WLC es accesible. En este modo, el AP FlexConnect tiene conectividad CAPWAP
con su WLC y puede enviar tráfico a través del túnel CAPWAP, como se muestra en la figura. El WLC
realiza todas las funciones CAPWAP.
Modo independiente - El WLC es inalcanzable. El AP FlexConnect ha perdido la conectividad
CAPWAP con el WLC. El AP FlexConnect puede asumir algunas de las funciones de WLC, como
cambiar el tráfico de datos del cliente localmente y realizar la autenticación del cliente localmente.
12.4.6
Administración de canales
12.5.1
Si la demanda de un canal específico es demasiado alta, es probable que ese canal se sature
en exceso. La saturación del medio inalámbrico degrada la calidad de la comunicación. Con
los años, se han creado una serie de técnicas para mejorar la comunicación inalámbrica y
aliviar la saturación. Estas técnicas mitigan la saturación de canales usándolos de manera
más eficiente.
Orthogonal Frequency-Division
Multiplexing (OFDM) - A subconjunto de
multiplexación por división de frecuencia en el
que un solo canal utiliza múltiples subcanales
en frecuencias adyacentes. Los subcanales
en un sistema OFDM son precisamente
ortogonales entre sí, lo que permite que los
subcanales se superpongan sin interferir.
OFDM es utilizado por varios sistemas de
comunicación, incluidos 802.11a/g/n/ac. El
nuevo 802.11ax utiliza una variación de
OFDM llamada acceso múltiple por división
de frecuencia ortogonal (OFDMA).
12.5.2
Selección de canales
Una práctica recomendada para las WLAN que requieren múltiples AP es utilizar canales no
superpuestos. Por ejemplo, los estándares 802.11b/g/n operan en el espectro de 2.4 GHz a
P á g i n a | 565
2.5GHz. La banda 2.4 GHz está subdividida en múltiples canales. Cada canal tiene un ancho
de banda de 22 MHz y está separado del siguiente canal por 5 MHz. El estándar 802.11b
identifica 11 canales para América del Norte, como se muestra en la figura (13 en Europa y
14 en Japón).
Nota: Busque en Internet canales de 5 GHz para obtener más información sobre los otros 16
canales disponibles y para conocer más sobre las variaciones de los diferentes países.
La interferencia ocurre cuando una señal se superpone a un canal reservado para otra señal,
causando una posible distorsión. La mejor práctica para las WLAN de 2.4GHz que requieren
múltiples AP es usar canales no superpuestos, aunque la mayoría de los AP modernos lo
harán automáticamente. Si hay tres AP adyacentes, use los canales 1, 6 y 11, como se muestra
en la figura.
Para los estándares de 5 GHz 802.11a/n/ac, hay 24 canales. La banda de 5Ghz está dividida
en tres secciones. Cada canal está separado del siguiente canal por 20 MHz La figura muestra
la primera sección de ocho canales para la banda de 5 GHz. Aunque hay una ligera
superposición, los canales no interfieren entre sí. La conexión inalámbrica de 5 GHz puede
proporcionar una transmisión de datos más rápida para clientes inalámbricos en redes
inalámbricas muy pobladas debido a la gran cantidad de canales inalámbricos no
superpuestos.
Nota: Busque en Internet canales de 5 GHz para obtener más información sobre los otros 16
canales disponibles y para conocer más sobre las variaciones de los diferentes países.
Al igual que con las WLAN de 2.4GHz, elija canales que no interfieran al configurar
múltiples AP de 5GHz adyacentes entre sí, como se muestra en la figura.
12.5.3
La figura muestra un
mapa de un lugar
con diferentes áreas,
entradas y salidas.
Hay círculos en
diferentes áreas para
limitar el área de
cobertura.
Si los AP van a utilizar el cableado existente o si hay ubicaciones donde no se pueden colocar AP,
tenga en cuenta estas ubicaciones en el mapa.
Tenga en cuenta todas las fuentes potenciales de interferencia que pueden incluir hornos de
microondas, cámaras de video inalámbricas, luces fluorescentes, detectores de movimiento o
cualquier otro dispositivo que use el rango de 2.4 GHz.
Coloque los AP por encima de las obstrucciones.
Coloque APs verticalmente cerca del techo en el centro de cada área de cobertura, si es posible.
Coloque los AP en ubicaciones donde se espera que estén los usuarios. Por ejemplo, una sala de
conferencias es una mejor locación para un AP que un pasilllo.
Si se configuró una red IEEE 802.11 para el modo mixto, los clientes inalámbricos pueden
experimentar velocidades más lentas de lo normal para admitir los estándares inalámbricos más
antiguos.
Al estimar el área de cobertura esperada de un AP, tenga en cuenta que este valor varía según
el estándar WLAN o la combinación de estándares implementados, la naturaleza de la
P á g i n a | 568
instalación y la potencia de transmisión para la que está configurado el AP. Siempre consulte
las especificaciones del AP cuando planifique áreas de cobertura.
12.5.4
Amenazas a la WLAN
12.6.1
12.6.2
Los ataques pueden ser generados por personas externas, empleados descontentos e incluso
involuntariamente por los empleados. Las redes inalámbricas son específicame nte
susceptibles a varias amenazas, incluidas las siguientes:
Intercepción de datos - Los datos inalámbricos deben estar encriptados para evitar que los espías
los lean.
Intrusos inalámbricos - Los usuarios no autorizados que intentan acceder a los recursos de la red
pueden ser disuadidos mediante técnicas de autenticación efectivas.
Ataques de denegación de servicio (DoS) - El acceso a los servicios WLAN puede verse
comprometido de forma accidental o maliciosa. Existen varias soluciones dependiendo de la fuente
del ataque DoS.
APs Falsos - Los AP no autorizados instalados por un usuario bien intencionado o con fines
maliciosos se pueden detectar utilizando un software de administración.
12.6.3
Ataques de DoS
Los ataques DoS inalámbricos pueden ser el resultado de:
12.6.4
Una vez conectado, el AP falso puede ser usado por el atacante para capturar direcciones
MAC, capturar paquetes de datos, obtener acceso a recursos de red o lanzar un ataque
intermediario.
Un punto de acceso a la red personal también podría usarse como un AP no autorizado, por
ejemplo, un usuario con acceso seguro a la red permite que su host Windows autorizado se
convierta en un AP Wi-Fi. Al hacerlo, elude las medidas de seguridad y otros dispositivos no
autorizados ahora pueden acceder a los recursos de la red como un dispositivo compartido.
12.6.5
Ataque man-in-the-middle
En un ataque intermediario (MITM por su sigla en inglés), el pirata informático se coloca
entre dos entidades legítimas para leer o modificar los datos que pasan entre las dos partes.
Hay muchas maneras de crear un ataque MITM.
Un actor de amenazas
en Bobs Latte ha usado
su computadora portátil
para configurar un
gemelo malvado usando
un SSID de Bob latte,
autenticación abierta y
canal 6.
Clientes inalámbrico que se tratan de conectar a una red WLAN podrían ver dos APs con el
mismo SSID ofreciendo acceso inalámbrico. Los que están cerca del AP falso encuentran la
señal más fuerte y probablemente se asocian con ella. El tráfico de usuarios ahora se envía al
AP falso, que a su vez captura los datos y los reenvía al AP legítimo, como se muestra en la
figura. El tráfico de retorno del AP legítimo se envía al AP falso, se captura y luego se reenvía
al usuario desprevenido. El atacante puede robar la contraseña del usuario, su informac ió n
personal, obtener acceso a su dispositivo y comprometer el sistema.
12.6.6
WLAN seguras
12.7.1
Haga clic para reproducir el video sobre técnicas de seguridad para WLANs.
7: 09
12.7.2
Para abordar las amenazas de mantener alejados a los intrusos inalámbricos y proteger los
datos, se utilizaron dos características de seguridad tempranas que aún están disponibles en
la mayoría de los enrutadores y puntos de acceso:SSID cloaking y MAC address filtering.
P á g i n a | 577
Encubrimiento SSID
12.7.3
12.7.4
Método de
Descripción
autenticación
Un estándar de alianza Wi-Fi que usa WEP, pero asegura los datos
Acceso Wi-Fi con un cifrado más sólido que el Protocolo de integridad de clave
protegido (WPA) temporal (TKIP). generación de hash. El TKIP cambia la clave para
cada paquete, lo que hace que sea mucho más difícil de hackear
12.7.5
Personales - (PSK). Destinados a redes domésticas o de pequeñas oficinas, los usuarios se autentican
utilizando una clave pre-compartida(PSK). Los clientes inalámbricos se autentican con el enrutador
inalámbrico utilizando una contraseña previamente compartida. no requiere un servidor de
autenticación especial.
empresa - destinado para redes empresariales pero requiere un servidor de autenticación de
Servicio de usuario de acceso telefónico de autenticación remota (RADIUS). Aunque requiere una
configuración más complicada, proporciona seguridad adicional. El servidor RADIUS debe autenticar
el dispositivo y luego los usuarios deben autenticarse utilizando el estándar 802.1X, que utiliza el
Protocolo de autenticación extensible (EAP) para la autenticación.
12.7.6
Métodos de encriptación
El cifrado suele utilizarse para proteger datos. Si un intruso ha capturado datos cifrados, no
podrá descifrarlos en un período de tiempo razonable.
Protocolo de integridad de clave temporal (TKIP) - TKIP es el método de encriptación utilizado por
WPA. Proporciona soporte para equipos WLAN heredados al abordar las fallas originales asociadas
con el método de encriptación WEP 802.11. Utiliza WEP, pero encripta la carga útil de la Capa 2
usando TKIP y realiza una Verificación de integridad de mensajes (MIC) en el paquete encriptado
para garantizar que el mensaje no haya sido alterado.
P á g i n a | 581
Estándar de cifrado avanzado (AES) - AES es el método de encriptación utilizado por WPA2. este es
el método preferido de cifrado porque es un método mucho más fuerte. Utiliza el modo de contador
de cifrado con el protocolo de código de autenticación de mensajes de bloqueo de cadena (CCMP)
que permite a los hosts de destino reconocer si se han alterado los bits encriptados y no encriptados.
En la figura el administrador está configurando el router inalámbrico para usar WPA2 con
cifrado AES en la banda 2.4 GHz.
12.7.7
Autenticación en la empresa
En redes que tienen requerimientos de seguridad estrictos, una autenticación adicional o
inicio de sesión es requerida para garantizar al cliente acceso inalámbrico. La elección del
modo de seguridad empresarial requiere un servidor RADIUS de autenticación, autorizac ió n
y contabilidad (AAA).
Dirección IP del servidor RADIUS - Esta es la dirección accesible del servidor RADIUS.
Números de puerto UDP - Los puertos UDP 1812 para la autenticación RADIUS y 1813 para la
contabilidad RADIUS, pero también pueden funcionar utilizando los puertos UDP 1645 y 1646.
Llave compartida - se utiliza para autenticar el AP con el servidor RADIUS.
La llave compartida no es un parámetro que debe ser configurado en un cliente inalámbr ico.
Solo se requiere en el AP para autenticarse con el servidor RADIUS. Nota: La autenticac ió n
y autorización del usuario se maneja mediante el estándar 802.1X, que proporciona una
autenticación centralizada basada en el servidor de los usuarios finales.
El proceso de inicio de sesión 802.1X utiliza EAP para comunicarse con el servidor AP y
RADIUS. EAP es un marco para autenticar el acceso a la red. Puede proporcionar un
mecanismo de autenticación seguro y negociar una clave privada segura que luego puede
usarse para una sesión de encriptación inalámbrica usando encriptación TKIP o AES.
12.7.8
WPA3
En el momento de este escrito los dispositivos que soportan autenticación WPA3
autenticación no están fácilmente disponibles. Sin embargo, WPA2 ya no se considera segura
WPA3, si está disponible, es el método de autenticación 802.11 recomendado. WPA3 incluye
cuatro características:
WPA3-personal
WPA3-empresa
Redes abiertas
Internet de las cosas (IoT)
WPA3-personal
Personal frustra este ataque utilizando la Autenticación Simultánea (SAE), una característica
especificada en el IEEE 802.11-2016. El PSK nunca es expuesto, haciéndolo imposible de
adivinar para el atacante.
WPA3-empresa
WPA3 - Empresa: Utiliza la autenticación 802.1X / EAP. Sin embargo, requiere el uso de
una suite criptográfica de 192 bits y elimina la combinación de protocolos de seguridad para
los estándares 802.11 anteriores. WPA3-Enterprise se adhiere a la Suite de Algoritmo de
Seguridad Nacional Comercial (CNSA) que se usa comúnmente en redes Wi-Fi de alta
seguridad.
Redes abiertas
Las redes abiertas en WPA2 envían tráfico de usuarios en texto claro no autenticado. En
WPA3, las redes Wi-Fi abiertas o públicas aún no utilizan ninguna autenticación. Sin
embargo, utiliza el cifrado inalámbrico oportunista (OWE) para cifrar todo el tráfico
inalámbrico.
IOT Integración
12.7.9
El estándar 802.11 identifica dos modos principales de topología inalámbrica: modo Ad hoc
y modo Infraestructura. El anclaje a red es usado para proveer un acceso inalámbrico rápido.
El modo de infraestructura define dos bloques de construcción de topología: un conjunto de
servicios básicos (BSS) y un conjunto de servicios extendidos (ESS). Todas las tramas 802.11
contienen los siguientes campos: control de frame, duración, dirección 1, dirección 2,
dirección 3, control de secuencia y dirección 4. WLANs usan CSMA/CA como el método
para determinar cómo y cuando enviar datos en la red. Una parte importante del proceso
802.11 es descubrir una WLAN y conectarse a esta. Los dispositivos inalámbricos descubren
un AP inalámbrico, se autentican con él y luego se asocian con él. Los clientes inalámbr icos
se conectan al AP mediante un proceso de exploración (sondeo) pasivo o activo.
CAPWAP es un protocolo estándar IEEE que permite que un WLC administre múltiples AP
y WLAN. El concepto CAPWAP dividir MAC realiza todas las funciones que normalme nte
realizan los AP individuales y las distribuye entre dos componentes funcionales: DTLS es un
protocolo que proporciona seguridad entre el AP y el WLC. FlexConnect es una solución
inalámbrica para las implementaciones en sucursales y oficinas remotas. Usted puede
configurar y controlar puntos de acceso en una sucursal desde la oficina corporativa a través
P á g i n a | 588
de un enlace WAN, sin implementar un controlador en cada oficina. Hay dos modos de
opción para FlexConnect AP: Conectado e independiente.
Las redes inalámbricas son susceptibles a amenazas, que incluyen: interceptación de datos,
intrusos inalámbricos, ataques DoS y puntos de acceso no autorizados. Los ataques DoS
inalámbricos pueden ser el resultado de: dispositivos mal configurados, un usuario
malintencionado que interfiere intencionalmente con la comunicación inalámbrica e
interferencia accidental. Un AP falso es un AP o un router inalámbrico que se ha conectado
a una red corporativa sin autorización explícita y en contra de la política corporativa. Una
vez conectado, el atacante puede ser utilizado por un atacante para capturar direcciones
MAC, capturar paquetes de datos, obtener acceso a recursos de red o lanzar un ataque de
hombre en el medio. Ataque man-in-the- middle: el agente de amenaza se coloca entre dos
entidades legítimas para leer, modificar o redirigir los datos que se transmiten entre las dos
partes. Un ataque de "AP gemelo malvado" es un ataque MITM inalámbrico popular en el
que un atacante introduce un AP falso y lo configura con el mismo SSID que un AP legítimo
Para evitar la instalación de puntos de acceso no autorizados, las organizaciones deben
configurar WLC con políticas de puntos de acceso no autorizados.
Para mantener alejados a los intrusos inalámbricos y proteger los datos, dos características
de seguridad tempranas todavía están disponibles en la mayoría de los enrutadores y puntos
de acceso: ocultamiento de SSID y filtrado de direcciones MAC. Hay cuatro técnicas de
autenticación de clave compartida disponibles: WEP, WPA, WPA2 y WPA3 (los
dispositivos con WPA3 aún no están disponibles fácilmente). Los routers domésticos suelen
tener dos opciones de autenticación: WPA y WPA2 WPA2 es el más fuerte de los dos El
cifrado suele utilizarse para proteger datos. Los estándares WPA y WPA2 usan los siguie ntes
métodos de cifrado: TKIP y AES. En redes que tienen requerimientos de seguridad estrictos,
una autenticación adicional o inicio de sesión es requerida para garantizar al cliente acceso
inalámbrico. La elección del modo de seguridad empresarial requiere un servidor RADIUS
de autenticación, autorización y contabilidad (AAA).
P á g i n a | 589
12.8.2
Algunos de nosotros recordamos conectarnos al Internet usando conexiones dial up. Para la
conexión dial up se usaba la linea telefónica fija. No era posible hacer o recibir llamadas con
el teléfono fijo mientras se navegaba en Internet. La conexión al Internet con dial up era muy
lenta. Básicamente, para la mayoría de las personas, su computadora estaba en un lugar fijo
en la casa o escuela.
Y después pudimos conectarnos al Internet sin usar las lineas telefónicas fijas. Sin embargo
nuestras computadoras estaban aún conectadas con cables a dispositivos que se conectaban
al Internet. Hoy en día podemos conectarnos al Internet usando dispositivos inalámbricos que
nos permitan llevar nuestros teléfonos, laptops y tablets prácticamente a cualquier lugar. Es
grandioso tener esa libertad de moverse, pero requiere de dispositivos intermediarios y finales
especiales y un buen entendimiento de los protocolos inalámbricos. ¿Desea obtener más
información? Entonces, ¡este es el modulo para ti!
13.0.2
Objetivo del Módulo: Implemente una WLAN con un router inalámbrico y WLC.
