CCNA - Switching, Routing, y Wireless Essentials - Unlocked

P ági n a |2
Un curso de formación, un examen

Este módulo (CCNA7-SRWE), es el segundo curso de una serie de tres cursos de CCNA . Se
centra en las tecnologías de switching y las operaciones de router que admiten redes
empresariales pequeñas a medianas, incluidas las redes de área local inalámbricas (WLAN)
y los conceptos de seguridad. Realizará la configuración básica de la red y la solución de
problemas, identificará y mitigará las amenazas de seguridad de la LAN, y configurará y
protegerá una WLAN básica.
Prerrequisitos
Haber terminado satisfactoriamente el módulo CCNAv7: Introduction to Networks.
A quién está dirigido

A los estudiantes de CCNA de NetTel.
Agradecimientos
A NetTel por brindar la oportunidad de realizar este curso.
A mi bruja personal (casi esposa jaja) por aguantar que me acueste tarde estudiando (sí,
estudiando).
Sobre este documento

Este documento está realizado sobre la base del contenido de la plataforma Netacad de Cisco.
Se adjuntan screenshot de las imágenes, videos y hasta de los test realizados en todos los
capítulos, tanto en idioma Inglés como español.
Además, se solicita encarecidamente NO HACER MAL USO DE ESTE DOCUMENTO.
Cisco and t he Cisco logo are t rademarks or regist ered trademarks of Cisco and/or it s affiliates
in t he U.S. and ot her count ries. To view a list of Cisco t rademarks, go t o t his URL:
www.cisco.com/go/t rademarks. Third party t rademarks mentioned are the property of t heir
respect ive owners. The use of t he word part ner does not imply a partnership relationship
bet ween Cisco and any ot her company.
P ági n a |3
Índice
Tabla de contenido
Switching, Routing and Wireless Essentials............................................................................22
Networking Academy CCNAv7 ..........................................................................................22
Capítulo 1_Configuración básica de dispositivos.........................................................................23
Introducción ............................................................................................................................23
¿Por qué debería tomar este módulo? .................................................................................23
¿Qué aprenderé en este módulo? ........................................................................................23
Configuración de parámetros iniciales de un switch ....................................................................24
Secuencia de arranque de un switch ...................................................................................24
El comando boot system......................................................................................................25
Indicadores LED del switch ................................................................................................25
Recuperarse de un bloqueo del sistema...............................................................................28
Acceso a administración de switches ...................................................................................29
Ejemplo de Configuración de Switch SVI ...........................................................................30
Práctica de laboratorio: configuración básica de un switch ................................................32
Configuración de puertos de un switch.......................................................................................32
Comunicación dúplex .........................................................................................................32
Configuración de puertos de switch en la capa física...........................................................33
Auto-MDIX (MDIX automático) ........................................................................................35
Switch Verification Commands...........................................................................................35
Verificar la configuración de puertos del switch. ................................................................36
Problemas de la capa de acceso a la red ..............................................................................37
1.2.7 ................................................................................................................................39
Errores de entrada y salida de interfaz ...............................................................................39
Resolución de problemas de la capa de acceso a la red........................................................40
Comprobador de sintaxis: configurar puertos de switch.....................................................41
Acceso remoto seguro...............................................................................................................42
Operación Telnet ................................................................................................................42
Funcionamiento de SSH......................................................................................................43
Verifique que el switch admita SSH ....................................................................................43
Configuración de SSH.........................................................................................................44
P ági n a |4
Verifique que SSH esté operativo........................................................................................46

Packet Tracer - Configurar SSH .........................................................................................47
Configuración básica de un router .............................................................................................47
Configuración de parámetros básicos del router.................................................................48
Comprobador de sintaxis - Configurar los ajustes básicos del router..................................49
Topología de doble pila .......................................................................................................50
Configurar interfaces de routers .........................................................................................50
Comprobador de sintaxis - Configurar interfaces de router ...............................................51
Interfaces de bucle invertido IPv4.......................................................................................52
Packet Tracer- Configurar Interfaces de Router ................................................................53
Verificar redes conectadas directamente.....................................................................................53
Comandos de verificación de interfaz .................................................................................53
Verificación del estado de una interfaz ...............................................................................54
Verificar direcciones locales y multidifusión de vínculos IPv6 ............................................55
Verificar la configuración de la interfaz..............................................................................56
Verificar rutas ....................................................................................................................57
Filtrado de los resultados del comando show ......................................................................58
Comprobador de sintaxis - Salida del comando Mostrar filtro ...........................................60
Historial de comandos.........................................................................................................61
Comprobador de sintaxis - Características del historial de comandos ................................62
Packet Tracer: verificar redes conectadas directamente .....................................................62
Compruebe su comprensión - Verificar las redes conectadas directamente ........................63
Práctica del módulo y cuestionario ............................................................................................67
Packet Tracer - Implementar una red pequeña ..................................................................67
Laboratorio: configuración del router básico......................................................................67
Capítulo 2_Conceptos de switching ...........................................................................................75
Introducción.............................................................................................................................75
Reenvío de tramas ....................................................................................................................76
Switching en la red..............................................................................................................76
Tabla de direcciones MAC del switch .................................................................................77
Intercambio de almacenamiento y reenvío ..........................................................................80
Dominios de switching .............................................................................................................83
Dominios de colisiones ........................................................................................................83
P ági n a |5
Dominios de difusión...........................................................................................................84
Alivio de la congestión en la red..........................................................................................85
Verifique su comprensión - Cambiar dominios ...................................................................86
Prueba y práctica del módulo ....................................................................................................89
¿Qué aprendí en este módulo? ............................................................................................89
Cuestionario del módulo: conceptos de cambio ...................................................................90
Capítulo 3_VLANs.....................................................................................................................98
¿Por qué debería tomar este módulo? .................................................................................98
Descripción general de las VLAN .............................................................................................99
Definiciones de VLAN.........................................................................................................99
Ventajas de un diseño de VLAN ....................................................................................... 101
Tipos de VLAN................................................................................................................. 103
Packet Tracer: ¿quién escucha la difusión? ...................................................................... 105
Compruebe su comprensión - Descripción general de las VLAN ...................................... 106
Redes VLAN en un entorno conmutado múltiple ...................................................................... 109
Definición de troncos de VLAN......................................................................................... 109
Redes sin VLAN................................................................................................................ 110
Red con VLAN.................................................................................................................. 111
Identificación de VLAN con etiqueta ................................................................................ 112
VLAN nativas y etiquetado de 802.1Q .............................................................................. 114
Ejemplo de verificación de VLAN de voz.......................................................................... 117
Packet Tracer: investigación de la implementación de una VLAN.................................... 117
Compruebe su comprensión - VLAN en un entorno de multiswitch.................................. 118
Configuración de VLAN......................................................................................................... 120
Rangos de VLAN en los switches Catalyst ........................................................................ 120
Comandos de creación de VLAN ...................................................................................... 122
Comandos de asignación de puertos VLAN ...................................................................... 123
VLAN de voz, datos .......................................................................................................... 125
Verificar la información de la VLAN ................................................................................ 127
Cambio de pertenencia de puertos de una VLAN ............................................................. 128
Eliminar las VLAN ........................................................................................................... 129
Comprobador de sintaxis - Configuración de VLAN ........................................................ 130
Packet Tracer: Configuración de redes VLAN ................................................................. 136
P ági n a |6
Enlaces troncales de la VLAN ................................................................................................. 136

Ejemplo de configuración de troncal................................................................................. 137
Verifique la configuración de enlaces troncales................................................................. 138
Restablecimiento del enlace troncal al estado predeterminado ......................................... 139
Packet Tracer: Configuración de enlaces troncales........................................................... 141
Práctica de laboratorio: Configuración de redes VLAN y enlaces troncales ..................... 141
Protocolo de enlace troncal dinámico ....................................................................................... 141
Introducción a DTP .......................................................................................................... 142
Modos de interfaz negociados ........................................................................................... 143
Resultados de una configuración DTP .............................................................................. 144
Verificación del modo de DTP .......................................................................................... 145
Packet Tracer: Configuración de DTP.............................................................................. 146
Compruebe su comprensión - Protocolo de enlace troncal dinámico................................. 146
Práctica del módulo y cuestionario .......................................................................................... 149
Packet Tracer - Implementar VLAN y Trunking.............................................................. 149
Laboratorio: Implementación de VLAN y Troncalización................................................ 149
¿Qué aprenderé en este módulo? ...................................................................................... 149
Módulo Quiz - VLAN ....................................................................................................... 151
Capítulo 4_Inter-VLAN Routing................................................................................................ 161
Introducción .......................................................................................................................... 161
¿Por qué debería tomar este módulo? ............................................................................... 161
Funcionamiento de Inter-VLAN Routing ................................................................................. 162
¿Qué es Inter-VLAN Routing ........................................................................................... 162
Inter-VLAN Routing heredado ......................................................................................... 162
Tabla de direcciones MAC para S1 ............................................................................... 163
Router-on-a-Stick Inter-VLAN Routing ........................................................................... 164
Inter-VLAN Routing en un switch de capa 3 .................................................................... 166
Verifique su comprensión- Operación de Inter-VLAN Routing ........................................ 168
Routing entre VLAN con router-on-a-stick .............................................................................. 171
Escenario Router-on-a-Stick ............................................................................................. 171
S1 VLAN and configuraciones de enlaces troncales .......................................................... 172
S2 VLAN y configuraciones de enlaces troncales .............................................................. 175
Configuración de subinterfaces de R1............................................................................... 176
P ági n a |7
Verificar la conectividad entre PC1 y PC2 ........................................................................ 178

Verificación de Router-on-a-Stick Inter-VLAN Routing................................................... 179
Packet Tracer - Configure Router-on-a-Stick Inter-VLAN Routing ................................. 182
Lab - Configure Router-on-a-Stick Inter-VLAN Routing ................................................. 182
Inter-VLAN Routing usando switches de capa 3....................................................................... 182
Inter-VLAN Routing en Switch de capa 3 ......................................................................... 182
Configuracion de switch de capa 3 .................................................................................... 184
Enrutamiento en un switch de capa 3................................................................................ 187
Packet Tracer - Configurar switch de capa 3 e Inter-VLAN Routing ............................... 191
Resolución de problemas de Inter-VLAN routing ..................................................................... 191
Problemas comunes de Inter-VLAN routing..................................................................... 191
Escenario de resolución de problemas de Inter-VLAN Routing ........................................ 192
Subinterfaces R1 del router........................................................................................... 193
VLAN faltantes ................................................................................................................. 194
Problemas con el puerto troncal del switch ....................................................................... 196
Problemas en los puertos de acceso de switch ................................................................... 198
Temas de configuración del router.................................................................................... 201
Compruebe su comprensión - Solucionar problemas de inter-VLAN routing. .................. 203
Packet Tracer: resolución de problemas de inter-VLAN routing ...................................... 206
Práctica de laboratorio: resolución de problemas de inter-VLAN routing ........................ 206
Packet Tracer: desafío de inter-VLAN routing ................................................................. 207
Laboratorio: Implementar inter-VLAN routing ............................................................... 207
Prueba de módulo - Inter-VLAN Routing......................................................................... 209
Capítulo 5_Conceptos de STP .................................................................................................. 220
Introducción........................................................................................................................... 220
Propósito del STP................................................................................................................... 221
Redundancia en redes conmutadas de capa 2.................................................................... 221
Protocolo de árbol de extensión......................................................................................... 221
Operación normal de STP ............................................................................................. 222
Recalcular STP ................................................................................................................. 222
P ági n a |8
STP compensa una falla de red...................................................................................... 223

Problemas con los vínculos de switch redundantes............................................................ 223
Bucles de la capa 2 ............................................................................................................ 224
Broadcast Storm ............................................................................................................... 225
El algoritmo de árbol de expansión................................................................................... 226
Vídeo - Observar la operación STP................................................................................... 230
Packet Tracer - Investigar la prevención de bucles STP ................................................... 230
Verifique su comprensión - Propósito de STP................................................................... 231
Funcionamientos del STP ....................................................................................................... 233
Pasos para una topología sin bucles .................................................................................. 233
1. Elige el root bridge ........................................................................................................ 234
Impacto de las pujas por defecto ....................................................................................... 236
Determinar el costo de la ruta raíz .................................................................................... 237
2. Elegir los puertos raíz ................................................................................................... 238
3. Seleccionar puertos designados ..................................................................................... 239
4. Seleccionar puertos alternativos (bloqueados)............................................................... 242
Seleccione un puerto raíz a partir de varias rutas de igual coste ....................................... 244
Temporizadores STP y Estados de puerto......................................................................... 246
Detalles Operativos de cada Estado Portuario .................................................................. 248
Per-VLAN Spanning Tree ................................................................................................ 249
Compruebe su comprensión — Operaciones STP............................................................. 249
Evolución del STP.................................................................................................................. 254
Diferentes versiones de STP.............................................................................................. 254
Conceptos de RSTP .......................................................................................................... 256
Estados de puerto RSTP y roles de puerto ........................................................................ 257
PortFast y protección BPDU............................................................................................. 259
Alternativas a STP............................................................................................................ 261
Compruebe su comprensión - Evolución de STP............................................................... 263
Module Quiz - STP ........................................................................................................... 268
Capítulo 6_EtherChannel ........................................................................................................ 272
Introducción........................................................................................................................... 272
P ági n a |9

Funcionamiento de EtherChannel ............................................................................................ 273
Añadidura de enlaces........................................................................................................ 273
EtherChannel ................................................................................................................... 274
Ventajas de EtherChannel ................................................................................................ 275
Restricciones de implementación ...................................................................................... 276
Protocolos de negociación automática............................................................................... 277
Funcionamiento PAgP ...................................................................................................... 277
Ejemplo de configuración del modo PAgP ........................................................................ 278
Modos PAgP.................................................................................................................. 279
Operación LACP .............................................................................................................. 279
Ejemplo de configuración del modo LACP ....................................................................... 280
Modos LACP................................................................................................................. 280
Verifique su comprensión - Funcionamiento de EtherChannel ......................................... 281
Configuración de EtherChannel............................................................................................... 284
Instrucciones de configuración.......................................................................................... 284
Ejemplo de Configuración de LACP................................................................................. 286
Verificador de sintaxis - Configuración EtherChannel ..................................................... 287
Packet Tracer - Configuración de EtherChannel.............................................................. 289
Verificación y solución de problemas de EtherChannel ............................................................. 289
Verificar EtherChannel .................................................................................................... 289
Common Issues with EtherChannel Configurations ......................................................... 292
Ejemplo de solucionar problemas de EtherChannel.......................................................... 293
Packet Tracer: Solución de problemas de EtherChannel .................................................. 295
Packet Tracer - Implementar EtherChannel..................................................................... 296
Lab - Implementar EtherChannel..................................................................................... 296
Módulo Quiz - Etherchannel............................................................................................. 298
Capítulo 7_DHCPv4................................................................................................................. 308
Introducción........................................................................................................................... 308
Conceptos DHCPv4................................................................................................................ 309
P á g i n a | 10
Servidor y cliente DHCPv4 ............................................................................................... 309

Funcionamiento de DHCPv4............................................................................................. 310
Pasos para obtener un arrendamiento .............................................................................. 311
Pasos para renovar un contrato de arrendamiento ........................................................... 314
Compruebe su comprensión - DHCPv4 Conceptos ........................................................... 315
Configure un servidor DHCPv4 del IOS de Cisco..................................................................... 317
Servidor Cisco IOS DHCPv4 ............................................................................................ 317
Pasos para configurar un servidor DHCPv4 del IOS de Cisco .......................................... 318
Ejemplo de configuración ................................................................................................. 319
Comandos de verificación DHCPv4 .................................................................................. 320
Verifique que DHCPv4 esté operando............................................................................... 321
Verificador de sintaxis - Configuración de DHCPv4 ......................................................... 324
Desactive el servidor DHCPv4 del IOS de Cisco ............................................................... 325
Retransmisión DHCPv4 .................................................................................................... 325
Otras transmisiones de servicio retransmitidas................................................................. 328
Packet Tracer - Configurar DHCPv4................................................................................ 328
Configurar un router como cliente DHCPv4 ............................................................................. 329
Cisco Router como cliente DHCPv4 .................................................................................. 329
Ejemplo de configuración ................................................................................................. 330
Enrutador doméstico como cliente DHCPv4 ..................................................................... 330
Verificador de sintaxis: configuración de un router como cliente DHCPv4....................... 331
Packet Tracer - Implementar DHCPv4............................................................................. 332
Laboratorio: Implementar DHCPv4 ................................................................................. 333
Módulo Quiz - DHCPv4 .................................................................................................... 335
Capítulo 8_SLAAC y DHCPv6.................................................................................................... 346
Introducción........................................................................................................................... 346
Bienvenido ........................................................................................................................ 346
IPv6 GUA Assignment ........................................................................................................... 347
Configuración de host con IPv6 ........................................................................................ 347
IPv6 Host Link-Local Address.......................................................................................... 348
IPv6 GUA Assignment...................................................................................................... 349
P á g i n a | 11
Tres flags de mensaje RA.................................................................................................. 350

Compruebe su comprensión - Asignación de IPv6 GUA ................................................... 351
SLAAC ................................................................................................................................. 353
Descripción general de SLAAC......................................................................................... 353
Activación de SLAAC ....................................................................................................... 353
Método Sólo SLAAC......................................................................................................... 355
ICMPv6 RS Messages ....................................................................................................... 357
Proceso de host para generar ID de interfaz ..................................................................... 358
Detección de direcciones duplicadas ................................................................................. 358
Verifique su comprensión - SLAAC.................................................................................. 359
DHCPv6 ................................................................................................................................. 362
Pasos de operación DHCPv6 ................................................................................................... 362
Operación DHCPv6 stateless ............................................................................................ 365
Habilitar DHCPv6 stateless en una interfaz ...................................................................... 366
Operaciones de DHCPv6 stateful ...................................................................................... 367
Habilitar DHCPv6 stateful en una interfaz ....................................................................... 368
Verifique su comprensión - DHCPv6 ................................................................................ 368
Configure DHCPv6 Server...................................................................................................... 371
Roles de router DHCPv6................................................................................................... 371
Configurar un servidor DHCPv6 stateless. ....................................................................... 371
Configurar un servidor DHCPv6 stateless. ....................................................................... 374
Configurar un servidor DHCPv6 stateful.......................................................................... 375
Configurar un cliente DHCPv6 stateful. ........................................................................... 378
Comandos de verificación del server DHCPv6 .................................................................. 381
Configuración del agente de retransmisión DHCPv6 ........................................................ 382
Verificar el agente de retransmisión de DHCPv6 .............................................................. 383
Compruebe su comprensión - Configurar el servidor DHCPv6 ........................................ 384
Laboratorio: Configurar DHCPv6.................................................................................... 388
Prueba de módulo - SLAAC y DHCPv6............................................................................ 391
Capítulo 9_Conceptos de FHRP ............................................................................................... 399
Introducción........................................................................................................................... 399
P á g i n a | 12

Protocolos de Redundancia de Primer Salto ............................................................................. 400
Limitaciones del Gateway Predeterminado....................................................................... 400
Redundancia del Router ................................................................................................... 402
Pasos para la Conmutación por Falla del Router.............................................................. 403
Opciones de FHRP............................................................................................................ 404
Verifique su conocimiento - Protocolos de Redundancia de Primer Salto ......................... 406
HSRP .................................................................................................................................... 409
HSRP: Descripción general............................................................................................... 409
Prioridad e Intento de Prioridad del HSRP ...................................................................... 409
Estados y Temporizadores de HSRP................................................................................. 411
Verifique Su conocimiento - HSRP ................................................................................... 412
Práctica del Módulo y Cuestionario ......................................................................................... 414
Módulo de preguntas - Conceptos de FHRP ..................................................................... 416
Packet Tracer - Guía de configuración HSRP................................................................... 423
Capítulo 10_Conceptos de Seguridad de LAN ........................................................................... 423
Introducción........................................................................................................................... 423
Seguridad de Punto Terminal .................................................................................................. 425
Ataques de Red Actuales................................................................................................... 425
Dispositivos de Seguridad de Red ..................................................................................... 426
Protección de terminales ................................................................................................... 427
Dispositivo de Seguridad de Correo Electrónico Cisco (ESA) ........................................... 428
Dispositivo de Seguridad de la Red de Cisco (WSA) ......................................................... 430
Ponga a prueba su conocimiento - Seguridad de Punto Terminal ..................................... 431
Control de Acceso .................................................................................................................. 433
Autenticación con una contraseña local ............................................................................ 433
Componentes AAA ........................................................................................................... 434
Autenticación.................................................................................................................... 435
Autorización ..................................................................................................................... 436
Registro ............................................................................................................................ 437
802.1x................................................................................................................................ 438
P á g i n a | 13
Verifique su comprensión: Control de Acceso................................................................... 439

Amenazas a la seguridad de Capa 2 ......................................................................................... 441
Capa 2 Vulnerabilidades................................................................................................... 441
Categorías de Ataques a Switches ..................................................................................... 442
Ataques de Capa 2......................................................................................................... 443
Técnicas de Mitigación en el Switch.................................................................................. 443
Mitigación de ataques en Capa 2. .................................................................................. 443
Ponga a prueba su conocimiento: Amenazas de Seguridad de Capa 2 .............................. 444
Ataque de Tablas de Direcciones MAC.................................................................................... 447
Revisar la Operación del Switch ....................................................................................... 447
Saturación de Tablas de Direcciones MAC ....................................................................... 447
Mitigación de Ataques a la Tabla de Direcciones MAC..................................................... 448
Verifica tu entendimiento- Ataques a Tablas de Direcciones MAC. .................................. 449
Ataques a la LAN................................................................................................................... 451
Video - VLAN y Ataques DHCP ....................................................................................... 451
Ataque de VLAN Hopping................................................................................................ 451
Ataque de VLAN Double -Tagging .................................................................................... 452
Mensajes DHCP................................................................................................................ 455
Ataques de DHCP............................................................................................................. 456
Video- Ataques ARP, Ataques STP, y Reconocimiento CDP............................................. 459
Ataques ARP .................................................................................................................... 460
Ataque de Suplantación de Dirección................................................................................ 462
Ataque de STP.................................................................................................................. 463
Reconocimiento CDP ........................................................................................................ 465
Verifique su comprensión - Ataques LAN......................................................................... 467
Práctica del Módulo y Cuestionario ......................................................................................... 471
¿Qué aprendí en este módulo? .......................................................................................... 471
Módulo Quiz: Conceptos de Seguridad de LAN................................................................ 473
Capítulo 11_Configuraciones de seguridad del Switch .............................................................. 478
Introducción........................................................................................................................... 478
Implementación de Seguridad de Puertos ................................................................................. 479
Asegurar los puertos sin utilizar ....................................................................................... 479
P á g i n a | 14
Mitigación de ataques por saturación de tabla de direcciones MAC ................................. 480

Habilitar la seguridad del puerto. ..................................................................................... 481
Limitar y Aprender MAC Addresses ................................................................................ 482
Vencimiento de la seguridad del puerto. ........................................................................... 485
Seguridad de puertos: modos de violación de seguridad ................................................... 486
Modos de violación de seguridad ................................................................................... 487
Comparación de modos de violación de seguridad ........................................................ 487
Puertos en Estado error-disabled...................................................................................... 488
Verificar la seguridad del puerto ...................................................................................... 490
Verificador de Sintaxis - Implementar Seguridad de Puerto ............................................. 491
Packet Tracer - Implementar la seguridad portuaria........................................................ 493
Mitigación de ataques de VLAN ............................................................................................. 493
Revisión de ataques a VLAN............................................................................................. 493
Pasos para mitigar ataques de salto .................................................................................. 494
Mitigar ataques de brinco de VLAN ................................................................................. 495
Mitigación de ataques de DHCP .............................................................................................. 496
Revisión de ataques DHCP ............................................................................................... 496
Indagación de DHCP ........................................................................................................ 497
Pasos para implementar DHCP Snooping......................................................................... 498
Un ejemplo de configuración de detección de DHCP......................................................... 498
Comprobador de sintaxis: mitigar los ataques DHCP....................................................... 500
Mitigación de ataques de ARP................................................................................................. 502
Inspección dinámica de ARP ............................................................................................ 502
Pautas de implementación DAI ......................................................................................... 502
Ejemplo de configuración DAI.......................................................................................... 503
Comprobador de sintaxis: mitigar los ataques ARP.......................................................... 505
Mitigación de ataques de STP ................................................................................................. 506
PortFast y protección BPDU ............................................................................................. 506
Configure PortFast ........................................................................................................... 507
Configurar la protección BPDU ........................................................................................ 508
11.5.4 – Comprobador de sintaxis: mitigar los ataques STP.............................................. 509
Packet Tracer - Configuración de seguridad en el Switch ................................................. 510
Lab - Configuración de Seguridad en el Switch ................................................................ 511
P á g i n a | 15

Módulo quiz: Configuraciones de seguridad del Switch.................................................... 513
Capítulo 12_Conceptos WLAN................................................................................................. 523
Introducción........................................................................................................................... 523
Introducción a la tecnología inalámbrica .................................................................................. 524
Beneficios de redes inalámbricas....................................................................................... 524
Tipos de redes inalámbricas.............................................................................................. 525
Tecnologías inalámbricas .................................................................................................. 527
Estándares de Wi-Fi 802.11 .............................................................................................. 528
Radiofrecuencia ................................................................................................................ 530
El espectro electromagnético ......................................................................................... 530
Organizaciones de estándares inalámbricos ...................................................................... 531
Verifique su conocimiento – Introducción a la tecnología inalámbrica ............................. 532
Componentes de la WLAN ..................................................................................................... 535
12.2.1 – Video – Componentes WLAN .............................................................................. 535
NIC inalámbrica ............................................................................................................... 535
12.2.3 – Router de hogar inalámbrico ............................................................................... 536
Categorías AP................................................................................................................... 538
Antenas inalámbricas ....................................................................................................... 540
Verifique su comprensión - Componentes WLAN ............................................................ 541
Funcionamiento de WLAN ..................................................................................................... 544
12.3.1 – Video – Operación de la WLAN........................................................................... 544
Modos de topología inalámbrica ....................................................................................... 545
BSS y ESS......................................................................................................................... 546
802.11 Estructura de la Trama ......................................................................................... 547
CSMA/CA......................................................................................................................... 548
Asociación de AP de cliente inalámbrico ........................................................................... 549
Modo de entrega pasiva y activa ....................................................................................... 550
Verifique su comprensión - Operación de la WLAN ......................................................... 552
Funcionamiento de CAPWAP ................................................................................................. 555
Video - CAPWAP ............................................................................................................. 555
Introducción a la CAPWAP.............................................................................................. 555
P á g i n a | 16
Arquitectura MAC dividida.............................................................................................. 556

Encriptación de DTLS ...................................................................................................... 557
AP FlexConnect ................................................................................................................ 557
Verifique su comprensión - Operación CAPWAP............................................................. 558
Administración de canales ...................................................................................................... 563
Canal de frecuencia de saturación .................................................................................... 563
Selección de canales .......................................................................................................... 564
Canales superpuestos de 2.4GHz en América del Norte................................................. 565
Canales no superpuestos de 2.4GHz para 802.11b/g/n ................................................... 565
Primeros ocho canales no interferentes de 5 GHz.......................................................... 566
Canales no interferentes de 5 GHz para 802.11a/n/ac .................................................... 566
12.5.3 – Planifique la implementación de WLAN .............................................................. 567
Verifique su conocimiento– Gestión de canales ................................................................. 568
Amenazas a la WLAN ............................................................................................................ 570
Video– Amenazas en la WLAN......................................................................................... 570
Resumen de seguridad inalámbrica .................................................................................. 571
Ataques de DoS................................................................................................................. 571
Puntos de acceso no autorizados ....................................................................................... 572
Ataque man-in-the-middle ................................................................................................ 573
Verifique su comprensión -amenazas WLAN.................................................................... 574
WLAN seguras ...................................................................................................................... 576
12.7.1 – Video – WLAN seguras ........................................................................................ 576
12.7.2 – Encubrimiento SSID y filtrado de direcciones MAC ............................................ 576
802.11 Métodos de autenticación originales ...................................................................... 578
Métodos de autenticación de clave compartida ................................................................. 579
Autenticando a un usuario doméstico ............................................................................... 579
Métodos de encriptación ................................................................................................... 580
Autenticación en la empresa ............................................................................................. 581
WPA3 ............................................................................................................................... 582
12.7.9 – Verifique su comprensión - WLAN seguras ......................................................... 583
Módulo Quiz: Conceptos WLAN ...................................................................................... 589
Capítulo 13_Configuraciones de redes inalámbricas WLAN ....................................................... 597
P á g i n a | 17
Introducción........................................................................................................................... 597
Configuración de WLAN del sitio remoto ................................................................................ 599
Video - Configuración de una red inalámbrica ................................................................. 599
Router inalámbrico ........................................................................................................... 599
Cisco Meraki MX64W................................................................................................... 600
Conéctese al router inalámbrico. ...................................................................................... 601
Configuración básica de red.............................................................................................. 602
Configuración inalámbrica ............................................................................................... 606
Configuración de una red de Malla Inalámbrica .............................................................. 611
NAT para IPv4 ................................................................................................................. 612
Calidad de servicio............................................................................................................ 613
Reenvío de Puerto ............................................................................................................. 614
Packet Tracer - Configurar una red inalámbrica.............................................................. 615
Práctica de laboratorio: Configuración de una red inalámbrica ....................................... 615
Configure una WLAN básica en el WLC ................................................................................. 615
Video - Configure una WLAN básica en el WLC .............................................................. 615
Topología WLC ................................................................................................................ 616
Topología ...................................................................................................................... 617
Tabla de Direcciones ..................................................................................................... 617
Iniciar sesión en el WLC................................................................................................... 618
Ver la información del punto de acceso............................................................................. 619
Configuración Avanzada .................................................................................................. 620
Configurar una WLAN..................................................................................................... 621
Configuración Básica de una WLAN en el WLC .............................................................. 625
Configure una red inalámbrica WLAN WPA2 Enterprise en el WLC......................................... 626
Video - Defina un servidor RADIUS y SNMP en el WLC. ................................................ 626
SNMP y RADIUS ............................................................................................................. 626
Configurar Información del Servidor SNMP.................................................................... 627
Configure los servidores RADIUS..................................................................................... 628
Video - Configurar una VLAN para una nueva WLAN .................................................... 630
Topologia de direcciones en VLAN 5 ................................................................................ 631
Configurar una nueva interfaz.......................................................................................... 632
P á g i n a | 18
Video - Configurar el Alcance de DHCP........................................................................... 635

Configurar el Alcance DHCP............................................................................................ 635
Video - Configure una red inalámbrica WLAN WPA2 Enterprise ................................... 638
Configure una red inalámbrica WLAN WPA2 Enterprise................................................ 639
Packet Tracer: Configuración de WLAN WPA2 Enterprise en el WLC ........................... 644
Solución de problemas de WLAN ........................................................................................... 644
Enfoques para la Solución de Problemas .......................................................................... 644
Cliente Inalámbrico no está conectando............................................................................ 645
Resolución de Problemas cuando la red esta lenta. ........................................................... 647
Actualizar el Firmware ..................................................................................................... 648
Packet Tracer: Solución de problemas WLAN ................................................................. 649
Práctica y Resumen del Módulo .............................................................................................. 650
Packet Tracer: Configuración WLAN .............................................................................. 650
¿Qué aprendí en este módulo? .......................................................................................... 650
Módulo Quiz - Configuración WLAN............................................................................... 651
Capítulo 14_Conceptos de enrutamiento ................................................................................. 661
Introducción........................................................................................................................... 661
Determinación de trayecto: ..................................................................................................... 662
Dos funciones del router ................................................................................................... 662
Ejemplo de Funciones del router ...................................................................................... 662
Mejor ruta es igual a la coincidencia más larga ................................................................ 663
Ejemplo de coincidencia más larga de direcciones IPv4 .................................................... 664
Ejemplo de coincidencia más larga de direcciones IPv6 .................................................... 664
Creación de la tabla de enrutamiento ............................................................................... 665
Redes desde la perspectiva de R1 .................................................................................. 666
Compruebe su comprensión - Determinación de la ruta ................................................... 667
Reenvío de paquetes ............................................................................................................... 670
Proceso de decisión de reenvío de paquetes ....................................................................... 670
Reenvío de paquetes.......................................................................................................... 672
Mecanismos de reenvío de paquetes .................................................................................. 675
Verifique su comprensión-Reenvío de paquetes ................................................................ 678
Configuración básica de un router ........................................................................................... 680
P á g i n a | 19
Topología .......................................................................................................................... 680

Comandos de Configuración............................................................................................. 681
Comandos de verificación ................................................................................................. 683
Salida del comando de filtro.............................................................................................. 688
Packet Tracer - Revisión básica de la configuración del router......................................... 689
Tabla de routing IP ................................................................................................................. 690
Origen de la ruta............................................................................................................... 690
Principios de la tabla de enrutamiento .............................................................................. 692
Entradas de la tabla de routing ......................................................................................... 693
Redes conectadas directamente......................................................................................... 694
Rutas estáticas .................................................................................................................. 695
Rutas estáticas en la tabla de enrutamiento IP.................................................................. 697
Protocolos de routing dinámico......................................................................................... 698
Rutas dinámicas en la tabla de enrutamiento IP ............................................................... 700
Ruta predeterminada........................................................................................................ 700
Estructura de una tabla de enrutamiento IPv4 ................................................................. 702
Estructura de una tabla de enrutamiento IPv6 ................................................................. 704
Distancia administrativa ................................................................................................... 704
Compruebe su comprensión - Tabla de enrutamiento IP .................................................. 706
Enrutamiento estático y dinámico ............................................................................................ 709
¿Estático o dinámico? ....................................................................................................... 709
Evolución del protocolo de routing dinámico .................................................................... 710
Conceptos de Protocolos de routing dinámico ................................................................... 712
El mejor camino................................................................................................................ 713
Balance de carga ............................................................................................................... 715
Compruebe su comprensión - Enrutamiento dinámico y estático...................................... 716
Prueba del módulo: conceptos de Routers......................................................................... 721
Capítulo 15_Rutas IP estáticas................................................................................................. 731
Introducción........................................................................................................................... 731
Rutas estáticas........................................................................................................................ 733
P á g i n a | 20
Tipos de rutas estáticas ..................................................................................................... 733

Opciones de siguiente salto................................................................................................ 733
Comando de ruta estática IPv4 ......................................................................................... 734
Comando de ruta estática IPv6 ......................................................................................... 735
Topología Dual-Stack ....................................................................................................... 736
Iniciando tablas de enrutamiento IPv4 ............................................................................. 737
Inicio de tablas de enrutamiento de IPv6 .......................................................................... 738
Compruebe su comprensión - Rutas estáticas ................................................................... 740
Configuración de rutas estáticas IP .......................................................................................... 742
Ruta estática IPv4 de siguiente salto ................................................................................. 742
Ruta estática IPv6 de siguiente salto ................................................................................. 743
Ruta Estática IPv4 Conectada Directamente .................................................................... 744
Ruta Estática IPv6 Conectada Directamente .................................................................... 746
Ruta estática completamente especificada IPv4 ................................................................ 747
Ruta estática completamente especificada IPv6 ................................................................ 748
Verificación de una ruta estática....................................................................................... 750
Verificador de sintaxis- Configurar rutas estáticas ........................................................... 753
Configuración de rutas estáticas predeterminadas IP ................................................................. 757
Ruta estática por defecto................................................................................................... 757
Configuración de una ruta estática predeterminada ......................................................... 758
Verificar una ruta estática predeterminada ...................................................................... 760
Configuración de rutas estáticas flotantes ................................................................................. 764
Rutas estáticas flotantes .................................................................................................... 764
Configure las Rutas Estáticas Flotantes IPv4 y IPv6 ......................................................... 766
Pruebe la ruta estática flotante ......................................................................................... 768
Verificador de sintaxis - Configurar rutas estáticas flotantes ............................................ 769
Configuración de rutas de host estáticas ................................................................................... 772
Rutas del host ................................................................................................................... 772
Rutas de host instaladas automáticamente ........................................................................ 772
Ruta estática de host ......................................................................................................... 774
Configuración de rutas de host estáticas ........................................................................... 774
Verificar rutas de host estáticas ........................................................................................ 775
Configurar rutas de host estáticas IPV6 con Link-Local de siguiente salto ....................... 775
P á g i n a | 21

Packet Tracer: Configuración de rutas estáticas y predeterminadas IPv4 eIPv6 .............. 778
Lab - Configure rutas estáticas y predeterminadas IPv4 e IPv6........................................ 779
Módulo Quiz - Enrutamiento estático IP........................................................................... 781
Capítulo 16_Resuelva problemas de rutas estáticas y predeterminadas..................................... 791
Introducción........................................................................................................................... 791
Procesamiento de paquetes con rutas estáticas .......................................................................... 792
Rutas estáticas y envío de paquetes ................................................................................... 792
Verifique su conocimie nto: procesamiento de paquetes con rutas estáticas....................... 794
Resuelva problemas de configuración de rutas estáticas y predeterminadas IPv4......................... 796
Cambios en la red ............................................................................................................. 796
Comandos comunes para la solución de problemas........................................................... 797
Resolución de un problema de conectividad...................................................................... 799
Comprobador de sintaxis: solucionar problemas de rutas estáticas y predeterminadas de
IPv4 .................................................................................................................................. 803
Packet Tracer - Solucionar problemas de rutas estáticas y predeterminadas .................... 805
Resuelva problemas de rutas estáticas y predeterminadas ................................................ 806
16.3.4 – Cuestionario de módulo– Solución de problemas de rutas estáticas y
predeterminadas ............................................................................................................... 807
Anexo Gráfico.................................................................................................................... 815
P á g i n a | 22
Switching, Routing and Wireless

Essentials
Networking Academy CCNAv7
Bienvenido al segundo curso del currículo CCNAV7 de Cisco Networking Academy,
Switching, Routing y Wireless Essentials (SRWE). Este es el segundo de los tres cursos que
están alineados con el examen de certificación CCNA. SRWE contiene 16 módulos, cada
uno con una serie de temas.
Switching, Enrutamiento e Wireless Essentials mejora su conocimiento del funcionamie nto

de enrutadores y conmutadores en redes pequeñas. SRWE le presentará los conceptos de
redes de área local inalámbricas (WLAN) y seguridad de red.
Al final de este curso podrá configurar funcionalidades avanzadas en routers y switches.

También podrá realizar la solución de problemas básica de estos componentes. Mediante las
prácticas recomendadas de seguridad, solucionará y resolverá problemas de protocolo
comunes en redes IPv4 e IPv6.
Las habilidades y conocimientos que adquieras en SRWE te prepararán para el curso final en
CCNA. Con Cisco Networking Academy, no hay mejor momento que now. ¡Adelante!
P á g i n a | 23
Capítulo 1_Configuración básica de

dispositivos
Introducción
1.0.1
¿Por qué debería tomar este módulo?

¡Bienvenido a la configuración básica del dispositivo!
¡Bienvenido al primer módulo en CCNA Switching, Enrutamiento y Wireless Essentials!.

Sabe que los switches y routers vienen con alguna configuración integrada, así que ¿por
qué necesitarás aprender a configurar más switches y routers?
Imagina que compraste un juego de tren modelo. Después de haberla configurado, te diste
cuenta de que la pista era sólo una forma ovalada simple y que los vagones de tren sólo
funcionaban en el sentido de las agujas del reloj. Es posible que desee que la pista sea una
figura de ocho con un paso elevado. Es posible que desee tener dos trenes que operen
independientemente el uno del otro y sean capaces de moverse en diferentes direcciones.
¿Cómo pudiste hacer que eso pasara? Tendrías que volver a configurar la pista y los
controles. Es lo mismo con los dispositivos de red. Como administrador de red, necesita un
control detallado de los dispositivos de su red. Esto significa configurar con precisión
switches y routeres para que su red haga lo que desea que haga. Este módulo tiene muchas
actividades de Comprobador de sintaxis y trazador de paquetes para ayudarle a desarrollar
estas habilidades. Comencemos ya mismo.
1.0.2
¿Qué aprenderé en este módulo?

Título del módulo: Configuración básica de dispositivos
Objetivos del módulo: Configuración de los dispositivos mediante los procedimientos

recomendados de seguridad.
P á g i n a | 24
Título del tema Objetivo del tema
Configuración de Parámetros Iniciales Configurar los parámetros iniciales en un switch

de un Switch Cisco.
Configurar los puertos de un switch para cumplir con

Configuración de Puertos de un Switch.
los requisitos de red.
Configurar el acceso de administración seguro en un

Acceso remoto seguro
switch.
Configurar los ajustes básicos en un router para

Configuración básica de un router enrutar entre dos redes conectadas directamente,
utilizando CLI.
Verificar redes conectadas Verificar la conectividad entre dos redes que están
directamente conectadas directamente a un router.
Configuración de parámetros
iniciales de un switch
1.1.1
Secuencia de arranque de un switch

Antes de poder configurar un switch, debe encenderlo y permitirle pasar por la secuencia de
arranque de cinco pasos. En este tema se tratan los conceptos básicos de la configuración de
un switch e incluye un laboratorio al final.
Después de encender un switch Cisco, pasa por la siguiente secuencia de inicio de cinco
pasos:
Paso 1: Primero, el switch carga un programa de autodiagnóstico al encender (POST)

almacenado en la memoria ROM. El POST verifica el subsistema de la CPU. Este comprueba
la CPU, la memoria DRAM y la parte del dispositivo flash que integra el sistema de archivos
flash. Paso 2: A continuación, el switch carga el software del cargador de arranque. El
cargador de arranque es un pequeño programa almacenado en la memoria ROM que se
ejecuta inmediatamente después de que el POST se completa correctamente. Paso 3: El
cargador de arranque lleva a cabo la inicialización de la CPU de bajo nivel. Inicializa los
P á g i n a | 25
registros de la CPU, que controlan dónde está asignada la memoria física, la cantidad de
memoria y su velocidad. Paso 4: El cargador de arranque inicia el sistema de archivos flash
en la placa del sistema. Paso 5: Por último, el cargador de arranque localiza y carga una
imagen de software del sistema operativo de IOS en la memoria y delega el control del switch
a IOS.
1.1.2
El comando boot system

Después de encender un switch Cisco, pasa por la siguiente secuencia de inicio de cinco
pasos: Si no se establece esta variable, el switch intenta cargar y ejecutar el primer archivo
ejecutable que puede encontrar. En los switches de la serie Catalyst 2960, el archivo de
imagen generalmente se encuentra en un directorio que tiene el mismo nombre que el archivo
de imagen (excepto la extensión de archivo .bin).
El sistema operativo IOS luego inicializa las interfaces utilizando los comandos Cisco IOS
que se encuentran en el archivo de configuración de inicio. Se llama al archivo startup-
config config.text y se encuentra en flash.
En el ejemplo, la variable de entorno BOOT se establece mediante el boot system comando

del modo de configuración global. Observe que el IOS se ubica en una carpeta distinta y que
se especifica la ruta de la carpeta. Use el comando show boot para ver en qué está
configurado el archivo de arranque IOS actual.
La tabla define cada parte del comando boot system.
Comando Definición
boot system El comando principal
flash: The storage device
c2960-lanbasek9-mz.150-2.SE/ La ruta al sistema de archivos
c2960-lanbasek9-mz.150-2.SE.bin El nombre del archivo IOS
1.1.3
Indicadores LED del switch

P á g i n a | 26
Los switches Cisco Catalyst tienen varios indicadores luminosos LED de estado. Puede usar los
LED del switch para controlar rápidamente la actividad y el rendimiento del switch. Los diferentes
modelos y conjuntos de características de los switches tienen diferen tes LED, y la ubicación de
estos en el panel frontal del switch también puede variar.
En la ilustración, se muestran los LED y el botón Mode de un switch Cisco Catalyst 2960.
La figura muestra los indicadores LED, el botón de modo y los puertos en la parte delantera
izquierda de un interruptor. Los indicadores LED numerados 1 - 6 de arriba a abajo son: SYST,
RPS, STAT, DUPLX, SPEED y PoE. Debajo de los indicadores LED y etiquetados 7 en la figura
está el botón de modo. Por encima de los puertos de conmutación y etiquetados 8 en la figura
están los LEDs de puerto.
El botón Modo (7 en la figura) se usa para alternar entre el estado del puerto, el dúplex del
puerto, la velocidad del puerto y, si es compatible, el estado de la alimentación a través de
Ethernet (PoE) de los LED del puerto (8 en la figura).
System LED
Muestra si el sistema está recibiendo energía y funciona correctamente. Si el LED está apagado,
significa que el sistema no está encendido. Si el LED es de color verde, el sistema funciona
normalmente. Si el LED es de color ámbar, el sistema recibe alimentación pero no funciona
correctamente.
Redundant Power System (RPS) LED

P á g i n a | 27
Muestra el estado de RPS. Si el LED está apagado, el RPS está apagado o no está conectado
correctamente. Si el LED es de color verde, el RPS está conectado y listo para proporcionar
alimentación de respaldo. Si el LED parpadea y es de color verde, el RPS está conectado pero
no está disponible porque está proporcionando alimentación a otro dispositivo. Si el LED es de
color ámbar, el RPS está en modo de reserva o presenta una falla. Si el LED parpadea y es de
color ámbar, la fuente de alimentación interna del switch presenta una falla, y el RPS está
proporcionando alimentación.
Port Status LED
Indica que el modo de estado del puerto está seleccionado cuando el LED está verde. Este es
el modo predeterminado. Al seleccionarlo, los indicadores LED del puerto muestran colores con
diferentes significados. Si el LED está apagado, no hay enlace, o el puerto estaba
administrativamente inactivo. Si el LED es de color verde, hay un enlace presente. Si el LED
parpadea y es de color verde, hay actividad, y el puerto está enviando o recibiendo datos. Si el
LED alterna entre verde y ámbar, hay una falla en el enlace. Si el LED es de color ámbar, el
puerto está bloqueado para asegurar que no haya un bucle en el dominio de reenvío y no
reenvía datos (normalmente, los puertos permanecen en este estado durante los primeros
30 segundos posteriores a su activación). Si el LED parpadea y es de color ámbar, el puerto
está bloqueado para evitar un posible bucle en el dominio de reenvío.
Port Duplex LED
Indica que el modo dúplex del puerto está seleccionado cuando el LED está verde. Al
seleccionarlo, los LED del puerto que están apagados están en modo semidúplex. Si el LED del
puerto es de color verde, el puerto está en modo dúplex completo.
Port Speed LED
Indica que el modo de velocidad del puerto está seleccionado. Al seleccionarlo, los indicadores
LED del puerto muestran colores con diferentes significados. Si el LED está apagado, el puerto
está funcionando a 10 Mbps. Si el LED es verde, el puerto está funcionando a 100 Mbps. Si el
LED parpadea en verde, el puerto está funcionando a 1000 Mbps.
Power over Ethernet (PoE) Mode LED
Si se admite PoE, estará presente un LED de modo PoE. Si el LED está apagado, indica que
no se seleccionó el modo de alimentación por Ethernet, que a ninguno de los puertos se le negó
el suministro de alimentación y ninguno presenta fallas. Si el LED está parpadeando en ámb ar,
el modo PoE no está seleccionado, pero al menos uno de los puertos ha sido denegado o tiene
P á g i n a | 28
una falla PoE. Si el LED es de color verde, indica que se seleccionó el modo de alimentación
por Ethernet, y los LED del puerto muestran colores con diferentes significados. Si el LED del
puerto está apagado, la alimentación por Ethernet está desactivada. Si el LED del puerto es de
color verde, la alimentación por Ethernet está activada. Si el LED del puerto alterna entre verde
y ámbar, se niega la alimentación por Ethernet, ya que, si se suministra energía al dispositivo
alimentado, se excede la capacidad de alimentación del switch. Si el LED parpadea en ámbar,
PoE está apagado debido a una falla. Si el LED es de color ámbar, se inhabilitó la alimentación
por Ethernet para el puerto.
1.1.4
Recuperarse de un bloqueo del sistema

El cargador de arranque proporciona acceso al switch si no se puede usar el sistema operativo
debido a la falta de archivos de sistema o al daño de estos. El cargador de arranque tiene una
línea de comandos que proporciona acceso a los archivos almacenados en la memoria flash.
Se puede acceder al cargador de arranque mediante una conexión de consola con los siguientes
pasos:
Paso 1. Conecte una computadora al puerto de consola del switch co n un cable de consola.
Configure el software de emulación de terminal para conectarse al switch. Paso 2. Desconecte
el cable de alimentación del switch. Paso 3. Vuelva a conectar el cable de alimentación al
interruptor y, en 15 segundos, presione y mantenga presionado el botón Mode mientras el LED
del sistema todavía parpadea en verde. Paso 4. Continúe presionando el botón Mode hasta
que el LED del sistema se vuelva brevemente ámbar y luego verde sólido; luego suelte el
botón Mode. Paso 5. The boot loader switch: El mensaje aparece en el software de emulación
de terminal en la PC.
Escriba help o ? en el símbolo del gestor de arranque para ver una lista de comandos
disponibles.
De manera predeterminada, el switch intenta iniciarse automáticamente mediante el uso de

información en la variable de entorno BOOT. Para ver la ruta de acceso de la variable de entorno
BOOT del switch, escriba el comando set. A continuación, inicialice el sistema de archivos flash
utilizando el comando flash_init para ver los archivos actuales en flash, como se muestra en la
salida.
P á g i n a | 29
Después de que flash haya terminado de inicializar, puede ingresar el comando dir flash: para
ver los directorios y archivos en flash, como se muestra en la salida.
Introduzca el BOOT=flash comando para cambiar la ruta de la variable de entorno BOOT que
utiliza el switch para cargar el nuevo IOS en flash. Para verificar la nueva ruta de la variable de
entorno BOOT, vuelva a set ejecutar el comando. Finalmente, para cargar el nuevo IOS escriba
el boot comando sin ningún argumento, como se muestra en la salida.
Los comandos del gestor de arranque admiten la inicialización de flash, el formateo de flash, la
instalación de un nuevo IOS, el cambio de la variable de entorno BOOT y la recuperación de
contraseñas pérdidas u olvidadas.
1.1.5
Acceso a administración de switches

Para el acceso a la administración remota de un switch, este se debe configurar con una
dirección IP y una máscara de subred. Tenga en cuenta que para administrar el switch desde
una red remota, el switch debe configurarse con una puerta de enlace predeterminada. Este es
un proceso muy similar a la configuración de la información de dirección IP en los dispositivos
host. En la ilustración, se debe asignar una dirección IP a la interfaz vir tual del switch (SVI) de
P á g i n a | 30
S1. La SVI es una interfaz virtual, no un puerto físico del switch. Se utiliza un cable de consola
para acceder a una PC de modo que el switch puede configurar específicamente.
Switch con una conexión de

red a un router y una
conexión por cable de
consola a un equipo host.
1.1.6
Ejemplo de Configuración de Switch SVI

De manera predeterminada, el switch está configurado para controlar su administración a través
de la VLAN 1. Todos los puertos se asignan a la VLAN 1 de manera predeterminada. Por
motivos de seguridad, se considera una práctica recomendada utilizar una VLAN distinta de la
VLAN 1 para la VLAN de administración, como la VLAN 99 en el ejemplo.
Configure the Management Interface
Desde el modo de configuración de la interfaz VLAN, se aplica una dirección IPv4 y una máscara
de subred a la SVI de administración del switch.
Nota: El SVI para VLAN 99 no aparecerá como "activo / activo" hasta que se cree VLAN 99 y
haya un dispositivo conectado a un puerto de switch asociado con VLAN 99.
Nota:Es posible que el switch debata configurar para IPv6. Por ejemplo, antes de que pueda
configurar el direccionamiento IPv6 en un Cisco Catalyst 2960 que ejecute IOS versión 15.0,
deberá ingresar el comando de configuración global sdm prefer dual-ipv4-and-ipv6 default y,
a continuación, reload el switch.
P á g i n a | 31
Paso 2
Configure the Default Gateway
Si el switch se va a administrar de forma remota desde redes que no están conectadas

directamente, se debe configurar con un gateway predetermin ado.
Nota: Dado que recibirá la información de la puerta de enlace predeterminada de un mensaje

de anuncio de router (RA), el switch no requiere una puerta de enlace predeterminada IPv6.
Paso 3
Verificar Configuración
P á g i n a | 32
Los comandos show ip interface brief y show ipv6 interface brief, son útiles para determinar
el estado de las interfaces físicas y virtuales. La información que se muestra confirma que la
interfaz VLAN 99 se ha configurado con una dirección IPv4 e IPv6.
Nota: Una dirección IP aplicada al SVI es solo para el acceso de administración remota al switch;
esto no permite que el switch enrute paquetes de Capa 3.
1.1.7
Práctica de laboratorio: configuración

básica de un switch
En esta práctica de laboratorio se cumplirán los siguientes objetivos:
 Parte 1: Tender el cableado de red y verificar la configuración predeterminada del switch

 Parte 2: Configurar los parámetros básicos de los dispositivos de red
 Parte 3: Verificar y probar la conectividad de red
 Parte 4: Administrar la tabla de direcciones MAC
Basic Switch Configuration
Configuración de puertos de un
switch
1.2.1
Comunicación dúplex
Los puertos de un switch se pueden configurar de forma independiente para diferentes
necesidades. En este tema se describe cómo configurar los puertos del switch, cómo verificar
P á g i n a | 33
las configuraciones, errores comunes y cómo solucionar problemas de configuración del

switch.
La comunicación en dúplex completo aumenta el ancho de banda eficaz al permitir que

ambos extremos de una conexión transmitan y reciban datos simultáneamente. Esto también
se conoce como comunicación bidireccional y requiere microsegmentación. Las LAN
microsegmentadas se crean cuando un puerto de switch tiene solo un dispositivo conectado
y funciona en modo dúplex completo. Cuando un puerto de switch opera en modo dúplex
completo, no hay dominio de colisión conectado al puerto.
A diferencia de la comunicación en dúplex completo, la comunicación en semidúplex es

unidireccional. La comunicación en semidúplex genera problemas de rendimiento debido a
que los datos fluyen en una sola dirección por vez, lo que a menudo provoca colisiones. Las
conexiones semidúplex suelen verse en los dispositivos de hardware más antiguos, como los
hubs. La comunicación en dúplex completo reemplazó a la semidúplex en la mayoría del
hardware.
En la ilustración, se muestra la comunicación en dúplex completo y semidúplex.
Gigabit Ethernet y NIC de 10 Gb requieren conexiones full-duplex para funcionar. En el modo

dúplex completo, el circuito de detección de colisiones de la NIC se encuentra inhabilitado.
Dúplex completo ofrece el 100% de eficacia en ambas direcciones (transmisión y recepción).
Esto da como resultado una duplicación del uso potencial del ancho de banda establecido.
1.2.2
Configuración de puertos de switch en la

capa física
P á g i n a | 34
Los puertos de switch se pueden configurar manualmente con parámetros específicos de dúplex
y de velocidad. Use el comando duplex del modo de configuración de interfaz duplex para
especificar manualmente el modo dúplex de un puerto de switch. Use el comando speed, del
modo de configuración de la interfaz, para especificar manualmente la velocidad. Por ejemplo,
ambos switches de la topología deben funcionar siempre en dúplex completo a 100 Mbps.
La tabla muestra los comandos para S1. Los mismos comandos se pueden aplicar a S2.
La configuración predeterminada de dúplex y velocidad para los puertos de switch en los

switches Cisco Catalyst 2960 y 3560 es automática. Los puertos 10/100/1000 funcionan en
modo semidúplex o semidúplex cuando están configurados en 10 o 100 Mbps y operan solo en
modo dúplex completo cuando está configurado en 1000 Mbps (1 Gbps). La negociación
automática es útil cuando la configuración de velocidad y dúplex del dispositivo que se conecta
al puerto es desconocida o puede cambiar. Cuando se conecta a dispositivos conocidos como
servidores, estaciones de trabajo dedicadas o dispositivos de red, la mejor práctica es
establecer manualmente la configuración de velocidad y dúplex.
Cuando se solucionan problemas relacionados con el puerto del switch, es importante que se
verifique la configuración de dúplex y velocidad.
Nota: Si la configuración para el modo dúplex y la velocidad de puertos del switch presenta
incompatibilidades, se pueden producir problemas de conectividad. Una falla de
autonegociación provoca incompatibilidades en la configuración.
P á g i n a | 35
Todos los puertos de fibra óptica, como los puertos 1000BASE-SX, solo funcionan a una
velocidad predefinida y siempre son dúplex completo.
1.2.3
Auto-MDIX (MDIX automático)

Hasta hace poco, se requerían determinados tipos de cable (cruzado o directo) para conectar
dispositivos. Las conexiones switch a switch o switch a router requerían el uso de diferentes
cables Ethernet. Mediante el uso de la característica automática de conexión cruzada de interfaz
dependiente del medio (auto-MDIX) en una interfaz, se elimina este problema. Al habilitar la
característica auto-MDIX, la interfaz detecta automáticamente el tipo de conexión de cable
requerido (directo o cruzado) y configura la conexión conforme a esa información. Al conectarse
a los switches sin la función auto-MDIX, los cables directos deben utilizarse para conectar a
dispositivos como servidores, estaciones de trabajo o routers. Los cables cruzados se deben
utilizar para conectarse a otros switches o repetidores.
Con la característica auto-MDIX habilitada, se puede usar cualquier tipo de cable para
conectarse a otros dispositivos, y la interfaz se ajusta de manera automática para proporcionar
comunicaciones satisfactorias. En los switches Cisco más nuevos, el comando mdix auto del
modo de configuración de interfaz habilita la función. Al usar auto -MDIX en una interfaz, la
velocidad de la interfaz y el dúplex deben configurarse para que la función auto funcione
correctamente.
El comando para habilitar Auto-MDIX se emite en el modo de configuración de interfaz en el

switch como se muestra:
Nota: La función auto-MDIX está habilitada de manera predeterminada en los switches

Catalyst 2960 y Catalyst 3560, pero no está disponible en los switches Catalyst 2950 y
Catalyst 3550 anteriores.
Para examinar la configuración de auto-MDIX para una interfaz específica, use el

comando show controllers ethernet-controller con la palabra clave phy. Para limitar la salida
a líneas que hagan referencia a auto-MDIX, use el filtro include Auto-MDIX Como se muestra
el resultado indica On (Habilitada) u Off (Deshabilitada) para la característica.
1.2.4
Switch Verification Commands

P á g i n a | 36
En la tabla se resumen algunos de los comandos de verificación de co nmutación más útiles.
1.2.5
Verificar la configuración de puertos del

switch.
El comando show running-config, se puede usar para verificar que el switch se haya
configurado correctamente. De la salida abreviada de muestra en S1, se muestra alguna
información importante en la figura:
 La interfaz Fast Ethernet 0/18 se configura con la VLAN de administración 99

 La VLAN 99 está configurada con una dirección IPv4 de 172.17.99.11 255.255.255.0
 La puerta de enlace predeterminada está establecida en 172.17.99.1
P á g i n a | 37
El comando show interfaces es otro comando de uso común, que muestra información de
estado y estadísticas en las interfaces de red del switch. El comando show interfaces se usa
con frecuencia al configurar y monitorear dispositivos de red.
La primera línea de salida para el comando show interfaces fastEthernet 0/18 indica que la
interfaz FastEthernet 0/18 está activa / activa, lo que significa que está operativa. Más abajo en
el resultado, se muestra que el modo dúplex es full (completo) y la velocidad e s de 100 Mb/s.
1.2.6
Problemas de la capa de acceso a la red

El resultado del comando show interfaces, es útil para detectar problemas comunes de
medios. Una de las partes más importantes de esta salida, es la visualización de la línea y el
estado del protocolo de enlace de datos, como se muestra en el ejemplo.
El primer parámetro (FastEthernet0 / 18 está activo) se refiere a la capa de hardware e indica si

la interfaz está recibiendo una señal de detección de portadora. El segundo parámetro (line
protocol is up) se refiere a la capa de enlace de datos e indica si se reciben los keepalives del
protocolo de capa de enlace de datos.
Según el resultado del comando show interfaces, los posibles problemas se pueden solucionar
de la siguiente manera:
 Si la interfaz está activa y el protocolo de línea está inactivo, hay un problema. Puede haber una
incompatibilidad en el tipo de encapsulación, la interfaz en el otro extremo puede estar
inhabilitada por errores o puede haber un problema de hardware.
 Si el protocolo de línea y la interfaz están inactivos, no hay un cable conectado o existe algún
otro problema de interfaz. Por ejemplo, en una conexión directa, el otro extremo de la conexión
puede estar administrativamente inactivo.
 If the interface is administratively down, it has been manually disabled (the **** shutdown) en la
configuración activa.
P á g i n a | 38
El resultado del comando show interfaces muestra contadores y estadísticas para la interfaz
Fastethernet0/18, como se destaca en el ejemplo.
Algunos errores de los medios no son lo suficientemente graves como para hacer que el circuito
falle, pero causan problemas de rendimiento de la red. La tabla explica algunos de estos errores
comunes que se pueden detectar con el comando show interfaces.f
Tipo de error Descripción
Cantidad total de errores. Incluye runts, gigantes, sin buffer,

Errores de entrada
CRC, desbordamiento y recuentos ignorados.
Paquetes que se descartan porque son más pequeños que el

mínimo tamaño del paquete para el medio. Por ejemplo,
Fragmentos de colisión
cualquier paquete Ethernet que sea menos de 64 bytes se
considera un runt.
Gigantes Paquetes que se descartan porque exceden el tamaño máximo

de paquete para el medio. Por ejemplo, cualquier paquete de
P á g i n a | 39
Tipo de error Descripción
Ethernet que sea mayor que 1.518 bytes se considera un

gigante.
Los errores de CRC se generan cuando la suma de

CRC comprobación calculada no es la misma que la suma de
comprobación recibida.
Suma de todos los errores que impidieron la transmisión final

Errores de salida
de datagramas de la interfaz que se está examinando.
Cantidad de mensajes retransmitidos debido a una colisión de

Colisiones
Ethernet.
Una colisión que ocurre después de 512 bits de la trama han

Colisiones tardías
sido Transmitido
1.2.7
Errores de entrada y salida de interfaz

“Input errors” indica la suma de todos los errores en los datagramas que se recibieron en la
interfaz que se analiza. Estos incluyen los recuentos de fragmentos de colisión, de fragmentos
gigantes, de los que no están almacenados en buffer, de CRC, de tr amas, de saturación y de
ignorados. Los errores de entrada informados del comando show interfaces, incluyen lo
siguiente:
 Runt Frames - las tramas Ethernet que son más cortas que la longitud mínima permitida de 64
bytes se llaman runts. La NIC en mal funcionamiento son la causa habitual de las tramas
excesivas de fragmentos de colisión, pero también pueden deberse a colisiones.
 Giants -Las tramas de Ethernet que son más grandes que el tamaño máximo permitido se
llaman gigantes.
 CRC errors -En las interfaces Ethernet y serie, los errores de CRC generalmente indican un
error de medios o cable. Las causas más comunes incluyen interferencia eléctrica, conexiones
flojas o dañadas o cableado incorrecto. Si aparecen muchos errores de CRC, hay demasiado
ruido en el enlace, y se debe examinar el cable. También se deben buscar y eliminar las fuentes
de ruido.
“Output errors” es la suma de todos los errores que impiden la transmisión final de los
datagramas por la interfaz que se analiza. Los errores de salida informado s del comando show
interfaces incluyen lo siguiente:
 Colisión: Las colisiones en operaciones half-duplex son normales. Sin embargo, nunca debe
observar colisiones en una interfaz configurada para la comunicación en dúplex completo.
P á g i n a | 40
 Colisiones tardías: Una colisión tardía se refiere a una colisión que ocurre después de que se
han transmitido 512 bits de la trama. La longitud excesiva de los cables es la causa más
frecuente de las colisiones tardías. Otra causa frecuente es la configuración incorrecta de
dúplex. Por ejemplo, el extremo de una conexión puede estar configurado para dúplex completo
y el otro para semidúplex. Las colisiones tardías se verían en la interfaz que está configurada
para semidúplex. En ese caso, debe configurar los mismos parámetros de dúplex en ambos
extremos. Una red diseñada y configurada correctamente nunca debería tener colisiones
tardías.
1.2.8
Resolución de problemas de la capa de

acceso a la red
La mayoría de los problemas que afectan a las redes conmutadas se produce durante la
implementación inicial. En teoría, una vez instaladas, las redes continúan funcionando sin
problemas. Sin embargo, los cables se dañan, la configuración cambia, y se conectan al switch
nuevos dispositivos que requieren cambios de configuración en este. Se requiere el
mantenimiento y la resolución de problemas de infraestructura de la red de forma permanente.
Una colisión tardía se refiere a una colisión que ocurre después de que se han transmitido 512
bits de la trama.
La figura es un diagrama de flujo para solucionar problemas de una conexión incorrecta o

ninguna conexión entre dispositivos de red. El paso superior es realizar un show interfaces. Esto
fluye a la pregunta, ¿está la interfaz activa? Si la respuesta es no, esto pasa a los siguientes
P á g i n a | 41
pasos: verificar los cables adecuados; comprobar si hay daños en los cables y conectores y
verificar que la velocidad esté correctamente ajustada en ambos extremos. Si la respuesta es
afirmativa, esto pasa a los siguientes pasos: ¿hay indicios de EMI/ruido? En c aso afirmativo,
elimine las fuentes; y verifique que la configuración dúplex esté configurada correctamente en
ambos extremos. Estos fluyen hasta la pregunta, ¿está resuelto el problema? Si la respuesta
es no, entonces el siguiente paso es documentar el trabajo realizado y escalar el problema. Si
la respuesta es sí, entonces listo.
Utilice el comando show interfaces para verificar el estado de la interfaz.
Si la interfaz está inactiva, realice lo siguiente:
 Verifique que se usen los cables adecuados. Además, revise los cables y los conectores para
detectar daños. Si se sospecha que hay un cable defectuoso o incorrecto, reemplácelo.
 Si la interfaz continúa inactiva, el problema puede deberse a una incompatibilidad en la
configuración de velocidad. La velocidad de una interfaz generalmente se negocia
automáticamente; por lo tanto, incluso si se aplica manualmente a una interfaz, la interfaz de
conexión debe negociarse automáticamente en consecuencia. Si se produce una
incompatibilidad de velocidad debido a una configuración incorrecta o a un problema de
hardware o de software, esto podría provocar que la interfaz quede inactiva. Establezca
manualmente la misma velocidad en ambos extremos de la conexión si se sospecha que hay
un problema.
Si la interfaz está activa pero aún hay problemas de conectividad, realice lo siguiente:
 Using the comando show interfaces , verifique si hay indicios de ruido excesivo. Los indicios
pueden incluir un aumento en los contadores de fragmentos de colisión, de fragmentos gigantes
y de errores de CRC. Si hay un exceso de ruido, primero busque el origen del ruido y, si es
posible, elimínelo. Además, verifique qué tipo de cable se utiliza y que el cable no supere la
longitud máxima.
 Si no hay problemas de ruido, verifique si hay un exceso de colisiones. Si hay colisiones o
colisiones tardías, verifique la configuración de dúplex en ambos extremos de la conexión. Al
igual que la configuración de velocidad, la configuración dúplex generalmente se negocia
automáticamente. Si parece haber una diferencia entre dúplex, configure manualmente el
dúplex como full (completo) en ambos extremos de la conexión.
1.2.9
Comprobador de sintaxis: configurar

puertos de switch
Configure una interfaz de switch basada en los requisitos especificados:
Ingrese al modo de configuración y configure FastEthernet0 / 1 dúplex, velocidad y MDIX en

automático y guarde la configuración en NVRAM.
S1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
P á g i n a | 42
S1(config)#interface FastEthernet0/1
S1(config-if)#duplex auto
S1(config-if)#speed auto
S1(config-if)#mdix auto
End out of interface configuration mode and save the configuration to NVRAM.
S1(config-if)#end
%SYS-5-CONFIG_I: Configured from console by console
S1#copy running-config startup-config
You have successfully configured duplex, speed, and Auto-MDIX settings on
a switch interface and saved the configuration to NVRAM.
Acceso remoto seguro

1.3.1
Operación Telnet
Es posible que no siempre tenga acceso directo al switch cuando necesite configurar lo.
Necesita poder acceder a él de forma remota y es imperativo que su acceso sea seguro. En
este tema se explica cómo configurar Secure Shell (SSH) para el acceso remoto. Una
actividad Packet Tracer le da la oportunidad de probar esto usted mismo.
Telnet utiliza el puerto TCP 23. Es un protocolo más antiguo que utiliza la transmisión de
texto sin formato segura tanto de la autenticación de inicio de sesión (nombre de usuario y
contraseña) como de los datos transmitidos entre los dispositivos de comunicación. Un actor
de amenazas puede monitorear paquetes usando Wireshark. Por ejemplo, en la figura, el actor
de amenazas capturó el nombre de usuario admin y la contraseña ccna de una sesión Telnet.
Captura de pantalla
de una captura
WireShark de una
sesión Telnet que
muestra el nombre
de usuario y la
contraseña enviados
en texto sin formato.
P á g i n a | 43
1.3.2
Funcionamiento de SSH
Secure Shell (SSH) es un protocolo seguro que utiliza el puerto TCP 22. Proporciona una
conexión de administración segura (encriptada) a un dispositivo remoto. El SSH debe
reemplazar a Telnet para las conexiones de administración. SSH proporciona seguridad para
las conexiones remotas mediante el cifrado seguro cuando se autentica un dispositivo
(nombre de usuario y contraseña) y también para los datos transmitidos entre los dispositivos
que se comunican.
Por ejemplo, la figura muestra una captura Wireshark de una sesión SSH. Proporciona una
conexión de administración segura (encriptada) a un dispositivo remoto. Sin embargo, a
diferencia de Telnet, con SSH el nombre de usuario y la contraseña están cifrados.
Captura de
pantalla de una
captura
WireShark de
una sesión SSH
que muestra el
nombre de
usuario y la
contraseña están
cifrados.
1.3.3
Verifique que el switch admita SSH

Para habilitar SSH en un switch Catalyst 2960, el switch debe usar una versión del software
IOS que incluya características y capacidades criptográficas (cifradas). Utilice el
comando show version del switch, para ver qué IOS está ejecutando el switch. Un nombre
de archivo de IOS que incluye la combinación «k9» admite características y capacidades
criptográficas (cifradas). El ejemplo muestra la salida del comando show version.
P á g i n a | 44
1.3.4
Configuración de SSH
Antes de configurar SSH, el switch debe tener configurado, como mínimo, un nombre de
host único y los parámetros correctos de conectividad de red.
Verifique support SSH.
Use el comando show ip ssh para verificar que el switch sea compatible con SSH. Si el
switch no ejecuta un IOS que admita características criptográficas, este comando no se
reconoce.
Paso 2
Configure el IP domain.
Configure el nombre de dominio IP de la red utilizando el comando ip domain-namedomain-

name modo de configuración global. En la figura, el valor domain-name es cisco.com.
Paso 3
Genere un par de claves RSA.
No todas las versiones del IOS utilizan la versión 2 de SSH de manera predeterminada, y la
versión 1 de SSH tiene fallas de seguridad conocidas. Para configurar SSH versión 2, emita el
comando del modo de configuración global ip ssh version 2. La creación de un par de claves
RSA habilita SSH automáticamente. Use el comando del modo de configuración global crypto
key generate rsa, para habilitar el servidor SSH en el switch y generar un par de claves RSA.
Al crear claves RSA, se solicita al administrador que introduzca una longitud de módulo. La
configuración de ejemplo en la figura 1 utiliza un tamaño de módulo de 1024 bits. Una longitud
de módulo mayor es más segura, pero se tarda más en generarlo y utiliza rlo.
P á g i n a | 45
Nota:Para eliminar el par de claves RSA, use el comando del modo de configuración
global crypto key zeroize rsa. Después de eliminarse el par de claves RSA, el servidor SSH
se deshabilita automáticamente.
Paso 4
Configure autenticación de usuarios.
El servidor SSH puede autenticar a los usuarios localmente o con un servidor de autenticación.
Para usar el método de autenticación local, cree un par de nombre de usuario y contraseña con
el comando usernameusernamesecret password modo de configuración global. En el ejemplo,
se asignó la contraseña ccna al usuario admin.
Paso 5
Configure las lineas vty.
Habilite el protocolo SSH en las líneas vty utilizando el comando del modo de configuración de
línea transport input ssh. El switch Catalyst 2960 tiene líneas vty que van de 0 a 15. Esta
configuración evita las conexiones que no son SSH (como Telnet) y limita al switch a que acepte
solo las conexiones SSH. Use el comando line vty del modo de configuración global y luego el
comando login local del modo de configuración de línea para requerir autenticación local para
las conexiones SSH de la base de datos de nombre de usuario local.
Paso 6
Habilite SSH versión 2.
De manera predeterminada, SSH admite las versiones 1 y 2. Al admitir ambas versiones, esto
se muestra en la salida show ip ssh como compatible con la versión 2. Habilite la versión SSH
utilizando el comando de configuración global ip ssh version 2.
P á g i n a | 46
1.3.5
Verifique que SSH esté operativo

En las computadoras se usa un cliente SSH, como PuTTY, para conectarse a un servidor
SSH. Por ejemplo, suponga que se configura lo siguiente:
 SSH está habilitado en el interruptor S1

 Interfaz VLAN 99 (SVI) con la dirección IPv4 172.17.99.11 en el switch S1.
 PC1 con la dirección IPv4 172.17.99.21.
La figura muestra la configuración de PuTTy para PC1 para iniciar una conexión SSH a la
dirección SVI VLAN IPv4 de S1.
La figura muestra un host conectado a un switch y la configuración PuTTY para iniciar una
conexión SSH al SVI del switch. El PC1 del host, con dirección 172.17.99.21, tiene una
conexión de red a un switch S1, con dirección 172.17.99.11. Una captura de pantalla de la
configuración PuTTY en PC1 muestra la dirección 172.17.99.11 introducida en el cuadro
bajo Nombre de host (o dirección IP) y 22 introducida en el cuadro bajo Puerto. SSH se ha
seleccionado como el tipo de conexión.
P á g i n a | 47
Cuando está conectado, se solicita al usuario un nombre de usuario y una contraseña como
se muestra en el ejemplo. Usando la configuración del ejemplo anterior, se ingresan el
nombre de usuario: admin y la contraseña: ccna. Después de ingresar la combinació n
correcta, el usuario se conecta a través de SSH a la interfaz de línea de comando (CLI) en el
switch Catalyst 2960.
Para mostrar los datos de la versión y de configuración de SSH en el dispositivo que

configuró como servidor SSH, use el comando show ip ssh. En el ejemplo, se habilitó la
versión 2 de SSH.
1.3.6
Packet Tracer - Configurar SSH

SSH debe reemplazar a Telnet para las conexiones de administración. Telnet usa
comunicaciones inseguras de texto no cifrado. SSH proporciona seguridad para las conexiones
remotas mediante el cifrado seguro de todos los datos transmitidos entre los dispositivos. En
esta actividad, protegerá un switch remoto con el cifrado de contr aseñas y SSH.
Configure SSH
Configuración básica de dispositivos / Configuración básica de un router
Configuración básica de un router

1.4.1
P á g i n a | 48
Configuración de parámetros básicos del

router
Hasta ahora, este módulo solo ha cubierto switches. Si desea que los dispositivos puedan enviar
y recibir datos fuera de su red, deberá configurar routeres. En este tema se enseña la
configuración básica del router y se proporcionan dos Comprobadores de sintaxis y una
actividad de Rastreador de paquetes para que pueda practicar estas habilidades.
Los routers y switches Cisco tienen muchas similitudes. Admiten sistemas operativos modales
y estructuras de comandos similares, así como muchos de los mismos comandos. Además, los
pasos de configuración inicial son similares para ambos dispositivos. Por ejemplo, las siguientes
tareas de configuración siempre deben realizarse. Asigne un nombre al dispositivo para
distinguirlo de otros routeres y configure contraseñas, como se muestra en el ejemplo:
Configure un banner para proporcionar notificaciones legales de acceso no autorizado, como

se muestra en el ejemplo.
Guarde los cambios en un router, como se muestra en el ejemplo.