Configure una red inalámbrica Configure un WLC de red inalámbrica WLAN para que
WLAN WPA2 Enterprise en el use una interfaz VLAN, un servidor DHCP, y
WLC autenticación WPA2. Autenticación Enterprise
13.1.2
Router inalámbrico
Los trabajadores remotos, las oficinas pequeñas y las redes caseras, comúnmente usan
routers de casa y oficina pequeña. A estos routers en ocasiones se les llama routers
integrados porque típicamente incluyen un switch para dispositivos conectados por cable,
un puerto para conectarse al Internet (a veces llamado "WAN"), y componentes
inalámbricos para clientes de acceso inalámbrico, como se muestra en la figura del Cisco
Meraki MX64W. En lo que resta de este módulo, a los routers de casas y oficinas pequeñas
los llamaremos routers inalámbricos.
La figura muestra la parte de atrás de un router de casa o pequeña oficina. El router tiene
dos antenas, una de cada lado. En el lado izquierdo, hay un botón de reset. Al lado del
P á g i n a | 600
botón de reset hay cuatro puertos para conectar dispositivos LAN. Hay un puerto para la
conexión WAN y finalmente el botón de encendido y el puerto para el cable de energía.
La próxima imagen muestra la conexión física de una laptop cableada, hacia un router
inalámbrico, que a su vez se conecta a un modem DSL o cable modem para obtener
conectividad a Internet.
La imagen muestra la conexión física de una laptop cableada, hacia un router inalámbr ico,
que a su vez se conecta a un modem DSL o cable modem para obtener conectividad a Internet.
Muestra una persona sentada frente a una computadora de escritorio. Conectada en la parte
de atrás del escritorio de la computadora, hay un enlace que va al router inalámbrico y del
P á g i n a | 601
router inalámbrico hay un enlace hacia el modem de banda ancha. El modem de banda ancha
tiene una conexión serial al Internet que se muestra como una nube.
Nota: La configuración del módem por cable o DSL generalmente se realiza a través del
representante del proveedor de servicios, ya sea en el sitio o de manera remota, a través de
un tutorial con usted en el teléfono. Si usted compra el módem, el mismo vendrá con la
documentación sobre cómo conectarlo a su proveedor de servicios, lo que muy
probablemente incluirá el contacto con su proveedor de servicios para obtener más
información.
13.1.3
Para obtener acceso a la GUI de configuración del router inalámbrico, abra un navegador
web. En el campo Dirección, ingrese la dirección IP privada predeterminada de su router
inalámbrico. La dirección IP predeterminada se puede encontrar en la documentación que
viene con el router inalámbrico o se puede buscar en Internet. La figura muestra la dirección
IPv4 192.168.0.1, que es un valor predeterminado común para muchos fabricantes. Una
ventana de seguridad solicita autorización para acceder a la GUI del router. La palabra admin
se utiliza comúnmente como nombre de usuario y contraseña predeterminados. Nuevamente,
consulte la documentación del router inalámbrico o busque en Internet.
P á g i n a | 602
13.1.4
Después de iniciar sesión, se abre una GUI. La GUI tendrá las pestañas o menús para ayudarlo
a navegar en las distintas tareas de configuración del router. A menudo es necesario guardar
las opciones de configuración modificadas en una ventana antes de pasar a otra ventana. En
este punto, se recomienda realizar cambios en la configuración predeterminada.
Una vez que usted guarde la contraseña, el router inalámbrico solicitará autorización
nuevamente. Ingrese el nombre de usuario y la contraseña nueva, como se muestra e n el
ejemplo.
Cambie la dirección IPv4 predeterminada del router. Una práctica recomendada es utilizar
direcciones IPv4 privadas dentro de su red. En el ejemplo, se utiliza la dirección IPv4 10.10.10.1,
pero podría ser cualquier dirección IPv4 privada que elija.
5. Renovar la dirección IP
Al hacer clic en guardar, perderá temporalmente el acceso al router inalámbrico. Abra una
ventana de comandos y renueve su dirección IP con el comando ipconfig/renew, como se
muestra en el ejemplo.
Ingrese la nueva dirección IP del router para recuperar el acceso a la GUI de configuración del
router, como se muestra en el ejemplo. Ahora está listo para continuar con la configuración de
acceso inalámbrico en el router.
13.1.5
Configuración inalámbrica
La configuración básica de la red inalámbrica incluye los siguientes pasos:
Algunos routers inalámbricos le permiten escoger qué estándar 802.11 desea implementar. Este
ejemplo muestra que se ha seleccionado "Legacy". Esto significa que todos los dispositivos
inalámbricos que se conectan al router inalámbrico deben tener una variedad de NIC
inalámbricas instaladas. Los routers inalámbricos actuales configurados para el modo mixto
admiten, en su mayoría, las NIC 802.11a, 802.11n y 802.11ac.
3. Configurar el SSID
Asignar un SSID a las redes inalámbricas WLANs. OfficeNet se usa en el ejemplo para todas
las tres redes WLANS (la tercera WLAN no se muestra). El router inalámbrico anuncia su
presencia mediante el envío de broadcasts que anuncian su SSID. Esto le permite a los hosts
inalámbricos detectar automáticamente el nombre de la red inalámbrica. Si la difusión del SSID
está desactivada, debe introducir manualmente el SSID en cada dispositivo inalámbrico que se
conecte a la WLAN.
4 Configurar el canal
Los dispositivos configurados con el mismo canal dentro de la banda de 2,4 GHz pueden
superponerse y causar distorsión, lo que disminuye el rendimiento inalámbrico y potencialmente
podría interrumpir las conexiones de red. La solución para evitar la interferencia es configurar
canales que no se superpongan en los routers inalámbricos y los puntos de acceso cercanos
entre sí. Específicamente, los canales 1, 6 y 11 son canales que no se superponen. En el
ejemplo, el router inalámbrico está configurado para utilizar el canal 6.
6. Configurar la contraseña.
La WPA2 Personal utiliza una contraseña para autenticar a los clientes inalámbricos. La WPA2
personal es más fácil de usar en entornos de oficinas pequeñas o domésticas, ya que no
requiere un servidor de autenticación. Las organizaciones más grandes implementan la WPA2
Enterprise y requieren que los clientes inalámbricos se autentiquen con un nombre de usuario
y una contraseña.
P á g i n a | 611
13.1.6
La imagen muestra dos puntos de acceso inalámbricos en una red de oficina pequeña o casa.
Los puntos de acceso inalámbrico se conectan de manera inalámbrica a un router. El router
inalámbrico está conectado a un módem de banda ancha. El módem de banda ancha esta
conectado a una nube mostrando el Internet. Hay flechas apuntando desde el punto de acceso
inalámbrico que muestra los ajustes de configuración. Un punto de acceso inalámbrico esta
en el canal 1 en 2.4GHz y el otro en el canal 11 en 2.4GHz.
Extender una WLAN en una oficina pequeña o en el hogar se vuelve cada vez más fácil. Los
fabricantes han creado una red de Malla Inalámbrica (WMN) a través de aplicaciones de
teléfono inteligente. Usted compra el sistema, dispersa los puntos de acceso, los conecta,
P á g i n a | 612
descarga la aplicación y configura su WMN en pocos pasos. Para encontrar las reseñas de las
ofertas actuales, busque en Internet "el mejor sistema de red de Malla Inalámbrica".
13.1.7
Algunos ISP utilizan la asignación de direcciones privadas para conectarse a los dispositivos
del cliente. Sin embargo, al final, su tráfico abandonará la red del proveedor y se enrutará en
Internet. Para ver las direcciones IP de sus dispositivos, busque "Cuál es mi dirección IP" en
P á g i n a | 613
Internet. Haga esto para otros dispositivos en la misma red y verá que todos comparten la
misma dirección IPv4 pública. NAT hace esto posible realizando un rastreo de los números
de puerto de origen para cada sesión establecida por dispositivo. Si su ISP tiene la IPv6
habilitada, verá una dirección IPv6 única para cada dispositivo.
13.1.8
Calidad de servicio
Muchos routers inalámbricos tienen una opción para configurar la Calidad de Servicio (QoS).
Al configurar QoS, puede garantizar que ciertos tipos de tráfico, como voz y video, tengan
prioridad sobre el tráfico que no es sensible a retrasos, como el correo electrónico y la
navegación web. En algunos routers inalámbricos, también se puede priorizar el tráfico en
puertos específicos.
La figura es un boceto simplificado de una interfaz de QoS basada en una GUI de Netgear.
Por lo general, encontrará la configuración de QoS en los menús avanzados. Si tiene un router
inalámbrico disponible, investigue las configuraciones de QoS. A veces, es posible que se
enumeren bajo "Control de Ancho de Banda" o algo similar. Consulte la documentación del
router inalámbrico o busque "configuraciones de QoS" en Internet para la marca y el modelo
de su router.
P á g i n a | 614
13.1.9
Reenvío de Puerto
Los routers inalámbricos comúnmente se pueden utilizar para bloquear puertos TCP y UDP,
a fin de impedir el acceso no autorizado entrante y saliente de una LAN. No obstante, existen
situaciones en las que deben abrirse puertos específicos para que determinados programas y
aplicaciones puedan comunicarse con dispositivos de otras redes. El Reenvío de Puerto es un
método basado en reglas que permite dirigir el tráfico entre dispositivos de redes separadas.
Una vez que el tráfico llega al router, este determina si debe reenviarse el tráfico a
determinado dispositivo según el número de puerto que se encuentra en el tráfico. Por
ejemplo, se puede configurar un router para que reenvíe el puerto 80, que esta asociado con
HTTP. Cuando el router recibe un paquete con el puerto de destino 80, reenvía el tráfico al
servidor interno de la red que sirve a las páginas web. En la figura, el reenvío de puerto está
habilitado para el puerto 80 y se asigna al servidor web en la dirección IPv4 10.10.10.50.
La activación de puertos permite que el router reenvíe datos temporalmente mediante puertos
entrantes a un dispositivo determinado. Se puede utilizar la activación de puertos para
reenviar datos a una PC, solo si se utiliza un rango de puertos designados para realizar una
solicitud saliente. Por ejemplo, un videojuego puede utilizar los puertos 27000 a 27100 para
establecer una conexión con otros jugadores. Estos son los puertos de activación. Un cliente
de chat puede utilizar el puerto 56 para conectar a los mismos jugadores, a fin de que
interactúen entre sí. En este caso, si existe tráfico de juegos en un puerto saliente dentro del
rango de puertos activados, el tráfico de chat entrante que corresponde al puerto 56 se reenvía
a la PC que se utiliza para jugar el videojuego y para chatear con amigos. Una vez que fina liza
el juego y dejan de utilizarse los puertos activados, el puerto 56 ya no puede enviar tráfico
de ningún tipo a esta PC.
P á g i n a | 615
13.1.10
13.1.11
Haga clic en Reproducir para ver la demostración de como configurar un WLC 3504 Cisco con
conectividad WLAN.
13.2.2
Topología WLC
Para topologia y el esquema de direccionamiento usados en los videos y este tema se muestran
en la figura y en la tabla. El punto de acceso (AP) es basado en un controlador, que es diferente
a un AP autónomo. Recuerde que los puntos de acceso basados en controlador no necesitan
una configuración inicial y normalmente se les denomina Puntos de Acceso Lightweight (LAPs).
Los puntos de acceso LAP usan el Protocolo Lightweight Access Point Protocol (LWAPP) para
comunicarse con el controlador WLAN (WLC). Los puntos de acceso basados en controlador
son útiles en situaciones en las que se necesitan varios puntos de acceso en la red. Conforme
se agregan puntos de acceso, cada punto de acceso es configurado y administrado de manera
automática por el WLC.
Topología
El punto de acceso tiene
PoE, lo que significa que
recibe electricidad por
medio del cable Ethernet
que esta conectado al
switch.
Tabla de Direcciones
P á g i n a | 618
13.2.3
Nota: Las figuras de este tema que muestran la interfaz gráfica (GUI) y los menús, son del
Controlador Inalámbrico Cisco 3504. Sin embargo, otros modelos de WLC tienen menús y
características similares.
La figura muestra un usuario iniciando sesión en el WLC con los credenciales que fueron
configurados en la configuración inicial.
La página de Network Summary es un panel que provee una visión rápida del número de redes
inalámbricas configuradas, los puntos de acceso asociados y los clientes activos. También se
puede ver la cantidad de puntos de acceso dudosos y los clientes, como se muestra en la figura.
P á g i n a | 619
13.2.4
El AP en la topología es un Cisco Aironet 1815i, lo cual significa que se puede usar la línea de
comandos y una cantidad limitada comandos de IOS. En el ejemplo, el administrador de la red
hizo ping a la puerta de enlace, hizo ping al WLC, y verificó la interfaz conectada con cable.
13.2.5
Configuración Avanzada
La mayoría de los WLC tienen configuraciones básicas y menús que los usuarios pueden
accesar rápidamente para implementar una variedad de configuraciones comunes. Sin
embargo, como administrador de la red, usted comúnmente accederá a la configuración
avanzada. En el Wireless Controller Cisco 3504, haga clic enAdvanced en la esquina superior
derecha para accesar la páginaSummary, como se muestra en la figura. Desde aquí, usted
puede acceder a toda la configuración del WLC.
P á g i n a | 621
13.2.6
La figura muestra el frente de un controladora inalámbrico Cisco 3504. Tiene 2 p uertos para
administración fuera de banda, un puerto de consola, un puerto de consola mini -usb, un puerto
USB 3.0, un puerto 5G, y cuatro puertos Gigabit.
1. Crear la WLAN.
2. Aplicar y activar la WLAN
3. Seleccionar una interfaz.
4. Asegurar la WLAN
5. Verificar que la WLAN este funcionando
6. Monitorear la WLAN
7. Ver la información del cliente inalámbrico
1. Crear la WLAN.
P á g i n a | 622
Después de hacer clic en Apply, el administrador de la red debe habilitar la WLAN antes de que
sea accesado por los usuarios, como se muestra en la figura. La casilla de verificación Enabled
permite al administrador configurar una variedad de funciones para la WLAN, así como WLANs
adicionales, antes de habilitarlas para que sean accesibles para los clientes. Desde aquí, el
administrador de la red puede configurar una variedad de funciones para la WLAN incluyendo
seguridad, QoS, políticas y otras configuraciones avanzadas.
P á g i n a | 623
Cuando crea la red WLAN, debe seleccionar la interfaz que llevara el trafico del WLAN La
próxima figura muestra la selección de una interfaz que ya ha sido creada en el WLC.
Aprenderemos como crear interfaces mas adelante en este modulo.
4. Asegurar la WLAN
Haga clic en la pestaña de Security para accesar todas las opciones disponibles para asegurar
la red LAN. El administrador de la red desea asegurar la Capa 2 con WPA2 -PSK. WPA2 y
802.1X están definidos de manera predeterminada. En el menú de Security de Capa 2, debe
verificar que WPA+WPA2 esta seleccionado (no se muestra). Haga clic en PSK y ponga el pre-
shared key, como se muestra en la figura. Luego, haga clic en Apply. Esto habilitará la WLAN
con autenticación WPA2-PSK. A partir de ahora, los clientes inalámbricos que conozcan el pre-
shared key pueden asociarse y autenticarse con el punto de acceso.
P á g i n a | 624
Haga clic en WLANs en el menú de la izquierda, para ver la nueva WLAN configurada. En la
figura, puede verificar que el ID del WLAN esta configurado con el nombre y
SSID Wireless_LAN, que esta activo, y que esta usando seguridad WPA2 PSK.
6. Monitorear la WLAN
Haga clic en la pestaña Monitor en la parte superior para acceder de nuevo a la pagina
avanzada Summary. Aquí puede ver que Wireless_LAN ahora tiene un cliente usando sus
servicios, como se muestra en la figura.
P á g i n a | 625
Haga clic en Clients en el menú de la derecha para ver mas información sobre los clientes
conectados al WLAN, como se muestra en la figura. Un cliente esta conectado
a Wireless_LAN a través de un punto de acceso y se le asigno la dirección IP 192.168.5.2. Los
servicios de DHCP en esta topologia son dados por el router.
13.2.7
Configuraciones de redes inalámbricas WLAN / Configure una red inalámbrica WLAN WPA2
Enterprise en el WLC
Haga clic en reproducir en la figura para ver una demostración de como configurar servicios de
SNMP y RADIUS en el WLC.
13.3.2
SNMP y RADIUS
EN la figura, PC-A esta ejecutando software de servidor de Protocolo Simple de Administración
de Red (SNMP) y de Servicio de Autenticación Remota de Usuario de Discado (RADIUS).
SNMP se utiliza para monitorear la red El administrador de la red desea que el WLC reenvíe
mensajes de registro de SNMP, llamados traps, al servidor SNMP.
P á g i n a | 627
Además, para la autenticación con el WLAN, el administrador de la red desea usar el servidor
RADIUS para los servicios de autenticación, autorización y registro (AAA). En vez de ingresar
una llave pre-compartida para autenticarse, como se hace con WPA2-PSK, los usuarios
ingresan sus propio usuario y contraseña. Los credenciales serán verificados en el servidor
RADIUS. De esta manera, el acceso de cada usuario puede ser rastreado y auditado de manera
individual, de ser necesario las cuentas de usuario pueden ser agregadas o modificadas desde
una locación central. El servidor RADIUS es requerido cuando las redes WLAN están usando
autenticación WPA2 Enterprise.
Nota: La configuración del servidor SNMP y del servidor RADIUS esta fuera del alcance de
este modulo.
13.3.3
en SNMP para expandir los sub-menús, y luego haga clic enTrap Receivers. Haga clic
en New... para configurar un nuevo recibidor de SNMP trap, como se muestra en la figura.
Agregue el nombre del SNMP Community y la dirección IP (IPv4 o IPv6) del servidor SNMP.
Haga clic en Apply. Ahora el WLC enviará los mensajes de registro de SNMP al servidor SNMP.
13.3.4
Para configurar el WLC con la información del servidor RADIUS, haga clic en SECURITY tab
> RADIUS > Authentication. No existen servidores RADIUS configurados Haga clic
en Nuevo... para agregar la PC-A como el servidor RADIUS.
Agregue la direccion IPv4 para PC-A y el secreto compartido. Esta es la contraseña que se usa
entre el WLC y el servidor RADIUS. No es para los usuarios Haga clic en Apply, como se
muestra en la figura.
13.3.5
13.3.6
El administrador de la red ha decidido que la nueva WLAN use la interfaz VLAN 5 y la red
192.168.5.0/24. R1 ya tiene un sub-interfaz configurada y activa para VLAN 5, tal como se
muestra en la topología y en la salida del comando show ip interface brief.
13.3.7
Para agregar una nueva interfaz, haga clic en CONTROLLER > Interfaces > New..., como se
muestra en la figura.
En empresas grandes, los WLCs se configuran para que reenvíen los mensajes de DHCP a un
servidor dedicado. Desplazasece hacia abajo en la pagina para configurar el servidor DHCP
primario con la dirección IPv4 192.168.5.1, como se muestra en la figura. Esta es la dirección
del router de puerta de enlace predeterminado. El router esta configurado con un pool de DHCP
para la red WLAN. Conforme los dispositivos host se unen a la WLAN asociada con la interfaz
VLAN 5, van recibiendo las direcciones IP de este pool.
5. Aplicar y Confirmar
Desplazasece hacia arriba y haga clic en Apply, como se muestra en la figura. Haga clic
en OK para el mensaje de advertencia.
6. Verificar interfaces
P á g i n a | 635
Haga Click Interfaces. La nueva interfaz vlan5, ahora se muestra en la lista de interfaces con
su dirección IPv4, como se muestra en la figura.
13.3.8
3: 35 0:00
13.3.9
Un alcance DHCP es muy similar a un pool de DHCP en un router. Puede incluir una variedad
de información como grupos de direcciones para asignar a los clientes de DHCP, información
del servidor DNS, tiempos de asignación y mas. Para configurar un nuevo alcance DHCP, haga
clic en Internal DHCP Server > DHCP Scope > New..., como se muestra en la figura.
Volverá a la páginaDHCP Scopes y ahí verifique que el alcance está listo para ser configurado.
Haga clic en el nombre del nuevo alcance para configurar el alcance de DHCP.
El administrador de red será llevado de vuelta la página de DHCP Scopes y podrá verificar que
el alcance está listo para ser asignado a una nueva WLAN.
13.3.10
13.3.11
Haga clic en la pestaña WLANs y luego en Ir para crear una nueva WLAN, como se muestra
en la figura.
Rellene con el nombre del perfil y el SSID Con el fin de ser consistente con la VLAN que fue
previamente configurada, escoja un ID de 5. Sin embargo, puede usar cualquier valor
disponible. Haga clic en Apply, para crear una nueva WLAN, como se muestra en la figura.
La WLAN ha sido creada pero aun necesita activarse y asociarse con la interfaz VLAN correcta.
Cambiar el estado de Enabled y escoger vlan5 en la lista desplegable de Interface/Interface
Grupo(G). Haga clic en Aplicar y haga clic en OK para aceptar el mensaje emergente, como se
muestra en la figura.
2.-Escoger vlan5.
Haga clic en la pestaña Security para ver la configuración predeterminada de seguridad para
la WLAN nueva. La WLAN usará seguridad WPA2 con encripción AES. El tráfico de
autenticación es manejado por 802.1X entre el WLC y el servidor RADIUS.
P á g i n a | 642
Ahora necesitamos seleccionar el servidor RADIUS que va a usarse para autenticar los
usuarios de esta WLAN. Haga clic en la ficha AAA Servers. En la lista desplegable
seleccionar el servidor RADIUS que fue configurado previamente en el WLC. Aplique los
cambios.
P á g i n a | 643
Para verificar que la nueva WLAN esta listada y activa, haga clic en Back o en el sub-menú
WLANs a la izquierda. Tanto la WLAN Wireless_LAN como la WLAN CompanyName están
listadas. En la figura, note que ambos están activos. Wireless_LAN esta usando WPA2 con
autenticación PSK. CompanyName esta usando seguridad WPA2 con autenticación 802.1X.
P á g i n a | 644
13.3.12
Los problemas de red pueden ser simples o complejos, y pueden ser el resultado de una
combinación de problemas de hardware, software y conectividad. Los técnicos informáticos
deben ser capaces de analizar el problema y determinar la causa del error para poder reparar
el problema de red. Este proceso se denomina “solución de problemas”.
Para resolver problemas de red de cualquier tipo, se debe seguir un proceso sistemático. Una
metodología de solución de problemas común y eficaz se basa en el método científico, y se
puede dividir en los seis pasos importantes que se muestran en la ilustración.
P á g i n a | 645
13.4.2
¿Qué tan lejos esta la PC del punto de acceso? ¿Está la PC fuera del área planeada de
cobertura (BSA)?
Revise la configuración del canal en el cliente inalámbrico. El software del cliente debería
detectar el canal siempre que el SSID sea el correcto.
Revise si existen otros dispositivos en el área que puedan estar interfiriendo con la banda de
2.4 GHz. Algunos dispositivos como por ejemplo, teléfonos inalámbricos, monitores de bebes,
hornos microondas, sistemas de seguridad inalámbricos, y potencialmente puntos de acceso no
autorizados. Los datos enviados por estos dispositivos pueden causar interferenci a con la
WLAN y problemas intermitentes de conexión entre un cliente inalámbrico y un AP.
Lo siguiente, asegúrese de que todos los dispositivos estén presentes. Considere la posibilidad
de un problema de seguridad física. ¿Hay suficiente energía para todos los dispositivos y están
todos encendidos?
P á g i n a | 647
Finalmente, inspeccione los enlaces entre los dispositivos cableados y revise que no existan
conectores malos o cables que falten o estén dañados. Si la parte física en su bien, verifique la
LAN cableada, haciendo ping a los dispositivos, incluyendo el AP. Si la conectividad sigue
fallando a este punto, puede que algo este malo en el AP o su configuración.
Cuando el usuario de la PC es descartado como posible fuente del problema, y el estado físico
de los dispositivos ha sido confirmado, empiece a investigar el desempeño del AP. Revise el
estado de energía en el punto de acceso.
13.4.3
Actualizar sus clientes inalámbricos - Los dispositivos antiguos 802.11b, 802.11g, e incluso
los 802.11n pueden hacer que toda la red WLAN funcione mas lento. Para un mejor desempeño,
todos los dispositivos deben soportar el mejor estándar aceptado. Aunque 802.11ax fue lanzado
en el 2019, 802.11ac es posiblemente el estándar mas alto que las empresas pueden utilizar.
Divida el tráfico - La manera mas sencilla de mejorar el desempeño de la red inalámbrica es
dividir el trafico entre la banda 802.11n de 2.4 GHz y la banda de 5 GHz. Por lo tanto, 802.11n
(o alguno mejor) puede usar ambas bandas como dos redes separadas para ayudar a manejar
mejor el trafico. Por ejemplo, use la red de 2.4 GHz para tareas básicas en internet, como la
navegación web, email. y descargas, y use la de 5 GHz para transmitir multimedia, como se ve
en la figura.
La banda de 2.4 GHz puede ser muy útil para manejo de trafico en internet básico que no es
sensible al tiempo.
El ancho de banda se puede compartir con otros WLANs cercanos.
La banda 5 GHz esta mucho menos concurrida que la banda de 2.4 Ghz, lo que la hace ideal
para transmitir multimedia.
La banda de 5 GHz tiene mas canales, por lo tanto, el canal que se usa esta posiblemente libre
de interferencia.
Los routers y APs de doble banda usan el mismo nombre de red tanto en la banda de 2.4 Ghz
como en la de 5 Ghz de manera predeterminada. La manera más sencilla de segmentar el
trafico es renombrar una de las redes inalámbricas. Con un nombre separado y que sea
descriptivo, es mas fácil conectarse a la red correcta.
Para mejorar el rango de una red inalámbrica, asegúrese de que la ubicación del router
inalámbrico o AP se encuentre libre de obstrucciones como muebles, accesorios y
electrodomésticos altos. Estos bloquean la señal, lo cual acorta el rango de la WLAN. Si esto
no resuelve el problema, puede que necesite usar un Extensor de Rango de Wi-Fi o implementar
la tecnología inalámbrica Powerline.
13.4.4
Actualizar el Firmware
La mayoría de los routers y AP inalámbricos ofrecen firmware actualizable. Las versiones de
firmware pueden contener correcciones de problemas comunes informados por los clientes así
como las vulnerabilidades de seguridad. Revise periódicamente el sitio web del fabricante para
ver el firmware actualizado. En la figura, se puede ver que el administrador de la red esta
verificando que el firmware este actualizado en un AP Cisco Meraki.
P á g i n a | 649
En un WLC, es muy posible que se pueda actualizar el firmware de todos los APs que son
controlados por el WLC. En la próxima figura, el administrador de la red esta descargando la
imagen del firmware que se usara para actualiza todos los APs.
En un controlador inalámbrico Cisco 3504, haga clic en WIRELESS tab > Access Point desde
el menú de la izquierda >sub-menú Global Configuration. Luego diríjase hasta el fondo de la
pagina hacia la sección de Pre-descarga.
13.4.5
WLAN Configuration
WLAN Configuration
13.5.2
Los puntos de acceso LAP usan el Protocolo Lightweight Access Point Protocol (LWAPP)
para comunicarse con el controlador WLAN (WLC). Configurar un controlados de LAN
inalámbrico (WLC) es similar a configurar un router inalámbrico, excepto que un WLC
controla los puntos de acceso y provee mas capacidades de administración y servicios. Use
la interfaz del WLC para ver un panorama completo del sistema de información y desempeño
de los puntos de acceso, para accesar la configuración avanzada y para configurar una
WLAN.
P á g i n a | 651
SNMP se utiliza para monitorear la red El WLC esta configurado para enviar todos los
registros de SNMP al servidor, utilizando traps. Para la autenticación de usuarios en en
WLAN, se utiliza un servidor RADIUS para autenticación, autorización y registro(AAA).
Acceso de un usuario puede ser monitoreado y auditado Use la interfaz del WLC para
configurar el servidor SNMP y la información del servidor RADIUS, las interfaces VLAN,
el alcance DHCP y una WLAN WPA2 Enterprise.
13.5.3
No importa cuán eficaz sea la configuración de la red, algo siempre dejará de funcio nar
correctamente o incluso dejará de funcionar completamente. Esta es una simple verdad sobre
la creación de redes. Por lo tanto, a pesar de que ya sabe bastante sobre el enrutamie nto,
todavía necesita saber cómo funcionan sus routers. Este conocimiento es fundamental si
desea poder solucionar problemas de su red. Este módulo entra en detalle sobre el
funcionamiento de un router. ¡Súbete!
14.0.2
Objetivos del módulo: Explique cómo los routers utilizan la información en los paquetes
para tomar decisiones de reenvío.
P á g i n a | 662
Determinación de trayecto:
14.1.1
Los switches Ethernet se utilizan para conectar dispositivos finales y otros dispositivos
intermediarios, como otros conmutadores Ethernet, a la misma red. Un router conecta varias
redes, lo que significa que posee varias interfaces, cada una de las cuales pertenece una red
IP diferente.
Cuando un router recibe un paquete IP en una interfaz, determina qué interfaz debe usar para
reenviar el paquete hacia el destino. Esto se conoce como enrutamiento. La interfaz que usa
el router para reenviar el paquete puede ser el destino final o una red conectada a otro router
que se usa para llegar a la red de destino. Generalmente, cada red a la que se conecta un router
requiere una interfaz separada, pero puede que este no siempre el caso.
Las funciones principales de un router son determinar la mejor ruta para reenviar paquetes
basándose en la información de su tabla de enrutamiento, y reenviar paquetes hacia su
destino.
14.1.2
La animación representa dos redes LAN con hosts conectados por dos routers R1 y R2. Se
anima un paquete que atraviesa la conexión de una LAN a la otra LAN. Las pantallas del
router aparecen FOR R! y R2 que muestran las direcciones IP v.4 coincidentes en el router
pasando de una red a otra.
P á g i n a | 663
14.1.3
La mejor coincidencia es la ruta de la tabla de routing que contiene la mayor cantidad de bits
del extremo izquierdo coincidentes con la dirección IPv4 de destino del paquete. La ruta con
P á g i n a | 664
la mayor cantidad de bits del extremo izquierdo equivalentes, o la coincidencia más larga, es
siempre la ruta preferida.
Nota: El término longitud del prefijo se utilizará para hacer referencia a la parte de red de
direcciones IPv4 e IPv6.
14.1.4
14.1.5
longitud del prefijo. La primera entrada de ruta con una longitud de prefijo de /40 coincide
con los 40 bits del extremo izquierdo de la dirección IPv6. La segunda entrada de ruta tiene
una longitud de prefijo de /48 y con los 48 bits que coinciden con la dirección IPv6 de destino,
y es la coincidencia más larga. La tercera entrada de ruta no coincide porque su prefijo /64
requiere 64 bits coincidentes. Para que el prefijo 2001:db8:c 000:5555: :/64 sea una
coincidencia, los primeros 64 bits deben ser la dirección IPv6 de destino del paquete. Solo
coinciden los primeros 48 bits, por lo que esta entrada de ruta no se considera una
coincidencia.
Para el paquete IPv6 de destino con la dirección 2001:db8:c000: :99, considere las tres
entradas de ruta siguientes:
14.1.6
La figura muestra tres tipos de redes Directed Connected Network, Remote Network y
Default Route. El Router1 (R1) es la red conectada directamente con dos conmutadores S1 y
S2 conectados a dos PC1 y PC2. El switch está conectado al router R1. R1 y Router2 (R2)
se conectan directamente a través de una conexión punto a punto. R2 está conectado dos
conmutadores S# y S4 con cada conmutador que tiene un PC PC3 y P4 conectado a ellos. R2
forma la red remota. R2 tiene una conexión remota adicional al ISP mediante una conexión
punto a punto que es la conexión a Internet. El esquema numérico para cada dispositivo es
direcciones IPv4 e IPv6 de doble pila.
P á g i n a | 666
Las redes en la topología se resaltan y etiquetan desde la perspectiva de R1. Todas las redes
IPv4 e IPv6 resaltadas en amarillo son redes conectadas directamente. Todas las redes IPv4
e IPv6 resaltadas en azul son redes remotas.
Las redes conectadas directamente son redes que están configuradas en las interfaces activas
de un router. Una red conectada directamente se agrega a la tabla de enrutamiento cuando
una interfaz se configura con una dirección IP y una máscara de subred (longitud de prefijo)
y está activa (arriba y arriba).
Redes remotas
Las redes remotas son redes que no están conectadas directamente al router. Un router
descubre redes remotas de dos maneras:
P á g i n a | 667
Ruta predeterminada
Una ruta predeterminada específica un router de salto siguiente que se utilizará cua ndo la tabla
de enrutamiento no contiene una ruta específica que coincida con la dirección IP de destino. La
ruta predeterminada puede configurarse manualmente como ruta estática o puede introducirla
el protocolo de routing.
Una ruta predeterminada sobre IPv4 tiene una entrada de ruta de 0.0.0.0/0 y una ruta
predeterminada sobre IPv6 tiene una entrada de ruta de: :/0. La longitud del prefijo /0 indica que
cero bits o ningún bit deben coincidir con la dirección IP de destino para que se utilice esta
entrada de ruta. Si no hay rutas con una coincidencia más larga, más de 0 bits, entonces la ruta
predeterminada se utiliza para reenviar el paquete. A veces, la ruta predeterminada se conoce
como una puerta de enlace de último recurso.
14.1.7
Compruebe su comprensión -
Determinación de la ruta
Verifique su comprensión de routers eligiendo la MEJOR respuesta a las siguientes preguntas.
P á g i n a | 668
P á g i n a | 669
P á g i n a | 670
Reenvío de paquetes
14.2.1
La figura muestra cómo un router determina primero la mejor ruta y, a continuación, reenvía
el paquete. Hay 5 pasos representados:
P á g i n a | 671
Si la entrada de ruta indica que la interfaz de salida es una red conectada directamente, esto
significa que la dirección IP de destino del paquete pertenece a un dispositivo de la red
conectada directamente. Por lo tanto, el paquete se puede reenviar directamente al dispositivo
de destino. El dispositivo de destino suele ser un dispositivo final en una LAN Ethernet, lo
que significa que el paquete debe estar encapsulado en una trama Ethernet.
Para encapsular el paquete en la trama Ethernet, el router necesita determinar la direcc ión
MAC de destino asociada a la dirección IP de destino del paquete. El proceso varía según si
el paquete es un paquete IPv4 o IPv6:
Paquete IPv4 : el router comprueba su tabla ARP para la dirección IPv4 de destino y una
dirección MAC Ethernet asociada. Si no hay coincidencia, el router envía una solicitud ARP.
El dispositivo de destino devolverá una respuesta ARP con su dirección MAC. El router
ahora puede reenviar el paquete IPv4 en una trama Ethernet con la dirección MAC de
destino adecuada. Paquete IPv6 : el router comprueba su caché de vecino para la dirección
IPv6 de destino y una dirección MAC Ethernet asociada. Si no hay coincidencia, el router
envía un mensaje ICMPv6 Neighbor Solicitation (NS). El dispositivo de destino devolverá
un mensaje ICMPv6 Neighbor Advertisement (NA) con su dirección MAC. El router ahora
puede reenviar el paquete IPv6 en una trama Ethernet con la dirección MAC de destino
adecuada.
P á g i n a | 672
Si la entrada de ruta indica que la dirección IP de destino está en una red remota, esto significa
que la dirección IP de destino del paquete pertenece a un dispositivo de red que no está
conectado directamente. Por lo tanto, el paquete debe ser reenviado a otro enrutador,
específicamente a un router de siguiente salto. La dirección de salto siguiente se indica en la
entrada de ruta.