P á g i n a | 49
1.4.2
Comprobador de sintaxis - Configurar los

ajustes básicos del router
En esta Actividad de sintaxis, configurará los valores básicos para R2.
Ingrese al modo de configuración global y asigne un nombre al router R2.
Router#configure terminal
Router(config)#hostname R2
Configure class as the secret password.
R1(config)#enable secret class
Configure cisco as the console line password and require users to login. Then exit line
configuration mode.
R1(config)#line console 0
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#exit
Configure cisco as the vty password for lines 0 through 4 and require users to login.
R1(config)#line vty 0 4
R1(config-line)#password cisco
R1(config-line)#login
Exit line configuration mode and encrypt all plaintext passwords.
R1(config-line)#exit
R1(config)#service password-encryption
Enter the banner Authorized Access Only! and use # as the delimiting character.
R1(config)#banner motd #Authorized Access Only!#
Exit global configuration mode and save the configuration.
R1(config)#exit
R1#copy running-configu start-config
You must enter the exact and full command.
R1#copy run-config start-config
You must enter the exact and full command.
R1#copy running-config startup-config
Destination filename [startup-config]?
P á g i n a | 50
Building configuration...
[OK]
You successfully configured R2 with initial settings.
1.4.3
Topología de doble pila

Una característica que distingue a los switches de los routers es el tipo de interfaces que admite
cada uno. Por ejemplo, los switches de capa 2 admiten LAN; por lo tanto, tienen múltiples
puertos FastEthernet o Gigabit Ethernet. La topología de pila dual de la figura se utiliza para
demostrar la configuración de las interfaces IPv4 e IPv6 del router.
Topología de red de doble pila que consta de múltiples hosts, switches y r outeres con interfaces
configuradas con direcciones IPv4 e IPv6
1.4.4
Configurar interfaces de routers

Los routers admiten redes LAN y WAN, y pueden interconectar distintos tipos de redes; por lo
tanto, admiten muchos tipos de interfaces. Por ejemplo, los ISR G2 tienen una o dos interfaces
Gigabit Ethernet integradas y ranuras para tarjetas de interfaz WAN de alta velocidad (HWIC)
para admitir otros tipos de interfaces de red, incluidas las interfaces seriales, DSL y de cable.
Para que una interfaz esté disponible, debe cumplir los siguientes requisitos:
P á g i n a | 51
 Configurado con al menos una dirección IP: - Use the los comandos de configuración: ip
addressipv6 ip-address subnet-mask and the address ipv6-address / prefix interface.
 Activado: - By default, LAN and WAN interfaces are not activated (shutdown). To enable an
interface, it must be activated using the no shutdown command. (Es como encender la
interfaz.) La interfaz también debe estar conectada a otro dispositivo (un hub, un switch u otro
router) para que la capa física se active.
 Descripción \ - Opcionalmente, la interfaz también se puede configurar con una breve
descripción de hasta 240 caracteres. Es aconsejable configurar una descripción en cada
interfaz. En las redes de producción, los beneficios de las descripciones de la interfaz se
obtienen rápidamente, ya que son útiles para solucionar problemas e identificar una conexión
de terceros y la información de contacto.
El siguiente ejemplo muestra la configuración de las interfaces en R1.
1.4.5
Comprobador de sintaxis - Configurar

interfaces de router
En esta actividad del Comprobador de sintaxis, configurará R2 con sus interfaces IPv4 e IPv6.
Configure GigabitEthernet 0/0/0.
 Use g0/0/0 to enter interface configuration mode.

P á g i n a | 52
 Configure the IPv4 address 10.1.1.1 and subnet mask 255.255.255.0.

 Configure the IPv6 address 2001:db8:acad:4::1/64.
 Describe the link as Link to LAN 3.
 Activate the interface.
Router(config)#interface g0/0/0
Router(config-if)#interface g0/0/1
Router(config-if)#ip address 10.1.2.1 255.255.255.0
Router(config-if)#ipv6 address 2001:db8:acad:5::1/64
Router(config-if)#description Link to LAN 4
Router(config-if)#no shutdown
%LINK-3-UPDOWN: Interface GigabitEthernet0/0/1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/1,
changed state to up
Configure Serial 0/0/0.
 Use s0/0/0 to enter interface configuration mode.

 Configure the IPv4 address 209.165.200.226 and subnet mask 255.255.255.252.
 Configure the IPv6 address 2001:db8:acad:3::226/64.
 Describe the link as Link to R1.
 Activate the interface.
Router(config-if)#interface s0/0/0
Router(config-if)#ip address 209.165.200.226 255.255.255.252
Router(config-if)#ipv6 address 2001:db8:acad:3::226/64
Router(config-if)#description Link to R1
Router(config-if)#no shutdown
%LINK-3-UPDOWN: Interface Serial0/0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed
state to up
You successfully configured the R2 router interfaces.
1.4.6
Interfaces de bucle invertido IPv4

Otra configuración común de los routers Cisco IOS es la habilitación de una interfaz loopback.
La interfaz de bucle invertido es una interfaz lógica interna del router. No está asignado a un
puerto físico y nunca se puede conectar a ningún otro dispositivo. Se la considera una interfaz
de software que se coloca automáticamente en estado "up" (activo), siempre que el router esté
en funcionamiento.
La interfaz loopback es útil para probar y administrar un dispositivo Cisco IOS, ya que as egura
que por lo menos una interfaz esté siempre disponible. Por ejemplo, se puede usar con fines de
prueba, como la prueba de procesos de routing interno, mediante la emulación de redes detrás
del router.
P á g i n a | 53
Las interfaces de bucle invertido también se utilizan comúnmente en entornos de laboratorio

para crear interfaces adicionales. Por ejemplo, puede crear varias interfaces de bucle invertido
en un router para simular más redes con fines de práctica de configuración y pruebas. En este
plan de estudios, a menudo usamos una interfaz de bucle invertido para simular un enlace a
Internet.
El proceso de habilitación y asignación de una dirección de loopback es simple:
Se pueden habilitar varias interfaces loopback en un router. La dirección IPv4 para cada interfaz
de bucle invertido debe ser única y no debe ser utilizada por ninguna otra interfaz, como se
muestra en la configuración de ejemplo de la interfaz de bucle invertido 0 en R1.
1.4.7
Packet Tracer- Configurar Interfaces de

Router
En esta actividad Packet Tracer, configurará routeres con direccionamiento IPv4 e IPv6.
Configure Router Interfaces

Configure Router Interfaces
Configuración básica de dispositivos / Verificar redes conectadas directamente
Verificar redes conectadas

directamente
1.5.1
Comandos de verificación de interfaz

P á g i n a | 54
No tiene sentido configurar el router a menos que verifique la configuración y la

conectividad. En este tema se describen los comandos que se van a utilizar para comprobar
las redes conectadas directamente. Incluye dos verificadores de sintaxis y un trazador de
paquetes.
Hay varios comandos show, que se pueden usar para verificar el funcionamiento y la
configuración de una interfaz. La topología de la figura se utiliza para demostrar la
verificación de la configuración de la interfaz del router.
Los siguientes comandos son especialmente útiles para identificar rápidamente el estado de
una interfaz:
 show ip interface brief and show ipv6 interface brief -Estos muestran un resumen de todas las
interfaces, incluida la dirección IPv4 o IPv6 de la interfaz y el estado operativo actual.
 show running-config interface interface-id -Esto muestra los comandos aplicados a la interfaz
especificada.
 show ip route and show ipv6 route - Este muestra el contenido de la tabla IPv4 o IPv6 almacenada
en la memoria RAM. En Cisco IOS 15, las interfaces activas deben aparecer en la tabla de ruteo con
dos entradas relacionadas identificadas con el código 'C' (Conectado) o 'L' (Local). En versiones
anteriores de IOS, solo aparece una entrada con el código 'C'.
1.5.2
Verificación del estado de una interfaz

La salida de los comandos show ip interface brief y show ipv6 interface brief y se puede
usar para revelar rápidamente el estado de todas las interfaces en el router. Puede verificar
que las interfaces están activas y operativas como se indica en el estado de «up» y el protocolo
P á g i n a | 55
de «up», como se muestra en el ejemplo. Un resultado distinto indicaría un problema con la

configuración o el cableado.
1.5.3
Verificar direcciones locales y

multidifusión de vínculos IPv6
El resultado del comando show ipv6 interface brief, show ipv6 interface brief muestra
dos direcciones IPv6 configuradas por interfaz. Una de las direcciones es la dirección de
unidifusión global de IPv6 que se introdujo manualmente. La otra, que comienza con FE80,
es la dirección de unidifusión link-local para la interfaz. La dirección link-local se agrega
automáticamente a una interfaz cuando se asigna una dirección de unidifusión global. Las
interfaces de red IPv6 deben tener una dirección link-local, pero no necesariamente una
dirección de unidifusión global.
El comando show ipv6 interface gigabitethernet 0/0/0 c, muestra el estado de la interfaz y

todas las direcciones IPv6 que pertenecen a la interfaz. Junto con la dirección local del enlace
y la dirección de unidifusión global, la salida incluye las direcciones de multidifus ió n
asignadas a la interfaz, comenzando con el prefijo FF02, como se muestra en el ejemplo.
P á g i n a | 56
1.5.4
Verificar la configuración de la interfaz

Junto con la dirección local del enlace y la dirección de unidifusión global, la salida show
running-config interface incluye las direcciones de multidifusión asignadas a la interfaz,
comenzando con el prefijo FF02, como se muestra en el ejemplo.
Los dos comandos siguientes se usan para recopilar información más detallada sobre la
interfaz:
 show interfaces \ - Muestra la información de la interfaz y el recuento de flujo de paquetes para

todas las interfaces en el dispositivo.
 show ip interface and show ipv6 interface -Muestra la información relacionada con IPv4 e IPv6 para
todas las interfaces en un router.
P á g i n a | 57
1.5.5
Verificar rutas
La salida de los show ip route comandos show ipv6 route y muestra las tres entradas de red
conectadas directamente y las tres entradas de interfaz de ruta de host local, como se muestra
en el ejemplo. La ruta de host local tiene una distancia administrativa de 0. También tiene
una máscara /32 para IPv4 y una máscara /128 para IPv6. La ruta del host local es para rutas
en el router que posee la dirección IP. Estas se usan para permitir que el router procese los
paquetes destinados a esa dirección IP.
Una ‘C’ junto a una ruta dentro de la tabla de enrutamiento indica que se trata de una red
conectada directamente. Cuando la interfaz del router está configurada con una dirección de
unidifusión global y está en el estado "arriba / arriba", el prefijo IPv6 y la longitud del prefijo
se agregan a la tabla de enrutamiento IPv6 como una ruta conectada.
La dirección de unidifusión global IPv6 aplicada a la interfaz también se instala en la tabla

de enrutamiento como una ruta local. La ruta local tiene un prefijo /128. La tabla de routing
P á g i n a | 58
utiliza las rutas locales para procesar eficazmente los paquetes cuyo destino es la dirección
de la interfaz del router.
El comando ping para IPv6 es idéntico al comando usado con IPv4, excepto que se usa una
dirección IPv6. Como se muestra en el ejemplo, el comando ping se usa para verificar la
conectividad de Capa 3 entre R1 y PC1.
1.5.6
Filtrado de los resultados del comando

show
Los comandos que generan varias pantallas de resultados se pausan al cabo de 24 líneas de
manera predeterminada. Al final del resultado detenido, se muestra el texto --More--. Al
presionar Enter, se muestra la siguiente línea y al presionar la barra espaciadora se muestra
el siguiente conjunto de líneas. Use el comando terminal length, para especificar el número
de líneas que se mostrarán. Un valor 0 (cero) evita que el router haga una pausa entre las
pantallas de resultados.
Otra característica muy útil que mejora la experiencia del usuario en la CLI, es el filtrado de
salida show. Los comandos de filtrado se pueden utilizar para mostrar secciones específicas
de los resultados. Para habilitar el comando de filtrado, ingrese una barra vertical partida (|)
después del comando show, y luego ingrese un parámetro de filtrado y una expresión de
filtrado.
Hay cuatro parámetros de filtrado que se pueden configurar después de la tubería.
sección
Muestra la sección completa que comienza con la expresión de filtrado, como se muestra en el
ejemplo.
P á g i n a | 59
include
Incluye todas las líneas de salida que coinciden con la expresión de filtrado, como se muestra
en el ejemplo.
exclude
Excluye todas las líneas de salida que coinciden con la expresión de filtrado, como se muestra
en el ejemplo.
begin
Muestra todas las líneas de salida desde un punto determinado, comenzando con la línea que
coincide con la expresión de filtrado, como se muestra en el ejemplo.
P á g i n a | 60
Nota: Los filtros de salida se pueden usar en combinación con cualquier show comando.
1.5.7
Comprobador de sintaxis - Salida del

comando Mostrar filtro
En esta actividad del Comprobador de sintaxis, filtrará la salida de los comandos show.
Introduzca el comando para filtrar el resultado del comando show running -config para la sección
'line con'.
P á g i n a | 61
1.5.8
Historial de comandos
La función de historial de comandos es útil porque almacena temporalmente la lista de
comandos ejecutados para recuperar.
Para recuperar comandos en el búfer de historial, presione Ctrl+P o la Up Arrow tecla. El

resultado de los comandos comienza con el comando más reciente. Repita la secuencia de
teclas para recuperar sucesivamente los comandos más antiguos. Para volver a los comandos
más recientes en el búfer de historial, presione Ctrl+N o la Down Arrow tecla. Repita la
secuencia de teclas para recuperar sucesivamente los comandos más recientes.
De manera predeterminada, el historial de comandos está habilitado, y el sistema captura las

últimas 10 líneas de comandos en el búfer de historial. Utilice el comando EXEC privilegiado
show history, para mostrar el contenido del búfer.
También es práctico aumentar la cantidad de líneas de comandos que registra el búfer de

historial solamente durante la sesión de terminal actual. Use el comando EXEC del usuario
terminal history size, para aumentar o disminuir el tamaño del búfer.
Un ejemplo de los comandos terminal history size y show history, se muestra en la figura.
P á g i n a | 62
1.5.9
Comprobador de sintaxis - Características

del historial de comandos
En esta actividad de comprobación de sintaxis, utilizará la función de historial de comandos.
Introduzca el comando para establecer la cantidad de líneas en historial de comandos en 200.
R1>terminal history size 200
1.5.10
Packet Tracer: verificar redes conectadas

directamente
En esta actividad Packet Tracer, los routers R1 y R2 tienen dos LAN. Su tarea es verificar el
direccionamiento en cada dispositivo y verificar la conectividad entre las LAN.
Verify Directly Connected Networks

P á g i n a | 63
1.5.11
Compruebe su comprensión - Verificar las

redes conectadas directamente
Verifique su comprensión de verificar las redes conectadas directamente eligiendo la MEJOR
respuesta a las siguientes preguntas.
P á g i n a | 64
P á g i n a | 65
P á g i n a | 66
P á g i n a | 67
Configuración básica de dispositivos / Práctica del módulo y cuestionario
Práctica del módulo y cuestionario

1.6.1
Packet Tracer - Implementar una red

pequeña
En esta actividad de Packet Tracer, los routers R1 y R2 tienen dos LAN cada uno. Su tarea
es verificar el direccionamiento en cada dispositivo y verificar la conectividad entre las
LAN.
Implement a Small Network
Implement a Small Network

1.6.2
Laboratorio: configuración del router

básico
Esta es una práctica de laboratorio integral para revisar comandos de router de IOS que se
abarcaron anteriormente. Cableará el equipo y completará las configuraciones básicas y la
configuración de la interfaz IPv4 en el router. Luego usará SSH para conectarse al router de
forma remota y utilizará los comandos IOS para recuperar información del dispositivo para
responder preguntas sobre el router.
Configure Basic Router Settings
1.6.3

Configure a Switch with Initial Settings
Después de encender un switch Cisco, pasa por una secuencia de arranque de cinco pasos.
La variable de entorno BOOT se establece utilizando el boot systemcomando del modo de
configuración global. El IOS se encuentra en una carpeta distinta y se especifica la ruta de la
P á g i n a | 68
carpeta. Utilice los LED del interruptor para supervisar la actividad y el rendimiento del
interruptor: SYST, RPS, STAT, DUPLX, SPEED y PoE. El cargador de arranque
proporciona acceso al switch si no se puede usar el sistema operativo debido a la falta de
archivos de sistema o al daño de estos. El cargador de arranque tiene una línea de comando
que proporciona acceso a los archivos almacenados en la memoria flash. Para el acceso a la
administración remota de un switch, este se debe configurar con una dirección IP y una
máscara de subred. Para administrar el switch desde una red remota, el switch debe
configurarse con una puerta de enlace predeterminada. Para configurar el switch SVI,
primero debe configurar la interfaz de administración, luego configurar la puerta de enlace
predeterminada y, finalmente, verificar la configuración.
Configure Switch Ports
La comunicación en dúplex completo aumenta el ancho de banda eficaz al permitir que

ambos extremos de una conexión transmitan y reciban datos simultáneamente. La
comunicación semidúplex es unidireccional. Los puertos de switch se pueden configurar
manualmente con parámetros específicos de dúplex y de velocidad. Utilice la negociació n
automática cuando la configuración de velocidad y dúplex del dispositivo que se conecta al
puerto sea desconocida o pueda cambiar. Al habilitar la característica auto-MDIX, la interfaz
detecta automáticamente el tipo de conexión de cable requerido (directo o cruzado) y
configura la conexión conforme a esa información. Hay varios comando show que se pueden
utilizar al verificar las configuraciones del switch. Utilice el comando show running-
config y el comando show interfaces para verificar la configuración de un puerto de switch.
El resultado del comando show interfaces, también es útil para detectar problemas comunes
de capa de acceso a la red, ya que muestra el estado del protocolo de línea y vínculo de datos.
Los errores de entrada reportados desde el comando show interfaces incluyen: tramas runt,
gigantes, errores CRC, junto con colisiones y colisiones tardías. Utilíce show interfaces para
determinar si la red no tiene conexión o una conexión incorrecta entre un switch y otro
dispositivo.
Secure Remote Access
Telnet (que usa el puerto TCP 23) es un protocolo más antiguo que utiliza la transmisión de
texto sin formato segura tanto de la autenticación de inicio de sesión (nombre de usuario y
contraseña) como de los datos transmitidos entre los dispositivos de comunicación. SSH
(utilizando el puerto TCP 22) es un protocolo seguro que proporciona una conexión de
administración cifrada a un dispositivo remoto. SSH proporciona seguridad para las
conexiones remotas mediante el cifrado seguro cuando se autentica un dispositivo (nombre
de usuario y contraseña) y también para los datos transmitidos entre los dispositivos que se
comunican. Utilice el comando show version del switch para ver qué IOS está ejecutando
el switch. Un nombre de archivo de IOS que incluye la combinación «k9» admite
características y capacidades criptográficas. Para configurar SSH, debe verificar que el
switch lo admita, configurar el dominio IP, generar pares de claves RSA, configurar la
autenticación de uso, configurar las líneas VTY y habilitar SSH versión 2. Para verificar que
SSH esté operativo, use el comando show ip ssh para mostrar la versión y los datos de
configuración de SSH en el dispositivo.
P á g i n a | 69
Basic Router Configuration
Siempre se deben realizar las siguientes tareas de configuración inicial: nombrar el

dispositivo para distinguirlo de otros routeres y configurar contraseñas, configurar un banner
para proporcionar notificación legal de acceso no autorizado y guardar los cambios en un
router. Una característica que distingue a los switches de los routers es el tipo de interfaces
que admite cada uno. Por ejemplo, los switches de capa 2 admiten redes LAN y, por lo tanto,
tienen varios puertos FastEthernet o Gigabit Ethernet. La topología de pila dual se utiliza
para demostrar la configuración de las interfaces IPv4 e IPv6 del router. Los routers admiten
redes LAN y WAN, y pueden interconectar distintos tipos de redes; por lo tanto, admiten
muchos tipos de interfaces. Por ejemplo, los ISR G2 tienen una o dos interfaces Gigabit
Ethernet integradas y ranuras para tarjetas de interfaz WAN de alta velocidad (HWIC) para
admitir otros tipos de interfaces de red, incluidas las interfaces seriales, DSL y de cable. La
interfaz de bucle invertido IPv4 es una interfaz lógica interna del router. No está asignado a
un puerto físico y nunca se puede conectar a ningún otro dispositivo.
Verify Directly Connected Networks
Utilice los siguientes comandos para identificar rápidamente el estado de una interfaz: show
ip interface brief y show ipv6 interface brief para ver un resumen de todas las interfaces
(direcciones IPv4 e IPv6 y estado operativo), show running-config interface interface-
id para ver los comandos aplicados a una interfaz especificada show ip route y show ipv6
route para ver el de la tabla de enrutamiento IPv4 o IPv6 almacenada en la RAM. La salida
de los comandos show ip interface brief y show ipv6 interface brief, se puede usar para
revelar rápidamente el estado de todas las interfaces en el enrutador. El comando show ipv6
interface gigabitethernet 0/0/0 muestra el estado de la interfaz y todas las direcciones IPv6
que pertenecen a la interfaz. Junto con la dirección local del enlace y la dirección de
unidifusión global, la salida incluye las direcciones de multidifusión asignadas a la interfaz.
La salida del comando show running-config interface muestra los comandos actuales
aplicados a una interfaz específica. El comando show interfaces muestra la información de
la interfaz y el recuento de flujo de paquetes para todas las interfaces en el dispositivo.
Verifique la configuración de la interfaz mediante los comandos show ip interface y show
ipv6 interface, que muestran la información relacionada con IPv4 e IPv6 para todas las
interfaces de un router. Compruebe las rutas mediante los comandos show ip route y show
ipv6 route. Filtrar la salida del comando show usando el carácter pipe (|). Usar expresiones
de filtro: sección, inclusión, exclusión y comienzo. De forma predeterminada, el historial de
comandos está habilitado y el sistema captura las últimas 10 líneas de comando en su búfer
de historial. Utilice el comando EXEC privilegiado show history, para mostrar el contenido
del búfer.
P á g i n a | 70
1.6.4
Prueba del módulo: configuración básica

del dispositivo
P á g i n a | 71
P á g i n a | 72
P á g i n a | 73
P á g i n a | 74
P á g i n a | 75
Capítulo 2_Conceptos de switching

Introducción
2.0.1
¡Bienvenido a conceptos de Switching!
Puede conectar y configurar switches, ¡eso es genial!. Pero incluso una red con la tecnología
más reciente desarrolla sus propios problemas eventualmente. Si tiene que solucionar
problemas de la red, necesita saber cómo funcionan los switches. Este módulo le proporciona
los fundamentos de los switches y su funcionamiento. Por suerte, el funcionamiento del
switch es fácil de entender.

2.0.2
Título del módulo: Conceptos de switching
Objetivos del módulo: Explique cómo los switches de capa 2 reenvían datos.
Explique la forma en la que las tramas se reenvían en una red

Reenvío de tramas
conmutada.
P á g i n a | 76
Dominios de switching Compare un dominio de colisión con un dominio de difusión.
Conceptos de switching / Reenvío de tramas
Reenvío de tramas
2.1.1
Switching en la red
El concepto de switching y reenvío de tramas es universal en la tecnología de redes y en las
telecomunicaciones. En las redes LAN, WAN y en la red pública de telefonía conmutada
(PSTN), se usan diversos tipos de switches.
La decisión sobre cómo un switch reenvía el tráfico se toma en relación con el flujo de ese
tráfico. Hay dos términos asociados a las tramas que entran y salen de una interfaz:
 Entrada - Este término se usa para describir el puerto por donde una trama ingresa al dispositivo.
 Salida - Este término se usa para describir el puerto que las tramas utilizarán al salir del
dispositivo.
Un switch LAN mantiene una tabla a la que hace referencia al reenviar tráfico a través del
switch. La única inteligencia de un switch LAN es su capacidad de usar su tabla para
reenviar tráfico. Un switch LAN reenvía tráfico basado en el puerto de entrada y la
dirección MAC de destino de una trama Ethernet. Con un switch LAN, hay solamente una
tabla de switching principal que describe una asociación estricta entre las direcciones MAC
y los puertos; por lo tanto, una trama Ethernet con una dirección de destino determinada
siempre sale por el mismo puerto de salida, independientemente del puerto de entrada por
el que ingresa.
Nota: Una trama Ethernet nunca se reenviará fuera del mismo puerto en el que se recibió.
Haga clic en el botón Reproducir para ver una animación del proceso de switching.
La animación muestra un rectángulo para identificar un switch con 6 cuadrados numerados

para 6 puertos de switch. La tabla de direcciones MAC muestra una dirección mac
registrada en cada número de puerto.
P á g i n a | 77
2.1.2
Tabla de direcciones MAC del switch

Un switch se compone de circuitos integrados y del software complementario que controla
las rutas de datos a través del switch. Los switches usan direcciones MAC de destino para
dirigir las comunicaciones de red a través del switch, fuera del puerto apropiado, hacia el
destino.
Para definir qué puerto usar para transmitir una trama, el switch primero debe saber qué
dispositivos existen en cada puerto. A medida que el switch aprende la relación de los puertos
con los dispositivos, construye una tabla llamada tabla de direcciones MAC. Esta tabla se
almacena en la Memoria de Contenido Direccionable (Content-Addressable Memory,
CAM), la cual es un tipo especial de memoria utilizada en aplicaciones de búsqueda de alta
P á g i n a | 78
velocidad. Por esta razón, la tabla de direcciones MAC a veces también se denomina tabla
CAM.
Los switches LAN determinan cómo manejar las tramas de datos entrantes manteniendo la
tabla de direcciones MAC. Un switch llena su tabla de direcciones MAC al registrar la
dirección MAC de origen de cada dispositivo conectado a cada uno de sus puertos. El switch
hace referencia a la información en la tabla de direcciones MAC para enviar tramas
destinadas a un dispositivo específico fuera del puerto que se ha asignado a ese dispositivo.
2.1.3
El método Aprender y Reenviar del Switch

El siguiente proceso de dos pasos se realiza para cada trama de Ethernet que ingresa a un
switch.
Paso 1.Aprender - Examinando la dirección Origen MAC
Se revisa cada trama que ingresa a un switch para obtener información nueva. Esto se realiza
examinando la dirección MAC de origen de la trama y el número de puerto por el que ingresó
al switch.
 Si la dirección MAC de origen no existe en la tabla de direcciones MAC, la dirección MAC y el número
de puerto entrante son agregados a la tabla.
 Si la dirección MAC de origen existe, el switch actualiza el temporizador para esa entrada. De manera
predeterminada, la mayoría de los switches Ethernet guardan una entrada en la tabla durante cinco
minutos. Si la dirección MAC de origen existe en la tabla, pero en un puerto diferente, el switch la
trata como una entrada nueva. La entrada se reemplaza con la misma dirección MAC, pero con el
número de puerto más actual.
Paso 2. Reenviar - Examinando la dirección destino MAC
Si la dirección MAC de destino es una dirección de unidifusión, el switch busca una

coincidencia entre la dirección MAC de destino de la trama y una entrada de la tabla de
direcciones MAC:
 Si la dirección MAC de destino está en la tabla, reenviará la trama por el puerto especificado.
 Si la dirección MAC de destino no está en la tabla, el switch reenviará la trama por todos los puertos,
excepto por el de entrada. Esto se conoce como unidifusión desconocida. Si la dirección MAC de
destino es de difusión o de multidifusión, la trama también se envía por todos los puertos, excepto
por el de entrada.
P á g i n a | 79
2.1.4
Video: Tablas de direcciones MAC en

switches conectados
En la ilustración, haga clic en Reproducir para ver una demostración de cómo dos switches
conectados arman tablas de direcciones MAC.
3: 05
2.1.5
Métodos de reenvío del switch

Los switches toman decisiones de reenvío de capa 2 muy rápidamente. Esto se debe al
software en los circuitos integrados para aplicaciones específicas (ASIC, por sus siglas en
ingles). Los ASIC reducen el tiempo de manejo de paquetes dentro del dispositivo y permiten
que el dispositivo pueda manejar una mayor cantidad de puertos sin disminuir el rendimie nto.
Los switches de capa 2 utilizan uno de estos dos métodos para cambiar tramas:
 Almacenamiento y reenvío de switching - Este método toma una decisión de reenvío en una trama
después de haber recibido la trama completa y revisada para la detección de errores mediante un
mecanismo matemático de verificación de errores conocido como Verificación por Redundancia
Cíclica (Cyclic Redundancy Check, CRC). El intercambio por almacenamiento y envío es el método
principal de switching LAN de Cisco.
 Método de corte - Este método inicia el proceso de reenvío una vez que se determinó la dirección
MAC de destino de una trama entrante y se estableció el puerto de salida.
P á g i n a | 80
2.1.6
Intercambio de almacenamiento y reenvío

El intercambio de almacenamiento y reenvío, a diferencia del intercambio de corte, tiene laS
siguientes características principales:
 Error checking - Después de recibir la trama completa en el puerto de entrada, el switch compara
el valor de Secuencia de Verificación de Trama (Frame Check Sequence, FCS) en el último campo del
datagrama con sus propios cálculos de FCS. FCS es un proceso de verificación de errores que
contribuye a asegurar que la trama no contenga errores físicos ni de enlace de datos. Si la trama no
posee errores, el switch la reenvía. De lo contrario, se descartan las tramas.
 Almacenamiento en búfer automático - El proceso de almacenamiento en buffer que usan los
switches de almacenamiento y envío proporciona la flexibilidad para admitir cualquier combinación
de velocidades de Ethernet. Por ejemplo, manejar una trama entrante que viaja a un puerto
Ethernet de 100 Mbps que debe enviarse a una interfaz de 1 Gbps, requeriría utilizar el método de
almacenamiento y reenvío. Ante cualquier incompatibilidad de las velocidades de los puertos de
entrada y salida, el switch almacena la trama completa en un buffer, calcula la verificación de FCS,
la reenvía al buffer del puerto de salida y después la envía.
La figura ilustra cómo almacenar y reenviar toma una decisión basada en la trama Ethernet.
Muestra un diagrama de una trama Ethernet y resalta el hecho de que en el cambio de

almacenamiento y reenvío, el switch lee toda la trama, incluidos todos los encabezados, los
datos y la secuencia de comprobación de tramas antes de reenviarlo.
2.1.7
Switching por método de corte

P á g i n a | 81
El método de switching de almacenamiento y reenvío elimina las tramas que no pasan la

comprobación FCS. Por lo tanto, no reenvía tramas no válidas.
Por el contrario, los switches que usan el método de corte pueden reenviar tramas no válidas,
ya que no realizan la verificación de FCS. Sin embargo, el switching de corte tiene la
capacidad de realizar un cambio de trama rápida. Esto significa que los switches que usan el
método de corte pueden tomar una decisión de reenvío tan pronto como encuentren la
dirección MAC de destino de la trama en la tabla de direcciones MAC, tal y como se muestra
en la ilustración.
Muestra un diagrama de una trama Ethernet, y resalta el hecho de que en el switching de

corte puede reenviar la trama una vez que lee la dirección MAC de destino.
El switch no tiene que esperar a que el resto de la trama ingrese al puerto de entrada antes de
tomar la decisión de reenvío.
El switching libre de fragmentos es una forma modificada de corte, en la que el switch solo
comienza a reenviar la trama después de haber leído el campo Tipo. El switching libre de
fragmentos proporciona una mejor verificación de errores que el método de corte, con
prácticamente ningún aumento de latencia.
La velocidad de latencia más baja del switching por corte hace que resulte más adecuado para
las aplicaciones mas demandantes de Tecnología Informática de Alto Rendimiento (High-
Performance Computing, HPC) que requieren latencias de proceso a proceso de
10 microsegundos o menos.
El método switching de corte puede reenviar tramas con errores. Si hay un índice de error
alto (tramas no válidas) en la red, el switching por método de corte puede tener un impacto
negativo en el ancho de banda, de esta forma, se obstruye el ancho de banda con las tramas
dañadas y no válidas.
P á g i n a | 82
2.1.8
Actividad: El Switch!
Utilice esta actividad para comprobar su comprensión de cómo un switch aprende y reenvía
tramas.
P á g i n a | 83
Conceptos de switching / Dominios de switching
Dominios de switching
2.2.1
Dominios de colisiones
En el tema anterior, obtuvo una mejor comprensión de lo que es un switch y cómo
funciona. En este tema se explica cómo funcionan los switches entre sí y con otros
dispositivos para eliminar colisiones y reducir la congestión de la red. Los términos
colisiones y congestión se utilizan aquí de la misma manera que se utilizan en el tráfico
callejero.
En segmentos Ethernet basados en hubs antiguos, los dispositivos de red compitieron por el
medio compartido. Los segmentos de red que comparten el mismo ancho de banda entre
dispositivos se conocen como dominios de colisión. Cuando dos o más dispositivos del
P á g i n a | 84
mismo dominio de colisión tratan de comunicarse al mismo tiempo, se produce una

colisión.
Si un puerto Ethernet de switch funciona en semidúplex, cada segmento está en su propio

dominio de colisión. No hay dominios de colisión cuando los puertos del switch funcionan
en dúplex completo. Sin embargo, podría haber un dominio de colisión si un puerto de
switch funciona en semidúplex.
De manera predeterminada, los puertos de Ethernet del switch negociarán automáticamente

el dúplex completo cuando el dispositivo adyacente también pueda funcionar en dúplex
completo. Si el puerto del switch está conectado a un dispositivo que funciona en
semidúplex, como por ejemplo un hub antiguo, el puerto de switch funcionará en modo
semidúplex. En el caso de semidúplex, el puerto de switch formará parte de un dominio de
colisión.
Como se muestra en la figura, se elige dúplex completo si ambos dispositivos cuentan con
la funcionalidad, junto con su ancho de banda común más elevado.
El diagrama muestra
que un PC y un switch
negociarán
automáticamente la
configuración y las
velocidades dúplex
correspondientes. En
este caso, dúplex
completo y 100Mb por
segundo.
2.2.2
Dominios de difusión
Una serie de switches interconectados forma un dominio de difusión simple. Solo los
dispositivos de capa de red, como los routers, pueden dividir un dominio de difusión de capa
2. Los routers se utilizan para segmentar los dominios de difusión, pero también segmentan
un dominio de colisión.
P á g i n a | 85
Cuando un dispositivo desea enviar una difusión de capa 2, la dirección MAC de destino de
la trama se establece solo en números uno binarios.
El dominio de difusión de capa 2 se denomina “dominio de difusión MAC”. El dominio de

difusión MAC consta de todos los dispositivos en la LAN que reciben tramas de difusión de
un host.
Haga clic en Reproducir en la ilustración para verlo en la primera mitad de la animación.
Muestra una animación de diagrama de

un mensaje de difusión que viaja a cada
host conectado al switch, y también de
switch a switch, dentro del dominio de
difusión o LAN.
Cuando un switch recibe una trama de difusión, la reenvía por cada uno de sus puertos,
excepto por el puerto de entrada en el que se recibió la trama de difusión. Cada dispositivo
conectado al switch recibe una copia de la trama de difusión y la procesa.
En ocasiones, las difusiones son necesarias para localizar inicialmente otros dispositivos y
servicios de red, pero también reducen la eficacia de la red. El ancho de banda de red se usa
para propagar el tráfico de difusión. Si hay demasiadas difusiones y una carga de tráfico
intensa en una red, se puede producir una congestión, lo que reduce el rendimiento de la red.
Cuando hay dos switches conectados entre sí, se aumenta el dominio de difusión, como se ve
en la segunda mitad de la animación. En este caso, se reenvía una trama de difusión a todos
los puertos conectados en el switch S1. El switch S1 está conectado al switch S2. Luego, la
trama se propaga a todos los dispositivos conectados al switch S2.
2.2.3
Alivio de la congestión en la red

Los switches LAN tienen características especiales que los hacen eficaces para aliviar la
congestión de una red. De manera predeterminada, los puertos de switch interconectados
tratan de establecer un enlace en dúplex completo y por lo tanto se eliminan los dominios de
colisión. Cada puerto dúplex completo del switch ofrece el ancho de banda completo a los
dispositivos conectados a dicho puerto. Las conexiones dúplex completas aumentaron
P á g i n a | 86
notablemente el rendimiento de las redes LAN y se requieren para velocidades de Ethernet

de 1 Gb/s y superiores.
Los switches interconectan segmentos LAN, usan una tabla de direcciones MAC para
determinar los puertos de salida y pueden reducir o eliminar por completo las colisiones. Las
características de los switches que alivian la congestión de la red incluyen las siguientes:
 Velocidades de puertos rápidas : las velocidades de los puertos del switch Ethernet varían según el
modelo y el propósito. Por ejemplo, la mayoría de los switches de capa de acceso admiten
velocidades de puerto de 100 Mbps y 1 Gbps. Los switches de capa de distribución admiten
velocidades de puerto de 100 Mbps, 1 Gbps y 10 Gbps y los switches de nivel central y centro de
datos admiten velocidades de puerto de 100 Gbps, 40 Gbps y 10 Gbps. Los switches con velocidades
de puerto más rápidas cuestan más pero pueden reducir la congestión.
 Cambio interno rápido : los switches utilizan un bus interno rápido o memoria compartida para
proporcionar un alto rendimiento.
 Búferes de trama grande : los switches utilizan búferes de memoria grande para almacenar
temporalmente más tramas recibidas antes de tener que empezar a descartarlas. Esto permite que
el tráfico de entrada desde un puerto más rápido (por ejemplo, 1 Gbps) se reenvíe a un puerto de
salida más lento (por ejemplo, 100 Mbps) sin perder tramas.
 Alta densidad de puertos : un switch de alta densidad de puertos reduce los costos generales
porque reduce el número de switches requeridos. Por ejemplo, si se necesitaran 96 puert os de
acceso, sería menos costoso comprar dos switches de 48 puertos en lugar de cuatro switches de 24
puertos. Los switches de alta densidad de puertos también ayudan a mantener el tráfico local, lo
que ayuda a aliviar la congestión.
2.2.4
Verifique su comprensión - Cambiar

dominios
Verifique su comprensión sobre dominios de switches eligiendo la MEJOR respuesta a las
siguientes preguntas.
P á g i n a | 87
P á g i n a | 88
P á g i n a | 89
Conceptos de conmutación / Prueba y práctica del módulo
Prueba y práctica del módulo

2.3.1
¿Qué aprendí en este módulo?