14.2.2
Reenvío de paquetes
Una responsabilidad principal de la función de switching es la de encapsular los paquetes en
el tipo de marco de enlace de datos correcto para el enlace de datos de salida. Por ejemplo,
el formato de marco de vínculo de datos para un vínculo serie podría ser el protocolo punto
a punto (PPP), el protocolo de control de enlace de datos de alto nivel (HDLC) o algún otro
protocolo de capa 2.
En la primera animación, PC1 envía un paquete a PC2. Si no existe ninguna entrada ARP
para el gateway predeterminado en la tabla ARP, la PC1 envía una solicitud de ARP. El
router R1 devolvería una respuesta ARP.
P á g i n a | 673
El diagrama de red es PC1 conectado a PC2 a través de routers R1, R2 y R3. PC1 es
192.168.1.10 en la red 192.168.1.0/24 conectada a R1. R1 está conectado a R2 en la red
192.168.2.0/14 con conexiones Gigabit R1 G0/0/1 192.168.2.1 conectadas a R2 G/0/0
192.168.2.2. R2 se conecta a R3 en la red 192.168.3.0/24. R2 S0/1/0 102.168.3.1 se conecta
a R3 S0/1/0 192.168.3.2 en interfaces serie.. R3 se conecta a PC2 en la red 192.168.4.0/24.
La conexión de interfaz para R3 G0/0/0 192.168.4.1 se conecta directamente a PC2
192.168.4.10. Hay cuatro animaciones diferentes. La primera animación representa la caché
arp PC1s y la decisión de enviar el paquete a R1 su puerta de enlace.
R1 ahora reenvía el paquete a PC2. Debido a que la interfaz de salida se encuentra en una
red Ethernet, el R1 debe resolver la dirección IPv4 de siguiente salto con una dirección MAC
de destino mediante ARP: Si no existe ninguna entrada ARP para la interfaz del proximo salto
192.168.2.2 en la tabla ARP, R1 envía una solicitud de ARP. R2 devolvería una respuesta
ARP.
P á g i n a | 674
IP de
R2 Forwards the Packet to R3
R2 ahora reenvía el paquete a R3. Debido a que la interfaz de salida no es una red Ethernet, el
R2 no tiene que resolver la dirección IPv4 de siguiente salto con una dirección MAC de destino.
Cuando la interfaz es una conexión serial punto a punto (P2P), el router encapsula el paquete
IPv4 en el formato de trama de enlace de datos correspondiente que utiliza la interfaz de salida
(HDLC, PPP, etc.). Debido a que no hay direcciones MAC en las interfaces seriales, el R2
establece la dirección de destino de enlace de datos en el equivalente a una difusión.
P á g i n a | 675
R3 ahora reenvía el paquete a PC2. Dado que la interfaz de salida es una red Ethernet
conectada directamente, el R3 debe resolver la dirección IPv4 de destino del paquete con una
dirección MAC de destino: Si la entrada no aparece en la caché ARP, el R3 envía una solicitud
de ARP por la interfaz FastEthernet 0/0. La PC2 envía a cambio una respuesta ARP con su
dirección MAC.
La cuarta animación muestra el enlace punto a punto que recibe el paquete desde R2 y
busca en su tabla de enrutamiento para enviar el paquete a PC2.
Switching de procesos
Switching rápido
Cisco Express Forwarding (CEF)
Process Switching
Un mecanismo de reenvío de paquetes más antiguo que todavía está disponible para routers
Cisco. Cuando un paquete llega a una interfaz, se reenvía al plano de control, donde la CPU
hace coincidir la dirección de destino con una entrada de la tabla de routing y, a continuac ió n,
determina la interfaz de salida y reenvía el paquete. Es importante comprender que el router
hace esto con cada paquete, incluso si el destino es el mismo para un flujo de paquetes. Este
mecanismo de switching de procesos es muy lento y rara vez se implementa en las redes
modernas. Compare esto con el switching rápido.
La figura separa el plano de control que es la CPU del plano de datos. Hay 5 paquetes
etiquetados 1 a 5 que ingresan a la interfaz de ingreso a través del plano de datos al plano de
control. A continuación, el plano de control reenvía los paquetes a través del plano de datos
hacia fuera de la interfaz de salida.
P á g i n a | 677
Fast Switching
La conmutación rápida es otro mecanismo de reenvío de paquetes más antiguo que fue el
sucesor de la conmutación de procesos. Fast switching usa una memoria caché de switching
rápido para almacenar la información de siguiente salto. Cuando un paquete llega a una interfaz,
se reenvía al plano de control, donde la CPU busca una coincidencia en la caché de switching
rápido. Si no encuentra ninguna, se aplica el switching de procesos al paquete, y este se reenvía
a la interfaz de salida. La información de flujo del paquete también se almacena en la caché de
switching rápido. Si otro paquete con el mismo destino llega a una interfaz, se vu elve a utilizar
la información de siguiente salto de la caché sin intervención de la CPU.
Con el switching rápido, observe que el switching de procesos se aplica solo al primer paquete
de un flujo, el cual se agrega a la caché de switching rápido. Los cuat ro paquetes siguientes se
procesan rápidamente según la información de la caché de switching rápido.
CEF es el mecanismo de reenvío de paquetes más reciente y predeterminado del IOS de Cisco.
Al igual que el switching rápido, CEF arma una base de información de reenvío (FIB) y una tabla
de adyacencia. Sin embargo, las entradas de la tabla no se activan por los paquetes como en
el switching rápido, sino que se activan por los cambios, como cuando se modifica un elemento
en la topología de la red. Por lo tanto, cuando se converge una red, la FIB y las tablas de
adyacencia contienen toda la información que el router debe tener en cuenta al reenviar un
paquete. Cisco Express Forwarding es el mecanismo de reenvío más rápido y la opción más
utilizada en los routers Cisco y en los Multilayer Switches.
P á g i n a | 678
CEF crea la FIB y las tablas de adyacencia una vez que se converge la red. Los cinco paquetes
se procesan rápidamente en el plano de datos.
Una analogía frecuente que se usa para describir los tres mecanismos de reenvío de paquetes
es la siguiente:
El switching de procesos resuelve un problema realizando todos los cálculos matemáticos, incluso
si los problemas son idénticos.
El switching rápido resuelve un problema realizando todos los cálculos matemáticos una vez y
recuerda la respuesta para los problemas posteriores idénticos.
CEF soluciona todos los problemas posibles antes de tiempo en una hoja de cálculo.
14.2.4
Verifique su comprensión-Reenvío de
paquetes
Elija la MEJOR repuesta para las siguientes preguntas y compruebe su conocimiento sobre
reenvio de paquetes.
P á g i n a | 679
P á g i n a | 680
Topología
Un router utiliza una tabla de enrutamiento para determinar a dónde enviar los paquetes. Pero
antes de sumergirse en los detalles de la tabla de enrutamiento IP, este tema revisa las tareas
básicas de configuración y verificación del enrutador. También completarás una activ idad de
Rastreador de paquetes para actualizar tus habilidades.
14.3.2
Comandos de Configuración
Los siguientes ejemplos muestran la configuración completa de R1.
P á g i n a | 682
P á g i n a | 683
14.3.3
Comandos de verificación
Algunos comandos de verificación comunes incluyen los siguientes:
En cada caso, ip reemplace ipv6 por la versión IPv6 del comando. La figura muestra de nuevo
la topología para facilitar la referencia.
puerta de enlace R1 y R2 terminan con .1 y: :1. La interfaz serie entre R1 y R2 tiene direcciones
de R1 .1 ans: :1 y R2 .2 y: :2. La conexión R2 a ISP es .225 y .1 a ISP .226 y: :2.
show interfaces
P á g i n a | 685
show ip interface
P á g i n a | 686
show ip route
Ping
P á g i n a | 688
14.3.4
Los parámetros de filtrado que se pueden configurar después de la barra vertical incluyen lo
siguiente:
Nota: Los filtros de salida se pueden usar en combinación con cualquier comando show.
Estos ejemplos demuestran algunos de los usos más comunes de los parámetros de filtrado.
14.3.5
Tabla de routing IP
14.4.1
Origen de la ruta
¿Cómo sabe un router dónde puede enviar paquetes? Crea una tabla de enrutamiento basada
en la red en la que se encuentra.
Una tabla de enrutamiento contiene una lista de rutas a redes conocidas (prefijos y longitudes
de prefijo). La fuente de esta información se deriva de lo siguiente:
En las tablas de enrutamiento para R1 y R2, observe que los orígenes de cada ruta se
identifican mediante un código. El código identifica la forma en que se descubrió la ruta. Por
ejemplo, los códigos frecuentes incluyen lo siguiente:
L - Identifica la dirección asignada a la interfaz de un router. Esto permite que el router determine
de forma eficaz si recibe un paquete para la interfaz o para reenviar.
C - Identifica una red conectada directamente.
S - Identifica una ruta estática creada para llegar a una red específica.
O - Identifica una red que se descubre de forma dinámica de otro router con el protocolo de routing
OSPF.
* - la ruta es candidata para una ruta predeterminada.
14.4.2
14.4.3
La figura muestra cómo leer una entrada de enrutamiento IPv4 y cómo leer una entrada de
enrutamiento IPv6. La entrada de la tabla de enrutamiento para IPv4 comienza con el origen
de enrutamiento 0, a continuación, la red de destino (longitud de prefijo y prefijo) 10.0.4.0/24
junto a la distancia administrativa de 110 y la métrica de 50 junto al salto siguiente media nte
10.0.3.2 y la marca de tiempo de ruta de 00:13; 29 termina con una interfaz de salida de serie
0/1/1. Juntar la entrada es: 0 10.0.0.0/24 110/50 via 10.0.3.2 00:13:29 Serie 0/1/1. La entrada
ipv6 comienza igual con el origen de enrutamiento 0, luego la red de destino de
2001:DB8:ACAD:4: :/64 la distancia administrativa de 110 y la métrica de 50 al lado del
salto siguiente a través de FE80: :2:C no hay marca de tiempo de ruta y termina con la interfaz
de salida de serie 0/1/1
Nota: La longitud del prefijo de la red de destino especifica el número mínimo de bits de
extrema izquierda que deben coincidir entre la dirección IP del paquete y la red de destino
(prefijo) para que se utilice esta ruta.
14.4.4
La tabla de enrutamiento también contiene una ruta local para cada una de sus redes
conectadas directamente, indicada por el código de estado de L. Esta es la dirección IP que
P á g i n a | 695
se asigna a la interfaz en esa red conectada directamente. Para las rutas locales IPv4, la
longitud del prefijo es /32 y para las rutas locales IPv6 la longitud del prefijo es /128. Esto
significa que la dirección IP de destino del paquete debe coincidir con todos los bits de la
ruta local para que esta ruta sea una coincidencia. El propósito de la ruta local es permitir que
el router determine de forma eficaz si recibe un paquete para la interfaz o para reenviar.
Las redes conectadas directamente y las rutas locales se muestran en el siguiente resultado.
14.4.5
Rutas estáticas
Después de configurar las interfaces conectadas directamente y de agregarlas a la tabla de
routing, se puede implementar el routing estático o dinámico.
Las rutas estáticas se configuran de forma manual. Estas definen una ruta explícita entre dos
dispositivos de red. A diferencia de los protocolos de routing dinámico, las rutas estáticas no
se actualizan automáticamente y se deben reconfigurar de forma manual si se modifica la
topología de la red. Los beneficios de utilizar rutas estáticas incluyen la mejora de la
seguridad y la eficacia de los recursos. Las rutas estáticas consumen menos ancho de banda
que los protocolos de routing dinámico, y no se usa ningún ciclo de CPU para calcular y
comunicar las rutas. La principal desventaja de usar rutas estáticas es que no se vuelven a
configurar de manera automática si se modifica la topología de la red.
Facilita el mantenimiento de la tabla de routing en redes más pequeñas en las cuales no está
previsto que crezcan significativamente.
Utiliza una única ruta predeterminada para representar una ruta hacia cualquier red que no tenga
una coincidencia más específica con otra ruta en la tabla de routing. Las rutas predeterminadas se
utilizan para enviar tráfico a cualquier destino que esté más allá del próximo router ascendente.
Enruta trafico de y hacia redes internas. Una red de rutas internas es aquella a la cual se accede a
través un de una única ruta y cuyo router tiene solo un vecino.
La figura muestra un ejemplo de red superpuesta. En dicha ilustración, observe que cualquier
red conectada al R1 solo tiene una manera de alcanzar otros destinos, ya sean redes
conectadas al R2 o destinos más allá del R2. Esto significa que las redes 10.0.1.0/24 y
10.0.2.0/24 son redes stub y R1 es un router stub.
La figura representa dos redes stub que consisten en un PC1 en la red 10.0.1.0/24 y
2001:db8:acad:1: :/64 conectadas al switch S1 que tiene un gigabit G0/0/0 conectado al router
R1. PC2 está en la red 10.0.2.4 y 2001:db8:acad:2: :/64 conectado al conmutador S2 que está
conectado a la interfaz gigabit G0/0/1 en R1. R1 router se llama router stub. R1 está
conectado al enrutador R2 mediante una conexión serie R1 S0/1/1 a S0/1/0 en R2 con una
dirección de red de 10.0.3.0/24. R2 se conecta a otras redes. Los PC están apilados de forma
dual con direcciones .10 y: :10. Las interfaces R1 son .1 y: :1. R2 tiene la dirección de
conexión serie de .2 y: :2.
En este ejemplo, se puede configurar una ruta estática en R2 para llegar a las redes R1.
Además, como el R1 tiene solo una forma de enviar tráfico no local, se puede configurar una
ruta estática predeterminada en el R1 para señalar al R2 como el siguiente salto para todas
las otras redes.
P á g i n a | 697
14.4.6
El diagrama muestra los comandos de configuración para R1 para establecer las rutas
estáticas para IPv4 e IPv6 para llegar a PC3 desde la topología descrita en la figura 14.3.1.
El comando IPv4 se escribe como R1 (config)#ip route 10.0.4.0 255.255.255.0 10.0.3.2. La
dirección de red IPv4 remota es 10.0.4.0 255.255.255.0. La dirección IPv4 del router
siguiente salto es 10.0.3.2. El comando IPv6 se escribe como R1 (config)# ipv6 route
2001.db8.acad.4: :/64 2001.db8.acad3: :2. La dirección de red IPv6 remota es
2001.db8.acad.4: :/64y el IPv6 del enrutador de salto siguiente es 2001.db8.acad3: :2.
La salida muestra las entradas de enrutamiento estático IPv4 e IPv6 en R1 que pueden
alcanzar las redes 10.0.4.0/24 y 2001:db8:acad:4: :/64 en R2. Observe que ambas entradas
de enrutamiento utilizan el código de estado de S indicar que la ruta fue aprendida por una
ruta estática. Ambas entradas también incluyen la dirección IP del router siguiente salto, a
través de ip-address. El static parámetro al final del comando muestra sólo rutas estáticas.
P á g i n a | 698
14.4.7
Las ventajas importantes de los protocolos de enrutamie nto dinámico son la capacidad de
seleccionar una mejor ruta y la capacidad de descubrir automáticamente una nueva mejor
ruta cuando se produce un cambio en la topología.
La figura muestra los routers R1 y R2 que utilizan un protocolo de enrutamiento común para
compartir información de red.
P á g i n a | 699
14.4.8
Nota: Los protocolos de enrutamiento IPv6 utilizan la dirección de vínculo local del router
de siguiente salto.
Nota: La configuración de enrutamiento OSPF para IPv4 e IPv6 está fuera del alcance de
este curso.
14.4.9
Ruta predeterminada
Las rutas predeterminadas son similares a un gateway predeterminado en un host. La ruta
predeterminada especifica un enrutador de salto siguiente que se utilizará cuando la tabla de
enrutamiento no contiene una ruta específica que coincida con la dirección IP de destino.
P á g i n a | 701
Una ruta predeterminada puede ser una ruta estática o aprenderse automáticamente de un
protocolo de enrutamiento dinámico. Una ruta predeterminada tiene una entrada de ruta IPv4
de 0.0.0.0/0 o una entrada de ruta IPv6 de: :/0. Esto significa que cero o ningún bit deben
coincidir entre la dirección IP de destino y la ruta predeterminada.
Un router, como un router doméstico o de oficina pequeña que solo tiene una LAN, puede
llegar a todas sus redes remotas a través de una ruta predeterminada. Esto es útil cuando el
router solo tiene redes conectadas directamente y un punto de salida a un enrutador proveedor
de servicios.
En la figura, los routers R1 y R2 utilizan OSPF para compartir información de enrutamie nto
sobre sus propias redes (10.0.x.x/24 y 2001:db8:acad:x: :/64 redes). R2 tiene una ruta estática
predeterminada al router ISP. R2 reenviará al router ISP cualquier paquete con una dirección
IP de destino que no coincida específicamente con una de las redes de su tabla de
enrutamiento. Esto incluiría todos los paquetes destinados a Internet.
R2 ha compartido su ruta predeterminada con R1 usando OSPF. R1 ahora tendrá una ruta
predeterminada en su tabla de enrutamiento que aprendió dinámicamente de OSPF. R1
también reenviará a R2 cualquier paquete con una dirección IP de destino que no coincida
específicamente con una de las redes de su tabla de enrutamiento.
Los ejemplos siguientes muestran las entradas de la tabla de enrutamiento IPv4 e IPv6 para
las rutas estáticas predeterminadas configuradas en R2.
14.4.10
Nota: La tabla de enrutamiento IPv4 del ejemplo no procede de ningún router de la topología
utilizada en este módulo.
Aunque los detalles de la estructura están fuera del alcance de este módulo, es útil reconocer
la estructura de la tabla. Una entrada sangría se conoce como ruta secundaria. Una entrada
de ruta se sangra si es la subred de una dirección con clase (red de clase A, B o C). Las redes
conectadas directamente siempre tendrán sangría (rutas secundarias) porque la dirección
local de la interfaz siempre se introduce en la tabla de enrutamiento como /32. La ruta
secundaria incluirá el origen de la ruta y toda la información de reenvío, como la dirección
de salto siguiente. La dirección de red con clase de esta subred se mostrará encima de la
entrada de ruta, con menos sangría y sin código fuente. Esto se conoce como “ruta principa l”.
Nota: Esto es solo una breve introducción a la estructura de una tabla de enrutamiento IPv4
y no cubre detalles ni detalles específicos de esta arquitectura.
14.4.11
14.4.12
Distancia administrativa
Una entrada de ruta para una dirección de red específica (longitud de prefijo y prefijo) sólo
puede aparecer una vez en la tabla de enrutamiento. Sin embargo, es posible que la tabla de
enrutamiento aprenda acerca de la misma dirección de red desde más de un origen de
enrutamiento.
Sin embargo, cada protocolo de routing puede decidir tomar una ruta diferente para llegar al
destino según las métricas de ese protocolo de routing.
El IOS de Cisco utiliza lo que se conoce como “distancia administrativa” (AD) para
determinar la ruta que se debe instalar en la tabla de routing de IP. La AD representa la
"confiabilidad" de la ruta. Cuanto menor es la AD, mayor es la confiabilidad de la ruta. Dado
que EIGRP tiene un AD de 90 y OSPF tiene un AD de 110, la entrada de ruta EIGRP se
instalaría en la tabla de enrutamiento.
Un ejemplo más común es un router que aprende la misma dirección de red de una ruta
estática y un protocolo de enrutamiento dinámico, como OSPF. Por ejemplo, la AD de una
ruta estática es 1, mientras que la AD de una ruta descubierta por OSPF es 110. El router
elige la ruta con la AD más baja entre dos rutas diferentes al mismo destino. Cuando un router
puede elegir entre una ruta estática y una ruta de OSPF, la ruta estática tiene prioridad.
Las redes conectadasNota: directamente tienen el AD más bajo de 0. Sólo una red conectada
directamente puede tener un AD de 0.
14.4.13
¿Estático o dinámico?
En el tema anterior se discutieron las formas en que un router crea su tabla de enrutamie nto.
Por lo tanto, ahora sabe que el enrutamiento, como el direccionamiento IP, puede ser estático
o dinámico. ¿Debería usar enrutamiento estático o dinámico? ¡La respuesta es ambas cosas!
El routing estático y el routing dinámico no son mutuamente excluyentes. En cambio, la
mayoría de las redes utilizan una combinación de protocolos de routing dinámico y rutas
estáticas.
Rutas Estáticas
Las rutas estáticas son útiles para redes más pequeñas con solo una ruta hacia una red externa.
También proporcionan seguridad en una red más grande para ciertos tipos de tráfico o enlaces
a otras redes que necesitan más control.
P á g i n a | 710
La tabla muestra una comparación de algunas de las diferencias entre el enrutamie nto
dinámico y estático.
14.5.2
se lanzó en 1988, pero ya en 1969 se utilizaban algunos de los algoritmos básicos en dicho
protocolo en la Advanced Research Projects Agency Network (ARPANET).
A medida que las redes evolucionaron y se volvieron más complejas, surgieron nuevos
protocolos de enrutamiento. El protocolo RIP se actualizó a RIPv2 para hacer lugar al
crecimiento en el entorno de red. Sin embargo, RIPv2 aún no se escala a las
implementaciones de red de mayor tamaño de la actualidad. Con el objetivo de satisfacer las
necesidades de las redes más grandes, se desarrollaron dos protocolos de enrutamiento: el
protocolo OSPF (abrir primero la ruta más corta) y sistema intermedio a sistema intermed io
(IS-IS). Cisco desarrolló el protocolo de enrutamiento de gateway interior (IGRP) e IGRP
mejorado (EIGRP), que también tiene buena escalabilidad en implementaciones de redes más
grandes.
La tabla clasifica los protocolos de enrutamiento actuales. Los protocolos de puerta de enlace
interior (IGP) son protocolos de enrutamiento utilizados para intercambiar información de
enrutamiento dentro de un dominio de enrutamiento administrado por una sola organizac ió n.
Sólo hay un EGP y es BGP. BGP se utiliza para intercambiar información de enrutamie nto
P á g i n a | 712
entre diferentes organizaciones, conocidos como sistemas autónomos (AS). Los ISP utiliza n
BGP para enrutar paquetes a través de Internet. Los protocolos de enrutamiento vectorial de
distancia, estado de vínculo y vector de ruta se refieren al tipo de algoritmo de enrutamie nto
utilizado para determinar la mejor ruta.
14.5.3
Los componentes principales de los protocolos de routing dinámico incluyen los siguientes:
Estructuras de datos - por lo general, los protocolos de routing utilizan tablas o bases de datos para
sus operaciones. Esta información se guarda en la RAM.
Mensajes del protocolo de routing - los protocolos de routing usan varios tipos de mensajes para
descubrir routers vecinos, intercambiar información de routing y realizar otras tareas para descubrir
la red y conservar información precisa acerca de ella.
Algoritmo - un algoritmo es una lista finita de pasos que se usan para llevar a cabo una tarea. Los
protocolos de routing usan algoritmos para facilitar información de routing y para determinar el
mejor camino.
Estos protocolos permiten a los routers compartir información en forma dinámica sobre redes
remotas y ofrecer esta información automáticamente en sus propias tablas de routing. Haga
clic en Reproducir para ver una animación sobre este proceso.
P á g i n a | 713
Los protocolos de routing determinan la mejor ruta hacia cada red y, a continuación, esa ruta
se ofrece a la tabla de routing. La ruta se instalará en la tabla de routing si no hay otro origen
de routing con una distancia administrativa menor. Uno de los beneficios principales de los
protocolos de routing dinámico es que los routers intercambian información de routing
cuando se produce un cambio en la topología. Este intercambio permite a los routers obtener
automáticamente información sobre nuevas redes y también encontrar rutas alternativas
cuando se produce una falla de enlace en la red actual.
14.5.4
El mejor camino
Antes de ofrecer una ruta a una red remota a la tabla de enrutamiento, el protocolo de
enrutamiento dinámico debe determinar la mejor ruta a esa red. La determinación de la mejor
ruta implica la evaluación de varias rutas hacia la misma red de destino y la selección de la
ruta óptima o la más corta para llegar a esa red. Cuando existen varias rutas hacia la misma
red, cada ruta utiliza una interfaz de salida diferente en el router para llegar a esa red.
El mejor camino es elegido por un protocolo de enrutamiento en función del valor o la métrica
que usa para determinar la distancia para llegar a esa red. Una métrica es un valor cuantitativo
que se utiliza para medir la distancia que existe hasta una red determinada. El mejor camino
a una red es la ruta con la métrica más baja.
Los protocolos de enrutamiento dinámico generalmente usan sus propias reglas y métricas
para construir y actualizar las tablas de enrutamiento. El algoritmo de enrutamiento genera
un valor, o una métrica, para cada ruta a través de la red. Las métricas se pueden calcular
sobre la base de una sola característica o de varias características de una ruta. Algunos
P á g i n a | 714
En la animación de la ilustración, se destaca cómo la ruta puede ser diferente según la métrica
que se utiliza. Si falla la mejor ruta, el protocolo de enrutamiento dinámico seleccionará
automáticamente una nueva mejor ruta si existe.
La figura es una animación con una PC etiquetada PC1 conectada a un router R1. R1 está
conectado a R2 con una conexión de 1Gbps y R2 se conecta a R3 con una conexión de 1Gbps.
R3 está conectado a R1 con una conexión de 100Mbps. Los enrutadores se conectan de forma
P á g i n a | 715
similar a un triángulo rectángulo. Otro PC etiquetado PC2 está conectado a R3. La animació n
se ejecuta representando decisiones de enrutamiento basadas en el recuento de saltos o el
ancho de banda.
14.5.5
Balance de carga
¿Qué sucede si una tabla de routing tiene dos o más rutas con métricas idénticas hacia la
misma red de destino?
Cuando un router tiene dos o más rutas hacia un destino con métrica del mismo costo, el
router reenvía los paquetes usando ambas rutas por igual. Esto se denomina “balanceo de
carga de mismo costo”. La tabla de routing contiene la única red de destino pero tiene varias
interfaces de salida, una para cada ruta de mismo costo. El router reenvía los paquetes
utilizando las distintas interfaces de salida que se indican en la tabla de routing.
La figura es una animación con cuatro routers R1, R2, R3 y R4 interconectados entre sí con
conexiones de 52Mbps. Un PC etiquetado PC1 está conectado a R1 y otro PC etiquetado a
P á g i n a | 716
PC2 está conectado a R3. Cuando la animación ejecuta paquetes desde PC1 toma varias rutas
a través de los routers a PC2 que ilustran el equilibrio de carga de costes igual, ya que todos
los routers tienen velocidades de conexión iguales.
14.5.6
Compruebe su comprensión -
Enrutamiento dinámico y estático
Verifique su comprensión de rutas estáticas y dinámicas eligiendo la MEJOR respuesta a las
siguientes preguntas.
P á g i n a | 717
P á g i n a | 718
Las funciones principales de un router son determinar la mejor ruta para reenviar paquetes
basándose en la información de su tabla de enrutamiento, y reenviar paquetes hacia su
destino. La mejor ruta de la tabla de enrutamiento también se conoce como la coincidenc ia
más larga. La mejor coincidencia es la ruta de la tabla de routing que contiene la mayor
cantidad de bits del extremo izquierdo coincidentes con la dirección IPv4 de destino del
paquete. Las redes conectadas directamente son redes que están configuradas en las interfaces
activas de un router. Una red conectada directamente se agrega a la tabla de enrutamie nto
cuando una interfaz se configura con una dirección IP y una máscara de subred (longitud de
prefijo) y está activa (arriba y arriba). Los routers aprenden acerca de las redes remotas de
dos maneras: las rutas estáticas se agregan a la tabla de enrutamiento cuando una ruta se
configura manualmente y con protocolos de enrutamiento dinámicos. Mediante protocolos
de enrutamiento dinámico como EIGRP y OSPF, las rutas se agregan a la tabla de
enrutamiento cuando los protocolos de enrutamiento aprenden dinámicamente acerca de la
red remota.
Reenvío de paquetes
Después de que un router determina la ruta correcta, puede reenviar el paquete en una red
conectada directamente, puede reenviar el paquete a un enrutador de siguiente salto o puede
soltar el paquete. Una responsabilidad principal de la función de switching es la de encapsular
los paquetes en el tipo de marco de enlace de datos correcto para el enlace de datos de salida.
Los routers admiten tres mecanismos de reenvío de paquetes: conmutación de procesos,
conmutación rápida y CEF. Los siguientes pasos describen el proceso de reenvío de paquetes:
Tabla de enrutamiento IP
Una tabla de enrutamiento contiene una lista de rutas redes conocidas (prefijos y longitudes
de prefijo). El origen de esta información se deriva de redes conectadas directamente, rutas
estáticas y protocolos de enrutamiento dinámico. Los códigos de tabla de enrutamie nto
comunes incluyen:
L - identifica la dirección asignada a la interfaz de un router. Esto permite que el router determine
de forma eficaz si recibe un paquete para la interfaz o para reenviar.
C - identifica una red conectada directamente.
S - identifica una ruta estática creada para llegar a una red específica.
O - indica una red que se descubre de forma dinámica de otro router con el protocolo de routing
OSPF.
* - la ruta es candidata para una ruta predeterminada.
Cada router toma su decisión por sí solo, basándose en la información que tiene en su propia
tabla de enrutamiento. La información de una tabla de enrutamiento de un router no coincide
necesariamente con la tabla de enrutamiento de otro router. La información de enrutamie nto
sobre una ruta no proporciona información de enrutamiento de retorno. Las entradas de la
tabla de enrutamiento incluyen el origen de ruta, la red de destino, AD, la métrica, el salto
siguiente, la marca de tiempo de ruta y la interfaz de salida. Para obtener información acerca
de las redes remotas, un router debe tener al menos una interfaz activa configurada con una
dirección IP y una máscara de subred (longitud de prefijo), denominada red conectada
directamente. Las rutas estáticas se configuran manualmente y definen una ruta explíc ita
entre dos dispositivos de red. Los protocolos de enrutamiento dinámico pueden detectar una
red, mantener tablas de enrutamiento, seleccionar una mejor ruta y descubrir
automáticamente una nueva mejor ruta si cambia la topología. Una ruta predeterminada
específica un router de salto siguiente que se utilizará cuando la tabla de enrutamiento no
contiene una ruta específica que coincida con la dirección IP de destino. Una ruta
predeterminada puede ser una ruta estática o aprenderse automáticamente de un protocolo de
enrutamiento dinámico. Una ruta predeterminada tiene una entrada de ruta IPv4 de 0.0.0.0/0
o una entrada de ruta IPv6 de: :/0. Las tablas de enrutamiento IPv4 todavía tienen una
estructura basada en direcciones de clase representadas por niveles de sangría. Las tablas de
P á g i n a | 720
Los protocolos de enrutamiento actuales incluyen IGP y EGP. Los IGP intercamb ia n
información de enrutamiento dentro de un dominio de enrutamiento administrado por una
sola organización. El único EGP es BGP. BGP intercambia información de enrutamie nto
entre diferentes organizaciones. Los ISP utilizan BGP para enrutar paquetes a través de
Internet. Los protocolos de enrutamiento vectorial de distancia, estado de vínculo y vector de
ruta se refieren al tipo de algoritmo de enrutamiento utilizado para determinar la mejor ruta.
Los principales componentes de los protocolos de enrutamiento dinámico son estructuras de
datos, mensajes de protocolo de enrutamiento y algoritmos. El mejor camino es elegido por
un protocolo de enrutamiento en función del valor o la métrica que usa para determinar la
distancia para llegar a esa red. Una métrica es un valor cuantitativo que se utiliza para medir
la distancia que existe hasta una red determinada. El mejor camino a una red es la ruta con la
métrica más baja. Cuando un router tiene dos o más rutas hacia un destino con métrica del
mismo costo, el router reenvía los paquetes usando ambas rutas por igual. Esto se denomina
“balanceo de carga de mismo costo”.
P á g i n a | 721
14.6.2
Hay tantas maneras diferentes de enrutar dinámicamente un paquete que podría preguntarse,
por qué alguien se tomaría el tiempo para configurar manualmente una ruta estática. Es como
lavar a mano toda su ropa cuando tiene una lavadora perfectamente buena. Pero sabe que
algunos artículos de ropa no pueden entrar en la lavadora. Algunos artículos se benefician de
ser lavados a mano. Hay una similitud con el networking. De tal manera que hay muchas
situaciones en las que una ruta estática configurada manualmente es su mejor opción.
Hay diferentes tipos de rutas estáticas, y cada una es perfecta para resolver (o evitar) un tipo
específico de problema de red. Muchas redes utilizan enrutamiento dinámico y estático, por
lo que los administradores de red necesitan saber cómo configurar, verificar y solucionar
problemas de rutas estáticas. Está realizando este curso porque desea convertirse en
administrador de red o desea mejorar sus habilidades de administrador de red existentes. ¡Se
alegrará de haber tomado este módulo, porque usará estas habilidades con frecuencia! ¡Y
debido a que este módulo trata de configurar rutas estáticas, hay varias actividades de
Verificación de sintaxis, seguido por un Packet Tracer y un Lab donde puede perfeccionar
sus habilidades!
15.0.2
Configuración de rutas de host Configure rutas de hosts estáticas IPv4 e IPv6 que
estáticas dirijan el tráfico hacia un host específico.
P á g i n a | 733
Rutas estáticas
15.1.1
Las rutas estáticas se pueden configurar para IPv4 e IPv6. Ambos protocolos admiten los
siguientes tipos de rutas estáticas:
Las rutas estáticas se configuran con el comando ip route y el de ipv6 route configurac ió n
global.
15.1.2
Ruta del siguiente salto - Solo se especifica la dirección IP del siguiente salto
Ruta estática conectada directamente - Solo se especifica la interfaz de salida del router
Ruta estática totalmente especificada - Se especifican la dirección IP del siguiente salto y la
interfaz de salida
P á g i n a | 734
15.1.3
Parámetro Descripción
network-address
Identifica la dirección de red IPv4 de destino de la red
remota para agregar a la tabla de enrutamiento.
15.1.4
La tabla muestra los distintos parámetros de ipv6 route comando y sus descripciones.
Parámetro Descripción
Nota: El comando de configuración global ipv6 unicast-routing, debe configurarse para que
habilite al router para que reenvíe paquetes IPv6.
P á g i n a | 736
15.1.5
Topología Dual-Stack
En la figura, se ve una topología de red dual-stack. Actualmente, no hay rutas estáticas
configuradas para IPv4 o IPv6.
El gráfico muestra una red de tres routers. La topología que tiene R1 está en la parte infer ior
izquierda, R2 está en la parte media superior y R3 está en la parte inferior derecha. Hay un
cable serie desde la interfaz R1s S0/1/0 a la interfaz R2s S0/1/0 y otro cable serie desde la
interfaz R2s S0/1/1 a la interfaz R3s S0/1/1. Las tres LAN utilizan la interfaz G0/0/0 de su
router. Hay un switch conectado al router y una PC conectada al switch. PC1 está en la LAN
para R1, PC2 está en la LAN para R2 y PC3 está en la LAN para R3. Las interfaces del router
tendrán una dirección.1 para todas las interfaces LAN y WAN, excepto para ambas interfaces
seriales (WAN) en R2. Estas interfaces en R2 se asignan a .2 ya que .1 toma el enlace WAN.
A ninguno de los switches o los PC se les asignaron direcciones IP. El direccionamiento en
la LAN en R1 tiene la dirección IPv4 172.16.3.0/24 y el direccionamiento IPv6 de
2001:db8:acad:3: :/64. La WAN entre R1 y R2 tiene la dirección IPv4 172.16.2.0/24 y la
dirección IPv6 de 2001:db8:acad:2: :/64. El direccionamiento en la LAN en R2 tiene la
dirección IPv4 172.16.1.0/24 y la dirección IPv6 de 2001:db8:acad:1: :/64. La WAN entre
R2 y R3 tiene la dirección IPv4 192.168.1.0/24 y la dirección IPv6 de 2001:db8:cafe:1: :/64.