Reenvío de tramas
La decisión sobre cómo un conmutador reenvía el tráfico se basa en el flujo de ese tráfico. El
término ingreso describe el puerto por donde una trama ingresa a un dispositivo. El término
egress describe el puerto que usarán los marcos al salir del dispositivo. Una trama de Ethernet
nunca se reenviará por el puerto por el que entró. Para que un conmutador sepa qué puerto
utilizar para transmitir una trama, primero debe saber qué dispositivos existen en cada
puerto. A medida que el switch aprende la relación de los puertos con los dispositivos, crea
una tabla llamada tabla de direcciones MAC. Cada trama que ingresa a un conmutador se
comprueba para obtener nueva información al examinar la dirección MAC de origen de la
trama y el número de puerto donde la trama ingresó al conmutador. Si la dirección MAC de
destino es una dirección unicast, el switch buscará una coincidencia entre la dirección MAC
de destino de la trama y una entrada en su tabla de direcciones MAC. Los métodos de reenvío
de conmutadores incluyen almacenamiento y reenvío y corte directo. El almacenamiento y
reenvío utiliza la verificación de errores y el almacenamiento en búfer automático. El corte a
través no comprueba los errores. En su lugar, realiza una conmutación rápida de tramas. Esto
significa que el switch puede tomar una decisión de reenvío tan pronto como haya buscado
la dirección MAC de destino de la trama en su tabla de direcciones MAC.
Cambio de dominios
Si un puerto de conmutador Ethernet funciona en semidúplex, cada segmento se encuentra

en su propio dominio de colisión. No hay dominios de colisión cuando los puertos del
conmutador funcionan en dúplex completo. De forma predeterminada, los puertos del
conmutador Ethernet negociarán automáticamente en dúplex completo cuando el dispositivo
adyacente también pueda funcionar en dúplex completo. Una colección de conmutadores
interconectados forma un único dominio de difusión. Solo un dispositivo de capa de red,
como un enrutador, puede dividir un dominio de difusión de Capa 2. El dominio de difusió n
de la capa 2 se denomina dominio de difusión MAC. El dominio de difusión de MAC consta
de todos los dispositivos de la LAN que reciben tramas de difusión de un host. Cuando un
conmutador recibe una trama de difusión, envía la trama a cada uno de sus puertos, excepto
al puerto de entrada donde se recibió la trama de difusión. Cada dispositivo conectado al
conmutador recibe una copia de la trama de transmisión y la procesa. Los conmutadores
pueden: interconectar segmentos de LAN, utilizar una tabla de direcciones MAC para
determinar los puertos de salida y pueden reducir o eliminar las colisiones por completo. Las
características de los conmutadores que alivian la congestión de la red son velocidades de
P á g i n a | 90
puerto rápidas, conmutación interna rápida, búferes de tramas grandes y alta densidad de
puertos.
2.3.2
Cuestionario del módulo: conceptos de

cambio
P á g i n a | 91
P á g i n a | 92
P á g i n a | 93
P á g i n a | 94
P á g i n a | 95
P á g i n a | 96
P á g i n a | 97
P á g i n a | 98
Capítulo 3_VLANs
Introducción
3.0.1

¡Bienvenido a las VLAN!
Imagina que estás a cargo de una conferencia muy grande. Hay personas de todas partes que
comparten un interés común y algunas que también tienen una experiencia especial.
Imagínese si cada experto que quisiera presentar su información a un público más pequeño
tuviera que hacerlo en la misma sala grande con todos los demás expertos y sus audiencias
más pequeñas. Nadie podría oír nada. Tendrías que encontrar salas separadas para todos los
expertos y sus audiencias más pequeñas. La LAN virtual (VLAN) hace algo similar en una
red. Las VLAN se crean en la Capa 2 para reducir o eliminar el tráfico de difusión. Las
VLAN son la forma en que divide la red en redes más pequeñas, de modo que los dispositivos
y las personas dentro de una sola VLAN se comunican entre sí y no tienen que adminis trar
el tráfico de otras redes. El administrador de red puede organizar las VLAN por ubicación,
quién las está utilizando, el tipo de dispositivo o cualquier categoría que se necesite. Sabes
que quieres aprender a hacer esto, ¡así que no esperes!
3.0.2

Título del módulo: VLANs
Objetivos del módulo: Implemente VLAN y enlaces troncales en una red conmutada.
Descripción general de las

Explique la finalidad de las VLAN en una red conmutada.
VLAN
Explique cómo un switch reenvía tramas según la

Redes VLAN en un entorno
configuración de VLAN en un entorno conmutado
conmutado múltiple
múltiple.
P á g i n a | 99
Configure un puerto para switch que se asignará a una

Configuración de VLAN
VLAN según los requisitos.
Enlaces troncales de la VLAN Configure un puerto de enlace troncal en un switch LAN.
Protocolo de enlace troncal

Configure el protocolo de enlace troncal dinámico (DTP).
dinámico
Descripción general de las VLAN

3.1.1
Definiciones de VLAN
Por supuesto, organizar su red en redes más pequeñas no es tan simple como separar tornillos
y ponerlos en frascos. Pero hará que su red sea más fácil de administrar. Dentro de una red
conmutada, las VLAN proporcionan la segmentación y la flexibilidad organizativa. Un grupo
de dispositivos dentro de una VLAN se comunica como si cada dispositivo estuviera
conectados al mismo cable. Las VLAN se basan en conexiones lógicas, en lugar de
conexiones físicas.
Como se muestra en la figura, las VLAN en una red conmutada permiten a los usuarios de
varios departamentos (por ejemplo, TI, recursos humanos y ventas) conectarse a la misma
red, independientemente del switch físico que se esté utilizando o de la ubicación en una
LAN del campus.
P á g i n a | 100
La figura muestra un edificio de 3 plantas con un interruptor en cada planta. Los switches
están conectados a otro switch que está conectado a un router. Cada planta tiene múltip les
hosts conectados a ella. Hay tres VLAN que abarcan las tres plantas y contienen varios hosts
en cada planta. Las VLAN son: VLAN 2, IT, 10.0.2.0/24; VLAN 3, HR, 10.0.3.0/24; VLAN
4, Sales, 10.0.4.0/24.
Las VLAN permiten que el administrador divida las redes en segmentos según factores como
la función, el equipo del proyecto o la aplicación, sin tener en cuenta la ubicación física del
usuario o del dispositivo. Cada VLAN se considera una red lógica diferente. Los dispositivos
dentro de una VLAN funcionan como si estuvieran en su propia red independiente, aunque
compartan una misma infraestructura con otras VLAN. Cualquier puerto de switch puede
pertenecer a una VLAN.
Los paquetes de unidifusión, difusión y multidifusión se reenvían solamente a termina les

dentro de la VLAN donde los paquetes son de origen. Los paquetes destinados a dispositivos
que no pertenecen a la VLAN se deben reenviar a través de un dispositivo que admita el
routing.
Varias subredes IP pueden existir en una red conmutada, sin el uso de varias VLAN. Sin
embargo, los dispositivos estarán en el mismo dominio de difusión de capa 2. Esto signif ica
que todas las difusiones de capa 2, tales como una solicitud de ARP, serán recibidas por todos
los dispositivos de la red conmutada, incluso por aquellos que no se quiere que reciban la
difusión.
Una VLAN crea un dominio de difusión lógico que puede abarcar varios segmentos LAN
físicos. Las VLAN mejoran el rendimiento de la red mediante la división de grandes
dominios de difusión en otros más pequeños. Si un dispositivo en una VLAN envía una trama
de Ethernet de difusión, todos los dispositivos en la VLAN reciben la trama, pero los
dispositivos en otras VLAN no la reciben.
P á g i n a | 101
Mediante las VLAN, los administradores de red pueden implementar políticas de acceso y
seguridad de acuerdo con a grupos específicos de usuarios. Cada puerto de switch se puede
asignar a una sola VLAN (a excepción de un puerto conectado a un teléfono IP o a otro
switch).
3.1.2
Ventajas de un diseño de VLAN

Cada VLAN en una red conmutada corresponde a una red IP. Por lo tanto, el diseño de VLAN
debe tener en cuenta la implementación de un esquema de direccionamiento de red
jerárquico. El direccionamiento jerárquico de la red significa que los números de red IP se
aplican a los segmentos de red o a las VLAN de manera ordenada, lo que permite que la red
se tome en cuenta como conjunto. Los bloques de direcciones de red contiguas se reservan
para los dispositivos en un área específica de la red y se configuran en estos, como se muestra
en la ilustración.
La figura muestra una topología de red con varios conmutadores, varias VLAN y
direccionamiento de red contiguo. En la parte superior de la topología hay un router R1
conectado a un switch de abajo. El switch está conectado a otros dos switches. El conmutador
de la izquierda tiene tres hosts conectados a él, cada uno asignado a una VLAN diferente.
PC1 conectado al puerto F0/11 tiene la siguiente asignación: Facultad, VLAN 10,
172.17.10.21/24. PC2 conectado al puerto F0/18 tiene la siguiente asignación: Estudiante,
VLAN 20, 172.17.20.22/24. PC3 conectado al puerto F0/6 tiene la siguiente asignació n:
Invitado, VLAN 30, 172.17.30.23/24. El conmutador de la derecha también tiene tres hosts
conectados a él, cada uno asignado a una VLAN diferente. PC4 conectado al puerto F0/11
tiene la siguiente asignación: Facultad, VLAN 10, 172.17.10.24/24. PC5 conectado al puerto
P á g i n a | 102
F0/18 tiene la siguiente asignación: Estudiante, VLAN 20, 172.17.20.25/24. PC6 conectado
al puerto F0/6 tiene la siguiente asignación: Invitado, VLAN 30, 172.1.7.20.26/24.
En la tabla se enumeran las ventajas de diseñar una red con VLAN.
Ventaja Descripción
 Dividir una red en VLAN reduce el número de

dispositivos en el broadcast domain.
Dominios de difusión más  En la figura, hay seis computadoras en la red, pero solo
pequeños tres dominios de difusión (es decir, Facultad,
Estudiante e Invitado).
 Sólo los usuarios de la misma VLAN pueden

comunicarse juntos.
 En la figura, el tráfico de red de profesores en la VLAN
Seguridad mejorada
10 es completamente separados y protegidos de los
usuarios en otras VLAN.
 Las VLAN simplifican la administración de la red

porque los usuarios con una red similar se pueden
configurar en la misma VLAN.
Mejora la eficiencia del  Las VLAN se pueden nombrar para facilitar su
departamento de IT. identificación.
 En la figura, VLAN 10 fue nombrado «Facultad», VLAN
20 «Estudiante», y VLAN 30 «Invitado. »
Las VLAN reducen la necesidad de realizar costosas

actualizaciones de red y utilizan el ancho de banda
Reducción de costos existente y enlaces ascendentes de manera más
eficiente, lo que resulta en costos Ahorro
Los dominios de difusión más pequeños reducen el

Mejor rendimiento
tráfico innecesario en la red y mejorar el rendimiento.
 Las VLAN agregan usuarios y dispositivos de red para

admitir empresas o necesidades geográficas.
 Tener funciones separadas hace que administrar un
Administración más simple de proyecto o trabajar con un aplicación especializada
proyectos y aplicaciones más fácil; un ejemplo de tal aplicación es una
plataforma de desarrollo de e-learning para
profesores.
P á g i n a | 103
3.1.3
Tipos de VLAN
Las VLAN se utilizan por diferentes razones en las redes modernas. Algunos tipos de VLAN
se definen según las clases de tráfico. Otros tipos de VLAN se definen según la función
específica que cumplen.
VLAN predeterminada
La VLAN predeterminada para los switches Cisco es la VLAN 1. Por lo tanto, todos los
puertos del switch están en VLAN 1 a menos que esté configurado explícitamente para estar
en otra VLAN. Todo el tráfico de control de capa 2 se asocia a la VLAN 1 de manera
predeterminada.
Entre los datos importantes que hay que recordar acerca de la VLAN 1 se incluyen los
siguientes:
 Todos los puertos se asignan a la VLAN 1 de manera predeterminada.

 De manera predeterminada, la VLAN nativa es la VLAN 1.
 De manera predeterminada, la VLAN de administración es la VLAN 1.
 No es posible eliminar ni cambiar el nombre de VLAN 1.
Por ejemplo, en la ilustración show vlan brief , todos los puertos están asignados a la VLAN
1 predeterminada. No hay ninguna VLAN nativa asignada explícitamente ni otras VLAN
activas; por lo tanto, la VLAN nativa de la red que se diseñó es la VLAN de administrac ió n.
Esto se considera un riesgo de seguridad.
P á g i n a | 104
VLAN de datos
Las VLAN de datos son VLAN configuradas para separar el tráfico generado por el usuario.
Las VLAN de datos se usan para dividir la red en grupos de usuarios o dispositivos. Una red
moderna tendría muchas VLAN de datos en función de los requisitos organizativos. Tenga en
cuenta que no se debe permitir el tráfico de administración de voz y red en las VLAN de datos.
VLAN nativa
El tráfico de usuario de una VLAN debe etiquetarse con su ID de VLAN cuando se envía a otro
switch. Los puertos troncal se utilizan entre conmutadores para admitir la transmisión de
tráfico etiquetado. Específicamente, un puerto troncal 802.1Q inserta una etiqueta de 4 bytes
en el encabezado de trama Ethernet para identificar la VLAN a la que pertenece la trama.
Es posible que un switch también tenga que enviar tráfico sin etiqueta a través de un enlace
troncal. El tráfico sin etiquetas es generado por un switch y también puede provenir de
dispositivos heredados. El puerto de enlace troncal 802.1Q coloca el tráfico sin etiquetar en la
VLAN nativa. La VLAN nativa en un switch Cisco es VLAN 1 (es decir, VLAN predeterminada).
Se recomienda configurar la VLAN nativa como VLAN sin utilizar, independiente de la VLAN 1
y de otras VLAN. De hecho, es común utilizar una VLAN fija para que funcione como VLAN
nativa para todos los puertos de enlace troncal en el dominio conmutado.
P á g i n a | 105
3.1.4
Packet Tracer: ¿quién escucha la difusión?

En esta actividad de Packet Tracer, completará los siguientes objetivos:
 Parte 1: Observar el tráfico de broadcast en la implementación de una VLAN

 Parte 2: completar las preguntas de repaso
Who Hears the Broadcast

Who Hears the Broadcast
P á g i n a | 106
3.1.5
Compruebe su comprensión - Descripción

general de las VLAN
Elija la MEJOR repuesta para las siguientes preguntas y compruebe su conocimiento sobre
VLANs.
P á g i n a | 107
P á g i n a | 108
P á g i n a | 109
VLANs / Redes VLAN en un entorno conmutado múltiple
Redes VLAN en un entorno

conmutado múltiple
3.2.1
Definición de troncos de VLAN

Las VLAN no serían muy útiles sin los enlaces troncales de VLAN. Los troncos de VLAN
permiten que todo el tráfico de VLAN se propague entre conmutadores. Esto permite que los
dispositivos conectados a diferentes switches pero en la misma VLAN se comuniquen sin
pasar por un router.
Un enlace troncal es un enlace punto a punto entre dos dispositivos de red que lleva más de
una VLAN. Un enlace troncal de VLAN amplía las VLAN a través de toda la red. Cisco
admite IEEE 802.1Q para coordinar enlaces troncales en las interfaces Fast Ethernet, Gigabit
Ethernet y 10-Gigabit Ethernet.
Un enlace troncal no pertenece a una VLAN específica. Es más bien un conducto para las
VLAN entre los switches y los routers. También se puede utilizar un enlace troncal entre un
dispositivo de red y un servidor u otro dispositivo que cuente con una NIC con capacidad
802.1Q. En los switches Cisco Catalyst, se admiten todas las VLAN en un puerto de enlace
troncal de manera predeterminada.
P á g i n a | 110
En la ilustración, los enlaces entre los switches S1 y S2, y S1 y S3 se configuraron para

transmitir el tráfico proveniente de las VLAN 10, 20, 30 y 99 a través de la red. Esta red no
podría funcionar sin los enlaces troncales de VLAN.
La figura es una topología de red con varios conmutadores y varias VLAN que resaltan los
vínculos troncal de VLAN entre los conmutadores. En la parte superior de la topología está
el interruptor S1. S1 está conectado a través del puerto F0/1 al conmutador S2 en el puerto
F0/1. Esta conexión se resalta. S1 también está conectado a través del puerto F0/3 para
conmutar S3 en el puerto F0/3. Esta conexión también se resalta. Tanto S2 como S3 tienen
tres hosts conectados a ellos, cada uno asignado a una VLAN diferente. Están conectados a
S2 PC1, PC2 y PC3. PC1 está conectado al puerto F0/11 tiene la siguiente asignació n:
Facultad, VLAN 10, 172.17.10.21. PC2 está conectado al puerto F0/18 tiene la siguie nte
asignación: Estudiante, VLAN 20, 172.17.20.22. PC3 está conectado al puerto F0/6 tiene la
siguiente asignación: Invitado, VLAN 30, 172.17.30.23. Están conectados a S3 PC4, PC5 y
PC6. PC4 está conectado al puerto F0/11 tiene la siguiente asignación: Facultad, VLAN 10,
172.17.10.24. PC5 está conectado al puerto F0/18 tiene la siguiente asignación: Estudiante,
VLAN 20, 172.17.20.25. PC6 está conectado al puerto F0/6 tiene la siguiente asignació n:
Invitado, VLAN 30, 172.1.7.20.26.
3.2.2
Redes sin VLAN

En condiciones normales de funcionamiento, cuando un switch recibe una trama de difusió n
en uno de sus puertos, reenvía la trama por todos los demás puertos, excepto el puerto por
donde recibió la difusión. En la animación de la figura se configuró toda la red en la misma
subred (172.17.40.0/24), y no se configuró ninguna VLAN. Como consecuencia, cuando la
computadora del cuerpo docente (PC1) envía una trama de difusión, el switch S2 envía dicha
P á g i n a | 111
trama de difusión por todos sus puertos. Finalmente, toda la red recibe la difusión porque la
red es un dominio de difusión.
La PC1 envía una difusión de capa 2 local. Los switches reenvían la trama del broadca st a
todos los puertos disponibles.
3.2.3
Red con VLAN

Haga clic en Reproducir en la animación para ver que la misma red se ha segmentado
utilizando dos VLAN. Los dispositivos del cuerpo docente se asignaron a la VLAN 10, y los
dispositivos de los estudiantes se asignaron a la VLAN 20. Cuando se envía una trama de
difusión desde la computadora del cuerpo docente, la PC1, al switch S2, el switch reenvía
esa trama de difusión solo a los puertos de switch configurados para admitir la VLAN 10.
La PC1 envía una difusión de capa 2 local. Los switches reenvían la trama de la difusión
solamente a los puertos configurados para VLAN 10.
P á g i n a | 112
Enlaces troncales de VLAN configurados para admitir las VLAN 10 y 20.
Los puertos que componen la conexión entre los switches S2 y S1 (puertos F0/1), y entre el
S1 y el S3 (puertos F0/3) son enlaces troncales y se configuraron para admitir todas las VLAN
en la red.
Cuando el S1 recibe la trama de difusión en el puerto F0/1, reenvía la trama de difusión por
el único puerto configurado para admitir la VLAN 10, que es el puerto F0/3. Cuando el S3
recibe la trama de difusión en el puerto F0/3, reenvía la trama de difusión por el único puerto
configurado para admitir la VLAN 10, que es el puerto F0/11. La trama de difusión llega a
la única otra computadora de la red configurada en la VLAN 10, que es la computadora PC4
del cuerpo docente.
Cuando se implementan las VLAN en un switch, la transmisión del tráfico de unidifus ió n,

multidifusión y difusión desde un host en una VLAN en particular se limita a los dispositivos
presentes en esa VLAN.
3.2.4
Identificación de VLAN con etiqueta

El encabezado de trama Ethernet estándar no contiene información sobre la VLAN a la que
pertenece la trama. Por lo tanto, cuando las tramas de Ethernet se ubican en un enlace troncal,
se necesita agregar información sobre las VLAN a las que pertenecen. Este proceso,
denominado “etiquetado”, se logra mediante el uso del encabezado IEEE 802.1Q,
especificado en el estándar IEEE 802.1Q. El encabezado 802.1Q incluye una etiqueta de
P á g i n a | 113
4 bytes insertada en el encabezado de la trama de Ethernet original que especifica la VLAN

a la que pertenece la trama.
Cuando el switch recibe una trama en un puerto configurado en modo de acceso y asignado
a una VLAN, el switch coloca una etiqueta VLAN en el encabezado de la trama, vuelve a
calcular la Secuencia de Verificación de Tramas (FCS) y envía la trama etiquetada por un
puerto de enlace troncal.
Detalles del campo VLAN Tag
Como se muestra en la figura el campo de etiqueta de la VLAN consta de un campo de tipo,

un campo de prioridad, un campo de identificador de formato canónico y un campo de ID de
la VLAN:
 Tipo - Un valor de 2 bytes denominado “ID de Protocolo de Etiqueta” (TPID). Para Ethernet, este
valor se establece en 0x8100 hexadecimal.
 Prioridad de usuario - Es un valor de 3 bits que admite la implementación de nivel o de servicio.
 Identificador de Formato Canónico (CFI) - Es un identificador de 1 bit que habilita las tramas Token
Ring que se van a transportar a través de los enlaces Ethernet.
 VLAN ID (VID) - Es un número de identificación de VLAN de 12 bits que admite hasta 4096 ID de
VLAN.
Una vez que el switch introduce los campos tipo y de información de control de etiquetas,
vuelve a calcular los valores de la FCS e inserta la nueva FCS en la trama.
P á g i n a | 114
La figura muestra una etiqueta de VLAN que se inserta en un encabezado de trama. En la

parte superior de la figura hay un marco que muestra los siguientes campos: Dst MAC, SRC
MAC, Tipo/Longitud, Datos y FCS. Debajo está el marco que se muestra de nuevo, esta vez
con el campo Etiqueta insertado entre los campos MAC de Src y Tipo/Longitud. Debajo están
los siguientes subcampos de la etiqueta y su longitud: Tipo (0x8100), longitud 2 Bytes; Pri,
longitud 3 bits; CFI, longitud 1 bit; y VID, longitud 12 bits.
MAC de destinoMAC de origenEtiquetaTipo/LongitudDatosFCSTipo (0 x 8100)MAC de destinoMAC de origenTipo/
3.2.5
VLAN nativas y etiquetado de 802.1Q

El estándar IEEE 802.1Q especifica una VLAN nativa para los enlaces troncal, que por
defecto es VLAN 1. Cuando un marco sin etiqueta llega a un puerto troncal, se asigna a la
VLAN nativa. Las tramas de administración que se envían entre conmutadores es un ejemplo
de tráfico que normalmente no se etiqueta. Si el vínculo entre dos switches es un tronco, el
switch envía el tráfico sin etiqueta en la VLAN nativa.
Marcos etiquetados en la VLAN nativa
Algunos dispositivos que admiten los enlaces troncales agregan una etiqueta VLAN al tráfico
de las VLAN nativas. El tráfico de control que se envía por la VLAN nativa no se debe
etiquetar. Si un puerto de enlace troncal 802.1Q recibe una trama etiquetada con la misma
ID de VLAN que la VLAN nativa, descarta la trama. Por consiguiente, al configurar un
puerto de un switch Cisco, configure los dispositivos de modo que no envíen tramas
etiquetadas por la VLAN nativa. Los dispositivos de otros proveedores que admiten tramas
etiquetadas en la VLAN nativa incluyen: teléfonos IP, servidores, routers y switches que no
pertenecen a Cisco.
Marcos sin etiquetas en la VLAN nativa
Cuando un puerto de enlace troncal de un switch Cisco recibe tramas sin etiquetar (poco
usuales en las redes bien diseñadas), envía esas tramas a la VLAN nativa. Si no hay
dispositivos asociados a la VLAN nativa (lo que es usual) y no existen otros puertos de enlace
troncal (es usual), se descarta la trama. La VLAN nativa predeterminada es la VLAN 1. Al
configurar un puerto de enlace troncal 802.1Q, se asigna el valor de la ID de VLAN nativa a
la ID de VLAN de puerto (PVID) predeterminada. Todo el tráfico sin etiquetar entrante o
saliente del puerto 802.1Q se reenvía según el valor de la PVID. Por ejemplo, si se configura
la VLAN 99 como VLAN nativa, la PVID es 99, y todo el tráfico sin etiquetar se reenvía a
la VLAN 99. Si no se volvió a configurar la VLAN nativa, el valor de la PVID se establece
en VLAN 1.
En la ilustración, la PC1 está conectada a un enlace troncal 802.1Q mediante un hub.

P á g i n a | 115
La figura es una topología de red que muestra el flujo de tráfico sin etiqueta en la VLAN
nativa. En la parte superior de la figura hay un interruptor. El conmutador está conectado a
otros cuatro conmutadores a través de un enlace troncal 802.1Q a cada uno. Entre el
conmutador superior y el conmutador en el extremo izquierdo hay un concentrador al que
está conectado el PC1 host. El conmutador extremo izquierdo tiene un puerto en VLAN 1 y
un puerto en VLAN 2. El segundo conmutador de la izquierda tiene un puerto en VLAN 3.
El tercer conmutador de la izquierda tiene un puerto en la VLAN 1. El switch de la derecha
tiene un puerto en VLAN 2 y un puerto en VLAN 3. Las flechas anaranjadas muestran el
tráfico enviado desde los flujos PC1 al concentrador que lo envía a ambos conmutadores
conectados. El conmutador extremo izquierdo lo envía por el puerto de la VLAN 1. El
conmutador superior lo envía al tercer conmutador desde la izquierda, que lo envía por el
puerto conectado a la VLAN 1.
La PC1 envía el tráfico sin etiquetar, que los switches asocian a la VLAN nativa configurada
en los puertos de enlace troncal y que reenvían según corresponda. El tráfico etiquetado del
enlace troncal que recibe la PC1 se descarta. Esta situación refleja un diseño de red deficie nte
por varios motivos: utiliza un hub, tiene un host conectado a un enlace troncal y esto implica
que los switches tengan puertos de acceso asignados a la VLAN nativa. También ilustra la
motivación de la especificación IEEE 802.1Q para que las VLAN nativas sean un medio de
manejo de entornos antiguos.
3.2.6
Etiquetado de VLAN de voz

P á g i n a | 116
Se necesita una red VLAN de voz separada para admitir VoIP. Esto permite aplicar políticas
de calidad de servicio (QoS) y seguridad al tráfico de voz.
Un teléfono IP de Cisco se conecta directamente a un puerto del switch. Un host IP puede

conectarse al teléfono IP para obtener conectividad de red también. Un puerto de acceso que
conecta un teléfono IP de Cisco puede configurarse para utilizar dos VLAN separadas: Una
VLAN es para el tráfico de voz y la otra es una VLAN de datos para admitir el tráfico de
host. El enlace entre el switch y el teléfono IP funciona como un enlace troncal para
transportar tanto el tráfico de la VLAN de voz como el tráfico de la VLAN de datos.
Específicamente, el teléfono IP Cisco contiene un switch 10/100 de tres puertos integrado.

Los puertos proporcionan conexiones dedicadas para estos dispositivos:
 El puerto 1 se conecta al switch o a otro dispositivo VoIP.

 El puerto 2 es una interfaz interna 10/100 que envía el tráfico del teléfono IP.
 El puerto 3 (puerto de acceso) se conecta a una PC u otro dispositivo.
El puerto de acceso del switch envía paquetes CDP que indican al teléfono IP conectado que
envíe tráfico de voz de una de las tres maneras. El método utilizado varía según el tipo de
tráfico:
 El tráfico VLAN de voz debe etiquetarse con un valor de pri oridad CoS de Capa 2 adecuado.
 En una VLAN de acceso con una etiqueta de valor de prioridad de CoS de capa 2
 En una VLAN de acceso sin etiqueta (sin valor de prioridad de CoS de capa 2)
En la figura, la computadora del estudiante PC5 está conectada a un teléfono IP de Cisco, y

el teléfono está conectado al switch S3. La VLAN 150 está diseñada para transportar tráfico
de voz, mientras que la PC5 está en la VLAN 20, que se usa para los datos de los estudiantes.
P á g i n a | 117
Host conectado a un teléfono IP conectado a un switch que muestra la configuración de una

VLAN de voz y datos.
3.2.7
Ejemplo de verificación de VLAN de voz

Se muestra la salida de ejemplo para el show interface fa0/18 switchport comando. El
análisis de los comandos de voz de Cisco IOS excede el ámbito de este curso, pero las áreas
resaltadas en el resultado de ejemplo muestran que la interfaz F0/18 se configuró con una
VLAN configurada para datos (VLAN 20) y una VLAN configurada para voz (VLAN 150).
3.2.8
Packet Tracer: investigación de la

implementación de una VLAN
En esta actividad, observará el modo en que los switches reenvían el tráfico de difusió n
cuando se configuran las VLAN y cuando no se configuran las VLAN.
Investigate a VLAN Implementation
Investigate a VLAN Implementation
3.2.9
P á g i n a | 118
Compruebe su comprensión - VLAN en un

entorno de multiswitch
Esta actividad Comprobar comprensión utiliza un escenario diferente para cada pregunta.
Pregunta 1 Topología
La topología de red para la pregunta 1 tiene un conmutador en el centro conectado a un

conmutador a la izquierda y otro a la derecha. Están conectados al conmutador izquierdo los
tres hosts siguientes: PC1 en VLAN 10, PC2 en VLAN 20 y PC3 en VLAN 30. Están conectados
al conmutador derecho los tres hosts siguientes: PC4 en VLAN 10, PC5 en VLAN 20 y PC6 en
VLAN30.
P á g i n a | 119
Pregunta 3 Topología
P á g i n a | 120
VLANs / Configuración de VLAN
3.3.1
Rangos de VLAN en los switches Catalyst

Crear VLAN, como la mayoría de los demás aspectos de la red, es cuestión de introducir los
comandos apropiados. En este tema se detalla cómo configurar y verificar diferentes tipos de
VLAN.
Los distintos switches Cisco Catalyst admiten diversas cantidades de VLAN. La cantidad de
VLAN que admiten es suficiente para satisfacer las necesidades de la mayoría de las
organizaciones. Por ejemplo, los switches de las series Catalyst 2960 y 3560 admiten más de
P á g i n a | 121
4000 VLAN. Las VLAN de rango normal en estos switches se numeran del 1 al 1005, y las VLAN
de rango extendido se numeran del 1006 al 4094. En la ilustración, se muestran las VLAN
disponibles en un switch Catalyst 2960 que ejecuta IOS de Cisco, versión 15.x.
Rango Normal VLANs
Las siguientes son las características de las VLAN de rango normal:
 Se utiliza en redes de pequeños y medianos negocios y empresas.

 Se identifica mediante una ID de VLAN entre 1 y 1005.
 Las ID de 1002 a 1005 se reservan para las VLAN de Token Ring e inte rfaz de datos distribuidos
por fibra óptica (FDDI).
 Las ID 1 y 1002 a 1005 se crean automáticamente y no se pueden eliminar.
 Las configuraciones se almacenan en un archivo de base de datos de VLAN llamado vlan.dat,
que se guarda en la memoria flash.
 Cuando se configura, el protocolo de enlace troncal VLAN (VTP) ayuda a sincronizar la base de
datos VLAN entre conmutadores.
Rango Extendido VLANs
Las siguientes son las características de las VLAN de rango extendido:
Los proveedores de servicios los utilizan para dar servicio a varios clientes, y por las empresas
globales lo suficientemente grandes como para necesitar identificadores de VLAN de rango
extendido.
 Se identifican mediante una ID de VLAN entre 1006 y 4094.

 Las configuraciones se guardan en el archivo de configuración en ejecución.
 Admiten menos características de VLAN que las VLAN de rango normal.
 Requiere la configuración del modo transparente VTP para admitir VLAN de rango extendido.
Nota: Nota: la cantidad máxima de VLAN disponibles en los switches Catalyst es 4096, ya que
el campo ID de VLAN tiene 12 bits en el encabezado IEEE 802.1Q.
P á g i n a | 122
3.3.2
Comandos de creación de VLAN

Al configurar redes VLAN de rango normal, los detalles de configuración se almacenan en la
memoria flash del switch en un archivo denominado vlan.dat. La memoria flash es persistente y
no requiere el copy running-config startup-config comando. Sin embargo, debido a que en
los switches Cisco se suelen configurar otros detalles al mismo tiempo que se crean las VLAN,
es aconsejable guardar los cambios a la configuración en ejecución en la configuración de inicio.
En la figura 1, se muestra la sintaxis del comando de IOS de Cisco que se utiliza para agregar
una VLAN a un switch y asignarle un nombre. Se recomienda asignarle un nombre a ca da VLAN
en la configuración de un switch.
Tarea Comando de IOS
Ingresa al modo de configuración global. Switch# configure terminal
Cree una VLAN con un número de ID válido. Switch(config)# vlan vlan-

id
Especificar un nombre único para

Switch(config-vlan)# name
identificar la VLAN. vlan-name
Vuelva al modo EXEC privilegiado. Switch(config-vlan)# end
3.3.3
Ejemplo de creación de VLAN

En el ejemplo de topología, la computadora del estudiante (PC2) todavía no se asoció a ninguna
VLAN, pero tiene la dirección IP 172.17.20.22, que pertenece a la VLAN 20.
PC de estudiante, host PC2, en la dirección 172.17.20.22 está conectado al conmutador S1 en

el puerto F0/6 que está conectado a través del puerto F0/1 al conmutador S2 en el puerto F0/1
P á g i n a | 123
En la figura, se muestra cómo se configura la VLAN para estudiantes (VLAN 20) en el switch
S1.
Nota: Además de introducir una única ID de VLAN, se puede introducir una serie de ID de VLAN
separadas por comas o un rango de ID de VLAN separado por guiones usando
el vlan comando vlan-id . Por ejemplo, al introducir el comando de configuración vlan
100,102,105-107 global se crearían las VLAN 100, 102, 105, 106 y 107.
3.3.4
Comandos de asignación de puertos VLAN

Después de crear una VLAN, el siguiente paso es asignar puertos a la VLAN.
En la figura se muestra la sintaxis para definir un puerto como puerto de acceso y asignarlo a
una VLAN. EL comando switchport mode access es optativo, pero se aconseja como práctica
recomendada de seguridad. Con este comando, la interfaz cambia al modo de acceso
permanente.
Ingrese al modo de configuración global. Switch# configure

terminal
Ingrese el modo de configuración de interfaz. Switch(config)# interface

interface-id
Establezca el puerto en modo de acceso. Switch(config-if)#

switchport mode access
P á g i n a | 124
Switch(config-if)#
Asigne el puerto a una VLAN. switchport access vlan
vlan-id
Vuelva al modo EXEC privilegiado. Switch(config-if)# end
Nota: Use el interface range comando para configurar simultáneamente varias interfaces
3.3.5
Ejemplo de asignación de puerto VLAN

En la figura, el puerto F0/6 en el conmutador S1 se configura como un puerto de acceso y se
asigna a la VLAN 20. Cualquier dispositivo conectado a ese puerto está asociado con la VLAN
20. Por lo tanto, en nuestro ejemplo, PC2 está en la VLAN 20.
La topología muestra un PC estudiante, host PC2, en la dirección 172.17.20.22 conectado al

conmutador S1 en el puerto F0/6 que está conectado a través del puerto F0/1 para el
conmutador S2 en el puerto F0/1. Debajo de S1 lee el conmutador 1: puerto F0/6 y VLAN 20.
El ejemplo muestra la configuración de S1 para asignar F0/6 a VLAN 20.

P á g i n a | 125
Las VLAN se configuran en el puerto del switch y no en el terminal. La PC2 se configura con
una dirección IPv4 y una máscara de subred asociadas a la VLAN, que se configura en el puerto
de switch. En este ejemplo, es la VLAN 20. Cuando se configura la VLAN 20 en otros switches,
el administrador de red debe configurar las otras computadoras de alumnos para que estén en
la misma subred que la PC2 (172.17.20.0/24).
3.3.6
VLAN de voz, datos

Un puerto de acceso puede pertenecer a sólo una VLAN a la vez. Sin embargo, un puerto
también se puede asociar a una VLAN de voz. Por ejemplo, un puerto conectado a un teléfono
IP y un dispositivo final se asociaría con dos VLAN: una para voz y otra para datos.
Consulte la topología en la figura. En este ejemplo, la PC5 está conectada con el teléfono IP de
Cisco, que a su vez está conectado a la interfaz FastEthernet 0/18 en S3. Para implementar
esta configuración, se crean una VLAN de datos y una VLAN de voz.
El PC5 del host se encuentra en la VLAN 20 del estudiante en la dirección 172.17.20.25. PC5
está conectado a un teléfono IP que está conectado al switch S3 en el puerto F0/18. Un cuadro
de texto con una flecha que apunta a este puerto dice: El puerto de conmutación debe admitir
el tráfico de VLAN para el tráfico de voz al teléfono IP y el tráfico de datos a PC5. S3 está
conectado a través del puerto F0/3 al conmutador S1 en el puerto F0/3.
P á g i n a | 126
3.3.7
Ejemplo de VLAN de voz y datos

Utilice el comando switchport voice vlan vlan-id interface configuration para asignar una VLAN
de voz a un puerto.
Las redes LAN que admiten tráfico de voz por lo general también tienen la Calidad de Servicio
(QoS) habilitada. El tráfico de voz debe etiquetarse como confiable apenas ingrese en la red.
Use el comando de configuración mls qos trust [cos | device cisco-phone | dscp | ip-
precedence] para establecer el estado confiable de una interfaz, y para indicar qué campo s
del paquete se usan para clasificar el tráfico.
La configuración en el ejemplo crea las dos VLAN (es decir, VLAN 20 y VLAN 150), y a
continuación, asigna la interfaz F0/18 de S3 como un puerto de switch en VLAN 20. También
asigna el tráfico de voz en VLAN 150 y permite la clasificación de QoS basada en la Clase de
Servicio (CoS) asignado por el teléfono IP.
Nota: La implementación de QoS no está contemplada en este curso.
El switchport access vlan comando fuerza la creación de una VLAN si es que aún no existe
en el switch. Por ejemplo, la VLAN 30 no está presente en la salida del comando show vlan
brief del switch. Si se introduce el comando switchport access vlan 30 en cualquier interfaz
sin configuración previa, el switch muestra lo siguiente:
P á g i n a | 127
3.3.8
Verificar la información de la VLAN

Una vez que se configura una VLAN, se puede validar la configuración con los
comandos show de IOS de Cisco
El show vlan comando muestra la lista de todas las VLAN configuradas. El comando show
vlan también se puede utilizar con opciones. La sintaxis completa es show vlan [brief | id vlan-
id | name vlan-name | summary].
En la tabla se describen las opciones del comando show vlan.
Tarea Opción de comando
Muestra el nombre de VLAN, el estado y sus puertos una

VLAN por linea. brief
Muestra información sobre el número de ID de VLAN

identificado. Para vlan-id, the range is 1 to 4094. id vlan-id
Muestra información sobre el número de ID de VLAN

identificado. El vlan-name es una cadena ASCII de 1 a 32 name vlan-name
caracteres.
Mostrar el resumen de información de la VLAN. summary
El comando show vlan summary muestra la lista de todas las VLAN configuradas.
Otros comandos útiles son: el comando show interfaces interface-id switchport y el

comando show interfaces vlan vlan-id. Por ejemplo, el comando show interfaces fa0/18
switchport se puede utilizar para confirmar que el puerto FastEthernet 0/18 se ha asignado
correctamente a las VLAN de datos y voz.
P á g i n a | 128
3.3.9
Cambio de pertenencia de puertos de una

VLAN
Existen varias maneras de cambiar la pertenencia de puertos de una VLAN.
Si el puerto de acceso del switch se ha asignado incorrectamente a una VLAN, simplemente

vuelva a ingresar el comando de configuración de interface switchport access vlan vlan-id con
el ID de VLAN correcto. Por ejemplo, suponga que Fa0/18 se configuró incorrectamente para
estar en la VLAN 1 predeterminada en lugar de la VLAN 20. Para cambiar el puerto a VLAN 20,
simplemente ingrese switchport access vlan 20.
Para volver a cambiar la pertenencia de un puerto a la VLAN 1 predeterminada, utilice el

comando de configuración de interface no switchport access vlan como se muestra.
En la salida, por ejemplo, Fa0/18 está configurado para estar en la VLAN 1 predeterminada, tal
como lo confirma el comando show vlan brief.
P á g i n a | 129
Nota que la VLAN 20 sigue activa, aunque no tenga puertos asignados.
La salida del comando show interfaces f0/18 switchport también se puede utilizar para
verificar que la VLAN de acceso para la interfaz F0/18 se ha restablecido a la VLAN 1 como se
muestra en la salida.
3.3.10
Eliminar las VLAN

El comando de modo de configuración global no vlan vlan-id se usa para remover una VLAN
desde el archivo del switch vlan.dat.
Caution: Antes de borrar una VLAN, reasigne todos los puertos miembros a una VLAN distinta.
Los puertos que no se trasladen a una VLAN activa no se podrán comunicar con otros hosts
una vez que se elimine la VLAN y hasta que se asignen a una VLAN activa.
P á g i n a | 130
Se puede eliminar el archivo vlan.dat en su totalidad con el comando delete flash:vlan.dat delete
flash:vlan.datdel modo EXEC con privilegios. Se puede utilizar la versión abreviada del
comando (delete vlan.dat) delete vlan.dat si no se trasladó el archivo vlan.dat de su ubicación
predeterminada. Después de emitir este comando y de volver a cargar el switch, las VLAN
configuradas anteriormente ya no están presentes. Esto vuelve al switch a la condición
predeterminada de fábrica con respecto a la configuración de VLAN.
Nota: Para restaurar un conmutador Catalyst a su condición predeterminada de fábrica,

desconecte todos los cables excepto la consola y el cable de alimentación del conmutador. A
continuación, introduzca el comando de modo EXEC erase startup-config privilegiado seguido
del delete vlan.dat comando.
3.3.11
Comprobador de sintaxis - Configuración

de VLAN
En esta actividad del Comprobador de sintaxis, implementará y verificará una configuración de
VLAN para interfaces de switch según los requisitos especificados.
Complete estos pasos para crear una VLAN:
 Ingresa al modo de configuración global.

 Cree la VLAN 20.
 Name the VLAN **estudiante
 Volver al modo EXEC privilegiado.
S1(config)#vlan 20
S1(config-vlan)#name student
S1(config-vlan)#end
*Mar 31, 08:55:14.5555: %SYS-5-CONFIG_I: Configured from console by

console
Display the brief VLAN information.
S1#show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------

------
P á g i n a | 131
1 default active Fa0/1, Fa0/2, Fa0/3,

Fa0/4
Fa0/5, Fa0/6, Fa0/7,

Fa0/8
Fa0/9, Fa0/10, Fa0/11,

Fa0/12
Fa0/13, Fa0/14, Fa0/15,

Fa0/16
Fa0/17, Fa0/18, Fa0/19,

Fa0/20
Fa0/21, Fa0/22, Fa0/23,

Fa0/24
Gi0/1, Gi0/2
20 student active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
Complete the following steps to create a voice VLAN:
Enter global configuration mode.
Create VLAN 150.
Name the VLAN VOICE.
Return to global configuration mode.
S1(config)#vlan 150
S1(config-vlan)#name VOICE
S1(config-vlan)#exit
Complete the following steps to assign the data and voice VLANs to a
port:
Enter interface configuration mode. Use fa0/18 as the interface

designation.
Configure the port as an access port.
Assign the data VLAN 20 to the port.
Enable QoS settings with the mls qos trust cos command.
P á g i n a | 132
Assign the voice VLAN 150 to the port.
Return to privileged EXEC mode.
S1(config)#interface fa0/18
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 20
S1(config-if)#mls qos trust cos
S1(config-if)#switchport voice vlan 150
S1(config-if)#end
Display the brief vlan information.
S1#show vlan brief
LAN Name Status Ports
---- -------------------------------- --------- -------------------------

------

Fa0/4
Fa0/5, Fa0/6, Fa0/7,

Fa0/8
Fa0/9, Fa0/10, Fa0/11,

Fa0/12
Fa0/13, Fa0/14, Fa0/15,

Fa0/16
Fa0/17, Fa0/19, Fa0/20,

Fa0/21
Fa0/22, Fa0/23, Fa0/24,

Gi0/1
Gi0/2
20 student active Fa0/18
150 VOICE active Fa0/18
Complete the following steps to delete and verify a deleted VLAN on a

port:
P á g i n a | 133
Enter global configuration mode.

designation.
Remove the data VLAN from the port.
Use the do form of the command to display brief VLAN information.
S1(config-if)#no switchport access vlan
S1(config-if)#do show vlan brief
---- -------------------------------- --------- -------------------------

------

Fa0/4
Fa0/5, Fa0/6, Fa0/7,

Fa0/8
Fa0/9, Fa0/10, Fa0/11,

Fa0/12
Fa0/13, Fa0/14, Fa0/15,

Fa0/16
Fa0/17, Fa0/18, Fa0/19,

Fa0/20
Fa0/21, Fa0/22, Fa0/23,

Fa0/24
Gi0/1, Gi0/2
20 student active
Complete the following steps to assign VLAN 20 to another interface.

designation.
Assign VLAN 20 to the port.

P á g i n a | 134
S1(config-if)#interface fa0/11
S1(config-if)#switchport access vlan 20
S1(config-if)#end
Display the brief VLAN information.
S1#show vlan brief
LAN Name Status Ports
---- -------------------------------- --------- -------------------------

------

Fa0/4
Fa0/5, Fa0/6, Fa0/7,

Fa0/8
Fa0/9, Fa0/10, Fa0/12,

Fa0/13
Fa0/14, Fa0/15, Fa0/16,

Fa0/17
Fa0/19, Fa0/20, Fa0/21,

Fa0/22
Fa0/23, Fa0/24, Gig0/1,

Gig0/2
20 student active Fa0/11
Display the VLAN information specifically for the student VLAN.
S1#show vlan name student
---- -------------------------------- --------- -------------------------

------
20 student active Fa0/11, Fa0/18

P á g i n a | 135
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1
Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ -
-----
20 enet 100020 1500 - - - - - 0 0
Display summary information for VLANs
S1#show vlan summary
Number of existing VLANs : 7
Number of existing VTP VLANs : 7
Number of existing extended VLANS : 0
Display the switchport information. Use fa0/11 for the interface

designation.
S1#show interface fa0/11 switchport
Name: Fa0/11
Switchport: Enabled
Administrative Mode: static access
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 20 (Students)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
(output omitted)
You successfully configured and verified VLAN configuration on switch

interfaces.
P á g i n a | 136
3.3.12
Packet Tracer: Configuración de redes

VLAN
 Verificar la configuración de VLAN predeterminada

 Configurar las redes VLAN
 Asignar VLAN a los puertos
VLAN Configuration
VLAN Configuration
VLANs / Enlaces troncales de la VLAN
Enlaces troncales de la VLAN

3.4.1
Comandos de configuración troncal

Ahora que ha configurado y verificado VLAN, ha llegado el momento de configurar y verificar
los troncos de VLAN. Un enlace troncal de VLAN es un enlace de capa 2 del modelo OSI entre
dos switches que transporta el tráfico para todas las VLAN (a menos que se restrinja la lista de
VLAN permitidas de manera manual o dinámica).
Para habilitar los vínculos troncal, configure los puertos de interconexión con el conjunto de
comandos de configuración de interfaz que se muestran en la tabla.
Ingrese al modo de configuración global. Switch# configure

terminal
Ingrese el modo de configuración de interfaz. Switch(config)# interface

interface-id
Establezca el puerto en modo de enlace Switch(config-if)#

troncal permanente. switchport mode trunk
P á g i n a | 137
Cambie la configuración de la VLAN nativa a Switch(config-if)#

otra opción que no sea VLAN 1. switchport trunk native
vlan vlan-id
Especifique la lista de VLAN que se permitirán Switch(config-if)#

en el enlace troncal. switchport trunk allowed
vlan vlan-list
Vuelva al modo EXEC privilegiado. Switch(config-if)# end
3.4.2
Ejemplo de configuración de troncal

En la figura 2, las VLAN 10, 20 y 30 admiten las computadoras de Cuerpo docente, Estudiante
e Invitado (PC1, PC2 y PC3). El puerto F0/1 del switch S1 se configuró como puerto de enlace
troncal y reenvía el tráfico para las VLAN 10, 20 y 30. La VLAN 99 se configuró como VLAN
nativa.
Una topología de red muestra tres hosts en diferentes VLAN conectados al mismo switch, S2.
PC1 está en la Facultad VLAN 10 con dirección 172.17.10.21. PC2 está en el Student VLAN 20
con la dirección 172.17.20.22. PC3 está en la VLAN invitada 30 con la dirección 172.17.30.23.
S2 está conectado a través del puerto F0/1 al conmutador S1 en F0/1. Esta conexión está
rotulada como troncal.
VLAN 10
172.17.10.21Estudiante
P á g i n a | 138
Las subredes asociadas a cada VLAN son:
 VLAN 10 - Faculty/Staff - 172.17.10.0/24

 VLAN 20 - Students - 172.17.20.0/24
 VLAN 30 - Guests - 172.17.30.0/24
 VLAN 99 - Native - 172.17.99.0/24
El ejemplo muestra la configuración del puerto F0/1 en el conmutador S1 como puerto troncal.
La VLAN nativa se cambia a VLAN 99 y la lista de VLAN permitidas se restringe a 10, 20, 30 y
99.
Nota: Esta configuración supone el uso de los switches Cisco Catalyst 2960 que utilizan de
manera automática la encapsulación 802.1Q en los enlaces troncales. Es posible que otros
switches requieran la configuración manual de la encapsulación. Siempre configure ambo s
extremos de un enlace troncal con la misma VLAN nativa. Si la configuración de enlace troncal
802.1Q no es la misma en ambos extremos, el software IOS de Cisco registra errores.
3.4.3
Verifique la configuración de enlaces

troncales.
La salida del switch muestra la configuración del puerto del switch F0/1 en el switch S1. La
configuración se verifica con el comando show interfaces switchport interface-ID.
P á g i n a | 139
En el área superior resaltada, se muestra que el modo administrativo del puerto F0/1 se
estableció en trunk. El puerto está en modo de enlace troncal. En la siguiente área resaltada,
se verifica que la VLAN nativa es la VLAN 99. Más abajo en el resultado, en el área inferior
resaltada, se muestra que las VLAN 10,20,30 y 99 están habilitadas en el enlace troncal.
3.4.4
Restablecimiento del enlace troncal al

estado predeterminado
Use los comandos no switchport trunk allowed vlan y no switchport trunk native vlan para
eliminar las VLAN permitidas y restablecer la VLAN nativa del enlace troncal. Cuando se
restablece al estado predeterminado, el enlace troncal permite todas las VLAN y utiliza la VLAN
1 como VLAN nativa. El ejemplo muestra los comandos utilizados para restablecer todas las
características de enlace troncal de una interfaz troncal a la configu ración predeterminada.
P á g i n a | 140
El comando show interfaces f0 / 1 switchport revela que la troncal se ha reconfigurado a un

estado predeterminado.
La figura muestra el resultado de los comandos utilizados para eliminar la característica de

enlace troncal del puerto F0/1 del switch S1. El comando show interfaces f0/1
switchport revela que la interfaz F0/1 ahora está en modo de acceso estático.
P á g i n a | 141
3.4.5
Packet Tracer: Configuración de enlaces

troncales
 verificar las VLAN

 configurar los enlaces troncales
Configure Trunks
Configure Trunks
3.4.6
Práctica de laboratorio: Configuración de

redes VLAN y enlaces troncales
En este laboratorio, realizará lo siguiente:
 Armar la red y configurar los ajustes básicos de los dispositivos

 Crear redes VLAN y asignar puertos de switch
 Mantener las asignaciones de puertos de VLAN y la base de datos de VLAN
 Configurar un enlace troncal 802.1Q entre los switches
 Eliminar la base de datos de VLAN
Configure VLANs and Trunking
VLANs / Protocolo de enlace troncal dinámico
Protocolo de enlace troncal

dinámico
3.5.1
P á g i n a | 142
Introducción a DTP
Algunos switches Cisco tienen un protocolo propietario que les permite negociar
automáticamente la conexión troncal con un dispositivo vecino. Este protocolo se denomina
Protocolo de Enlace Troncal Dinámico (DTP). DTP puede acelerar el proceso de
configuración de un administrador de red. Las interfaces troncal Ethernet admiten diferentes
modos de enlace troncal. Una interfaz se puede establecer en trunking o no trunking, o para
negociar trunking con la interfaz vecina. La negociación de enlaces troncales entre
dispositivos de red la maneja el Protocolo de Enlace Troncal Dinámico (DTP), que solo
funciona de punto a punto.
DTP es un protocolo exclusivo de Cisco que se habilita de manera automática en los switches
de las series Catalyst 2960 y Catalyst 3560. DTP maneja la negociación de enlaces troncales
sólo si el puerto del switch vecino está configurado en un modo de enlace troncal que admite
DTP. Los switches de otros proveedores no admiten el DTP.
Precaución: Algunos dispositivos de interredes pueden reenviar tramas DTP de manera

incorrecta, lo que puede causar errores de configuración. Para evitar esto, desactive el DTP
en las interfaces de un switch de Cisco conectado a dispositivos que no admiten DTP.
La configuración DTP predeterminada para los switches Catalyst 2960 y 3650 de Cisco es
automática dinámica.
Para habilitar los enlaces troncales desde un switch de Cisco hacia un dispositivo que no
admite DTP, utilice los comandos del modo de configuración de interfaz switchport mode
trunk y switchport nonegotiate. Esto hace que la interfaz se convierta en un troncal, pero
no generará tramas DTP.
Para volver a habilitar el protocolo de enlace troncal dinámico, utilice el comando

switchport mode dynamic auto.
S1(config-if)# switchport mode dynamic auto
Si los puertos que conectan dos conmutadores están configurados para ignorar todos los
anuncios DTP con los comandos switchport mode trunk y switchport nonegotiate, los
puertos se quedarán en modo de puerto troncal. Si los puertos de conexión están configurados
en automático dinámico, no negociarán un tronco y permanecerán en el estado de modo de
acceso, creando un enlace troncal inactivo.
P á g i n a | 143
Cuando configure un puerto para que esté en modo de enlace troncal, utilice el comando
switchport mode trunk. No existe ambigüedad sobre el estado en que se encuentra el enlace
troncal: este se encuentra siempre activo.
3.5.2
Modos de interfaz negociados

El comando switchport mode, tiene opciones adicionales para negociar el modo de interfaz.
La siguiente es la sintaxis del comando :
Las opciones del comando se describen en la Tabla:
Opción Descripción
 Pone la interfaz (puerto de acceso) en modo permanente de no trunking y

negocia para convertir el enlace en un enlace no troncal.
access  La interfaz se convierte en una interfaz no troncal, independientemente de
si la interfaz vecina es una interfaz troncal.
 Hace que la interfaz pueda convertir el enlace en un enlace troncal.

dynamic
 La interfaz se convierte en una interfaz de enlace troncal, si la interfaz vecina
auto
está configurado en modo troncal o deseable.
P á g i n a | 144
Opción Descripción
 El modo de puerto de switch predeterminado para todas las interfaces

Ethernet es dynamic auto.
 Hace que el puerto intente convertir el enlace en un enlace troncal. 64 K.

dynamic  La interfaz se convierte en una interfaz de enlace troncal, si la interfaz vecina
desirable está configurado en modo automático troncal, deseable o dinámico.
 El puerto queda configurado en modo troncal de forma permanente y

negocia para que el enlace se convierta en una conexión troncal.
trunk  La interfaz se convierte en una interfaz de enlace troncal, incluso si la interfaz
vecina no es una interfaz troncal.
Utilice el comando del modo de configuración de interface switchport nonegotiate, para

detener la negociación DTP. El switch no participa en la negociación DTP en esta interfaz.
Este comando sólo se puede utilizar cuando el modo interface switchport es access o trunk.
Debe configurar manualmente el puerto de vecindad como un puerto troncal para establecer
un enlace troncal.
3.5.3
Resultados de una configuración DTP

La tabla ilustra los resultados de las opciones de configuración DTP en extremos opuestos
de un enlace troncal conectado a los puertos del switch Catalyst 2960. Una buena practica es
configurar los enlaces troncales estáticamente siempre que sea posible.
Dinámico Dinámico
Troncal Acceso
automático deseado
Dinámico
Acceso Troncal Troncal Acceso
automático
Dinámico
Troncal Troncal Troncal Acceso
deseado
P á g i n a | 145
Dinámico Dinámico
Troncal Acceso
automático deseado
Conectividad
Troncal Troncal Troncal Troncal
limitada
Conectividad
Acceso Acceso Acceso Acceso
limitada
3.5.4
Verificación del modo de DTP

El modo DTP predeterminado depende de la versión del software Cisco IOS y de la
plataforma. Para determinar el modo DTP actual, ejecute el comando show dtp
interface como se muestra en la salida.
P á g i n a | 146
Nota: Una mejor práctica general cuando se requiere un enlace troncal es establecer la
interfaz en trunk y nonegotiate cuando se necesita un enlace troncal. Se debe inhabilitar
DTP en los enlaces cuando no se deben usar enlaces troncales.
3.5.5
Packet Tracer: Configuración de DTP

En esta actividad Packet Tracer, configurará y verificará DTP.
Configure DTP
Configure DTP
3.5.6
Compruebe su comprensión - Protocolo de

enlace troncal dinámico
Compruebe su conocimiento sobre DTP, Elija la MEJOR repuesta para las siguientes preguntas
P á g i n a | 147
P á g i n a | 148
P á g i n a | 149
VLANs / Práctica del módulo y cuestionario

3.6.1
Packet Tracer - Implementar VLAN y

Trunking
 Configurar las redes VLAN

 Asignar puertos a las VLAN
 Configurar troncales estáticos
 Configurar troncales dinamicos.
Implement VLANs and Trunking

3.6.2
Laboratorio: Implementación de VLAN y

Troncalización
En este laboratorio, realizará lo siguiente:
 Armar la red y configurar los ajustes básicos de los dispositivos

 Crear redes VLAN y asignar puertos de switch
 Configurar un enlace troncal 802.1Q entre los switches
3.6.3

Descripción general de las VLANs
P á g i n a | 150
Las LANS virtuales (VLANs) es un grupo de dispositivos dentro de una VLAN que puede
comunicarse con cada dispositivo como si estuvieran conectados al mismo cable. Las VLAN
se basan en conexiones lógicas, en lugar de conexiones físicas. Los administradores utiliza n
VLAN para segmentar redes en función de factores como la función, el equipo o la
aplicación. Cada VLAN se considera una red lógica diferente. Cualquier puerto de switch
puede pertenecer a una VLAN. Una VLAN crea un dominio de difusión lógico que puede
abarcar varios segmentos LAN físicos. Las VLAN mejoran el rendimiento de la red mediante
la división de grandes dominios de difusión en otros más pequeños. Cada VLAN de una red
conmutada corresponde a una red IP; por lo tanto, el diseño de VLAN debe utilizar un
esquema jerárquico de direccionamiento de red. Los tipos de VLAN incluyen la VLAN
predeterminada, las VLAN de datos, la VLAN nativa, las VLAN de administración. y las
VLAN de voz.
VLANs en un ambiente Multi-Switched
Un enlace troncal no pertenece a una VLAN específica. Es un conducto para las VLAN entre
los switches y los routers. Un enlace troncal es un enlace punto a punto entre dos dispositivos
de red que lleva más de una VLAN. Un enlace troncal de VLAN amplía las VLAN a través
de toda la red. Cuando se implementan las VLAN en un switch, la transmisión del tráfico de
unidifusión, multidifusión y difusión desde un host en una VLAN en particular se limita a
los dispositivos presentes en esa VLAN. Los campos de etiqueta de VLAN incluyen el tipo,
prioridad de usuario, CFI y VID. Algunos dispositivos que admiten los enlaces troncales
agregan una etiqueta VLAN al tráfico de las VLAN nativas. Si un puerto de enlace troncal
802.1Q recibe una trama etiquetada con la misma ID de VLAN que la VLAN nativa, descarta
la trama. Se necesita una red VLAN de voz separada para admitir VoIP. Las directivas de
QoS y seguridad se pueden aplicar al tráfico de voz. El tráfico VLAN de voz debe etiquetarse
con un valor de prioridad CoS de Capa 2 adecuado.
Los diferentes switches Catalyst de Cisco soportan varias cantidades de VLAN, incluidas las
VLAN de rango normal y las VLAN de rango extendido. Al configurar redes VLAN de rango
normal, los detalles de configuración se almacenan en la memoria flash del switch en un
archivo denominado vlan.dat. Aunque no es necesario, se recomienda guardar los cambios
de configuración en ejecución en la configuración de inicio. Después de crear una VLAN, el
siguiente paso es asignar puertos a la VLAN. Hay muchos comandos para definir un puerto
como puerto de acceso y asignarlo a una VLAN. Las VLAN se configuran en el puerto del
switch y no en el terminal. Un puerto de acceso puede pertenecer a sólo una VLAN por vez.
Sin embargo un puerto puede tambien estar asociado a una VLAN de voz. Por ejemplo, un
puerto conectado a un teléfono IP y un dispositivo final se asociaría con dos VLAN: una para
voz y otra para datos. Una vez que se configura una VLAN, se puede validar la configurac ió n
con los comandos show show de IOS de Cisco Si el puerto de acceso del switch se ha
asignado incorrectamente a una VLAN, simplemente vuelva a ingresar el comando de
configuración de interface switchport access vlan vlan-id con el ID de VLAN correcto. El
comando de modo de configuración gloabl no vlan vlan-id se usa para remover una VLAN
desde el archivo del switch vl vlan.dat.
P á g i n a | 151
Enlace troncal de VLAN
Un enlace troncal de VLAN es un enlace de capa 2 entre dos switches que transporta el tráfico
para todas las VLAN. Hay varios comandos para configurar los puertos de interconexió n.
Para verificar la configuración troncal de VLAN , utilice el comando switchport show
interfaces interface-ID. Use el comando no switchport trunk allowed vlan y el
comando no switchport trunk native vlan para eliminar las VLAN permitidas y restablecer
la VLAN nativa del enlace troncal.
Protocolo de Enlace Troncal Dinámico
Una interfaz se puede establecer en trunking o no trunking, o para negociar trunking con la
interfaz vecina. La negociación de enlaces troncales entre dispositivos de red la maneja el
Protocolo de Enlace Troncal Dinámico (DTP), que solo funciona de punto a punto. DTP
maneja la negociación de enlaces troncales solo si el puerto del switch vecino está
configurado en un modo de enlace troncal que admite DTP. Para habilitar los enlaces
troncales desde un switch de Cisco hacia un dispositivo que no admite DTP, utilice los
comandos de modo de configuración de interfaz switchport mode trunk y switchport
nonegotiate. El comando switchport mode tiene opciones adicionales para negociar el
modo de interfaz, incluyendo acceso, automático dinámico, dinámico deseable y troncal.
Para verificar el modo DTP actual, ejecute el comando show dtp interface.
3.6.4
Módulo Quiz - VLAN

P á g i n a | 152
P á g i n a | 153
P á g i n a | 154
P á g i n a | 155
P á g i n a | 156
P á g i n a | 157
P á g i n a | 158
P á g i n a | 159
P á g i n a | 160
P á g i n a | 161
Capítulo 4_Inter-VLAN Routing

Introducción
4.0.1

Bienvenido a Inter-VLAN Routing!
Ahora sabe cómo segmentar y organizar su red en VLAN. Los hosts pueden comunicarse
con otros hosts de la misma VLAN y ya no tiene hosts que envíen mensajes de difusión a
cualquier otro dispositivo de la red, consumiendo el ancho de banda necesario. Pero, ¿qué
pasa si un host de una VLAN necesita comunicarse con un host de otra VLAN? Si es
administrador de red, sabe que las personas querrán comunicarse con otras personas fuera de
la red. Aquí es donde el inter-VLAN routing puede ayudarle. El inter-VLAN routing utiliza
un dispositivo de capa 3, como un router o un switch de capa 3. Vamos a llevar su experiencia
VLAN y combinarla con sus habilidades de capa de red y ponerlos a prueba.
4.0.2

Título del módulo: Inter-VLAN Routing
Objetivo del módulo: Solución de problemas de inter-VLAN routing en dispositivos de capa

3.
Funcionamiento del inter-VLAN Describa las opciones para configurar inter-VLAN

routing routing
Router-on-a-Stick Inter-VLAN
Configure router-on-a-Stick inter-VLAN Routing
Routing
Inter-VLAN Routing usando Configure inter-VLAN routing mediante un switch de

switches de capa 3 capa 3.
P á g i n a | 162
Solución de problemas de Inter- Solución de problemas comunes de configuración de

VLAN Routing inter-VLAN
Inter-VLAN Routing / Funcionamiento de Inter-VLAN Routing
Funcionamiento de Inter-VLAN
Routing
4.1.1
¿Qué es Inter-VLAN Routing

Las VLAN se utilizan para segmentar las redes de switch de Capa 2 por diversas razones.
Independientemente del motivo, los hosts de una VLAN no pueden comunicarse con los
hosts de otra VLAN a menos que haya un router o un switch de capa 3 para proporcionar
servicios de enrutamiento.
Inter-VLA routing es el proceso de reenviar el tráfico de red de una VLAN a otra VLAN.
Hay tres opciones inter-VLAN routing:
 Inter-VLAN Routing heredado - Esta es una solución antigua. No escala bien

 Router-on-a-stick - Esta es una solución aceptable para una red pequeña y mediana.
 Switch de capa 3 con interfaces virtuales (SVIs) : esta es la solución más escalable para
organizaciones medianas y grandes.
4.1.2
Inter-VLAN Routing heredado

La primera solución de inter-VLAN routing se basó en el uso de un router con múltip les
interfaces Ethernet. Cada interfaz del router estaba conectada a un puerto del switch en
diferentes VLAN. Las interfaces del router sirven como default gateways para los hosts
locales en la subred de la VLAN.
P á g i n a | 163
Por ejemplo, consulte la topología donde R1 tiene dos interfaces conectadas al switch S1.
La topología de red física muestra dos PC, un switch y un router. PC1 a la izquierda tiene la
dirección IP 192.168.10.10, está en VLAN 10 y está conectado el switch en el puerto F0/11.
PC2 a la derecha tiene la dirección IP 192.168.20.10, está en VLAN 20 y está conectado al
switch en el puerto F0/24. El switch, S1, tiene dos enlaces al router, R1. El puerto del switch
F0/1 está conectado a la interfaz G0/0/0 en R1. El puerto del switch F0/2 está conectado a la
interfaz G0/0/1 en R1. La interfaz del router G0/0/0 tiene la dirección IP 192.168.10.1. La
interfaz del router G0/0/1 tiene la dirección IP 192.168.20.1.
Nota en la tabla de direcciones MAC de ejemplo de S1 se rellena de la siguiente manera:
El puerto Fa0/1 está asignado a la VLAN 10 y está conectado a la interfaz R1 G0/0/0. El

puerto Fa0/11 está asignado a la VLAN 10 y está conectado a PC1. El puerto Fa0/12 está
asignado a la VLAN 20 y está conectado a la interfaz R1 G0/0/1. El puerto Fa0/11 está
asignado a la VLAN 20 y está conectado a PC2.
Tabla de direcciones MAC para S1

Puerto Dirección MAC VLAN
F0/1 R1 G0/0/0 MAC 10
F0/11 PC1 MAC 10
F0/12 R1 G0/0/1 MAC 20
F0/24 PC2 MAC 20

P á g i n a | 164
Cuando PC1 envía un paquete a PC2 en otra red, lo reenvía a su puerta de enlace
predeterminada 192.168.10.1. R1 recibe el paquete en su interfaz G0/0/0 y examina la
dirección de destino del paquete. R1 luego enruta el paquete hacia fuera de su interfaz G0/0/1
al puerto F0/12 en la VLAN 20 en S1. Finalmente, S1 reenvía la trama a PC2.
Inter-VLAN routing heredado, usa las interfaces fisicas funciona, pero tiene limitacio nes
significantes. No es razonablemente escalable porque los routers tienen un número limitado
de interfaces físicas. Requerir una interfaz física del router por VLAN agota rápidamente la
capacidad de la interfaz física del router
En nuestro ejemplo, R1 requería dos interfaces Ethernet separadas para enrutar entre la
VLAN 10 y la VLAN 20. ¿Qué ocurre si hubiera seis (o más) VLAN para interconectar? Se
necesitaría una interfaz separada para cada VLAN. Obviamente, esta solución no es
escalable.
Nota: Este método de inter-VLAN routing ya no se implementa en redes de switches y se

incluye únicamente con fines explicativos.
4.1.3
Router-on-a-Stick Inter-VLAN Routing

El método ‘router-on-a-stick’ inter-VLAN routing supera la limitación del método de
enrutamiento interVLAN heredado. Solo requiere una interfaz Ethernet física para enrutar el
tráfico entre varias VLAN de una red.
Una interfaz Ethernet del router Cisco IOS se configura como un troncal 802.1Q y se conecta
a un puerto troncal en un switch de capa 2. Específicamente, la interfaz del router se configura
mediante subinterfaces para identificar VLAN enrutables.
Las subinterfaces configuradas son interfaces virtuales basadas en software. Cada uno está
asociado a una única interfaz Ethernet física. Estas subinterfaces se configuran en el software
del router. Cada una se configura de forma independiente con sus propias direcciones IP y
una asignación de VLAN. Las subinterfaces se configuran para subredes diferentes que
corresponden a su asignación de VLAN. Esto facilita el enrutamiento lógico.
Cuando el tráfico etiquetado de VLAN entra en la interfaz del router, se reenvía a la

subinterfaz de VLAN. Después de tomar una decisión de enrutamiento basada en la dirección
de red IP de destino, el router determina la interfaz de salida del tráfico. Si la interfaz de
salida está configurada como una subinterfaz 802.1q, las tramas de datos se etiquetan VLAN
con la nueva VLAN y se envían de vuelta a la interfaz física.
P á g i n a | 165
Haga clic en Reproducir en la figura para ver una animación de la forma en que un router-
on-a-stick desempeña su función de routing.
Paso 1. La PC1 envía su tráfico de unidifusión al switch S2.

P á g i n a | 166
Paso 2. El switch S2 etiqueta el tráfico de unidifusión como originario en VLAN 10 y

reenvía el tráfico de unidifusión su enlace troncal al switch S1.
Paso 3. Switch S1 reenvía el tráfico etiquetado fuera del otra interfaz troncal en el puerto
F0 / 3 al interfaz en el router R1.
Paso 4. El router R1 acepta el tráfico de unidifusión etiquetado en VLAN 10 y la enruta a

la VLAN 30 usando su subinterfaces configuradas.
Paso 5. El tráfico de unidifusión se etiqueta con VLAN 30, ya que se envía desde la interfaz
del router al switch S1.
Paso 6. Switch S1 reenvía el tráfico de unidifusión etiquetado por el otro enlace troncal para
cambiar S2.
Paso 7. El Switch S2 elimina la etiqueta VLAN del unicast marco y reenvía el marco a PC3
en puerto F0 / 23.
Como se ve en la animación, PC1 en la VLAN 10 se comunica con PC3 en la VLAN 30. El

router R1 acepta el tráfico de unidifusión etiquetado en la VLAN 10 y lo enruta a la VLAN
30 mediante sus subinterfaces configuradas. El switch S2 elimina la etiqueta de la VLAN de
la trama de unidifusión y reenvía la trama a PC3 en el puerto F0/23.
Nota: El método router-on-a-stick de inter-VLAN routing no escala mas allá de 50 VLANs.
4.1.4
Inter-VLAN Routing en un switch de capa

3
El método moderno para realizar inter-VLAN routing es utilizar switches de capa 3 e
interfaces virtuales del switch (SVI). Una SVI es una interfaz virtual configurada en un
switch multicapa, como se muestra en la figura.
Nota: Un switch de capa 3 también se denomina switch multicapa ya que funciona en la capa
2 y la capa 3. Sin embargo, en este curso usamos el término switch de capa 3.
La topología de red física muestra dos PC, dos switches de capa 2 y un switch de capa 3. El
PC de la izquierda está en VLAN 10 y está conectado a un switch de capa 2 que a su vez está
conectado al switch de capa 3. El PC de la derecha está en VLAN 20 y está conectado a un
switch de capa 2 que a su vez está conectado al switch de capa 3. El switch de capa 3 tiene
P á g i n a | 167
dos interfaces SVI. SVI1 está en VLAN 10 y tiene la dirección IP 10.1.10.1. SVI2 está en
VLAN 20 y tiene la dirección IP 10.1.20.1.
Los SVIs entre VLAN se crean de la misma manera que se configura la interfaz de VLAN
de administración. El SVI se crea para una VLAN que existe en el switch. Aunque es virtual,
el SVI realiza las mismas funciones para la VLAN que lo haría una interfaz de router.
Específicamente, proporciona el procesamiento de Capa 3 para los paquetes que se envían
hacia o desde todos los puertos de switch asociados con esa VLAN.
A continuación se presentan las ventajas del uso de switches de capa 3 para inter-VLAN
routing:
 Es mucho más veloz que router-on-a-stick, porque todo el switching y el routing se realizan por
hardware.
 El routing no requiere enlaces externos del switch al router. No se* limitan a un enlace porque los
EtherChannels de Capa 2 se pueden utilizar como enlaces troncal entre los switches para aumentar
el ancho de banda.
 La latencia es mucho más baja, dado que los datos no necesitan salir del switch para ser enrutados
a una red diferente. Se* implementan con mayor frecuencia en una LAN de campus que en routers.
La única desventaja es que los switches de capa 3 son más caros.