El direccionamiento en la LAN en R3 tiene la dirección IPv4 192.168.2.0/24 y el
direccionamiento IPv6 de 2001:db8:cafe:2: :/64.
P á g i n a | 737
15.1.6
R1 Can Ping R2
Ninguno de los routers tiene conocimiento de las redes que están fuera de las interfaces
conectadas directamente. Esto significa que cada router solo puede llegar a redes conectadas
directamente, como se demuestra en las siguientes pruebas de ping.
Un ping de R1 a la interfaz serial 0/1/0 de R2 debe tener éxito porque es una red conectada
directamente.
Sin embargo, un ping del R1 a la LAN del R3 debe fallar porque R1 no tiene una entrada en
su tabla de routing para la red LAN del R3.
15.1.7
Ninguno de los routers tiene conocimiento de las redes que están fuera de las interfaces
conectadas directamente.
Sin embargo, a ping a la LAN R3 no tiene éxito. Esto se debe a que el R1 no tiene una entrada
en su tabla de routing para esa red.
15.1.8
En una ruta estática de siguiente salto, solo se especifica la dirección IP del siguiente salto. La
interfaz de salida se deriva del próximo salto. Por ejemplo, se configuran tres rutas estáticas de
siguiente salto en el R1 con la dirección IP del siguiente salto, el R2.
El gráfico muestra una red de tres routers. La topología que tiene R1 está en la parte inferior
izquierda, R2 está en la parte media superior y R3 está en la parte inferior derecha. Hay un
cable serie desde la interfaz R1s S0/1/0 a la interfaz R2s S0/1/0 y otro cable serie desde la
interfaz R2s S0/1/1 a la interfaz R3s S0/1/1. Las tres LAN utilizan la interfaz G0/0/0 de su router.
Hay un switch conectado al router y una PC conectada al switch. PC1 está en la LAN para R1,
PC2 está en la LAN para R2 y PC3 está en la LAN para R3. Las interfaces del router tendrán
una dirección.1 para todas las interfaces LAN y WAN, excepto para ambas interfaces seriales
(WAN) en R2. Estas interfaces en R2 se asignan a .2 ya que .1 toma el enlace WAN. A ninguno
de los switches o los PC se les asignaron direcciones IP. El direccionamiento en la LAN en R1
tiene la dirección IPv4 172.16.3.0/24 y el direccionamiento IPv6 de 2001:db8:acad:3: :/64. La
WAN entre R1 y R2 tiene la dirección IPv4 172.16.2.0/24 y la dirección IPv6 de 2001:db8:ac ad:2:
P á g i n a | 743
Los comandos para configurar R1 con las rutas estáticas IPv4 a las tres redes remotas son los
siguientes:
La tabla de enrutamiento para R1 ahora tiene rutas a las tres redes IPv4 remotas.
15.2.2
La tabla de enrutamiento para R1 ahora tiene rutas a las tres redes IPv6 remotas.
P á g i n a | 744
15.2.3
El gráfico muestra una red de tres routers. La topología que tiene R1 está en la parte inferior
izquierda, R2 está en la parte media superior y R3 está en la parte inferior derecha. Hay un
cable serie desde la interfaz R1s S0/1/0 a la interfaz R2s S0/1/0 y otro cable serie desde la
interfaz R2s S0/1/1 a la interfaz R3s S0/1/1. Las tres LAN utilizan la interfaz G0/0/0 de su router.
Hay un switch conectado al router y una PC conectada al switch. PC1 está en la LAN para R1,
PC2 está en la LAN para R2 y PC3 está en la LAN para R3. Las interfaces del router tendrán
una dirección.1 para todas las interfaces LAN y WAN, excepto para ambas interfaces seriales
(WAN) en R2. Estas interfaces en R2 se asignan a .2 ya que .1 toma el enlace WAN. A ninguno
de los switches o los PC se les asignaron direcciones IP. El direccionamiento en la LAN en R1
tiene la dirección IPv4 172.16.3.0/24 y el direccionamiento IPv6 de 2001:db8:acad:3: :/64. La
WAN entre R1 y R2 tiene la dirección IPv4 172.16.2.0/24 y la dirección IPv6 de 2001:db8:ac ad:2:
:/64. El direccionamiento en la LAN en R2 tiene la dirección IPv4 172.16.1.0/24 y la dirección
IPv6 de 2001:db8:acad:1: :/64. La WAN entre R2 y R3 tiene la dirección IPv4 192.168.1.0/24 y
la dirección IPv6 de 2001:db8:cafe:1: :/64. El direccionamiento en la LAN en R3 tiene la dirección
IPv4 192.168.2.0/24 y el direccionamiento IPv6 de 2001:db8:cafe:2: :/64.
La tabla de routing para el R1 muestra que cuando un paquete está destinado a la red
192.168.2.0/24, el R1 busca una coincidencia en la tabla de routing y encuentra que puede
reenviar el paquete desde su interfaz serial 0/0/0.
Nota: Generalmente se recomienda utilizar una dirección de salto siguient e. Las rutas estáticas
conectadas directamente solo deben usarse con interfaces seriales punto a punto, como en este
ejemplo.
P á g i n a | 746
15.2.4
La tabla de routing IPv6 para el R1 en el ejemplo muestra que cuando un paquete está destinado
a la red 2001:db8:cafe:2::/64, el R1 busca una coincidencia en la tabla de routing y encuentra
que puede reenviar el paquete desde su interfaz serial 0/0/0.
Nota: Generalmente se recomienda utilizar una dirección de salto siguiente. Solo se deben
utilizar rutas estáticas conectadas directamente con interfaces seriales de punto a punto, como
se muestra en este ejemplo.
15.2.5
P á g i n a | 747
El gráfico muestra una red de tres routers. La topología que tiene R1 está en la parte inferior
izquierda, R2 está en la parte media superior y R3 está en la parte inferior derecha. Hay un
cable Ethernet cruzado de interfaz R1s G0/0/1 a interfaz R2s G0/0/1 y un cable serie de interfaz
R2s S0/1/1 a interfaz R3s S0/1/1. Las tres LAN utilizan la interfaz G0/0/0 de su router. Hay un
switch conectado al router y una PC conectada al switch. PC1 está en la LAN para R1, PC2
está en la LAN para R2 y PC3 está en la LAN para R3. Las interfaces del rout er tendrán una
dirección .1 para todas las interfaces LAN y WAN, excepto para ambas conexiones en interfaces
R2s que se conectan a los otros routers. Estas interfaces en R2 se dan .2 ya que .1 se toma el
enlace. A ninguno de los switches o los PC se les asignaron direcciones IP. R1 tiene una
dirección local de enlace de FE80: :1 en las interfaces y R2 tiene FE80: :2 en las interfaces. El
direccionamiento en la LAN en R1 tiene la dirección IPv4 172.16.3.0/24 y el direccionamiento
IPv6 de 2001:db8:acad:3: :/64. La Ethernet entre R1 y R2 tiene la dirección IPv4 172.16.2.0/24
y la dirección IPv6 de 2001:db8:acad:2: :/64. El direccionamiento en la LAN en R2 tiene la
P á g i n a | 748
La diferencia entre una red Ethernet de accesos múltiples y una red serial punto a punto es que
esta última solo tiene un dispositivo más en esa red, el router que se encuentra en el otro
extremo del enlace. Con las redes Ethernet, es posible que existan muchos dispositivos
diferentes que comparten la misma red de accesos múltiples, incluyendo hosts y hasta routers
múltiples.
Cuando la interfaz de salida sea una red Ethernet, se recomienda utilizar una ruta estática que
incluya una dirección del siguiente salto. También puede usar una ruta estática co mpletamente
especificada que incluye la interfaz de salida y la dirección de siguiente salto.
Al reenviar paquetes al R2, la interfaz de salida es GigabitEthernet 0/0/1 y la dirección IPv4 del
siguiente salto es 172.16.2.2. como se muestra en el show ip route resultado de R1.
15.2.6
El gráfico muestra una red simple con dos routers, R1 a la izquierda y R2 a la derecha. Los
routers están conectados junto con un cable serie; ambos utilizan la interfaz S0/1/0. Cada router
tiene una LAN que no muestra el equipo específico. La LAN en R1 tiene la dirección IPv6
2001:db8:acad:3: :/64 y la LAN en R2 tiene la dirección IPv6 2001:db8:acad:1: :/64. El enlace
serial tiene la dirección 2001:db8:acad:2: :/64, con R1 usando: :1 y FE80: :1 y R2 usa: :2 y FE80:
:2. Debajo del enlace serie hay un campo naranja con la instrucción IPv6 Link -Local Addresses
dentro de él. Hay dos flechas anaranjadas en cada extremo del campo que apuntan hacia el
direccionamiento local del vínculo en la interfaz serie de ambos routers.
En el ejemplo, se configura una ruta estática completamente especificada con la dirección link -
local del R2 como dirección del siguiente salto. Observe que el IOS requiere que se especifique
una interfaz de salida.
La razón por la cual se debe utilizar una ruta estática completamente especificada es que las
direcciones IPv6 link-local no están incluidas en la tabla de routing IPv6. Las direcciones link -
local solo son exclusivas en una red o un enlace dados. La dirección link-local del siguiente salto
puede ser una dirección válida en varias redes conectadas al router. Por lo tanto, es necesario
que la interfaz de salida se incluya.
El siguiente ejemplo muestra la entrada de la tabla de routing IPv6 para esta ruta. Observe que
la dirección link-local del siguiente salto y la interfaz de salida están incluidas.
P á g i n a | 750
15.2.7
El gráfico muestra una red de tres routers. La topología que tiene R1 está en la parte inferior
izquierda, R2 está en la parte media superior y R3 está en la parte inferior derecha. Hay un
cable serie desde la interfaz R1s S0/1/0 a la interfaz R2s S0/1/0 y otro cable serie desde la
interfaz R2s S0/1/1 a la interfaz R3s S0/1/1. Las tres LAN utilizan la interfaz G0/0/0 de su router.
Hay un switch conectado al router y una PC conectada al switch. PC1 está en la LAN para R1,
PC2 está en la LAN para R2 y PC3 está en la LAN para R3. Las interfaces del router tendrán
una dirección.1 para todas las interfaces LAN y WAN, excepto para ambas interfaces seriales
(WAN) en R2. Estas interfaces en R2 se asignan a .2 ya que .1 toma el enla ce WAN. A ninguno
de los switches o los PC se les asignaron direcciones IP. El direccionamiento en la LAN en R1
tiene la dirección IPv4 172.16.3.0/24 y el direccionamiento IPv6 de 2001:db8:acad:3: :/64. La
WAN entre R1 y R2 tiene la dirección IPv4 172.16.2.0/24 y la dirección IPv6 de 2001:db8:acad:2:
:/64. El direccionamiento en la LAN en R2 tiene la dirección IPv4 172.16.1.0/24 y la dirección
P á g i n a | 751
Esta salida muestra sólo las rutas estáticas IPv4 en la tabla de enrutamiento. También tenga en
cuenta dónde el filtro comienza la salida, excluyendo todos los códigos.
Este comando mostrará la salida sólo para la red especificada en la tabla de enrutamiento.
Este comando filtra la configuración en ejecución sólo para rutas estáticas IPv4.
Este resultado muestra sólo las rutas estáticas IPv6 en la tabla de enrutamiento. También tenga
en cuenta dónde el filtro comienza la salida, excluyendo todos los códigos.
P á g i n a | 752
Este comando filtra la configuración en ejecución sólo para rutas estáticas IPv6.
P á g i n a | 753
15.2.8
El gráfico muestra una red de tres routers. La topología que tiene R1 está en la parte inferior
izquierda, R2 está en la parte media superior y R3 está en la parte inferior derecha. Hay un
cable Ethernet cruzado de interfaz R1s G0/0/1 a interfaz R2s G0/0/1 y un cable serie de interfaz
R2s S0/1/1 a interfaz R3s S0/1/1. Las tres LAN utilizan la interfaz G0/0/0 de su router. Hay un
switch conectado al router y una PC conectada al switch. PC1 está en la LAN para R1, PC2
está en la LAN para R2 y PC3 está en la LAN para R3. Las interfaces del router tendrán una
dirección .1 para todas las interfaces LAN y WAN, excepto para ambas conexiones en interfaces
R2s que se conectan a los otros routers. Estas interfaces en R2 se dan .2 ya que .1 se toma el
enlace. A ninguno de los switches o los PC se les asignaron direcciones IP. R1 tiene una
dirección local de enlace de FE80: :1 en las interfaces y R2 tiene FE80: :2 en las interfaces. El
direccionamiento en la LAN en R1 tiene la dirección IPv4 172.16.3.0/24 y el direccionamiento
IPv6 de 2001:db8:acad:3: :/64. La Ethernet entre R1 y R2 tiene la dirección IPv4 172.16.2.0/24
y la dirección IPv6 de 2001:db8:acad:2: :/64. El direccionamiento en la LAN en R2 tiene la
dirección IPv4 172.16.1.0/24 y la dirección IPv6 de 2001:db8:acad:1: :/64. La WAN entre R2 y
R3 tiene la dirección IPv4 192.168.1.0/24 y la dirección IPv6 de 2001:db8:cafe:1: :/64. El
direccionamiento en la LAN en R3 tiene la dirección IPv4 192.168.2.0/24 y el direccionamiento
IPv6 de 2001:db8:cafe:2: :/64.
Configure una ruta estática IPv4 del siguiente salto en R2 a la red 192.168.20/24 usando la
dirección del siguiente salto 192.168.1.1.
P á g i n a | 754
Configure a fully specified IPv4 static route on R2 to the 172.16.3.0/24 network using the exit
interface/next-hop pair: g0/0/1 172.16.2.1
Configure an IPv6 next-hop static route on R2 to the 2001:db8:cafe:2::/64 network using the
next-hop address 2001:db8:cafe:1::1.
Configure a fully specified IPv6 static route on R2 to the 2001:db8:acad:3::/64 network using
the exit interface/next-hop pair: g0/0/1 / fe80::1
Exit configuration mode and issue the command to display only the IPv4 static routes in the
routing table of R2.
R2(config)#exit
*Sep 18 21:44:32.910: %SYS-5-CONFIG_I: Configured from console by console
R2#show ip route static
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS
level-2
ia - IS-IS inter area, * - candidate default, U - per-user static
route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from
PfR
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 5 subnets, 2 masks
S 172.16.3.0/24 [1/0] via 172.16.2.1, GigabitEthernet0/0/1
S 192.168.2.0/24 [1/0] via 192.168.1.1
Issue the command to display only the IPv6 static routes in the routing table of R2.
Configure a directly connected IPv4 static route on R3 to the 172.16.3.0/24 network using exit
interface S0/1/1.
Configure a directly connected IPv4 static route on R3 to the 172.16.1. 0/24 network using exit
interface S0/1/1.
Configure a directly connected IPv4 static route on R3 to the 172.16.2.0/24 network using exit
interface S0/1/1.
Exit configuration mode and issue the command to display only the IPv4 static routes in the
routing table of R3.
R3(config)#exit
Sep 18 21:47:57.894: %SYS-5-CONFIG_I: Configured from console by console
R3#show ip route static
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS
level-2
ia - IS-IS inter area, * - candidate default, U - per-user static
route
P á g i n a | 756
Issue the command to display only the IPv6 static routes in the routing table of R3.
OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
S 2001:DB8:ACAD:1::/64 [1/0]
S 2001:DB8:ACAD:2::/64 [1/0]
S 2001:DB8:ACAD:3::/64 [1/0]
You have successfully configured and verified IPv4 and IPv6 static
routes.
P á g i n a | 757
Los routers suelen utilizar rutas predeterminadas configuradas de forma local, o bien,
descubiertas por otro router, mediante un protocolo de routing dinámico. Una ruta
predeterminada no requiere de ningún bit para que coincida entre la ruta predeterminada y
la dirección IP destino. Una ruta predeterminada se utiliza cuando ninguna otra ruta de la
tabla de routing coincide con la dirección IP de destino del paquete. Es decir, si no existe
una coincidencia más específica, entonces se utiliza la ruta predeterminada como el
gateway de último recurso.
El gráfico muestra dos routers, R1 está en la parte inferior izquierda y hay una conexión serial
a R2 en la parte superior derecha. Ambos routers están utilizando la interfaz S0/1/0. R2 está
conectado a una nube que dice Red en su centro. R1 está conectado a una LAN que tiene un
switch, S1 y PC etiquetado PC1 conectado a S1. R1 está usando G0/0/0 para la LAN; que
tiene una dirección IPv4 de 172.16.3.0/24. El enlace serie tiene la dirección IPv4 de
172.16.2.0/24. Hay un campo amarillo alrededor de la LAN. Encima del campo LAN están
las palabras: Stub Network en naranja y apunta con una flecha a la LAN. Debajo de la LAN
están las palabras: Stub Router en otro campo naranja y apunta a R1. Debajo del diagrama
está la declaración: R1 solo necesita saber acerca de las redes conectadas directamente. Para
todas las demás redes, puede utilizar una ruta estática predeterminada al R2.
La sintaxis del comando para una ruta estática predeterminada IPv4 es similar a cualquier
otra ruta estática, con la excepción de que la dirección de red es 0.0.0.0 y la máscara de subred
es 0.0.0.0. 0.0.0.0 0.0.0.0 en la ruta coincidirá con cualquier dirección de red.
Nota: Una ruta estática predeterminada IPv4 suele llamarse “ruta de cuádruple cero”.
La sintaxis del comando básico de una ruta estática predeterminada IPv4 es la siguiente:
La sintaxis del comando para una ruta estática predeterminada IPv4 es similar a la sintaxis
del comando de cualquier otra ruta estática, excepto que ipv6-prefix/prefix- length es ::/0,
que coincide con todas las rutas.