P á g i n a | 168
4.1.5
Verifique su comprensión- Operación de

Inter-VLAN Routing
Escenario A
La topología de red física muestra dos PC, un switch y un router. PC1 tiene la dirección IP
10.17.10.4/24, está en VLAN 10 y está conectado al switch S2. PC2 tiene la dirección IP
1.17.20.4/24, está en VLAN 20 y está conectado al switch S3. Tanto S2 como S3 se conectan
al switch de capa 3, S1. S1 tiene una interfaz SVI en VLAN 10 con dirección IP 10.17.10.1/24
y una interfaz SVI en VLAN 20 con dirección IP 10.17.20.1/24.
P á g i n a | 169
Escenario B
dirección IP 10.17.20.4/24, está en VLAN 20 y está conectado el switch S1. PC1 a la derecha
tiene la dirección IP 10.17.10.4/24, está en VLAN 10 y está conectado el switch S1. El switch,
S1, tiene dos enlaces al router, R1 en la interfaz G0/0/0 y G0/0/1. La interfaz del router G0/0/0
tiene la dirección IP 10.17.10.1/25 y la interfaz del router G0/0/1 tiene la dirección IP
10.17.20.1/04.
Escenario C
La topología de red física muestra tres PC, un switch y un router. PC1 tiene la dirección IP
10.17.10.4/24, está en VLAN 10 y está conectado el switch S1. PC2 tiene la dirección IP
10.17.20.4/24, está en VLAN 20 y está conectado el switch S1. PC3 tiene la dirección IP
10.17.30.4/24, está en VLAN 30 y está conectado el switch S1. El switch, S1, se conecta al
router, R1 en la interfaz G0/0/0 está configurado con tres subinterfaces: G0/0/0.10 tiene
dirección IP 10.17.10.1/25, G0/0/0.20 tiene dirección IP 10.17.20.1/04, G0/0/0.30 tiene
dirección IP 10.17.30.1/04.
P á g i n a | 170
1. Refer to each of the scenario topologies. ¿Qué instrucciones describen mejor los diferentes
tipos de soluciones de inter-VLAN routing? (Elija todas las opciones que correspondan).
P á g i n a | 171
Inter-VLAN Routing / Routing entre VLAN con router-on-a-stick
Routing entre VLAN con router-on-

a-stick
4.2.1
Escenario Router-on-a-Stick
En el tema anterior, se enumeraron tres formas diferentes de crear inter-VLAN routing y se
detalló el inter-VLAN routing heredado. Este tema detalla como configurar router-on-a-stick
inter-VLAN routing. Puede ver en la figura que el router no está en el centro de la topología,
sino que parece estar en un palo cerca del borde, de ahí el nombre.
En la figura, la interfaz R1 GigabitEthernet 0/0/1 está conectada al puerto S1 FastEthernet

0/5. El puerto S1 FastEthernet 0/1 está conectado al puerto S2 FastEthernet 0/1. Estos son
enlaces troncales necesarios para reenviar tráfico dentro de las VLAN y entre ellas.
La topología de red física muestra dos PC, dos switches y un router. PC1 tiene la dirección
IP 192.168.10.10/24, un default gateway de 192.168.10.1 y está en VLAN 10. PC2 tiene la
dirección IP 192.168.20.10/24, un default gateway 192.168.20.1 y está en VLAN 20. PC1 se
conecta al switch S1 en el puerto F0/6. PC2 se conecta al switch S2 en el puerto F0/18. El
switch S1 y el switch S2 están interconectados entre sí a través de un enlace troncal en el
P á g i n a | 172
puerto F0/1. El switch S1 está conectado al router R1 a través de un enlace troncal en el

puerto del switch F0/5 que se conecta a las interfaces G0/0/1 en R1. La dirección IP de
administración en S1 es 192.168.99.2/24. La dirección IP de administración en S1 es
192.168.99.3/24.
Para enrutar entre VLAN, la interfaz R1 GigabitEthernet 0/0/1 se divide lógicamente en

tres subinterfaces, como se muestra en la tabla. La tabla también muestra las tres VLAN
que se configurarán en los switches.
Subinterfaces R1 del router:
subinterfaz VLAN Dirección IP
G0/0/1.10 10 192.168.10.1/24
G0/0/1.20 20 192.168.20.1/24
G0/0/1.99 99 192.168.99.1/24
Suponga que R1, S1 y S2 tienen configuraciones básicas iniciales. Actualmente, PC1 y PC2
no pueden hacer ping entre sí porque están en redes separadas. Sólo S1 y S2 pueden hacer
ping uno al otro, pero son inalcanzables por PC1 o PC2 porque también están en diferentes
redes.
Para permitir que los dispositivos se hagan ping entre sí, los switches deben configurarse con
VLAN y trunking, y el router debe configurarse para el inter-VLAN routing.
4.2.2
S1 VLAN and configuraciones de enlaces

troncales
Complete los siguientes pasos para configurar S1 con VLAN y trunking:
Step 1. Crear y nombrar las VLANs.
Step 2. Crear la interfaz de administración
Step 3. Configurar puertos de acceso.

P á g i n a | 173
Step 4. Configurar puertos de enlace troncal.
IP 192.168.10.10/24. PC2 tiene la dirección IP 192.168.20.10/24. PC1 se conecta al switch
S1 en el puerto F0/6. PC2 se conecta al switch S2 en el puerto F0/18. El switch S1 y el switch
S2 están interconectados entre sí en el puerto F0/1. El switch S1 está conectado al router R1
en el puerto del switch F0/5 que se conecta a las interfaces G0/0/1 en R1. La dirección IP de
192.168.99.3/24.
1. Crear y nombrar los VLANs.
En primer lugar, las VLAN se crean y nombran. Las VLAN sólo se crean después de salir
del modo de subconfiguración de VLAN.
P á g i n a | 174
2. Crear la interfaz de administración.
A continuación, se crea la interfaz de administración en VLAN 99 junto con el default gateway

de R1.
3. Configurar puertos de acceso.
A continuación, el puerto Fa0/6 que se conecta a PC1 se configura co mo un puerto de acceso

en la VLAN 10. Supongamos que PC1 se ha configurado con la dirección IP correcta yel
default gateway.
4. Configurar puertos de enlace troncal.
Por último, los puertos Fa0/1 que se conectan a S2 y Fa05 que se conectan a R1 se
configuran como puertos troncal.
P á g i n a | 175
4.2.3
S2 VLAN y configuraciones de enlaces

troncales
La configuración para S2 es similar a S1.
IP 192.168.10.10/24, un default gateway de 192.168.10.1 y está en VLAN 10. PC2 tiene la
dirección IP 192.168.20.10/24, un default gateway 192.168.20.1 y está en VLAN 20. PC1 se
conecta al switch S1 en el puerto F0/6. PC2 se conecta al switch S2 en el puerto F0/18. El
switch S1 y el switch S2 están interconectados entre sí a través de un enlace troncal en el
puerto F0/1. El switch S1 está conectado al router R1 a través de un enlace troncal en el
puerto del switch F0/5 que se conecta a las interfaces G0/0/1 en R1. La dirección IP de
192.168.99.3/24.
P á g i n a | 176
4.2.4
Configuración de subinterfaces de R1
Para el método de router-on-a-stick, se requieren subinterfaces configuradas para cada
VLAN que se pueda enrutar.
Se crea una subinterfaz mediante el comando interface interface_id subinterface_id, del

modo de configuración global. La sintaxis de la subinterfaz es la interfaz física seguida de
un punto y un número de subinterfaz. Aunque no es obligatorio, es costumbre hacer coincidir
el número de subinterfaz con el número de VLAN.
A continuación, cada subinterfaz se configura con los dos comandos siguientes:
 encapsulation dot1q vlan_id [native] - Este comando configura la subinterfaz para responder al
tráfico encapsulado 802.1Q, desde la vlan-id especificada. La palabra clave native, sólo se agrega
para establecer la VLAN nativa en algo distinto de VLAN 1.
 ip address ip-address subnet-mask - Este comando configura la dirección IPv4 de la subinterfaz. Esta
dirección normalmente sirve como default gateway para la VLAN identificada.
P á g i n a | 177
Repita el proceso para cada VLAN que se vaya a enrutar. Es necesario asignar una dirección
IP a cada subinterfaz del router en una subred única para que se produzca el routing.
Cuando se hayan creado todas las subinterfaces, habilite la interfaz física mediante el
comando de configuración de interfaz no shutdown. Si la interfaz física está deshabilitada,
todas las subinterfaces están deshabilitadas.
En la siguiente configuración, las subinterfaces R1 G0/0/1 se configuran para las VLAN 10,
20 y 99.
IP 192.168.10.10/24. PC2 tiene la dirección IP 192.168.20.10/24. PC1 se conecta al switch
S1 en el puerto F0/6. PC2 se conecta al switch S2 en el puerto F0/18. El switch S1 y el switch
S2 están interconectados entre sí en el puerto F0/1. El switch S1 está conectado al router R1
en el puerto del switch F0/5 que se conecta a las interfaces G0/0/1 en R1. La dirección IP de
192.168.99.3/24.
P á g i n a | 178
4.2.5
Verificar la conectividad entre PC1 y PC2

La configuración del router-on-a-stick se completa después de configurar los enlaces
troncales del switch y las subinterfaces del router. La configuración se puede verificar desde
los hosts, el router y el switch.
Desde un host, compruebe la conectividad con un host de otra VLAN mediante el comando
ping. Es una buena idea verificar primero la configuración IP del host actual mediante el
comando ipconfig en un host Windows.
P á g i n a | 179
El resultado confirma la dirección IPv4 y el default gateway de PC1. A continuac ió n,

utilice ping para verificar la conectividad con PC2 y S1, como se muestra en la figura.
El resultado del ping, confirma correctamente que el enrutamiento entre VLANs está
funcionando.
4.2.6
Verificación de Router-on-a-Stick Inter-

VLAN Routing
Además de utilizar ping entre dispositivos, se pueden utilizar los siguientes comandos
show para verificar y solucionar problemas de la configuración del router-on-a-stick.
P á g i n a | 180
 show ip route
 show ip interface brief
 show interfaces
 show interfaces trunk
Compruebe que las subinterfaces aparecen en la tabla de enrutamiento de R1 mediante

el comando show ip route. Observe que hay tres rutas conectadas (C) y sus respectivas
interfaces de salida para cada VLAN enrutable. El resultado confirma que las subredes, las
VLAN y las subinterfaces correctas están activas.
Otro comando útil del router es show ip interface brief, como se muestra en el resultado. El
resultado confirma que las subinterfaces tienen configurada la dirección IPv4 correcta y que
están operativas.
P á g i n a | 181
Las subinterfaces se pueden verificar mediante el comando show interfaces subinterface-id,

como se muestra.
La configuración incorrecta también podría estar en el puerto troncal del switch. Por lo tanto,
también es útil verificar los enlaces troncales activos en un switch de Capa 2 mediante
el comando show interfaces trunk, como se muestra en el ejemplo. El resultado confirma que
el enlace a R1 es troncal para las VLAN requeridas.
Note: Aunque la VLAN 1 no se configuró explícitamente, se incluyó automáticamente porque el

tráfico de control en los enlaces troncal siempre se reenvía en la VL AN 1.
P á g i n a | 182
4.2.7
Packet Tracer - Configure Router-on-a-

Stick Inter-VLAN Routing
En esta actividad, verificará la conectividad antes de implementar inter-VLAN routing.
Luego, configurará las VLAN y el inter-VLAN routing. Por último, habilitará el enlace
troncal y verificará la conectividad entre las VLAN.
Configure Router-on-a-Stick Inter-VLAN Routing
4.2.8
Lab - Configure Router-on-a-Stick Inter-

VLAN Routing
En este laboratorio, cumplirá los siguientes objetivos:
 Part 1: Armar la red y configurar los ajustes básicos de los dispositivos

 Part 2: configurar los switches con las VLAN y los enlaces troncales
 Part 3: configurar Inter-VLAN Routing basado en enlaces troncales
Inter-VLAN Routing / Inter-VLAN Routing usando switches de capa 3
Inter-VLAN Routing usando

switches de capa 3
4.3.1
Inter-VLAN Routing en Switch de capa 3

P á g i n a | 183
Las redes empresariales modernas rara vez usan router -on-a-stick porque no se escalan
fácilmente para cumplir los requisitos. En estas redes muy grandes, los administradores de red
utilizan switches de capa 3 para configurar el inter-VLAN routing.
El inter-VLAN routing. mediante el método router-on-a-stick es fácil de implementar para una

organización pequeña y mediana. Sin embargo, una gran empresa requiere un método más
rápido y mucho más escalable para proporcionar inter-VLAN routing.
Las LAN de campus empresariales utilizan switches de capa 3 para proporcionar inter -VLAN
routing. Los switches de capa 3 utilizan switching basado en hardware para lograr velocidades
de procesamiento de paquetes más altas que los routers. Los switches de capa 3 también se
implementan comúnmente en armarios de cableado de capa de distribución empresarial.
Las capacidades de un switch de capa 3 incluyen la capacidad de hacer lo siguiente:
 Ruta de una VLAN a otra mediante múltiples interfaces virtuales de switch (SVIs).
 Convierta un puerto de switch de capa 2 en una interfaz de capa 3 (es decir, un puerto enrutado).
Un puerto enrutado es similar a una interfaz física en un router Cisco IOS.
Para proporcionar enrutamiento entre VLAN, los switches de capa 3 utilizan SVIs. Los SVIs se
configuran utilizando el mismo comando interface vlan vlan-id utilizado para crear el SVI de
administración en un switch de capa 2. Se debe crear un SVI de Capa 3 para cada una de las
VLAN enrutables.
4.3.2
Escenario de switch de capa 3

En la figura, el switch de capa 3, D1, está conectado a dos hosts en diferentes VLAN. PC1 está
en VLAN 10 y PC2 está en VLAN 20, como se muestra. El switch de capa 3 proporcionará
servicios inter-VLAN routing a los dos hosts.
P á g i n a | 184
dirección IP 192.168.10.10, la dirección del default gateway 192.168.10.1/24, está en VLAN 10
y está conectado el switch en el puerto G1/0/6. PC2 a la derecha tiene la dirección IP
192.168.20.10, la dirección del default gateway 192.168.20.10/24, está en VLAN 20 y está
conectado el switch en el puerto G1/0/18.
VLAN
Dirección IP
Interface
10 192.168.10.1/24
20 192.168.20.1/24
4.3.3
Configuracion de switch de capa 3

Complete los siguientes pasos para configurar S1 con VLAN y trunking :
Step 1. Crear las VLAN.
Step 2. Crear las interfaces VLAN SVI.
Step 3. Configurar puertos de acceso.
Step 4. Habilitar IP routing.
1. Crear las VLANs.
Primero, cree las dos VLAN como se muestra en el ejemplo:

P á g i n a | 185
2. Crear las interfaces VLAN SVI.
Configurar el SVI para VLANs 10 y 20 Las direcciones IP configuradas servirán como default
gateways para los hosts de las VLAN respectivas. Observe que los mensajes inf ormativos que
muestran el protocolo de línea en ambos SVIs cambiaron a funcionales.
3. Configurar puertos de acceso.
A continuación, configure los puertos de acceso que se conectan a los hosts y asígnelos a sus
respectivas VLAN.
P á g i n a | 186
4. Habilitar IP routing.
Por último, habilite el enrutamiento IPv4 con el comando de configuración global ip

routing para permitir el intercambio de tráfico entre las VLAN 10 y 20. Este comando debe
configurarse para habilitar el inter-VAN routing en un switch de capa 3 para IPv4.
4.3.4
Verificación Inter-VLAN Routing del

switch de capa 3
El Inter-VLAN Routing mediante un switch de capa 3 es más sencillo de configurar que el
método router-on-a-stick. Una vez completada la configuración, la configuración se puede
verificar probando la conectividad entre los hosts.
Desde un host, compruebe la conectividad con un host de otra VLAN mediante el comando
ping. Es una buena idea verificar primero la configuración IP del host actual mediante el
comando ipconfig en un host Windows. El resultado confirma la dirección IPv4 y el default
gateway de PC1.
A continuación, verifique la conectividad con PC2 mediante el comando host de ping Windows,
como se muestra en el ejemplo. El resultado del ping, confirma correctamente que el
enrutamiento entre VLANs está funcionando.
P á g i n a | 187
4.3.5
Enrutamiento en un switch de capa 3

Si se quiere que otros dispositivos de Capa 3 puedan acceder a las VLAN, deben anunciarse
mediante enrutamiento estático o dinámico. Para habilitar el enrutamiento en un switch de capa
3, se debe configurar un puerto enrutado.
Un puerto enrutado se crea en un switch de Capa 3 deshabilitando la función switchport de un

switch de Capa 2 que está conectado a otro dispositivo de Capa 3. Específicamente, al
configurar el comando de configuración de interfaz no switchport en un puerto de Capa 2, se
convierte en una interfaz de Capa 3. A continuación, la interfaz se puede configurar con una
configuración IPv4 para conectarse a un router u otro switch de capa 3.
4.3.6
Escenario de enrutamiento en un switch de

capa 3
En la figura, el switch de capa 3 D1 previamente configurado ahora está conectado a R1. R1 y
D1 están ambos en un dominio de protocolo de enrutamiento Open Shortest Path First (OSPF).
Supongamos que Inter-VLAN se ha implementado correctamente en D1. La interfaz G0/0/1 de
R1 también ha sido configurada y habilitada. Además, R1 está utilizando OSPF para anunciar
sus dos redes, 10.10.10.0/24 y 10.20.20.0/24.
La configuración de enrutamiento.
Nota: OSPF se cubre en otro curso. En este módulo, se le darán comandos de configuración
OSPF en todas las actividades y evaluaciones. No es necesario que comprenda la configuración
para habilitar el enrutamiento OSPF en el switch de capa 3.
P á g i n a | 188
La topología de red física muestra dos PC, un switch de capa 3 (D1), un router (R1) y un servidor.
PC1 tiene la dirección IP 192.168.10.10, la dirección del default gateway 192.168.10.1/24, está
en VLAN 10 y está conectado el switch en el puerto G1/0/6. PC2 tiene la dirección IP
192.168.20.10, la dirección del default gateway 192.168.20.10/24, está en VLAN 20 y está
conectado el switch en el puerto G1/0/18. El switch, D1, interfaz G0/0/1 tiene dirección IP
10.10.10.2/24 y se conecta a la interfaz R1, G0/0/1 que tiene dirección IP 10.10.1/24. El router,
R1, se conecta al servidor a través de la red 10.10.20.0/24 con el R1 que tiene la dirección ip
10.10.10.1 y el servidor que tiene la dirección ip 10.10.20.254. El router también está ejecutando
OSPF.
4.3.7
Configuración de enrutamiento en un
switch de capa 3
Complete los siguientes pasos para configurar D1 para enrutar con R1:
Paso 1. Configure el puerto enrutado.
Paso 2. Activar el routing.
Paso 3. Configurar el enrutamiento
Paso 4. Verificar enrutamiento.
Paso 5. Verificar la conectividad.

P á g i n a | 189
1. Configure el puerto enrutado.
Configure G1/0/1 para que sea un puerto enrutado, asígnele una dirección IPv4 y habilítelo.
2. Activar el routing.
Asegúrese de que el enrutamiento IPv4 esté habilitado con el comando de configuración

global ip routing.
3. Configurar el enrutamiento.
Configure el protocolo de enrutamiento OSPF para anunciar las redes VLAN 10 y VLAN 20,
junto con la red que está conectada a R1. Observe el mensaje informándole de que se ha
establecido una adyacencia con R1.
P á g i n a | 190
4. Verificar enrutamiento.
Verifique la tabla de enrutamiento en D1. Observe que D1 ahora tiene una ruta a la red
10.20.20.0/24.
5. Verificar la conectividad.
En este momento, PC1 y PC2 pueden hacer ping al servidor conectado a R1.
P á g i n a | 191
4.3.8
Packet Tracer - Configurar switch de capa

3 e Inter-VLAN Routing
En esta actividad, configurará switching de capa 3 e Inter-VLAN routing en un switch
Cisco 3560.
Configure Layer 3 Switching and Inter-VLAN Routing
Configure Layer 3 Switching and Inter-VLAN Routing
Inter-VLAN Routing / Resolución de problemas de Inter-VLAN routing
Resolución de problemas de Inter-

VLAN routing
4.4.1
Problemas comunes de Inter-VLAN

routing
Ya sabe que cuando configure y verifique, también debe ser capaz de solucionar problemas.
En este tema se describen algunos problemas comunes de red asociados con el Inter-VLAN
routing
Hay varias razones por las que una configuración entre VLANs puede no funcionar. Todos
están relacionados con problemas de conectividad. En primer lugar, compruebe la capa
física para resolver cualquier problema en el que un cable pueda estar conectado al puerto
incorrecto. Si las conexiones son correctas, utilice la lista de la tabla para otras razones
comunes por las que puede fallar la conectividad entre VLAN.
P á g i n a | 192
4.4.2
Escenario de resolución de problemas de

Inter-VLAN Routing
Los ejemplos de algunos de estos problemas de Inter-VLAN Routing ahora se tratarán con
más detalle.
Esta topología se utilizará para todos estos problemas.

P á g i n a | 193
La topología de red física muestra

dos PC, dos switches y un router.
PC1 tiene la dirección IP
192.168.10.10/24, un default
gateway de 192.168.10.1 y está en
VLAN 10. PC2 tiene la dirección IP
192.168.20.10/24, un default
gateway 192.168.20.1 y está en
VLAN 20. PC1 se conecta al switch
S1 en el puerto F0/6. PC2 se
conecta al switch S2 en el puerto
F0/18. El switch S1 y el switch S2
están interconectados entre sí a
través de un enlace troncal en el
puerto F0/1. El switch S1 está
conectado al router R1 a través de
un enlace troncal en el puerto del
switch F0/5 que se conecta a las
interfaces G0/0/1 en R1. La
dirección IP de administración en
S1 es 192.168.99.2/24. La dirección
IP de administración en S1 es
192.168.99.3/24.
La información de direccionamiento VLAN e IPv4 para R1 se muestra en la tabla.
Subinterfaces R1 del router

subinterfaz VLAN Dirección IP
G0/0/0.10 10 192.168.10.1/24
G0/0/0.20 20 192.168.20.1/24
G0/0/0.30 99 192.168.99.1/24
P á g i n a | 194
4.4.3
VLAN faltantes
Un problema de conectividad entre VLAN podría deberse a la falta de una VLAN. La VLAN
podría faltar si no se creó, se eliminó accidentalmente o no se permite en el enlace troncal.
Por ejemplo, PC1 está conectado actualmente a la VLAN 10, como se muestra en el ejemplo
del comando show vlan brief.
Ahora suponga que la VLAN 10 se elimina accidentalmente, como se muestra en el siguie nte
resultado.
P á g i n a | 195
Observe que ahora falta VLAN 10 en el resultado Observe también que el puerto Fa0/6 no
se ha reasignado a la VLAN predeterminada. Cuando elimina una VLAN, cualquier puerto
asignado a esa VLAN queda inactivo. Permanecen asociados con la VLAN (y, por lo tanto,
inactivos) hasta que los asigne a una nueva VLAN o vuelva a crear la VLAN que falta.
Utilice el comando show interface switchport interface-id para verificar la pertenencia a

VLAN.
Si se vuelve a crear la VLAN que falta, se reasignarán automáticamente los hosts a ella, como
se muestra en el siguiente resultado.
Observe que la VLAN no se ha creado como se esperaba. La razón se debe a que debe salir
del modo de subconfiguración de VLAN para crear la VLAN, como se muestra en el
siguiente resultado:
P á g i n a | 196
Ahora observe que la VLAN está incluida en la lista y que el host conectado a Fa0/6 está en
la VLAN 10.
4.4.4
Problemas con el puerto troncal del switch

Otro problema para el enrutamiento entre VLAN incluye puertos de switch mal configurados.
En una solución interVLAN heredada, esto podría deberse a que el puerto del router de
conexión no está asignado a la VLAN correcta.
Sin embargo, con una solución router-on-a-stick, la causa más común es un puerto troncal
mal configurado.
Por ejemplo, suponga que PC1 pudo conectarse a hosts de otras VLAN hasta hace poco. Un
vistazo rápido a los registros de mantenimiento reveló que recientemente se accedió al switch
S1 Capa 2 para el mantenimiento rutinario. Por lo tanto, sospecha que el problema puede
estar relacionado con ese switch.
P á g i n a | 197
La topología de red física muestra

dos PC, dos switches y un router.
192.168.10.10/24, un default gateway
de 192.168.10.1 y está en VLAN 10.
192.168.20.1 y está en VLAN 20.
PC1 se conecta al switch S1 en el
puerto F0/6. PC2 se conecta al switch
S2 en el puerto F0/18. El switch S1 y
el switch S2 están interconectados
entre sí a través de un enlace troncal
en el puerto F0/1. El switch S1 está
conectado al router R1 a través de un
enlace troncal en el puerto del switch
F0/5 que se conecta a las interfaces
G0/0/1 en R1. La dirección IP de
administración en S1 es
192.168.99.2/24. La dirección IP de
192.168.99.3/24.
En S1, verifique que el puerto que se conecta a R1 (es decir, F0/5) esté configurado
correctamente como enlace troncal utilizando el comando show interfaces trunk , como se
muestra.
El puerto Fa0/5 que conecta a R1 falta misteriosamente en el resultado. Verifique la

configuración de la interfaz mediante el comando show running-config interface fa0/5,
como se muestra:
P á g i n a | 198
Como pueden ver, el puerto fue apagado accidentalmente. Para corregir el problema,
vuelva a habilitar el puerto y verifique el estado de enlace troncal, como se muestra en el
ejemplo.
Para reducir el riesgo de una falla en el enlace entre switch es que interrumpa el inter-VLAN
routing, el diseño de red debe contar con enlaces redundantes y rutas alternativas.
4.4.5
Problemas en los puertos de acceso de

switch
Los problemas de configuración del router-on-a-stick suelen estar relacionados con
configuraciones incorrectas de la subinterfaz. Por ejemplo, se configuró una dirección IP
incorrecta o se asignó un ID de VLAN incorrecto a la subinterfaz.
P á g i n a | 199
Cuando sospeche que hay un problema con una configuración del switch, utilice los distintos
comandos de verificación para examinar la configuración e identificar el problema.
Supongamos que PC1 tiene la dirección IPv4 correcta y el default gateway, pero no es capaz
de ping su propio default gateway PC1 se supone que debe estar conectado a un puerto
VLAN 10.
La topología de red física muestra dos

PC, dos switches y un router. PC1 tiene
la dirección IP 192.168.10.10/24, un
default gateway de 192.168.10.1 y está
en VLAN 10. PC2 tiene la dirección IP
192.168.20.1 y está en VLAN 20. PC1 se
conecta al switch S1 en el puerto F0/6.
PC2 se conecta al switch S2 en el puerto
F0/18. El switch S1 y el switch S2 están
interconectados entre sí a través de un
enlace troncal en el puerto F0/1. El
switch S1 está conectado al router R1 a
través de un enlace troncal en el puerto
del switch F0/5 que se conecta a las
interfaces G0/0/1 en R1. La dirección IP
de administración en S1 es
192.168.99.2/24. La dirección IP de
192.168.99.3/24.
Verifique la configuración del puerto en S1 mediante el comando show interfaces

switchport interface-id.
P á g i n a | 200
El puerto Fa0/6 se ha configurado como un puerto de acceso como se indica en «acceso

estático». Sin embargo, parece que no se ha configurado para estar en VLAN 10. Verifiq ue
la configuración de la interfaz.
Asigne el puerto Fa0/6 a la VLAN 10 y verifique la asignación del puerto.
PC1 ahora puede comunicarse con hosts de otras VLAN.

P á g i n a | 201
4.4.6
Temas de configuración del router

Los problemas de configuración del router-on-a-stick suelen estar relacionados con
configuraciones incorrectas de la subinterfaz. Por ejemplo, se configuró una dirección IP
incorrecta o se asignó un ID de VLAN incorrecto a la subinterfaz.
Por ejemplo, R1 debería proporcionar inter-VLAN routing para los usuarios de VLAN 10,
20 y 99. Sin embargo, los usuarios de VLAN 10 no pueden llegar a ninguna otra VLAN.
La topología de red física muestra dos PC,

dos switches y un router. PC1 tiene la
dirección IP 192.168.10.10/24, un default
gateway de 192.168.10.1 y está en VLAN
10. PC2 tiene la dirección IP
192.168.20.1 y está en VLAN 20. PC1 se
conecta al switch S1 en el puerto F0/6. PC2
se conecta al switch S2 en el puerto F0/18.
El switch S1 y el switch S2 están
interconectados entre sí a través de un
enlace troncal en el puerto F0/1. El switch
S1 está conectado al router R1 a través de
un enlace troncal en el puerto del switch
F0/5 que se conecta a las interfaces G0/0/1
en R1. La dirección IP de administrac ió n
en S1 es 192.168.99.2/24. La dirección IP
de administración en S1 es
192.168.99.3/24.
Verificó el enlace troncal del switch y

todo parece estar en orden. Verificar el estatus de las interfaces usando el comando show ip
interface brief.
P á g i n a | 202
A las subinterfaces se les han asignado las direcciones IPv4 correctas y están operativas.
Compruebe en qué VLAN se encuentra cada una de las subinterfaces. Para ello, el comando
show interfaces es útil, pero genera una gran cantidad de resultados adicionales no
requeridos. El resultado del comando se puede reducir utilizando filtros de comando IOS
como se muestra en el ejemplo:
El símbolo de tubería (|) junto con algunas palabras clave de selección es un método útil para
ayudar a filtrar el resultado del comando. En este ejemplo, la palabra clave include se utilizó
para identificar que sólo se mostrarán las líneas que contienen las letras «Gig» o «802.1Q».
Debido a la forma en que se enumera naturalmente la salida del comando show interface, el
uso de estos filtros genera una lista condensada de interfaces y sus VLAN asignadas.
Observe que la interfaz G0/0/1.10 se ha asignado incorrectamente a la VLAN 100 en lugar

de a la VLAN 10. Esto se confirma mirando la configuración de la subinter fa z
GigabitEthernet R1 0/0/1.10, como se muestra.
Para corregir este problema, configure la subinterfaz G0/0/1.10 para que esté en la VLAN
correcta mediante el comando encapsulation dot1q 10, en el modo de configuración de
subinterfaz.
P á g i n a | 203
Una vez asignada la subinterfaz a la VLAN correcta, los dispositivos en esa VLAN pueden
acceder a ella, y el router puede realizar inter-VLAN routing.
Con la correcta verificación, los problemas de configuración del router se resuelven

rápidamente, lo que permite que el inter-VLAN routing funcione de forma adecuada.
4.4.7
Compruebe su comprensión - Solucionar

problemas de inter-VLAN routing.
inter-VLAN routing.
P á g i n a | 204
P á g i n a | 205
P á g i n a | 206
4.4.8
Packet Tracer: resolución de problemas de

inter-VLAN routing
 Part 1: encontrar los problemas de red

 Part 2: Implementación de la solución
 Part 3: Verificar la conectividad de la red
Troubleshoot Inter-VLAN Routing

4.4.9
Práctica de laboratorio: resolución de

problemas de inter-VLAN routing
 Part 1: Armar la red y cargar las configuraciones de los dispositivos

 Part 2: resolver problemas de configuración de inter-VLAN routing
 Part 3: verificar la configuración de VLAN, la asignación de puertos y los enlaces troncales
 Part 4: probar la conectividad de capa 3
Inter-VLAN Routing / Práctica del módulo y cuestionario

4.5.1
P á g i n a | 207
Packet Tracer: desafío de inter-VLAN

routing
En esta actividad, demostrará y reforzará su capacidad para implementar el inter-VLAN
routing, incluida la configuración de direcciones IP, las VLAN, los enlaces troncales y las
subinterfaces.
Inter-VLAN Routing Challenge
Inter-VLAN Routing Challenge
4.5.2
Laboratorio: Implementar inter-VLAN

routing

 Part 2: Crear redes VLAN y asignar puertos de switch
 Part 3: Configurar un enlace troncal 802.1Q entre los switches
 Part 4: Configure Inter-VLAN Routing en el switch S1
 Part 5: Verifique que el inter-VLAN routing esté funcionando
Implement Inter-VLAN Routing
4.5.3

Inter-VLAN Routing Operation
Los hosts de una VLAN no pueden comunicarse con los hosts de otra VLAN a menos que
haya un router o un switch de capa 3 para proporcionar servicios de enrutamiento. Inter-VLA
routing es el proceso de reenviar el tráfico de red de una VLAN a otra VLAN. Tres opciones
incluyen heredado, router-on-a-stick y switch de capa 3 con SVIs. Heredado utiliza un router
con múltiples interfaces Ethernet. Cada interfaz del router estaba conectada a un puerto del
switch en diferentes VLAN . Requerir una interfaz física del router por VLAN agota
P á g i n a | 208
rápidamente la capacidad de la interfaz física del router El método ‘router-on-a-stick’ inter-

VLAN routing solo requiere una interfaz Ethernet física para enrutar el tráfico entre varias
VLAN de una red. Una interfaz Ethernet del router Cisco IOS se configura como un troncal
802.1Q y se conecta a un puerto troncal en un switch de capa 2. La interfaz del router se
configura mediante subinterfaces para identificar VLAN enrutables. Las subinterfaces son
interfaces virtuales basadas en software, asociadas con una única interfa z física. El método
moderno es el enrutamiento entre VLAN en un switch de capa 3 mediante SVIs. El SVI se
crea para una VLAN que existe en el switch. El SVI realiza las mismas funciones para la
VLAN que una interfaz del router. Proporciona procesamiento de capa 3 para los paquetes
que se envían ao desde todos los puertos de conmutador asociados con esa VLAN.
Router-on-a-Stick Inter-VLAN Routing
Para configurar un switch con VLAN y enlaces troncales, realice los siguientes pasos: cree y
asigne un nombre a las VLAN, cree la interfaz de administración, configure los puertos de
acceso y configure los puertos de enlace troncal. Para el método de router-on-a-stick, se
requieren subinterfaces configuradas para cada VLAN que se pueda enrutar. Se crea una
subinterfaz mediante el comando interface interface_id_subinterface_id, del modo de
configuración global. Es necesario asignar una dirección IP a cada subinterfaz del router en
una subred única para que se produzca el routing. Cuando se han creado todas las
subinterfaces, la interfaz física debe habilitarse mediante el comando de configuración de
interfaz no shutdown . Desde un host, compruebe la conectividad con un host de otra VLAN
mediante el ping comando. Utilíce ping para verificar la conectividad con el host y el
switch. Para verificar y solucionar problemas utilice los comandos show ip route, show ip
interface brief, show interfaces y show interfaces trunk.
Inter-VLAN Routing using Layer 3 Switches
Las LAN de campus empresariales utilizan switches de capa 3 para proporcionar

enrutamiento entre VLAN. Los switches de capa 3 utilizan switching basado en hardware
para lograr velocidades de procesamiento de paquetes más altas que los routers. Las
capacidades de un switch de Capa 3 incluyen el enrutamiento de una VLAN a otra utiliza ndo
múltiples interfaces virtuales conmutadas (SVI) y la conversión de un puerto de switch de
Capa 2 a una interfaz de Capa 3 (es decir, un puerto enrutado). Para proporcionar
enrutamiento entre VLAN, los switches de capa 3 utilizan SVIs. Los SVIs se configura n
utilizando el mismo comando interface vlan vlan-id utilizado para crear el SVI de
administración en un switch de capa 2. Se debe crear un SVI de Capa 3 para cada una de las
VLAN enrutables. Para configurar un switch con VLAN y trunking, siga los pasos siguientes :
cree las VLAN, cree las interfaces VLAN SVI, configure los puertos de acceso y habilite el
enrutamiento IP. Desde un host, compruebe la conectividad con un host de otra VLAN
mediante el comando ping. A continuación, compruebe la conectividad con el host mediante
el comando ping de host Windows. Las VLAN deben anunciarse mediante enrutamie nto
estático o dinámico. Para habilitar el enrutamiento en un switch de capa 3, se debe configurar
un puerto enrutado. Un puerto enrutado se crea en un switch de Capa 3 deshabilitando la
función switchport de un switch de Capa 2 que está conectado a otro dispositivo de Capa 3.
La interfaz se puede configurar con una configuración IPv4 para conectarse a un router u otro
switch de capa 3. Para configurar un switch de capa 3 para enrutar con un router, siga estos
P á g i n a | 209
pasos: configure el puerto enrutado, habilite el enrutamiento, configure el enrutamie nto,

verifique el enrutamiento y verifique la conectividad.
Hay varias razones por las que una configuración entre van puede no funcionar . Todos están
relacionados con problemas de conectividad, como las VLAN faltantes, los problemas del
puerto troncal del switch, los problemas del puerto de acceso del switch y los problemas de
configuración del router. Podría faltar una VLAN si no se creó, se eliminó accidentalme nte
o no se permite en el enlace troncal. Otro problema para el enrutamiento entre VLAN incluye
puertos de switch mal configurados. En una solución interVLAN heredada, podría producirse
un puerto de switch mal configurado cuando el puerto del router de conexión no está asignado
a la VLAN correcta. Con una solución router-on-a-stick, la causa más común es un puerto
troncal mal configurado. Cuando se sospecha un problema con una configuración del puerto
de acceso del switch, utilice los comandos ping, show interfaces interface-
id switchport para identificar el problema. Los problemas de configuración del router con
configuraciones de router-on-a-stick suelen estar relacionados con configuraciones erróneas
de subinterfaz. Verificar el estatus de las interfaces usando el comando show ip interface
brief.
4.5.4
Prueba de módulo - Inter-VLAN Routing

P á g i n a | 210
P á g i n a | 211
P á g i n a | 212
P á g i n a | 213
P á g i n a | 214
P á g i n a | 215
P á g i n a | 216
P á g i n a | 217
P á g i n a | 218
P á g i n a | 219
P á g i n a | 220
Capítulo 5_Conceptos de STP

Introducción
5.0.1

Bienvenido a STP Concepts!
Una red de nivel 2 bien diseñada tendrá conmutadores y rutas redundantes para garantizar
que si un conmutador se apaga, otra ruta a otro conmutador esté disponible para reenviar
datos. Los usuarios de la red no experimentarían ninguna interrupción del servicio. La
redundancia en un diseño de red jerárquica soluciona el problema de un solo punto de falla,
pero puede crear un tipo diferente de problema llamado bucles de Capa 2.
¿Qué es un bucle? Imagina que estás en un concierto. El micrófono del cantante y el altavoz
amplificado pueden, por diversas razones, crear un bucle de retroalimentación. Lo que se oye
es una señal amplificada del micrófono que sale del altavoz que luego es recogido de nuevo
por el micrófono, amplificado más y pasado de nuevo a través del altavoz. El sonido
rápidamente se vuelve muy fuerte, desagradable y hace que sea imposible escuchar música
real. Esto continúa hasta que se corta la conexión entre el micrófono y el altavoz.
Un bucle de capa 2 crea un caos similar en una red. Puede suceder muy rápidamente y hacer
imposible el uso de la red. Hay algunas formas comunes de crear y propagar un bucle de
Capa 2. El protocolo de árbol de expansión (STP) está diseñado específicamente para
eliminar los bucles de capa 2 en la red. Este módulo analiza las causas de los bucles y los
diversos tipos de protocolos de árbol de expansión. Incluye un vídeo y una actividad Packet
Tracer para ayudarle a entender los conceptos STP.
5.0.2

Título del módulo: STP Conceptos
Objetivo del módulo: Explique cómo STP permite la redundancia en una red de capa 2.
P á g i n a | 221
Explique los problemas comunes en una red conmutada

Propósito del STP
redundante L2.
Funcionamientos del STP Explicar cómo opera STP en una red conmutada simple.
Evolución del STP Explique la forma en que funciona PVST+ rápido.
Conceptos STP / Propósito del STP
Propósito del STP

5.1.1
Redundancia en redes conmutadas de capa

2
En este tema se tratan las causas de los bucles en una red de capa 2 y se explica brevemente
cómo funciona el protocolo de árbol de expansión. La redundancia es una parte importante
del diseño jerárquico para eliminar puntos únicos de falla y prevenir la interrupción de los
servicios de red para los usuarios. Las redes redundantes requieren la adición de rutas físicas,
pero la redundancia lógica también debe formar parte del diseño. Tener rutas físicas
alternativas para que los datos atraviesen la red permite que los usuarios accedan a los
recursos de red, a pesar de las interrupciones de la ruta. Sin embargo, las rutas redundantes
en una red Ethernet conmutada pueden causar bucles físicos y lógicos en la capa 2.
Las LAN Ethernet requieren una topología sin bucles con una única ruta entre dos
dispositivos. Un bucle en una LAN Ethernet puede provocar una propagación continua de
tramas Ethernet hasta que un enlace se interrumpe y interrumpa el bucle.
5.1.2
Protocolo de árbol de extensión

El protocolo de árbol de expansión (STP) es un protocolo de red de prevención de bucles que
permite redundancia mientras crea una topología de capa 2 sin bucles. IEEE 802.1D es el
estándar original IEEE MAC Bridging para STP.
P á g i n a | 222
Haga clic en Reproducir en la figura para ver una animación de STP en acción.
Operación normal de STP
La PC1 envía una trama de difusión.
El S2 reenvía la difusión por todos los puertos, excepto el puerto de origen y el puerto bloqueado.
El S1 reenvía la difusión por todos los puertos , excepto el puerto de origen.
El S3 recibe la trama y la reenvía al S2.
El S2 descarta la trama, ya que la recibió en un puerto bloqueado.
5.1.3
Recalcular STP
Haga clic en Reproducir en la siguiente figura para ver una animación del recálculo de STP
cuando ocurre una falla.
La figura es una animación con la misma topología que en la animación anterior. En la

animación, el enlace troncal entre S2 y S1 ha fallado. S2 desbloquea el puerto para Trunk 2.
La PC1 envía una trama de difusión al S2. S2 reenvía la transmisión a todos los puertos del
conmutador, excepto el puerto de origen y el enlace fallido para el Troncal 1. El S3 reenvía
la difusión por todos los puertos de switch disponibles, excepto el puerto de origen. El S1
reenvía la difusión solo por F0/3.
P á g i n a | 223
STP compensa una falla de red
El enlace troncal entre el S2 y el S1 falló.
El S2 desbloquea el puerto para Enlace_troncal2.
La PC1 envía una trama de difusión al S2.
El S2 reenvía la difusión por todos los puertos del switch, excepto el puerto de orige n y el enlace que falló para Enlace_troncal1.
El S3 reenvía la difusión por todos los puertos de switch disponibles, excepto el puerto de origen.
El S1 reenvía la difusión solo por F0/3.
5.1.4
Problemas con los vínculos de switch

redundantes
La redundancia de ruta proporciona múltiples servicios de red al eliminar la posibilidad de
un solo punto de falla. Cuando existen múltiples rutas entre dos dispositivos en una red
Ethernet, y no hay implementación de árbol de expansión en los conmutadores, se produce
un bucle de capa 2. Un bucle de capa 2 puede provocar inestabilidad en la tabla de direcciones
MAC, saturación de enlaces y alta utilización de CPU en conmutadores y dispositivos finales,
lo que hace que la red se vuelva inutilizable.
A diferencia de los protocolos de Capa 3, IPv4 e IPv6, Layer 2 Ethernet no incluye un

mecanismo para reconocer y eliminar tramas de bucle sin fin. Tanto IPv4 como IPv6 incluye n
un mecanismo que limita la cantidad de veces que un dispositivo de red de Capa 3 puede
retransmitir un paquete. Un router disminuirá el TTL (Tiempo de vida) en cada paquete IPv4
y el campo Límite de saltos en cada paquete IPv6. Cuando estos campos se reducen a 0, un
P á g i n a | 224
router dejará caer el paquete. Los switches Ethernet y Ethernet no tienen un mecanismo
comparable para limitar el número de veces que un switches retransmite una trama de Capa
2. STP fue desarrollado específicamente como un mecanismo de prevención de bucles para
Ethernet de Capa 2.
5.1.5
Bucles de la capa 2
Sin STP habilitado, se pueden formar bucles de capa 2, lo que hace que las tramas de difusió n,
multidifusión y unidifusión desconocidos se reproduzcan sin fin. Esto puede derribar una red
en un período de tiempo muy corto, a veces en pocos segundos. Por ejemplo, las tramas de
difusión, como una solicitud ARP, se reenvían a todos los puertos del conmutador, excepto
el puerto de entrada original. Esto asegura que todos los dispositivos en un dominio de
difusión reciban la trama. Si hay más de una ruta para reenviar la trama, se puede formar un
bucle infinito. Cuando se produce un bucle, la tabla de direcciones MAC en un conmutador
cambiará constantemente con las actualizaciones de las tramas de difusión, lo que resulta en
la inestabilidad de la base de datos MAC. Esto puede causar una alta utilización de la CPU,
lo que hace que el switch no pueda reenviar tramas.
Las tramas de difusión no son el único tipo de tramas que son afectadas por los bucles. Si se
envían tramas de unidifusión desconocidas a una red con bucles, se puede producir la llegad a
de tramas duplicadas al dispositivo de destino. Una trama de unidifusión desconocida se
produce cuando el switch no tiene la dirección MAC de destino en la tabla de direcciones
MAC y debe reenviar la trama a todos los puertos, excepto el puerto de ingreso.
Haga clic en Reproducir en la figura para ver la animación. Cuando la animación se detiene,
lea el texto que describe la acción. La animación continuará después de una pausa breve.
P á g i n a | 225
El S2 actualiza la tabla de direcciones MAC. La dirección MAC de la PC1 se asigna a F0/11.
El S2 reenvía la difusión por todos los puertos, excepto el puerto en el que la recibió.
El S3 y el S1 actualizan sus tablas de direcciones MAC con la información de la PC1.
El S3 y el S1 reenvían la difusión por todos los puertos, excepto el puerto en el que la recibieron.
El S1 y el S3 reciben un paquete de la PC1 en un nuevo puerto. Estos actualizan su tabla de direcciones MAC según corresponda .
El S1 y el S3 reenvían la difusión por todos los puertos, excepto el puerto en el que la recibieron.
El S2 actualiza su tabla de direcciones MAC para la PC1 con el último puerto en el que recibió la trama de difusión.
El S2 reenvía la trama de difusión por todos los puertos, excepto el último puerto en el que la recibió. El ciclo vuelve a em pezar.
5.1.6
Broadcast Storm
Una tormenta de difusión es un número anormalmente alto de emisiones que abruman la red
durante un período específico de tiempo. Las tormentas de difusión pueden deshabilitar una
red en cuestión de segundos al abrumar los conmutadores y los dispositivos finales. Las
tormentas de difusión pueden deberse a un problema de hardware como una NIC defectuosa
o a un bucle de capa 2 en la red.
Las emisiones de capa 2 en una red, como las solicitudes ARP, son muy comunes. Es
probable que un bucle de capa 2 tenga consecuencias inmediatas y de desactivación en la red.
Las multidifusión de capa 2 normalmente se reenvían de la misma manera que una difusió n
por el conmutador. Por lo tanto, aunque los paquetes IPv6 nunca se reenvían como una
difusión de Capa 2, ICMPv6 Neighbor Discovery utiliza multidifusión de Capa 2.
Haga clic en Reproducir en la figura para ver una animación que muestra los efectos cada
vez más adversos de un bucle a medida que los fotogramas de difusión y de unidifus ió n
desconocidos continúan propagándose indefinidamente en una tormenta de difusión.
P á g i n a | 226
La PC1 reenvía una difusión que queda atrapada en un bucle de capa 2.
La PC4 reenvía una nueva difusión que también queda atrapada en el bucle de capa 2.
La PC3 reenvía otra difusión que queda atrapada en el bucle de capa 2.
La PC2 reenvía una trama de difusión, pero no se puede procesar debido a la sobrecarga de tráfico en la red.
Un host atrapado en un bucle de capa 2 no está accesible para otros hosts en la red. Además,
debido a los constantes cambios en su tabla de direcciones MAC, el conmutador no sabe
desde qué puerto reenviar las tramas de unidifusión. En la animación anterior, los
conmutadores tendrán los puertos incorrectos listados para PC1. Cualquier trama de
unidifusión con destino a la PC1 se repite en bucle por la red, como lo hacen las tramas de
difusión. Cuando se repiten en bucle cada vez más tramas, se termina creando una tormenta
de difusión.
Para evitar que ocurran estos problemas en una red redundante, se debe habilitar algún tipo
de árbol de expansión en los switches. De manera predeterminada, el árbol de expansión está
habilitado en los switches Cisco para prevenir que ocurran bucles en la capa 2.
5.1.7
El algoritmo de árbol de expansión

STP se basa en un algoritmo inventado por Radia Perlman mientras trabajaba para Digita l
Equipment Corporation, y publicado en el artículo de 1985 "Un algoritmo para la
computación distribuida de un árbol de expansión en una LAN extendida". Su algoritmo de
árbol de expansión (STA) crea una topología sin bucles al seleccionar un único puente raíz
donde todos los demás conmutadores determinan una única ruta de menor costo.
Sin el protocolo de prevención de bucles, se producirían bucles que harían inoperable una
red de conmutadores redundantes.
Topología de la situación
Este escenario STA utiliza una LAN Ethernet con conexiones redundantes entre varios
conmutadores.
La topología de red física muestra ocho conmutadores interconectados. El conmutador S1 se

conecta a los conmutadores S2, S3 y S5. Switch S2 se conecta a los Switches S1 y S4. Switch
P á g i n a | 227
S3 se conecta a los Switches S1 y S5. Switch S4 se conecta a los Switches S2 and S5. Switch
S5 se conecta a los Switches S1, S3, S4, y S6. Switch S6 se conecta al Switch S5. El switch
S7 se conecta al switch S8. El switch S8 se conecta a los switches S4, S5 y S7.
Seleccionar el Root Bridge
El algoritmo de árbol de expansión comienza seleccionando un único puente raíz. La figura

muestra que el switch S1 se ha seleccionado como puente raíz. En esta topología, todos los
enlaces tienen el mismo costo (mismo ancho de banda). Cada switch determinará una única
ruta de menor costo desde sí mismo hasta el puente raíz.
Note: STA y STP se refieren a conmutadores como puentes . Esto se debe a que en los primeros
días de Ethernet, los switches se denominaban puentes.
P á g i n a | 228
Bloquear rutas redundantes
STP asegura que solo haya una ruta lógica entre todos los destinos en la red al bloquear
intencionalmente las rutas redundantes que podrían causar un bucle, c omo se muestra en la
figura. Cuando se bloquea un puerto, se impide que los datos del usuario entren o salgan de
ese puerto. El bloqueo de las rutas redundantes es fundamental para evitar bucles en la red.
Topología sin bucle
Un puerto bloqueado tiene el efecto de convertir ese enlace en un vínculo no reenvío entre los
dos switches, como se muestra en la figura. Observe que esto crea una topología en la que
cada conmutador tiene una única ruta al puente raíz, similar a las ramas de un árbol que se
conectan a la raíz del árbol.
P á g i n a | 229
Cada enrutador tiene ahora, sólo una ruta de envío al puente raíz.
Fallos de enlacecausan recálculo
Las rutas físicas aún existen para proporcionar la redundancia, pero las mismas se deshabilitan
para evitar que se generen bucles. Si alguna vez la ruta es necesaria para compensar la falla
de un cable de red o de un switch, STP vuelve a calcular las rutas y desbloquea los puertos
necesarios para permitir que la ruta redundante se active. Los recálculos STP también pueden
ocurrir cada vez que se agrega un nuevo conmutador o un nuevo vínculo entre switches a la
red.
La figura muestra un error de enlace entre los conmutadores S2 y S4 que hace que STP se
vuelva a calcular. Observe que el vínculo anteriormente redundante entre S4 y S5 se está
reenviando para compensar este error. Todavía hay solo una ruta entre cada switch y el puente
raíz.
STP evita que ocurran bucles mediante la configuración de una ruta sin bucles a través de la
red, con puertos “en estado de bloqueo” ubicados estratégicamente. Los switches que
ejecutan STP pueden compensar las fallas mediante el desbloqueo dinámico de los puertos
bloqueados anteriormente y el permiso para que el tráfico se transmita por las rutas
alternativas.
P á g i n a | 230
5.1.8
Vídeo - Observar la operación STP

Haga clic en Play (Reproducir) para ver una demostración del protocolo de árbol de
expansión.
6: 18
5.1.9
Packet Tracer - Investigar la prevención

de bucles STP
 Cree y configure una red simple de tres conmutadores con STP.

 Ver operación STP
 Desactive STP y vuelva a ver la operación.
Investigate STP Loop Prevention

Investigate STP Loop Prevention
P á g i n a | 231
5.1.10
Verifique su comprensión - Propósito de

STP
Verifique su comprensión del propósito de STP eligiendo la MEJOR respuesta a las siguientes
preguntas.
P á g i n a | 232
P á g i n a | 233
Conceptos de STP / Funcionamientos del STP
Funcionamientos del STP

5.2.1
Pasos para una topología sin bucles

Ahora ya sabe cómo se crean los bucles y los conceptos básicos de usar el protocolo de árbol
de expansión para prevenirlos. Este tema le llevará paso a paso a través de la operación de
STP. Usando STA, STP crea una topología sin bucles en un proceso de cuatro pasos:
1. Elige el puente raíz.

2. Seleccione los root ports.
3. Elegir puertos designados.
4. Seleccione puertos alternativos (bloqueados).
Durante las funciones STA y STP, los conmutadores utilizan unidades de datos de protocolo
de puente (BPDU) para compartir información sobre sí mismos y sus conexiones. Las BPDU
se utilizan para elegir el root bridge, los root ports, los puertos designados y los puertos
alternativos. Cada BPDU contiene una ID de puente (BID) que identifica qué switch envió
la BPDU. El BID participa en la toma de muchas de las decisiones STA, incluidos los roles
de puertos y root bridge. El BID contiene un valor de prioridad, la dirección MAC del
conmutador y un ID de sistema extendido. El valor de BID más bajo lo determina la
combinación de estos tres campos.
El gráfico muestra tres cuadros, cada uno de los cuales representa un componente del ID de
puente. De izquierda a derecha, el primer cuadro es Bridge Priority, que tiene 4 bits de
longitud, el segundo cuadro es Extended System ID, que tiene 12 bits de longitud, y el tercer
cuadro es la dirección MAC que tiene 48 bits de longitud. El texto a la derecha de los cuadros
indica Bridge ID con Extended System ID. El texto en la parte inferior del gráfico dice El
BID incluye la prioridad del puente, el ID del sistema extendido y la dirección MAC del
conmutador.
Prioridad de puenteID del

sistema extendidoDirección
P á g i n a | 234
El BID está compuesto por un valor de prioridad del puente, una ID de sistema extendido y
la dirección MAC del switch.
Prioridad de puente
El valor de prioridad predeterminado para todos los switches Cisco es el valor decimal 32768.
El rango va de 0 a 61440 y aumenta de a 4096. Es preferible una prioridad de puente más
baja. La prioridad de puente 0 prevalece sobre el resto de las prioridades de puente.
Sistema extendido ID
El valor de ID del sistema extendido es un valor decimal agregado al valor de prioridad del
puente en el BID para identificar la VLAN para esta BPDU.
Las primeras implementaciones de IEEE 802.1D estaban diseñadas para redes que no
utilizaban VLAN. Existía un único árbol de expansión común para todos los switches. Por
esta razón, en los switches más antiguos, el ID del sistema extendido no se incluía en las
BPDU. A medida que las VLAN se volvieron más comunes en la segmentación de la
infraestructura de red, se fue mejorando el estándar 802.1D para incluir a las VLAN, lo que
requirió que se incluyera la ID de VLAN en la trama de BPDU. La información de VLAN
se incluye en la trama BPDU mediante el uso de la ID de sistema extendido.
El ID del sistema extendido permite que las implementaciones posteriores de STP, como
Rapid STP (RSTP) tengan diferentes root bridge para diferentes conjuntos de VLAN. Esto
puede permitir que enlaces redundantes y sin reenvío en una topología STP para un conjunto
de VLAN sean utilizados por un conjunto diferente de VLAN que utilice un root bridge
diferente.
Dirección MAC
Cuando dos switches están configurados con la misma prioridad y tienen la misma ID de
sistema extendido, el switch que posee la dirección MAC con el menor valor, expresado en
hexadecimal, tendrá el menor BID.
5.2.2
1. Elige el root bridge

El STA designa un único switch como root bridge y lo utiliza como punto de referencia para
todos los cálculos de rutas. Los switches intercambian BPDU para crear la topología sin
bucles comenzando con la selección del root bridge.
P á g i n a | 235
Un proceso de elección determina el switch que se transforma en el puente raíz. Todos los
switches del dominio de difusión participan del proceso de elección. Una vez que el switch
arranca, comienza a enviar tramas BPDU cada dos segundos. Estas tramas BPDU contienen
el BID del switch de envío y el BID del root bridge, conocido como Root ID.
El switch que tiene el BID más bajo se convierte en el puente raíz. Al principio, todos los
conmutadores se declaran a sí mismos como el puente raíz con su propio BID establecido
como ID raíz. Eventualmente, los switches aprenden a través del intercambio de BPDU qué
switch tiene el BID más bajo y acordarán un puente raíz.
En la figura, S1 se elige de root bridge porque tiene el BID más bajo.
La topología de red física muestra tres switches interconectados, S1, S2 y S3, y cuatro PC,
PC1, PC2, PC3, PC4. S1 es el root bridge. El Bridge ID de S1 es prioridad = 32769 y
dirección MAC = 000A00333333. S1 se conecta a S3 a través del puerto del switch F0/2 y
se conecta a S2 a través del puerto del switch F0/1. El enlace entre S1 y S2 se etiqueta Trunk
1. El enlace entre S1 y S3 se etiqueta Trunk 3. S1 se conecta a PC4 a través del puerto del
switch F0/3. El Bridge ID de S2 es prioridad = 32769 y dirección MAC = 000A00111111.
S2 se conecta a S3 a través del puerto del switch F0/2 y se conecta a S1 a través del puerto
del switch F0/1. El enlace entre S2 y S3 se etiqueta Trunk 2. S2 se conecta a PC1 a través del
puerto del switch F0/11, se conecta a PC2 a través del puerto del switch F0/18 y a PC3 a
través del puerto del switch F0/6. El Bridge ID de S3 es prioridad = 32769 y dirección MAC
= 000A00222222. S3 se conecta a S2 a través del puerto del switch F0/2 y se conecta a S1 a
través del puerto del switch F0/1. La dirección IP de PC1 es 172.17.10.21. La dirección IP
de PC2 es 172.17.10.22. La dirección IP de PC3 es 172.17.10.23. La dirección IP de PC4 es
172.17.10.27.
P á g i n a | 236
5.2.3
Impacto de las pujas por defecto

Dado que el BID predeterminado es 32768, es posible que dos o más switches tengan la
misma prioridad. En este escenario, donde las prioridades son las mismas, el conmutador con
la dirección MAC más baja se convertirá en el puente raíz. Para asegurar que el puente raíz
elegido cumpla con los requisitos de la red, se recomienda que el administrador configure el
switch de puente raíz deseado con una prioridad menor.
En la figura, todos los switches están configurados con la misma prioridad de 32769. Aquí
la dirección MAC se convierte en el factor decisivo en cuanto a qué interruptor se convierte
en el puente raíz. El conmutador con el valor de dirección MAC hexadecimal más bajo es el
puente raíz preferido. En este ejemplo, S2 tiene el valor más bajo para su dirección MAC y
se elige como el puente raíz para esa instancia de árbol de expansión.
Note: En el ejemplo, la prioridad de todos los switches es 32769. El valor se basa en la

prioridad de puente predeterminada 32768 y la ID del sistema extendida (asignación de
VLAN 1) asociada con cada conmutador (32768 + 1).
1. El enlace entre S1 y S3 se etiqueta Trunk 3. S1 se conecta a la PC4 a través del puerto del
conmutador F0/3. El Bridge ID de S2 es prioridad = 32769 y dirección MAC =
P á g i n a | 237
000A00111111. S2 se conecta a S3 a través del puerto del switch F0/2 y se conecta a S1 a

través del puerto del switch F0/1. El enlace entre S2 y S3 se etiqueta Trunk 2. S2 se conecta
a la PC1 a través del puerto del switch F0/11, se conecta a la PC2 a través del puerto del
switch F0/18 y se conecta a la PC3 a través del puerto del switch F0/6. El Bridge ID de S3
es prioridad = 32769 y dirección MAC = 000A00222222. S3 se conecta a S2 a través del
puerto del switch F0/2 y se conecta a S1 a través del puerto del switch F0/1. La dirección IP
de PC1 es 172.17.10.21. La dirección IP de PC2 es 172.17.10.22. La dirección IP de PC3 es
172.17.10.23. La dirección IP de PC4 es 172.17.10.27.
5.2.4
Determinar el costo de la ruta raíz

Una vez que se eligió el puente raíz para la instancia de árbol de expansión, el STA comienza
el proceso para determinar las mejores rutas hacia el puente raíz desde todos los destinos en
el dominio de difusión. La información de la ruta, conocida como el costo interno de la ruta
raíz, está determinada por la suma de todos los costos de los puertos individuales a lo largo
de la ruta desde el conmutador hasta el puente raíz.
Note: La BPDU incluye el costo de la ruta raíz. Este es el costo de la ruta que va desde el
switch que envía los datos hasta el puente raíz.
Cuando un switch recibe la BPDU, agrega el costo del puerto de ingreso del segmento para
determinar el costo interno de la ruta hacia la raíz.
Los costos de los puertos predeterminados se definen por la velocidad a la que funcionan los
mismos. La tabla muestra los costos de puerto predeterminados sugeridos por IEEE. Los
switches Cisco utilizan de forma predeterminada los valores definidos por el estándar IEEE
802.1D, también conocido como costo de ruta corta, tanto para STP como para RSTP. Sin
embargo, el estándar IEEE sugiere usar los valores definidos en el IEEE-802.1w, también
conocido como costo de ruta larga, cuando se usan enlaces de 10 Gbps y más rápido.
Note: RSTP se discute con más detalle más adelante en este módulo.
Velocidad de
STP Cost: IEEE 802.1D-1998 Costo de RSTP: IEEE 802.1w-2004
enlace
10Gbps 2 2000
1Gbps 4 20000
P á g i n a | 238
Velocidad de
STP Cost: IEEE 802.1D-1998 Costo de RSTP: IEEE 802.1w-2004
enlace
100Mbps 19 200000
10 Mbps 100 2000000
Pese a que los puertos de switch cuentan con un costo de puerto predeterminado asociado a
los mismos, tal costo puede configurarse. La capacidad de configurar costos de puerto
individuales le da al administrador la flexibilidad para controlar de forma manual las rutas
de árbol de expansión hacia el puente raíz.
5.2.5
2. Elegir los puertos raíz

Después de determinar el puente raíz, se utiliza el algoritmo STA para seleccionar el puerto
raíz. Cada switch que no sea root seleccionará un puerto raíz. El puerto raíz es el puerto más
cercano al root bridge en términos de costo general para el puente raíz. Este costo general se
conoce como costo de ruta raíz interna.
El costo interno de la ruta raíz es igual a la suma de todos los costos del puerto a lo largo de
la ruta al root bridge, como se muestra en la figura. Las rutas con el costo más bajo se
convierten en las preferidas, y el resto de las rutas redundantes se bloquean. En el ejemplo,
el costo de ruta interno desde S2 al root bridge S1 a través de la ruta 1 es de 19 (según el
costo de puerto individual especificado por el IEEE), mientras que el costo interno de la ruta
hacia la raíz a través de la ruta 2 es de 38. Debido a que la ruta 1 tiene un costo de ruta general
más bajo para el root bridge, es la ruta preferida y F0 / 1 se convierte en el root port en S2.
P á g i n a | 239
1. El enlace entre S1 y S3 se etiqueta Trunk 3. S1 se conecta a PC4 a través del puerto del
switch F0/3. El Bridge ID de S2 es prioridad = 32769 y dirección MAC = 000A00111111.
del switch F0/1. El puerto del switch F0/1 en S2 se indica como el puerto raíz. El enlace entre
S2 y S3 se etiqueta Trunk 2. La ruta de S2 a S1 se llama Ruta 1. La ruta de S2 a S3 se llama
path2. S2 se conecta a PC1 a través del puerto del switch F0/11, se conecta a PC2 a través
del puerto del switch F0/18 y a PC3 a través del puerto del switch F0/6. El Bridge ID de S3
es prioridad = 32769 y dirección MAC = 000A00222222. S3 se conecta a S2 a través del
puerto del switch F0/2 y se conecta a S1 a través del puerto del switch F0/1. El puerto del
switch F0/1 en S3 se indica como el puerto raíz. La ruta de S3 a S1 se etiqueta ruta 2. La
dirección IP de PC1 es 172.17.10.21. La dirección IP de PC2 es 172.17.10.22. La dirección
IP de PC3 es 172.17.10.23. La dirección IP de PC4 es 172.17.10.27. El texto en la parte
inferior del gráfico dice Ruta 1 Costo = 19x1=19. Coste de la ruta 2 = 19x2=38. La ruta 1 es
la ruta preferida.
5.2.6
3. Seleccionar puertos designados

La parte de prevención de bucles del árbol de expansión se hace evidente durante estos dos
pasos siguientes. Después de que cada switch selecciona un puerto raíz, los switches
seleccionarán los puertos designados.
P á g i n a | 240
Cada segmento entre dos switches tendrá un puerto designado. El puerto designado es un
puerto en el segmento (con dos switches) que tiene el costo de ruta raíz interna al puente raíz.
En otras palabras, el puerto designado tiene la mejor ruta para recibir el tráfico que conduce
al puente raíz.
Lo que no es un puerto raíz o un puerto designado se convierte en un puerto alternativo o

bloqueado. El resultado final es una ruta única desde cada conmutador al puente raíz.
Puertos designados en el puente raíz
Todos los puertos en el root bridge son puertos designados. Esto se debe a que el root bridge
tiene el costo más bajo para sí mismo.
All the ports on the root bridge are designated ports.
PC1, PC2, PC3, PC4. S1 es el root bridge. S1 se conecta a S3 a través del puerto del switch
F0/2 y se conecta a S2 a través del puerto del switch F0/1. El enlace entre S1 y S2 se etiqueta
Trunk 1. El enlace entre S1 y S3 se etiqueta Trunk 3. S1 se conecta a PC4 a través del puerto
del switch F0/3. El puerto del switch F0/3 en S1 es un puerto designado. El puerto del switch
P á g i n a | 241
F0/2 en S1 es un puerto designado. El puerto del switch F0/1 en S1 es un puerto designado.

través del puerto del switch F0/6. El puerto del switch F0/1 en S2 es el puerto raíz. S3 se
conecta a S2 a través del puerto del switch F0/2 y se conecta a S1 a través del puerto del
switch F0/1. El puerto de switch 3 es un puerto raíz, La dirección IP de PC1 es 172.17.10.21.
La dirección IP de PC2 es 172.17.10.22. La dirección IP de PC3 es 172.17.10.23. La
dirección IP de PC4 es 172.17.10.27. El texto en la parte inferior de la figura dice Todos los
puertos en el puente raíz son puertos designados.
Puerto designado cuando hay un puerto raíz
Si un extremo de un segmento es un puerto raíz, el otro extremo es un puerto designado. Para

demostrar esto, la figura muestra que el conmutador S4 está conectado a S3. La interfaz Fa0/1
en S4 es su puerto raíz porque tiene la mejor y única ruta al root bridge. Por lo tanto, la interfaz
Fa0/3 en S3 en el otro extremo del segmento sería el puerto designado.
Note: Todos los puertos del switch con dispositivos finales (hosts) conectados son puertos
designados.
P á g i n a | 242
La interfaz Fa0/1 en S4 es un puerto designado porque la interfaz Fa0/3 de S3 es un puerto

raíz.
Puerto designado cuando no hay puerto raíz
Esto deja solo segmentos entre dos switches donde ninguno de los switches es el puente raíz.
En este caso, el puerto del switch con la ruta de menor costo al puente raíz es el puerto
designado para el segmento. Por ejemplo, en la figura, el último segmento es el que está entre
S2 y S3. Tanto S2 como S3 tienen el mismo costo de ruta para el puente raíz. El algoritmo del
árbol de expansión utilizará el ID del puente como un interruptor de corbata. Aunque no se
muestra en la figura, S2 tiene un BID menor. Por lo tanto, el puerto F0/2 de S2 se elegirá como
el puerto designado. Los puertos designados están en estado de reenvío.
La interfaz Fa0/2 de S2 es el puerto designado en el segmento con S3.
5.2.7
4. Seleccionar puertos alternativos

(bloqueados)
Si un puerto no es un puerto raíz o un puerto designado, se convierte en un puerto alternativo
(o de copia de seguridad). Los puertos alternativos y los puertos de respaldo están en estado
de descarte o bloqueo para evitar bucles. En la figura, la STA ha configurado el puerto F0 /
P á g i n a | 243
2 en S3 en el rol alternativo. El puerto F0/2 en S3 está en estado de bloqueo y no reenviará

tramas Ethernet. Todos los demás puertos entre conmutadores están en estado de reenvío.
Esta es la parte de prevención de bucles de STP.
La interfaz Fa0/2 de S3 no es un puerto raíz o un puerto designado, por lo que se convierte

en un puerto alternativo o bloqueado
La topología de red física muestra tres conmutadores interconectados, S1, S2 y S3 y cuatro

PC1, PC2, PC3, PC4. S1 es el root bridge. S1 se conecta a S3 a través del puerto del switch
F0/2 y se conecta a S2 a través del puerto del switch F0/1. El enlace entre S1 y S2 se etiqueta
Trunk 1. El enlace entre S1 y S3 se etiqueta Trunk 3. S1 se conecta a PC4 a través del puerto
del switch F0/3. El puerto del switch F0/3 en S1 es un puerto designado. El puerto del switch
F0/2 en S1 es un puerto designado. El puerto del switch F0/1 en S1 es un puerto designado.
través del puerto del switch F0/6. El puerto del switch F0/1 en S2 es el puerto raíz. El puerto
del switch F0/2 en S2 es el puerto designado. S3 se conecta a S2 a través del puerto del switch
F0/2 y se conecta a S1 a través del puerto del switch F0/1. El puerto de switch 3 es un puerto
raíz, El puerto del switch F0/2 en S3 es un puerto alternativo. Un símbolo de bloqueo circular
rojo se coloca en el enlace troncal entre S3 y S2 junto a la interfaz F0/2 de S3. La dirección
IP de PC1 es 172.17.10.21. La dirección IP de PC2 es 172.17.10.22. La dirección IP de PC3
es 172.17.10.23. La dirección IP de PC4 es 172.17.10.27. El texto en la parte inferior de la
figura dice La interfaz Fa0/2 de S2 es el puerto designado en el segmento con S3.
P á g i n a | 244
5.2.8
Seleccione un puerto raíz a partir de

varias rutas de igual coste
Los puertos designados se seleccionan en base al menor costo del trayecto al Puerto raíz para
un segmento. Pero, ¿qué sucede si el switch tiene múltiples rutas de igual costo al puente
raíz? ¿Cómo designa un puerto raíz un switch?
Cuando un switch tiene varias rutas de igual costo al puente raíz, el switch determinará un
puerto utilizando los siguientes criterios:
1. Oferta de remitente más baja

2. Prioridad de puerto del remitente más baja
3. ID de puerto del remitente más bajo
1. Oferta de remitente más baja
La figura muestra una topología con cuatro conmutadores, incluido el conmutador S1 como
puente raíz. Al examinar los roles de puerto, vemos que el puerto F0/1 del switch S3 y el
puerto F0/3 del switch S4 se han seleccionado como puertos raíz porque tienen la ruta con el
menor costo (costo de la ruta hacia la raíz) al puente raíz para sus respectivos switches. S2
tiene dos puertos, F0 / 1 y F0 / 2 con rutas de igual costo al puente raíz. En este caso los ID
de puente de los switches vecinos, S3 y S4, se utilizan para definir el empate. Esto se conoce
como BID del emisor. S3 tiene un BID de 32769.5555.5555.5555 y S4 tiene un BID de
32769.1111.1111.1111. Como S4 tiene un BID más bajo, el puerto F0 / 1 de S2, que es el
puerto conectado a S4, será el puerto raíz.
P á g i n a | 245
La topología de red física muestra cuatro conmutadores interconectados, S1, S2, S3 y S4. S1
es el puente raíz y se conecta a S4 a través del puerto del switch F0/1 y S3 a través del puerto
troncal F0/2. El enlace entre S1 y S4 se etiqueta Trunk 1. La interfaz F0/1 en S1 es un puerto
designado. El ID de puente de S1 es 24577.3333.3333.3333. S1 se conecta a S3 a través del
puerto del switch F0/2. El enlace entre S1 y S3 se etiqueta Trunk 3. La interfaz F0/2 en S1
es un puerto designado. S4 está conectado a S1 a través del puerto del switch F0/3, que es un
puerto raíz. S4 está conectado a S2 a través del puerto del switch F0/1, que es un puerto
designado. El enlace entre S1 y S2 se etiqueta Trunk 1. El ID de puente de S4 es
32769.1111.1111.1111. S2 está conectado a S4 a través del puerto del switch F0/1, que es un
puerto raíz y está conectado a S3 a través del puerto del switch F0/2, que es un puerto
alternativo. El enlace entre S2 y S3 se llama Trunk 2. Hay una X roja junto a la interfaz F0/2
de S2 que indica que está bloqueando el tráfico. El ID de puente de S2 es
32769.AAAA.AAAA.AAA. S3 está conectado a S2 sobre el puerto del switch F0/2 que es
un puerto designado y a S1 sobre el puerto del switch F0/1 que es un puerto raíz. El ID de
puente de S3 es 32769.5555.5555.5555.
2. Prioridad de puerto del remitente más baja
Para demostrar estos dos criterios siguientes, la topología se cambia a uno donde dos switches
están conectados con dos paths de igual costo entre ellos. S1 es el puente raíz, por lo que
ambos puertos son puertos designados.
S4 tiene dos puertos con rutas de igual costo al puente raíz. Dado que ambos puertos están
conectados al mismo conmutador, el BID (S1) del remitente es igual. Entonces el primer paso
es un empate.
A continuación en la lista está la prioridad del puerto del remitente (S1). La prioridad de puerto
predeterminada es 128, por lo que ambos puertos de S1 tienen la misma prioridad de puerto.
Esto también es una corbata. Sin embargo, si cualquiera de los puertos de S1 se configuraba
con una prioridad de puerto más baja, S4 pondría su puerto adyacente en estado de reenvío. El
otro puerto en S4 sería un estado de bloqueo.
La topología de red física muestra dos conmutadores interconectados, S1 y S2. S1 se conecta

a S2 a través de dos puertos de conmutación, F0/1 y F0/2. F0/1 es un puerto designado y F0/2
también un puerto designado. La prioridad de puerto de los puertos del conmutador F0/1 y
P á g i n a | 246
F0/2 en S1 es 128. El Bridge ID de S1 es 24577.3333.3333.3333. S4 está conectado a S1 a

través de dos puertos de conmutación, F0/6 y F0/5. El Bridge ID de S4 es
32769.1111.1111.1111.
3. ID de puerto del remitente más bajo
El último desempate es el ID de puerto del remitente más bajo. El conmutador S4 ha recibido

BPDU desde el puerto F0/1 y el puerto F0/2 en S1. Recuerde que la decisión se basa en el ID
del puerto del remitente, no en el ID del puerto del receptor. Dado que el Id. de puerto de F0/1
en S1 es menor que el puerto F0/2, el puerto F0/6 en el conmutador S4 será el puerto raíz. Este
es el puerto de S4 que está conectado al puerto F0/1 de S1.
El puerto F0/5 en S4 se convertirá en un puerto alternativo y se colocará en el estado de

bloqueo, que es la parte de prevención de bucles de STP.
La topología de red física muestra dos conmutadores interconectados, S1 y S2. S1 se conecta

a S2 a través de dos puertos de conmutación, F0/1 y F0/2. F0/1 es un puerto designado y F0/2
también un puerto designado. La prioridad de puerto de los puertos del conmutador F0/1 y F0/2
en S1 es 128. El Bridge ID de S1 es 24577.3333.3333.3333. S4 está conectado a S1 a través
de dos puertos de conmutación, F0/6 y F0/5. F0/6 es un puerto raíz y F0/5 es un puerto
alternativo. El Bridge ID de S4 es 32769.1111.1111.1111.
5.2.9
Temporizadores STP y Estados de puerto

La convergencia STP requiere tres temporizadores, como sigue:
 Hello Timer -El tiempo de saludo es el intervalo entre BPDU. El valor predeterminado es 2 segundos,
pero se puede modificar entre 1 y 10 segundos.
P á g i n a | 247
 Forward Delay Timer -El retraso directo es el tiempo que se pasa en el estado de escucha y
aprendizaje. El valor predeterminado es 15 segundos, pero se puede modificar a entre 4 y 30
segundos.
 Max Age Timer La antigüedad máxima es la duración máxima de tiempo que un switch espera antes
de intentar cambiar la topología STP. El valor predeterminado es 20 segundos, pero se puede
modificar entre 6 y 40 segundos.
Note: Los tiempos predeterminados se pueden cambiar en el puente raíz, que dicta el valor
de estos temporizadores para el dominio STP.
STP facilita la ruta lógica sin bucles en todo el dominio de difusión. El árbol de expansión
se determina a través de la información obtenida en el intercambio de tramas de BPDU entre
los switches interconectados. Si un puerto de switch pasa directamente del estado de bloqueo
al de reenvío sin información acerca de la topología completa durante la transición, el puerto
puede crear un bucle de datos temporal. Por esta razón, STP tiene cinco estados de puertos,
cuatro de los cuales son estados de puertos operativos, como se muestra en la figura. El estado
deshabilitado se considera no operativo.
El gráfico muestra un diagrama de flujo que representa los cuatro estados operativos STP.
En la parte superior del diagrama de flujo se encuentra el estado de bloqueo. En el estado de
bloqueo No se recibe BPDU y la edad máxima = 20 segundos. Una flecha apunta desde el
estado Bloqueo al estado Listening. El estado de escucha tiene un retraso de avance de 15
segundos. Hay una flecha que apunta desde el estado Listening al estado Learning. El estado
de aprendizaje tiene un delday hacia adelante = 15 segundos. Hay una flecha que apunta
desde el estado de aprendizaje al estado de reenvío. Hay un diagrama de flujo títulos cuadro
Enlace viene con una flecha que apunta a un segundo cuadro titulado Bloqueo. El texto del
cuadro Bloqueo indica En estado de bloqueo hasta que SPT determine si el puerto es raíz o
puerto designado. Este cuadro tiene una flecha que apunta al estado Listening.
Los detalles de cada estado de puerto se muestran en la tabla.