La sintaxis del comando básico de una ruta estática predeterminada IPv6 es la siguiente:
15.3.2
que está conectado únicamente al R2. Por lo tanto, sería más eficaz configurar una sola ruta
estática predeterminada.
El gráfico muestra una red de tres routers. La topología que tiene R1 está en la parte infer ior
izquierda, R2 está en la parte media superior y R3 está en la parte inferior derecha. Hay un
cable serie desde la interfaz R1s S0/1/0 a la interfaz R2s S0/1/0 y otro cable serie desde la
interfaz R2s S0/1/1 a la interfaz R3s S0/1/1. Las tres LAN utilizan la interfaz G0/0/0 de su
router. Hay un switch conectado al router y una PC conectada al switch. PC1 está en la LAN
para R1, PC2 está en la LAN para R2 y PC3 está en la LAN para R3. Las interfaces del router
tendrán una dirección.1 para todas las interfaces LAN y WAN, excepto para ambas interfaces
seriales (WAN) en R2. Estas interfaces en R2 se asignan a .2 ya que .1 toma el enlace WAN.
A ninguno de los switches o los PC se les asignaron direcciones IP. El direccionamiento en
la LAN en R1 tiene la dirección IPv4 172.16.3.0/24 y el direccionamiento IPv6 de
2001:db8:acad:3: :/64. La WAN entre R1 y R2 tiene la dirección IPv4 172.16.2.0/24 y la
dirección IPv6 de 2001:db8:acad:2: :/64. El direccionamiento en la LAN en R2 tiene la
dirección IPv4 172.16.1.0/24 y la dirección IPv6 de 2001:db8:acad:1: :/64. La WAN entre
R2 y R3 tiene la dirección IPv4 192.168.1.0/24 y la dirección IPv6 de 2001:db8:cafe:1: :/64.
El direccionamiento en la LAN en R3 tiene la dirección IPv4 192.168.2.0/24 y el
direccionamiento IPv6 de 2001:db8:cafe:2: :/64.
El ejemplo muestra una ruta estática predeterminada IPv4 configurada en R1. Con la
configuración del ejemplo, cualquier paquete que no coincida con entradas más específicas
de la ruta se reenvía a 172.16.2.2.
Una ruta estática predeterminada IPv6 se configura de manera similar. Con esta
configuración, cualquier paquete que no coincida con entradas más específicas de la ruta
IPv6 se reenvía a R2 al 2001:db8:acad:2::2
P á g i n a | 760
15.3.3
El gráfico muestra una red de tres routers. La topología que tiene R1 está en la parte infer io r
izquierda, R2 está en la parte media superior y R3 está en la parte inferior derecha. Hay un
cable serie desde la interfaz R1s S0/1/0 a la interfaz R2s S0/1/0 y otro cable serie desde la
interfaz R2s S0/1/1 a la interfaz R3s S0/1/1. Las tres LAN utilizan la interfaz G0/0/0 de su
router. Hay un switch conectado al router y una PC conectada al switch. PC1 está en la LAN
para R1, PC2 está en la LAN para R2 y PC3 está en la LAN para R3. Las interfaces del router
tendrán una dirección .1 para todas las interfaces LAN y WAN, excepto para ambas
interfaces seriales (WAN) en R2. Estas interfaces en R2 se asignan a .2 ya que .1 toma el
enlace WAN. A ninguno de los switches o los PC se les asignaron direcciones IP. El
direccionamiento en la LAN en R1 tiene la dirección IPv4 172.16.3.0/24 y el
direccionamiento IPv6 de 2001:db8:acad:3: :/64. La WAN entre R1 y R2 tiene la dirección
IPv4 172.16.2.0/24 y la dirección IPv6 de 2001:db8:acad:2: :/64. El direccionamiento en la
LAN en R2 tiene la dirección IPv4 172.16.1.0/24 y la dirección IPv6 de 2001:db8:acad:1 :
:/64. La WAN entre R2 y R3 tiene la dirección IPv4 192.168.1.0/24 y la dirección IPv6 de
2001:db8:cafe:1: :/64. El direccionamiento en la LAN en R3 tiene la dirección IPv4
192.168.2.0/24 y el direccionamiento IPv6 de 2001:db8:cafe:2: :/64.
P á g i n a | 761
La salida del comando show ip route static de R1 muestra el contenido de las rutas estáticas
en la tabla de routing. Vea el asterisco (*) Al lado de la ruta con el código "S". Como se
muestra en la tabla de códigos en la salida del comando show ip route, el asterisco indica
que la ruta estática es una ruta predeterminada candidata, razón por la cual se selecciona
como gateway de último recurso.
Este ejemplo muestra el resultado del comando show ipv6 route static para mostrar el
contenido de la tabla de routing.
Observe que la configuración de ruta estática predeterminada utiliza la máscara /0 para las
rutas predeterminadas IPv4 y el prefijo: :/0 para las rutas predeterminadas IPv6. Recuerde
que la longitud de la máscara subnet IPv4 y el prefijo de IPv6 en una tabla de routing
determina cuántos bits deben coincidir entre la dirección IP de destino del paquete y la ruta
en la tabla de routing. Un prefijo /0 mask or ::/0 indica que no se requiere que ninguno de los
P á g i n a | 762
bits coincida. Mientras no exista una coincidencia más específica, la ruta estática
predeterminada coincide con todos los paquetes.
15.3.4
El gráfico muestra una red de tres routers. La topología que tiene R1 está en la parte infer ior
izquierda, R2 está en la parte media superior y R3 está en la parte inferior derecha. Hay un
cable serie desde la interfaz R1s S0/1/0 a la interfaz R2s S0/1/0 y otro cable serie desde la
interfaz R2s S0/1/1 a la interfaz R3s S0/1/1. Las tres LAN utilizan la interfaz G0/0/0 de su
router. Hay un switch conectado al router y una PC conectada al switch. PC1 está en la LAN
para R1, PC2 está en la LAN para R2 y PC3 está en la LAN para R3. Las interfaces del router
tendrán una dirección.1 para todas las interfaces LAN y WAN, excepto para ambas interfaces
seriales (WAN) en R2. Estas interfaces en R2 se asignan a .2 ya que .1 toma el enlace WAN.
A ninguno de los switches o los PC se les asignaron direcciones IP. El direccionamiento en
la LAN en R1 tiene la dirección IPv4 172.16.3.0/24 y el direccionamiento IPv6 de
2001:db8:acad:3: :/64. La WAN entre R1 y R2 tiene la dirección IPv4 172.16.2.0/24 y la
dirección IPv6 de 2001:db8:acad:2: :/64. El direccionamiento en la LAN en R2 tiene la
dirección IPv4 172.16.1.0/24 y la dirección IPv6 de 2001:db8:acad:1: :/64. La WAN entre
R2 y R3 tiene la dirección IPv4 192.168.1.0/24 y la dirección IPv6 de 2001:db8:cafe:1: :/64.
P á g i n a | 763
Configure una ruta estática predeterminada IPv4 en R3 para llegar a todas las redes remotas.
Utilice la dirección IPv4 del siguiente salto como argumento.
Configure an IPv6 default static route on R3 to reach all remote networks. Use the next -hop
IPv6 address argument.
Exit configuration mode and display only the static routes in the IPv4 routing table.
R3(config)#exit
*Sep 16 10:11:43.767: %SYS-5-CONFIG\_I: Configured from console by
console
R3#show ip route static
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override
Otro tipo de ruta estática es una ruta estática flotante. Las rutas estáticas flotantes son rutas
estáticas que se utilizan para proporcionar una ruta de respaldo a una ruta estática o dinámica
principal, en el caso de una falla del enlace. La ruta estática flotante se utiliza únicamente
cuando la ruta principal no está disponible.
Para lograrlo, la ruta estática flotante se configura con una distancia administrativa mayor que
la ruta principal. La distancia administrativa representa la confiabilidad de una ruta. Si existen
varias rutas al destino, el router elegirá la que tenga una menor distanc ia administrativa.
Por ejemplo, suponga que un administrador desea crear una ruta estática flotante como
respaldo de una ruta descubierta por EIGRP. La ruta estática flotante se debe configurar con
una distancia administrativa mayor que el EIGRP. El EIGRP tiene una distancia administrativa
de 90. Si la ruta estática flotante se configura con una distancia administrativa de 95, se prefiere
la ruta dinámica descubierta por el EIGRP a la ruta estática flotante. Si se pierde la ruta
descubierta por el EIGRP, en su lugar se utiliza la ruta estática flotante.
El gráfico muestra dos enrutadores que tienen dos conexiones seriales cada uno a dos nubes
diferentes que permitirán la comunicación entre los routers. A la izquierda, el primer router se
llama Branch y el segundo router se llama HQ y está a la derecha. Ambos routers util izan S0/1/0
para conectarse a la nube en la parte superior de la topología. Esta nube tiene las palabras
WAN privada en el centro de la misma con la dirección 172.16.1.0/30. Ambos routers utilizan
S0/1/1 para conectarse a la nube inferior. Esta nube tiene un router llamado ISP. La nube tiene
la palabra Internet en ella. La conexión del router Branch al ISP es 209.165.200.240/29 con .242
en el lado Branch y .241 en el lado ISP. La conexión del router HQ al ISP es 209.165.200.224/29
con .226 en el lado HQ y .225 en el lado ISP. Hay una línea curva púrpura que se extiende
desde el router Branch a través de la nube WAN privada y apunta al router HQ. Hay el número
1 en un círculo en el lado de la rama. En una caja morada al lado del router Branch dice: Yo
prefiero alcanzar el router HQ usando un link WAN privado. En la parte inferior hay otra línea
curva que es gris y va desde el router Branch debajo de la nube de Internet y apunta al router
HQ. El número 2 está en un círculo en el lado del Branch. En una caja Gris al lado del router
Branch dice: Sin embargo, si ese link falla, puedo utiizar una ruta estática flotante que se conecta
al internet como respaldo. En la parte inferior del diagrama de topología hay dos instrucciones
numeradas: 1. Se prefiere una ruta aprendida a través del enrutamiento dinámico. y 2. Si se
pierde una ruta dinámica, se utilizará la ruta estática flotante.
De manera predeterminada, las rutas estáticas tienen una distancia administrativa de 1, lo que
las hace preferibles a las rutas descubiertas mediante protocolos de routing dinámico. Por
ejemplo, las distancias administrativas de algunos protocolos de routing dinámico comunes son
las siguientes:
EIGRP = 90
OSPF = 110
IS-IS = 115
P á g i n a | 766
La distancia administrativa de una ruta estática se puede aumentar para hacer que la ruta sea
menos deseable que la ruta de otra ruta estática o una ruta descubierta mediante un protocolo
de routing dinámico. De esta manera, la ruta estática “flota” y no se utiliza cuando está activa la
ruta con la mejor distancia administrativa. Sin embargo, si se pierde la ruta de preferencia, la
ruta estática flotante puede tomar el control, y se puede enviar el tráfico a través de esta ruta
alternativa.
15.4.2
Consulte la topología en la figura y los comandos ip route y ipv6 route emitidos en R1. En esta
situación, la ruta predeterminada preferida desde R1 es a R2. La conexión al R3 se debe utilizar
solo para respaldo.
El gráfico muestra una red de tres routers. La topología R1 está en la parte inferior izquierda,
R2 está en la parte media superior y R3 está en la parte inferior derecha. Hay un cable serie
desde la interfaz R1s S0/1/0 a la interfaz R2s S0/1/0 y otro cable serie desde la interfaz R2s
S0/1/1 a la interfaz R3s S0/1/1. El es ahora un tercer enlace serial entre la interfaz R1s S0/1/1
con una dirección de .1 y la interfaz R3s S0/1/0 con una dirección de .2. Este enlace tiene la
dirección IPv4 10.10.0/24 y la dirección IPv6 2001:db8:feed:10: :/64. Las tres LAN utilizan la
interfaz G0/0/0 de su router. Hay un switch conectado al router y una PC conectada al switch.
P á g i n a | 767
PC1 está en la LAN para R1, PC2 está en la LAN para R2 y PC3 está en la LAN para R3. Las
interfaces del router tendrán una dirección .1 para todas las interfaces LAN y WAN, excepto
para ambas interfaces seriales (WAN) en R2. Estas interfaces en R2 se asignan a .2 ya que .1
toma el enlace WAN. A ninguno de los switches o los PC se les asignaron direcciones IP. El
direccionamiento en la LAN en R1 tiene la dirección IPv4 172.16.3.0/24 y el direccionamiento
IPv6 de 2001:db8:acad:3: :/64. La WAN entre R1 y R2 tiene la dirección IPv4 172.16.2.0/24 y
la dirección IPv6 de 2001:db8:acad:2: :/64. El direccionamiento en la LAN en R2 tiene la
dirección IPv4 172.16.1.0/24 y la dirección IPv6 de 2001:db8:acad:1: :/64. La WAN entre R2 y
R3 tiene la dirección IPv4 192.168.1.0/24 y la dirección IPv6 de 2001:db8:cafe:1: :/64. El
direccionamiento en la LAN en R3 tiene la dirección IPv4 192.168.2.0/24 y el direccionamiento
IPv6 de 2001:db8:cafe:2: :/64.
El R1 se configura con las rutas estáticas predeterminadas IPv4 e IPv6 apuntando al R2. Debido
a que no está configurada ninguna distancia administrativa, se utiliza el valor predeterminado
(1) para esta ruta estática. El R1 también se configura con las rutas estáticas flotantes
predeterminadas IPv6 que apuntan al R3 con una distancia administrativa de 5. Este valor es
mayor que el valor predeterminado de 1 y, por lo tanto, esta ruta flota y no está presente en la
tabla de routing, a menos que falle la ruta preferida.
show ip route y show ipv6 route verifican que la ruta predeterminada al R2 esté instalada en
la tabla de routing. Observe que la ruta estática flotante de IPv4 a R3 no está presente en la
tabla de routing.
Utilice el comando show run, para comprobar que las rutas estáticas flotantes están en la
configuración. Por ejemplo, el siguiente comando verifica que ambas rutas estáticas
predeterminadas IPv6 estén en la configuración en ejecución.
P á g i n a | 768
15.4.3
El gráfico muestra una red de tres routers. La topología R1 está en la parte inferior izquierda,
R2 está en la parte media superior y R3 está en la parte inferior derecha. Hay un cable serie
desde la interfaz R1s S0/1/0 a la interfaz R2s S0/1/0 y otro cable serie desde la interfaz R2s
S0/1/1 a la interfaz R3s S0/1/1. El es ahora un tercer enlace serial entre la interfaz R1s S0/1/1
con una dirección de .1 y la interfaz R3s S0/1/0 con una dirección de .2. Este enlace tiene la
dirección IPv4 10.10.0/24 y la dirección IPv6 2001:db8:feed:10: :/64. Las tres LAN utilizan la
interfaz G0/0/0 de su router. Hay un switch conectado al router y una PC conectada al switch.
PC1 está en la LAN para R1, PC2 está en la LAN para R2 y PC3 está en la LAN p ara R3. Las
interfaces del router tendrán una dirección .1 para todas las interfaces LAN y WAN, excepto
para ambas interfaces seriales (WAN) en R2. Estas interfaces en R2 se asignan a .2 ya que .1
toma el enlace WAN. A ninguno de los switches o los PC se les asignaron direcciones IP. El
direccionamiento en la LAN en R1 tiene la dirección IPv4 172.16.3.0/24 y el direccionamiento
IPv6 de 2001:db8:acad:3: :/64. La WAN entre R1 y R2 tiene la dirección IPv4 172.16.2.0/24 y la
dirección IPv6 de 2001:db8:acad:2: :/64. El direccionamiento en la LAN en R2 tiene la dirección
IPv4 172.16.1.0/24 y la dirección IPv6 de 2001:db8:acad:1: :/64. La WAN entre R2 y R3 tiene la
dirección IPv4 192.168.1.0/24 y la dirección IPv6 de 2001:db8:cafe:1: :/64. El direccionamiento
en la LAN en R3 tiene la dirección IPv4 192.168.2.0/24 y el direccionamiento IPv6 de
2001:db8:cafe:2: :/64.
Para simular esta falla, se desactivan ambas interfaces seriales del R2, como se muestra en la
configuración.
P á g i n a | 769
Observe que R1 genera mensajes automáticamente indicando que la interfaz serial a R2 está
caída.
Una mirada a las tablas de enrutamiento IP de R1 verifica que las rutas estáticas flotantes
predeterminadas están ahora instaladas como rutas predeterminadas y apuntan a R3 como
enrutador de salto siguiente.
15.4.4
El gráfico muestra una red de tres routers. La topología R1 está en la parte inferior izquierda,
R2 está en la parte media superior y R3 está en la parte inferior derecha. Hay un cable serie
desde la interfaz R1s S0/1/0 a la interfaz R2s S0/1/0 y otro cable serie desde la interfaz R2s
S0/1/1 a la interfaz R3s S0/1/1. El es ahora un tercer enlace serial entre la interfaz R1s S0/1/1
con una dirección de .1 y la interfaz R3s S0/1/0 con una dirección de .2. Este enlace tiene la
dirección IPv4 10.10.0/24 y la dirección IPv6 2001:db8:feed:10: :/64. Las tres LAN utilizan la
interfaz G0/0/0 de su router. Hay un switch conectado al router y una PC conectada al switch.
PC1 está en la LAN para R1, PC2 está en la LAN para R2 y PC3 está en la LAN para R3. Las
interfaces del router tendrán una dirección .1 para todas las interfaces LAN y WAN, exce pto
para ambas interfaces seriales (WAN) en R2. Estas interfaces en R2 se asignan a .2 ya que .1
toma el enlace WAN. A ninguno de los switches o los PC se les asignaron direcciones IP. El
direccionamiento en la LAN en R1 tiene la dirección IPv4 172.16.3.0/ 24 y el direccionamiento
IPv6 de 2001:db8:acad:3: :/64. La WAN entre R1 y R2 tiene la dirección IPv4 172.16.2.0/24 y la
dirección IPv6 de 2001:db8:acad:2: :/64. El direccionamiento en la LAN en R2 tiene la dirección
IPv4 172.16.1.0/24 y la dirección IPv6 de 2001:db8:acad:1: :/64. La WAN entre R2 y R3 tiene la
dirección IPv4 192.168.1.0/24 y la dirección IPv6 de 2001:db8:cafe:1: :/64. El direccionamiento
en la LAN en R3 tiene la dirección IPv4 192.168.2.0/24 y el direccionamiento IPv6 de
2001:db8:cafe:2: :/64.
Configure una ruta predeterminada estática IPv4 en R3 utilizando la dirección del siguiente
salto 192.168.1.2.
Configure an IPv4 default static route on R3 using the next-hop address 10.10.10.1 with an
administrative distance of 5.
Configure an IPv6 default static route on R3 using the next-hop address 2001:db8:cafe:1::2
Configure an IPv6 default route on R3 using the next-hop address 2001:db8:feed:10::1 with an
administrative distance of 5.
R3(config)#exit
*Sep 20 02:55:53.327: %SYS-5-CONFIG_I: Configured from console by console
R3#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
+ - replicated route, % - next hop override
C 2001:DB8:FEED:10::/64 [0/0]
via Serial0/1/0, directly connected
L 2001:DB8:FEED:10::2/128 [0/0]
via Serial0/1/0, receive
L FF00::/8 [0/0]
via Null0, receive
Una ruta de host es una dirección IPv4 con una máscara de 32 bits o una dirección IPv6 con
una máscara de 128 bits. A continuación se muestra tres maneras de agregar una ruta de host
a una tabla de routing:
15.5.2
de paquetes. Esto es una suma a la ruta conectada, designada con una C en la tabla de routing
para la dirección de red de la interfaz.
Cuando una interfaz activa en un router se configura con una dirección IP, se agrega
automáticamente una ruta de host local a la tabla de routing. Las rutas locales se marcan
con L en el resultado de la tabla de routing.
El gráfico muestra una topología de dos routers. A la izquierda está el router ISP conectado
por un cable serie al router Branch de la derecha. El ISP tiene una conexión a un dispositivo
llamado Servidor en el lado izquierdo. El servidor tiene una dirección IPv4 de
209.165.200.238/27 y una dirección IPv6 de 2001:db8:acad:2: :238/64. El enlace serie entre
los dos routers tiene una dirección IPv6 de 2001:db8:acad:1: :/64 y una dirección IPv4 de
198.51.100.0/30. El router ISP tiene las direcciones IP de .2,: :2 y fe80: :2 asignadas a su
interfaz. El router Branch tiene asignadas las direcciones IP de .1,: :1 y fe80: :1.
15.5.3
El gráfico muestra una topología de dos routers. A la izquierda está el router ISP conectado
por un cable serie al enrutador Branch de la derecha. El ISP tiene una conexión a un
dispositivo llamado Servidor en el lado izquierdo. El servidor tiene una dirección IPv4 de
209.165.200.238/27 y una dirección IPv6 de 2001:db8:acad:2: :238/64. El enlace serie entre
los dos routers tiene una dirección IPv6 de 2001:db8:acad:1: :/64 y una dirección IPv4 de
198.51.100.0/30. El router ISP tiene las direcciones IP de .2,: :2 y fe80: :2 asignadas a su
interfaz. El router Branch tiene asignadas las direcciones IP de .1,: :1 y fe80: :1.
15.5.4
15.5.5
15.5.6
15.5.7
El gráfico muestra una topología de dos routers. A la izquierda está el router ISP conectado
por un cable serie al router Branch de la derecha. El ISP tiene una conexión a un dispositivo
llamado Servidor en el lado izquierdo. El servidor tiene una dirección IPv4 de
209.165.200.238/27 y una dirección IPv6 de 2001:db8:acad:2: :238/64. El enlace serie entre
los dos routers tiene una dirección IPv6 de 2001:db8:acad:1: :/64 y una dirección IPv4 de
198.51.100.0/30. El router ISP tiene las direcciones IP de .2,: :2 y fe80: :2 asignadas a su
interfaz. El router Branch tiene asignadas las direcciones IP de .1,: :1 y fe80: :1.
Branch#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B -
BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS
level-2
ia - IS-IS inter area, * - candidate default, U - per-user
static route
o - ODR, P - periodic downloaded static route, H - NHRP, l -
LISP
a - application route
P á g i n a | 777
A static IPv4 route to a host at address 209.165.200.238 and an exit interface of s0/1/0.
A static IPv6 route to a host at address 2001:db8:acad::2/128 and an exit interface of s0/1/0.
Branch#configure terminal
Branch(config)#ip route 209.165.200.238 255.255.255.255 s0/1/0
Branch(config)#ipv6 route 2001:db8:acad:2::238/128 s0/1/0
Exit configuration mode and display the IPv4 and IPv6 routing tables.
Branch(config)#exit
*Sep 19 19:06:47.301: %SYS-5-CONFIG_I: Configured from console by
console
Branch#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B -
BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS
level-2
ia - IS-IS inter area, * - candidate default, U - per-user
static route
o - ODR, P - periodic downloaded static route, H - NHRP, l -
LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from
PfR
P á g i n a | 778
15.6.2
15.6.3
Las rutas estáticas se pueden configurar para IPv4 e IPv6. Ambos protocolos admiten los
siguientes tipos de rutas estáticas: ruta estática estándar, ruta estática predeterminada, ruta
estática flotante y ruta estática de resumen. Las rutas estáticas se configuran con el comando
ip route e ipv6 route de configuración global. El siguiente salto se puede identificar mediante
una dirección IP, una interfaz de salida, o ambas cuando se está configurando una ruta
estática. La forma en que se especifica el destino crea uno de los tres tipos siguientes de ruta
estática: next hop, directamente conectado y completamente especificado. Las rutas estáticas
IPv4 se configuran mediante el siguiente comando de configuración global: ip
route network-address subnet-mask {ip-address | exit-intf [ip=address]} [distance]. Las
rutas estáticas IPv6 se configuran mediante el siguiente comando de configurac ió n
global: ipv6 route ipv6-prefix/prefix-length {ipv6-address | exit-intf [ipv6-
address]} [distance]. El comando para iniciar una tabla de routing IPv4 es show ip
route | begin Gateway. El comando para iniciar una tabla de routing IPv6 es show ipv6
route | begin C.
En una ruta estática de siguiente salto, solo se especifica la dirección IP del siguiente salto.
La interfaz de salida se deriva del próximo salto. Al configurar una ruta estática, otra opción
es utilizar la interfaz de salida para especificar la dirección del siguiente salto. Solo se deben
utilizar rutas estáticas conectadas directamente con interfaces seriales de punto a punto. Una
ruta estática completamente especificada tiene determinadas tanto la interfaz de salida como
P á g i n a | 780
la dirección IP del siguiente salto. Esta forma de ruta estática se utiliza cuando la interfaz de
salida es una interfaz de acceso múltiple y se debe identificar explícitamente el siguie nte
salto. El siguiente salto debe estar conectado directamente a la interfaz de salida especificada.
En una ruta estática IPv6 completamente especificada, tanto la interfaz de salida como la
dirección IPv6 del siguiente salto. Junto con show ip route**show ipv6
route, ping y traceroute, otros comandos útiles para verificar rutas estáticas
incluyen: show ip route static, show ip route network y show running-config | section ip
route**. Reemplace ip por ipv6 para las versiones IPv6 del comando.
Una ruta predeterminada es una ruta estática que coincide con todos los paquetes. Una ruta
predeterminada no requiere que ningún bit solo coincida entre la ruta predeterminada y la
dirección IP destino. Las rutas estáticas predeterminadas se utilizan comúnmente al conectar
un router perimetral a una red de proveedor de servicios y un router stub. La sintaxis del
comando para una ruta estática predeterminada IPv4 es similar a cualquier otra ruta estática
IPv4, con la excepción de que la dirección de red es 0.0.0.0 y la máscara de subred es 0.0.0.0.
0.0.0.0 0.0.0.0 en la ruta coincidirá con cualquier dirección de red. La sintaxis del comando
para una ruta estática predeterminada IPv6 es similar a la sintaxis del comando de cualquier
otra ruta estática IPv6, excepto que ipv6-prefix/prefix- length es ::/0, que coin cide con todas
las rutas. Para verificar una ruta estática predeterminada IPv4, utilice el comando show ip
route static. Para IPV6, use el comando show ipv6 route static.
Las rutas estáticas flotantes son rutas estáticas que se utilizan para proporcionar una ruta de
respaldo a una ruta estática o dinámica principal, en el caso de una falla del enlace. La ruta
estática flotante se configura con una distancia administrativa mayor a la de una ruta
principal. De manera predeterminada, las rutas estáticas tienen una distancia administra tiva
de 1, lo que las hace preferibles a las rutas descubiertas mediante protocolos de routing
dinámico. Las distancias administrativas de algunos protocolos de router dinámico de puerta
de enlace interior comunes son EIGRP = 90, OSPF = 110 e IS-IS = 115. Las rutas estáticas
flotantes IP se configuran mediante el distance argumento para especificar una distancia
administrativa. Si no se configura ninguna distancia administrativa, se utiliza el valor
predeterminado (1). show ip route y show ipv6 route verifica que las rutas predeterminadas
a un router estén instaladas en la tabla de routing.
Una ruta de host es una dirección IPv4 con una máscara de 32 bits o una dirección IPv6 con
una máscara de 128 bits. Hay tres maneras de agregar una ruta de host a la tabla de
enrutamiento: se instala automáticamente cuando se configura una dirección IP en el
enrutador, se configura como una ruta de host estática o se obtiene automáticamente a través
de otros métodos no cubiertos en este módulo. El IOS de Cisco instala automáticamente una
ruta de host, también conocida como ruta de host local, cuando se configura una dirección de
interfaz en el router. Una ruta de host puede ser una ruta estática configurada manualme nte
para dirigir el tráfico a un dispositivo de destino específico. Para las rutas estáticas IPv6, la
P á g i n a | 781
dirección de salto siguiente puede ser la dirección link-local del router adyacente; sin
embargo, debe especificar un tipo de interfaz y un número de interfaz cuando utilice una
dirección link-local como salto siguiente. Para ello, se elimina la ruta de host estática IPv6
original y, a continuación, se configura una ruta completamente especificada con la dirección
IPv6 del servidor y la dirección link-local IPv6 del router ISP.
15.6.4
¡Bien hecho! Ha llegado al módulo final del curso Switching, Routing e Wireless Essentia ls
v7.0 (SRWE). Este curso le proporcionó los conocimientos y habilidades en profundidad que
necesita para configurar conmutadores y enrutadores (incluidos los dispositivos
inalámbricos) en su red en crecimiento. ¡Realmente eres bueno en la administración de redes!
Pero, ¿qué hace que un buen administrador de red sea un gran administrador? La capacidad
de solucionar problemas de manera efectiva. La mejor manera de adquirir habilidades de
solución de problemas de red es simple: esté siempre solucionando problemas. En este
módulo, solucionará los problemas de rutas estáticas y predeterminadas. Hay un
comprobador de sintaxis, un rastreador de paquetes y un laboratorio práctico donde puede
perfeccionar sus habilidades de solución de problemas. ¡Vamos a hacerlo!
P á g i n a | 792
16.0.2
Procesamiento de paquetes con Explicar cómo un router procesa los paquetes cuando
rutas estáticas una ruta estática es configurada.
Resuelva problemas de
Resolver problemas comunes de configuración de
configuración de rutas estáticas
rutas estáticas y predeterminadas.
y predeterminadas IPv4
10. R3 encapsula el paquete en una nueva trama con la dirección MAC de la interfaz GigabitEthernet
0/0/0 como la dirección de la capa 2 de origen, y la dirección MAC de la PC3 como la dirección MAC
de destino.
11. La trama se reenvía desde la interfaz GigabitEthernet 0/0/0. El paquete llega a la interfaz de la tarjeta
de interfaz de red (NIC) de la PC3.
16.1.2
Resuelva problemas de
configuración de rutas estáticas y
predeterminadas IPv4
16.2.1
Cambios en la red
No importa lo bien que configure la red, tendrá que estar preparado para solucionar algún
problema. Las redes están condicionadas a situaciones que pueden provocar un cambio en su
estado con bastante frecuencia. Por ejemplo, una interfaz puede fallar o un proveedor de
P á g i n a | 797
16.2.2
ping
traceroute
show ip route
show ip interface brief
show cdp neighbors detail
La figura muestra la topología de referencia OSPF utilizada para demostrar estos comandos.
Ping
Traceroute
Este ejemplo muestra el resultado de un trazado de ruta desde R1 a la LAN R3. Teng a en
cuenta que cada ruta de salto devuelve una respuesta ICMP.
show ip route
Se muestra un estado rápido de todas las interfaces del router mediante el comando show ip
interface brief de este ejemplo.
El comando show cdp neighbors proporciona una lista de dispositivos Cisco conectados
directamente. Este comando valida la conectividad de la capa 2 (y, por lo tanto, la de la capa 1).
Por ejemplo, si en el resultado del comando se indica un dispositivo vecino, pero no se puede
hacer ping a este, entonces se debe investigar el direccionamiento de la capa 3.
16.2.3
Resolución de un problema de
conectividad
Encontrar una ruta faltante (o mal configurada) es un proceso relativamente sencillo si se utilizan
las herramientas adecuadas de manera metódica.
Por ejemplo, el usuario en PC1 informa que no puede acceder a los recursos en la LAN R3.
Esto se puede confirmar haciendo ping a la interfaz LAN de R3 utilizando la interfaz LAN de R1
como fuente. Una vez más, usaremos la topología de la figura para demostrar cómo solucionar
este problema de conectividad.
P á g i n a | 800
El administrador de red puede probar la conectividad entre las dos LAN desde R1 en lugar de
PC1. Esto se puede hacer mediante la fuente del ping desde la interfaz G0/0/0 en R1 a la interfaz
G0/0/0 en R3, como se muestra en el ejemplo. Los resultados muestran que no hay conectividad
entre estas LAN.
La tabla de enrutamiento en R2 se comprueba una vez más para confirmar que la entrada de
ruta a la LAN en R1, 172.16.3.0, es correcta y apunta hacia R1.
A continuación, se utiliza un ping de R1 procedente de G0/0/0 para verificar que R1 ahora puede
llegar a la interfaz LAN de R3. Como último paso de confirmación, el usuario de la PC1 también
debe probar la conectividad a la LAN 192.168.2.0/24.
P á g i n a | 803
16.2.4
La figura muestra PC2 conectado a un switch en la red 172.16.1.0/24. A continuac ión, el switch
se conecta al router (R2) en la interfaz Gigabit G0/0/0 con una dirección de puerta de enlace de
.1. R2 tiene dos conexiones seriales S0/1/0 y S0/1/1 conectadas al router (R1) para S0/1/0 y al
router (R3) en la conexión S0/1/1. La dirección de red de R1 a R2 es 172.16.2.0/14 y para R2 a
R3 es 192.181.1.0/24. Las direcciones de conexión en serie para R2 son .2 mientras que R1 y
R3 son .1. R1 está conectado a través de la interfaz Gigabit G0/0/0 a un switch en una red con
dirección 172.16.3.0/24 con PC1 conectado al switch. R3 tiene una conexión Gigabit a un switch
en la red 192.168.2.0/24 con PC3 conectado al switch.
R1#ping 192.168.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
Test the next hop gateway by sending a ping from R1 to the S0/1/0 interface of R2.
R1#ping 172.16.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/2/3 ms
R1#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS
level-2
ia - IS-IS inter area, * - candidate default, U - per-user static
route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
P á g i n a | 804
R2#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS
level-2
ia - IS-IS inter area, * - candidate default, U - per-user static
route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from
PfR
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 5 subnets, 2 masks
C 172.16.1.0/24 is directly connected, GigabitEthernet0/0/0
L 172.16.1.1/32 is directly connected, GigabitEthernet0/0/0
C 172.16.2.0/24 is directly connected, Serial0/1/0
L 172.16.2.2/32 is directly connected, Serial0/1/0
S 172.16.3.0/24 [1/0] via 172.16.2.1
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.1.0/24 is directly connected, Serial0/1/1
L 192.168.1.2/32 is directly connected, Serial0/1/1
Enter configuration mode and configure a static route on R2 to reach the R3 LAN.
R2#configure terminal
R2(config)#ip route 192.168.2.0 255.255.255.0 192.168.1.1
R2(config)#exit
*Sep 20 03:10:34.913: %SYS-5-CONFIG_I: Configured from console by console
R2#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS
level-2
P á g i n a | 805
R1#ping 192.168.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 3/3/4 ms
16.3.2
16.3.3
9. R3 busca la entrada de tabla ARP para la red de destino para encontrar la dirección MAC de capa 2
para PC3. Si no existe una entrada, el R3 envía una solicitud de protocolo de resolución de
direcciones (ARP) a través de una de sus interfaces y PC3 responde con una respuesta de ARP, la
cual incluye la dirección MAC de la PC3.
10. R3 encapsula el paquete en una nueva trama con la dirección MAC de la interfaz apropiada como la
dirección de la capa 2 de origen y la dirección MAC de la PC3 como la dirección MAC de destino.
11. La trama se reenvía desde la interfaz apropiada. El paquete llega a la interfaz de la tarjeta de interfaz
de red (NIC) de la PC3.
Las redes están condicionadas a situaciones que pueden provocar un cambio en su estado con
bastante frecuencia. Una interfaz puede fallar o un proveedor de servicios interrumpir una
conexión. Los vínculos pueden sobresaturarse o un administrador puede introducir una
configuración incorrecta. Entre los comandos comunes para la resolución de problemas de
IOS, se encuentran los siguientes:
ping
traceroute
show ip route
show ip interface brief
show cdp neighbors detail
16.3.4
17.0
Anexo Gráfico
P á g i n a | 816
P á g i n a | 817