P á g i n a | 248
Estado del
Descripción
puerto
El puerto es un puerto alternativo y no participa en el reenvío de tramas.

reenvío. El puerto recibe tramas BPDU para determinar la ubicación y ID de
raíz del puente raíz . Las tramas BPDU también determinan qué roles de
Bloqueo
puerto cada puerto del switch debe asumir en la topología STP activa final.
(Blocking)
Con un Temporizador de edad máxima de 20 segundos, un puerto del
switch que no ha recibido un BPDU esperado de un switch vecino entrará
en el estado de bloqueo.
Después del estado de bloqueo, un puerto se moverá al estado de escucha.

La recibe BPDU para determinar la ruta a la raíz. Puerto del switch también
Escucha
transmite sus propias tramas BPDU e informa a los conmutadores
(Listening)
adyacentes que el puerto del conmutador se está preparando para
participar en la topología activa.
Un puerto de switch pasa al estado de aprendizaje después de la escucha

STP. Durante el estado de aprendizaje, el puerto del switch recibe y procesa
Aprendizaje
BPDU y se prepara para participar en el reenvío de tramas. También
(Learning)
comienza a rellenar la tabla de direcciones MAC. Sin embargo, en el estado
de aprendizaje, el usuario frames are not forwarded to the destination.
En el estado de reenvío, un puerto de switch se considera parte de la

Reenvío
dividida. El puerto del switch reenvía el tráfico de usuario y envía y recibe
(Forwarding)
Marcos BPDU.
Un puerto de switch en el estado deshabilitado no participa en la expansión

Deshabilitado
árbol y no reenvía marcos. El estado deshabilitado se establece cuando el
(Disabled)
El puerto se ha desactivado administrativamente.
5.2.10
Detalles Operativos de cada Estado

Portuario
En la tabla se resumen los detalles operativos de cada estado de puerto.
P á g i n a | 249
Reenvío de
Tabla de direcciones
Estado del puerto BPDU framesde
MAC
datos
Bloqueo (Blocking) Recibir solo No hay actualización No
Escucha (Listening) Recibir y enviar No hay actualización No
Aprendizaje Actualización de la
Recibir y enviar No
(Learning) tabla
Reenvío Actualización de la
Recibir y enviar Sí
(Forwarding) tabla
Deshabilitado
No se ha enviado ni recibido No hay actualización No
(Disabled)
5.2.11
Per-VLAN Spanning Tree

Hasta ahora, hemos hablado de STP en un entorno donde sólo hay una VLAN. Sin
embargo, STP se puede configurar para que funcione en un entorno con varias VLAN.
In Per-VLAN Spanning Tree (PVST) versions of STP, there is a root bridge elected for
each spanning tree instance. Esto hace posible tener diferentes puentes raíz para diferentes
conjuntos de VLAN. STP opera una instancia independiente de STP para cada VLAN
individual. Si todos los puertos de todos los switches pertenecen a la VLAN 1, solo se da
una instancia de árbol de expansión.
5.2.12
Compruebe su comprensión —
Operaciones STP
VLANs.
P á g i n a | 250
P á g i n a | 251
P á g i n a | 252
P á g i n a | 253
P á g i n a | 254
Conceptos de STP / Evolución del STP
Evolución del STP

5.3.1
Diferentes versiones de STP

En este tema se detallan las diferentes versiones de STP y otras opciones para evitar bucles
en la red.
P á g i n a | 255
Hasta ahora, hemos utilizado el término Protocolo Spanning Tree y el acrónimo STP, que
puede ser engañoso. La mayoría de los profesionales suele utilizar estas denominaciones para
referirse a las diversas implementaciones del árbol de expansión, como el protocolo de árbol
de expansión rápido (RSTP) y el protocolo de árbol de expansión múltiple (MSTP). Para
comunicar los conceptos del árbol de expansión correctamente, es importante hacer
referencia a la implementación o al estándar del árbol de expansión en contexto.
El último estándar para árbol de expansión está contenido en IEEE-802-1D-2004, el estándar

IEEE para redes de área local y metropolitana:puentes de control de acceso a medios (MAC).
Esta versión del estándar indica que los conmutadores y puentes que cumplen con el estándar
utilizarán Rapid Spanning Tree Protocol (RSTP) en lugar del protocolo STP anterior
especificado en el estándar 802.1d original. En este currículo, cuando se analiza el protocolo
de árbol de expansión original, se utiliza la frase “árbol de expansión 802.1D original” para
evitar confusiones. Debido a que los dos protocolos comparten gran parte de la misma
terminología y métodos para la ruta sin bucles, el enfoque principal estará en el estándar
actual y las implementaciones propietarias de Cisco de STP y RSTP.
Desde el lanzamiento del estándar IEEE 802.1D original, surgió una gran variedad de
protocolos de árbol de expansión.
Variedad
Descripción
STP
Esta es la versión original de IEEE 802.1D (802.1D-1998 y versiones anteriores)

que proporciona una topología sin bucles en una red con enlaces redundantes.
STP También llamado Common Spanning Tree (CST), asume una instancia de árbol
de expansión para toda la red puenteada, independientemente de la cantidad
de VLAN.
El árbol de expansión por VLAN (PVST +) es una mejora de Cisco de STP que
provides a separate 802.1D spanning tree instance for each VLAN Configure la
PVST+
red PVST+ soporta PortFast, UplinkFast, BackboneFast, BPDU guard, BPDU filter,
root guard, y loop guard.
802.1D-
Esta es una versión actualizada del estándar STP, que incorpora IEEE 802.1w.
2004
Protocolo de Árbol de Expansión Rápido (RSTP), o IEEE 802.1w, es una

RSTP evolución de STP que proporciona una convergencia más veloz de STP.
Proporciona una convergencia más rápida de STP.
Esta es una mejora de Cisco de RSTP que utiliza PVST + y proporciona un instancia
PVST+
separada de 802.1w por VLAN. Cada instancia independiente admite PortFast,
rápido
BPDU guard, BPDU filter, root guard, y loop guard.
P á g i n a | 256
Variedad
Descripción
STP
El Protocolo de árbol de expansión múltiple (MSTP) es un estándar IEEE inspirado

MSTP en el STP de instancia múltiple (MISTP) anterior propietario de Cisco de Cisco.
MSTP asigna varias VLAN en la misma instancia de árbol de expansión. VRF.
Múltiple Spanning Tree (MST) es la implementación de MSTP de Cisco, que

proporciona hasta 16 instancias de RSTP y combina muchas VLAN con el misma
Instancia topología física y lógica en una instancia RSTP común. Cada instancia aparte
admite PortFast, protección de BPDU, filtro de BPDU, protección de raíz y
protección de bucle. loop guard.
Es posible que un profesional de red, cuyas tareas incluyen la administración de los switches,
deba decidir cuál es el tipo de protocolo de árbol de expansión que se debe implementar.
Los switches de Cisco con IOS 15.0 o posterior ejecutan PVST+ de manera predeterminada.
Esta versión incluye muchas de las especificaciones IEEE 802.1D-2004, como puertos
alternativos en lugar de los puertos no designados anteriores. Los conmutadores deben
configurarse explícitamente para el modo de árbol de expansión rápida para ejecutar el
protocolo de árbol de expansión rápida.
5.3.2
Conceptos de RSTP
RSTP (IEEE 802.1w) reemplaza al 802.1D original mientras conserva la compatibilidad con
versiones anteriores. La terminología de STP 802.1w sigue siendo fundamentalmente la
misma que la de STP IEEE 802.1D original. La mayoría de los parámetros se han dejado sin
cambios. Los usuarios que estén familiarizados con el estándar STP original pueden
configurar fácilmente RSTP. El mismo algoritmo de árbol de expansión se utiliza tanto para
STP como para RSTP para determinar los roles de puerto y la topología.
RSTP aumenta la velocidad del recálculo del árbol de expansión cuando cambia la topología
de la red de Capa 2. RSTP puede lograr una convergencia mucho más rápida en una red
configurada en forma adecuada, a veces sólo en unos pocos cientos de milisegundos. Si un
puerto está configurado como puerto alternativo o de respaldo, puede cambia r
automáticamente al estado de reenvío sin esperar a que converja la red.
Note: PVST+ rápido es la implementación que hace Cisco de RSTP por VLAN. Con Rapid
PVST + se ejecuta una instancia independiente de RSTP para cada VLAN.
P á g i n a | 257
5.3.3
Estados de puerto RSTP y roles de puerto

Los estados de puerto y las funciones de puerto entre STP y RSTP son similares.
Estados de puertos STP y RSTP
Solo hay tres estados de puerto en RSTP que corresponden a los tres estados operativos
posibles en STP. Los estados de desactivación, bloqueo y escucha 802.1D se fusionan en un
único estado de descarte 802.1w.
El gráfico muestra los estados del puerto STP y RSTP juntos para la comparación. A la
izquierda se muestran los estados del puerto STP en orden de arriba hacia abajo:
Deshabilitado, Bloqueo, Escuchar, Aprendizaje, Reenvío. A la derecha se muestran los
estados del puerto RSTP en orden de arriba hacia abajo: Descartar, Aprendizaje, Reenviar.
P á g i n a | 258
Estados de puertos STP y RSTP
Como se muestra en la figura, los puertos raíz y los puertos designados son los mismos para
STP y RSTP. Sin embargo, hay dos roles de puerto RSTP que corresponden al estado de
bloqueo de STP. En STP, un puerto bloqueado se define como no ser el puerto designado o
raíz. RSTP tiene dos funciones de puerto para este propósito.
El gráfico muestra los rollos de puertos STP y RSTP al lado del otro para la comparación. A la
izquierda están los rollos de puertos STP enumerados en orden de arriba hacia abajo: Puerto
raíz, Puerto designado, Puerto bloqueado (Puerto no designado). A la derecha están los rollos
de puertos RSTP listados en orden de arriba hacia abajo: Puerto raíz, Puerto designado, Puerto
de copia de seguridad, Puerto alternativo.
Puertos RSTP alternativos y de copia de seguridad
Como se muestra en la figura, el puerto alternativo tiene una ruta alternativa al puente raíz. El
puerto de copia de seguridad es una copia de seguridad en un medio compartido, como un
concentrador. Un puerto de copia de seguridad es menos común porque ahora los
concentradores se consideran dispositivos heredados.
P á g i n a | 259
La topología de red física muestra tres conmutadores interconectados, S1, S2 y S3 y un Hub.

S1 es el puente raíz y se conecta a S2 y S3. Ambos puertos del switch en S1 son puertos
designados. S2 está conectado a S1 y S3. El puerto del conmutador S2 que se conecta a S1
es un puerto raíz. El puerto del conmutador S2 que se conecta a S3 es un puerto alternativo y
tiene un círculo rojo con una barra diagonal a través de él. S3 está conectado a S1 y S2 y
tiene conexiones redundantes al Hub. El puerto del conmutador S3 conectado a S1 es un
puerto raíz. El puerto del conmutador S3 conectado a S2 es un puerto designado. Uno de los
puertos del conmutador en S3 conectado al concentrador es un puerto designado y el otro es
un puerto de copia de seguridad y tiene un círculo rojo con una barra a través de él.
5.3.4
PortFast y protección BPDU

Cuando un dispositivo está conectado a un puerto del conmutador o cuando un conmutador
se enciende, el puerto del conmutador pasa por los estados de escucha y aprendizaje,
esperando cada vez que expire el temporizador de retardo de reenvío. Este retraso es de 15
segundos para cada estado, escuchando y aprendiendo, para un total de 30 segundos. Este
retraso puede presentar un problema para los clientes DHCP que intentan detectar un servidor
DHCP. Los mensajes DHCP del host conectado no se reenviarán durante los 30 segundos de
temporizadores de retardo de reenvío y el proceso DHCP puede agotarse. El resultado es que
un cliente IPv4 no recibirá una dirección IPv4 válida.
Note: Aunque esto puede ocurrir con clientes que envían mensajes de solicitud de enrutador
ICMPv6, el enrutador continuará enviando mensajes de anuncio de enrutador ICMPv6 para
que el dispositivo sepa cómo obtener su información de dirección.
Cuando un puerto de conmutador se configura con PortFast, ese puerto pasa del bloqueo al
estado de reenvío inmediatamente, omitiendo los estados de escucha y aprendizaje STP y
P á g i n a | 260
evitando un retraso de 30 segundos. Use PortFast en los puertos de acceso para permitir que
los dispositivos conectados a estos puertos, como los clientes DHCP, accedan a la red de
inmediato, en lugar de esperar a que STP converja en cada VLAN. Debido a que el propósito
de PortFast es minimizar el tiempo que los puertos de acceso deben esperar a que el árbol de
expansión converja, solo debe usarse en los puertos de acceso. Si habilita PortFast en un
puerto que se conecta a otro switch, corre el riesgo de crear un bucle de árbol de expansión.
PortFast solo se puede usar en puertos conmutadores que se conectan a dispositivos finales.
La topología de red física muestra tres conmutadores interconectados, S1, S2 y S3 y tres PC,
PC1, PC2 y PC3. S1 se conecta a S3 a través del puerto del switch F0/2 y se conecta a S2 a
través del puerto del switch F0/1 que tiene la letra D junto a él. El enlace entre S1 y S2 se
etiqueta Trunk 1. El enlace entre S1 y S3 se etiqueta Trunk 3. S1 se conecta a PC4 a través
del puerto del switch F0/2 que tiene la letra D junto a él. S2 se conecta a S3 a través del
puerto del switch F0/2, que tiene la letra D junto a él y se conecta a S1 a través del puerto del
switch F0/1 que tiene la letra R junto a él. El enlace entre S2 y S3 se etiqueta Trunk 2. S2 se
conecta a PC1 a través del puerto del switch F0/11, se conecta a PC2 a través del puerto del
switch F0/18 y a PC3 a través del puerto del switch F0/6. S3 se conecta a S2 sobre el puerto
del switch F0/2 que como la letra A junto a él y se conecta a S1 sobre el puerto del switch
F0/1 que tiene la letra R junto a él. Se coloca un símbolo X rojo en el enlace troncal entre S3
y S2. La dirección IP de PC1 es 172.17.10.21. La dirección IP de PC2 es 172.17.10.22. La
dirección IP de PC3 es 172.17.10.23. Un cuadro de texto lee PortFast y BPDU Guard y tiene
flechas que apuntan a los tres puertos del conmutador en S2, F0/11, F0/18 y F0/6.
En una configuración de PortFast válida, nunca se deben recibir BPDU, ya que esto indicar ía
que hay otro puente o switch conectado al puerto, lo que podría causar un bucle de árbol de
P á g i n a | 261
expansión. Esto potencialmente causa un bucle de árbol de expansión. Para evitar que se
produzca este tipo de escenario, los switches Cisco admiten una función llamada guardia
BPDU. Cuando está habilitado, inmediatamente pone el puerto del conmutador en un estado
errdisabled (error-disabled) al recibir cualquier BPDU. Esto protege contra posibles bucles
al apagar eficazmente el puerto. La característica de protección BPDU proporciona una
respuesta segura a la configuración no válida, ya que se debe volver a activar la interfaz de
forma manual.
5.3.5
Alternativas a STP
STP era y sigue siendo un protocolo de prevención de bucles Ethernet. A lo largo de los años,
las organizaciones requerían una mayor resiliencia y disponibilidad en la LAN. Las LAN
Ethernet pasaron de unos pocos conmutadores interconectados conectados conectados a un
único enrutador, a un sofisticado diseño de red jerárquica que incluye conmutadores de
acceso, distribución y capa central, como se muestra en la figura.
Dos topologías de red físicas que muestran un diseño de red jerárquico y un diseño de núcleo
contraído
P á g i n a | 262
Dependiendo de la implementación, la capa 2 puede incluir no solo la capa de acceso, sino

también la distribución o incluso las capas principales. Estos diseños pueden incluir cientos
de switches, con cientos o incluso miles de VLAN. STP se ha adaptado a la redundancia y
complejidad añadida con mejoras, como parte de RSTP y MSTP.
Un aspecto importante del diseño de red es la convergencia rápida y predecible cuando se

produce un error o un cambio en la topología. El árbol de expansión no ofrece las mismas
eficiencias y predecibilidades proporcionadas por los protocolos de enrutamiento en la Capa
3. La figura muestra un diseño de red jerárquica tradicional con los conmutadores multicapa
de distribución y núcleo que realizan enrutamiento.
La topología de red física muestra cuatro conmutadores de capa 3, tres conmutadores de capa
2 y seis PC. Dos switches de capa 3 en la parte superior de la topología están en el núcleo.
Dos switches de capa 3 están en la capa de distribución. Los tres conmutadores de capa 2 y
los seis equipos están en la capa Access.
El enrutamiento de capa 3 permite rutas y bucles redundantes en la topología, sin bloquear

puertos. Por esta razón, algunos entornos están en transición a la capa 3 en todas partes,
excepto donde los dispositivos se conectan al conmutador de capa de acceso. En otras
palabras, las conexiones entre los conmutadores de capa de acceso y los conmutadores de
distribución serían Capa 3 en lugar de Capa 2, como se muestra en la siguiente figura.
P á g i n a | 263
La topología de red física muestra siete switches de capa 3 y seis PC. Dos switches de capa
3 en la parte superior de la topología están en el núcleo. Dos switches de capa 3 están en la
capa de distribución. Tres conmutadores de capa 3 están conectando las capas de distribuc ió n
y acceso. Los seis equipos están completamente en la capa Access.
Aunque es muy probable que STP siga utilizándose como mecanismo de prevención de
bucles en la empresa, en los conmutadores de capa de acceso también se están utiliza ndo
otras tecnologías, incluidas las siguientes:
Agregación de enlaces de múltiples sistemas (MLAG)
 Puente de ruta más corta (SPB)

 Interconexión transparente de muchos enlaces. (TRILL)
Note: Estas tecnologías están fuera del alcance de este curso.
5.3.6
Compruebe su comprensión - Evolución de

STP
Compruebe su comprensión de la evolución de STP eligiendo la mejor respuesta a las
P á g i n a | 264
P á g i n a | 265
Conceptos de STP / Práctica del módulo y cuestionario

P á g i n a | 266

5.4.1

Propósito de STP
Las rutas redundantes en una red Ethernet conmutada pueden causar bucles de Capa 2 físicos
y lógicos. Un bucle de capa 2 puede provocar inestabilidad en la tabla de direcciones MAC,
saturación de enlaces y alta utilización de CPU en conmutadores y dispositivos finales. Esto
hace que la red se vuelva inutilizable. A diferencia de los protocolos de Capa 3, IPv4 e IPv6,
Layer 2 Ethernet no incluye un mecanismo para reconocer y eliminar tramas de bucle sin fin.
Las LAN Ethernet requieren una topología sin bucles con una única ruta entre dos
dispositivos. STP es un protocolo de red de prevención de bucles que permite redundancia
mientras crea una topología de capa 2 sin bucles. Sin STP, se pueden formar bucles de capa
2, lo que hace que las tramas de difusión, multidifusión y unicast desconocidos se
reproduzcan sin fin, lo que reduce una red. Una tormenta de difusión es un número
anormalmente alto de emisiones que abruman la red durante un período específico de tiempo.
Las tormentas de difusión pueden deshabilitar una red en cuestión de segundos al abrumar
los conmutadores y los dispositivos finales. STP se basa en un algoritmo inventado por Radia
Perlman. Su algoritmo de árbol de expansión (STA) crea una topología sin bucles al
seleccionar un único puente raíz donde todos los demás conmutadores determinan una única
ruta de menor costo.
Operaciones STP
Usando STA, STP crea una topología sin bucles en un proceso de cuatro pasos: elija el puente
raíz, elija los puertos raíz, elija los puertos designados y elija los puertos alternativos
(bloqueados). Durante las funciones STA y STP, los conmutadores utilizan BPDU para
compartir información sobre sí mismos y sus conexiones. Las BPDU se utilizan para elegir
el puente raíz, los puertos raíz, los puertos designados y los puertos alternativos. Cada BPDU
contiene un BID que identifica al switch que envió la BPDU. El BID participa en la toma de
muchas de las decisiones STA, incluidos los roles de puente raíz y puerto. El BID contiene
un valor de prioridad, la dirección MAC del conmutador y un ID de sistema extendido. El
valor de BID más bajo lo determina la combinación de estos tres campos. El switch que tiene
el BID más bajo se convierte en el puente raíz. Dado que el BID predeterminado es 32.768,
es posible que dos o más conmutadores tengan la misma prioridad. En este escenario, donde
las prioridades son las mismas, el conmutador con la dirección MAC más baja se convertirá
en el puente raíz. Cuando se ha elegido el puente raíz para una instancia de árbol de expansión
dado, el STA determina las mejores rutas al puente raíz desde todos los destinos en el dominio
de difusión. La información de la ruta, conocida como el costo interno de la ruta raíz, está
determinada por la suma de todos los costos de los puertos individuales a lo largo de la ruta
desde el conmutador hasta el puente raíz. Después de determinar el puente raíz, el algoritmo
STA selecciona el puerto raíz. El puerto raíz es el puerto más cercano al puente raíz en
P á g i n a | 267
términos de costo total, que se denomina costo de ruta raíz interna. Después de que cada
switch selecciona un puerto raíz, los switches seleccionarán los puertos designados. El puerto
designado es un puerto en el segmento (con dos switches) que tiene el costo de ruta raíz
interna al puente raíz. Si un puerto no es un puerto raíz o un puerto designado, se convierte
en un puerto alternativo (o de copia de seguridad). Los puertos alternativos y los puertos de
respaldo están en estado de descarte o bloqueo para evitar bucles. Cuando un switch tiene
varias rutas de igual costo al puente raíz, el switch determinará un puerto utilizando los
siguientes criterios: BID del remitente más bajo, prioridad del puerto del remitente más bajo
y, finalmente, el ID del puerto del remitente más bajo. La convergencia STP requiere tres
temporizadores: el temporizador de saludo, el temporizador de retardo de avance y el
temporizador de edad máxima. Los estados de puerto están bloqueando, escuchando,
aprendiendo, reenviando y deshabilitados. En las versiones PVST de STP, hay un puente raíz
elegido para cada instancia de árbol de expansión. Esto hace posible tener diferentes puentes
raíz para diferentes conjuntos de VLAN.
Evolución de STP.
El término Protocolo Spanning Tree y el acrónimo STP pueden ser engañosos. STP se utiliza
a menudo para hacer referencia a las diversas implementaciones del árbol de expansión,
como RSTP y MSTP. RSTP es una evolución de STP que proporciona una convergencia más
rápida que STP. Los estados del puerto RSTP están aprendiendo, reenviando y descartando.
PVST + es una mejora de Cisco de STP que proporciona una instancia de árbol de expansión
separada para cada VLAN configurada en la red. PVST + admite PortFast, UplinkFast,
BackboneFast, protección BPDU, filtro BPDU, protección raíz y protección de bucle. Los
switches de Cisco con IOS 15.0 o posterior ejecutan PVST+ de manera predeterminada.
Rapid PVST+ es una mejora de Cisco de RSTP que utiliza PVST+ y proporciona una
instancia independiente de 802.1w por VLAN. Cuando un puerto de conmutador se configura
con PortFast, ese puerto pasa del bloqueo al estado de reenvío inmediatamente, omitiendo
los estados de escucha y aprendizaje STP y evitando un retraso de 30 segundos. Use PortFast
en los puertos de acceso para permitir que los dispositivos conectados a estos puertos, como
los clientes DHCP, accedan a la red de inmediato, en lugar de esperar a que STP converja en
cada VLAN. Los switches Cisco admiten una función llamada BPDU guard que coloca
inmediatamente el puerto del switch en un estado de error deshabilitado al recibir cualquier
BPDU para protegerlo contra posibles bucles. A lo largo de los años, las LAN Ethernet
pasaron de unos pocos conmutadores interconectados conectados conectados a un único
router, a un sofisticado diseño de red jerárquica. Dependiendo de la implementación, la capa
2 puede incluir no solo la capa de acceso, sino también la distribución o incluso las capas
principales. Estos diseños pueden incluir cientos de switches, con cientos o incluso miles de
VLAN. STP se ha adaptado a la redundancia y complejidad añadida con mejoras como parte
de RSTP y MSTP. El enrutamiento de capa 3 permite rutas y bucles redundantes en la
topología, sin bloquear puertos. Por esta razón, algunos entornos están en transición a la capa
3 en todas partes, excepto donde los dispositivos se conectan al conmutador de capa de
acceso.
P á g i n a | 268
5.4.2
Module Quiz - STP

P á g i n a | 269
P á g i n a | 270
P á g i n a | 271
P á g i n a | 272
Capítulo 6_EtherChannel
Introducción
6.0.1

¡Bienvenido a EtherChannel!
El diseño de la red incluye switches y enlaces redundantes. Usted tiene alguna versión de
STP configurada para evitar bucles de Capa 2. Pero ahora usted, como la mayoría de los
P á g i n a | 273
administradores de red, se da cuenta de que podría usar más ancho de banda y redundancia
en su red. ¡Nada de qué preocuparse, EtherChannel está aquí para ayudarle! EtherChanne l
agrega enlaces entre dispositivos en paquetes. Estos paquetes incluyen enlaces redundantes.
STP puede bloquear uno de esos enlaces, pero no los bloqueará todos. ¡Con EtherChannel su
red puede tener redundancia, prevención de bucles y mayor ancho de banda!
Hay dos protocolos, PAgP y LACP. Este módulo explica ambos y también muestra cómo
configurarlos, verificarlos y solucionarlos. Un Verificador de sintaxis y dos actividades
Packet Tracer le ayudan a comprender mejor estos protocolos. ¿Qué está esperando?
6.0.2

Título del módulo: EtherChannel
Objetivos del módulo: Resuelva problemas de EtherChannel en enlaces conmutados.
Funcionamiento de EtherChannel Describa la tecnología EtherChannel.
Configuración de EtherChannel Configure EtherChannel.
Verificación y solución de problemas de

Solucione problemas de EtherChannel.
EtherChannel
1. EtherChannel / Funcionamiento de EtherChannel
Funcionamiento de EtherChannel
6.1.1
Añadidura de enlaces
Hay escenarios en los que se necesita más ancho de banda o redundancia entre dispositivos
que lo que puede proporcionar un único enlace. Se pueden conectar varios enlaces entre
dispositivos para aumentar el ancho de banda. Sin embargo, el Spanning Tree Protocol
(STP), que está habilitado en dispositivos de capa 2 como switches de Cisco de forma
P á g i n a | 274
predeterminada, bloqueará enlaces redundantes para evitar bucles de switching, como se

muestra en la figura.
Se necesita una tecnología de agregación de enlaces que permita enlaces redundantes entre
dispositivos que no serán bloqueados por STP. Esa tecnología se conoce como EtherChanne l.
EtherChannel es una tecnología de agregación de enlaces que agrupa varios enlaces Ethernet
físicos en un único enlace lógico. Se utiliza para proporcionar tolerancia a fallos, uso
compartido de carga, mayor ancho de banda y redundancia entre switches, routers y
servidores.
La tecnología de EtherChannel hace posible combinar la cantidad de enlaces físicos entre los
switches para aumentar la velocidad general de la comunicación switch a switch.
Dos switches multicapa conectados cada uno a un switch LAN a través de dos conexiones de
red físicas; una de las dos conexiones se muestra como bloqueada por STP.
De manera predeterminada, STP bloquea los enlaces redundantes.
6.1.2
EtherChannel
En los inicios, Cisco desarrolló la tecnología EtherChannel como una técnica switch a switch
LAN para agrupar varios puertos Fast Ethernet o gigabit Ethernet en un único canal lógico.
P á g i n a | 275
Cuando se configura un EtherChannel, la interfaz virtual resultante se denomina “canal de

puertos”. Las interfaces físicas se agrupan en una interfaz de canal de puertos, como se
Dos switches multicapa conectados cada uno a un switch LAN a través de dos conexiones de
red físicas; ambas conexiones se han combinado en un EtherChannel.
6.1.3
Ventajas de EtherChannel
La tecnología EtherChannel tiene muchas ventajas, que incluye:
 La mayoría de las tareas de configuración se pueden realizar en la interfaz EtherChannel en lugar de

en cada puerto individual, lo que asegura la coherencia de configuración en todos los enlaces.
 EtherChannel depende de los puertos de switch existentes. No es necesario actualizar el enlace a
una conexión más rápida y más costosa para tener más ancho de banda.
 El equilibrio de carga ocurre entre los enlaces que forman parte del mismo EtherChannel. Según la
plataforma de hardware, se pueden implementar uno o más métodos de equilibrio de carga. Estos
métodos incluyen equilibrio de carga de la MAC de origen a la MAC de destino o equilibrio de carga
de la IP de origen a la IP de destino, a través de enlaces físicos.
 EtherChannel crea una agregación que se ve como un único enlace lógico. Cuando existen varios
grupos EtherChannel entre dos switches, STP puede bloquear uno de los grupos para evitar los
bucles de switching. Cuando STP bloquea uno de los enlaces redundantes, bloquea el EtherChannel
completo. Esto bloquea todos los puertos que pertenecen a ese enlace EtherChannel. Donde solo
existe un único enlace EtherChannel, todos los enlaces físicos en el Ethe rChannel están activos, ya
que STP solo ve un único enlace (lógico).
P á g i n a | 276
 EtherChannel proporciona redundancia, ya que el enlace general se ve como una única conexión
lógica. Además, la pérdida de un enlace físico dentro del canal no crea ningún cambio en la
topología. Por lo tanto, no es necesario volver a calcular el árbol de expansión. Suponiendo que haya
por lo menos un enlace físico presente, el EtherChannel permanece en funcionamiento, incluso si
su rendimiento general disminuye debido a la pérdida de un e nlace dentro del EtherChannel.
6.1.4
Restricciones de implementación
EtherChannel tiene ciertas restricciones de implementación, entre las que se incluyen las
siguientes:
 No pueden mezclarse los tipos de interfaz. Por ejemplo, Fast Ethernet y Gigabit Ethe rnet no se
pueden mezclar dentro de un único EtherChannel.
 En la actualidad, cada EtherChannel puede constar de hasta ocho puertos Ethernet configurados de
manera compatible. El EtherChannel proporciona un ancho de banda full-duplex de hasta 800 Mbps
(Fast EtherChannel) u 8 Gbps (Gigabit EtherChannel) entre un switch y otro switch o host.
 El switch Cisco Catalyst 2960 Layer 2 soporta actualmente hasta seis EtherChannels. Sin embargo, a
medida que se desarrollan nuevos IOS y cambian las plataformas, algunas tarjetas y plataformas
pueden admitir una mayor cantidad de puertos dentro de un enlace EtherChannel, así como una
mayor cantidad de Gigabit EtherChannels.
 La configuración de los puertos individuales que forman parte del grupo EtherChannel debe ser
coherente en ambos dispositivos. Si los puertos físicos de un lado se configuran como enlaces
troncales, los puertos físicos del otro lado también se deben configurar como enlaces troncales
dentro de la misma VLAN nativa. Además, todos los puertos en cada enlace EtherChannel se deben
configurar como puertos de capa 2.
 Cada EtherChannel tiene una interfaz de canal de puertos lógica, como se muestra en la figura. La
configuración aplicada a la interfaz de canal de puertos afecta a todas las interfaces físicas que se
asignan a esa interfaz.
P á g i n a | 277
El diagrama ilustra la vista frontal de un switch 2960 que muestra los enlaces de grupos de
canales de múltiples puertos físicos 10/100/1000 en interfaces lógicas de canal de puerto.
Una interfaz de canal de puerto lógico une los puertos físicos 1 - 6 juntos y la otra une los
puertos 9 - 12 juntos.
6.1.5
Protocolos de negociación automática

Los EtherChannels se pueden formar por medio de una negociación con uno de dos
protocolos: Port Aggregation Protocol (PAgP) o Link Aggregatio n Control Protocol (LACP).
Estos protocolos permiten que los puertos con características similares formen un canal
mediante una negociación dinámica con los switches adyacentes.
Nota: También es posible configurar un EtherChannel estático o incondicional sin PAgP o

LACP.
6.1.6
Funcionamiento PAgP
PAgP (pronunciado “Pag - P”) es un protocolo patentado por Cisco que ayuda en la creación
automática de enlaces EtherChannel. Cuando se configura un enlace EtherChannel mediante
PAgP, se envían paquetes PAgP entre los puertos aptos para EtherChannel para negociar la
formación de un canal. Cuando PAgP identifica enlaces Ethernet compatibles, agrupa los
enlaces en un EtherChannel. El EtherChannel después se agrega al árbol de expansión como
un único puerto.
Cuando se habilita, PAgP también administra el EtherChannel. Los paquetes PAgP se envían
cada 30 segundos. PAgP revisa la coherencia de la configuración y administra los enlaces
que se agregan, así como las fallas entre dos switches. Cuando se crea un EtherChanne l,
asegura que todos los puertos tengan el mismo tipo de configuración.
Nota: En EtherChannel, es obligatorio que todos los puertos tengan la misma velocidad, la
misma configuración de dúplex y la misma información de VLAN. Cualquier modificac ió n
de los puertos después de la creación del canal también modifica a los demás puertos del
canal.
PAgP ayuda a crear el enlace EtherChannel al detectar la configuración de cada lado y

asegurarse de que los enlaces sean compatibles, de modo que se pueda habilitar el enlace
EtherChannel cuando sea necesario. Los modos de PAgP de la siguiente manera:
 On - Este modo obliga a la interfaz a proporcionar un canal sin PAgP. Las interfaces configuradas en
el modo encendido no intercambian paquetes PAgP.
P á g i n a | 278
 PAgP deseable - Este modo PAgP coloca una interfaz en un estado de negociación activa en el que
la interfaz inicia negociaciones con otras interfaces al enviar paquetes PAgP.
 PAgP automático - Este modo PAgP coloca una interfaz en un estado de negociación pasiva en el
que la interfaz responde a los paquetes PAgP que recibe, pero no inicia la negociación PAgP.
Los modos deben ser compatibles en cada lado. Si se configura un lado en modo automático,
se coloca en estado pasivo, a la espera de que el otro lado inicie la negociación del
EtherChannel. Si el otro lado se establece en modo automático, la negociación nunca se inicia
y no se forma el canal EtherChannel. Si se deshabilitan todos los modos usando no el
comando, o si se configura el modo no, el EtherChannel se deshabilitará.
El modo encendido coloca manualmente la interfaz en un EtherChannel, sin ninguna

negociación. Funciona solo si el otro lado también se establece en modo encendido. Si el otro
lado se establece para negociar los parámetros a través de PAgP, no se forma ningún
EtherChannel, ya que el lado que se establece en modo encendido no negocia.
El hecho de que no haya negociación entre los dos switches significa que no hay un control
para asegurarse de que todos los enlaces en el EtherChannel terminen del otro lado o de que
haya compatibilidad con PAgP en el otro switch.
6.1.7
Ejemplo de configuración del modo PAgP

Considere los dos switches en la figura. Si S1 y S2 establecen un EtherChannel usando
PAgP depende de la configuración de modo en cada lado del canal.
dos switches LAN conectados entre sí a través de dos conexiones de red físicas que han
formado un EtherChannel mediante PAgP
La tabla muestra las diversas combinaciones de modos PAgP en S1 y S2 y el resultado del

establecimiento de canales.
P á g i n a | 279
Modos PAgP
S1 S2 Establecimiento del canal
Activo Activo Sí
Activado Desdeseable/Automático No
Deseado Deseado Sí
Deseado Automático Sí
Automático Deseado Sí
Automático Automático No
6.1.8
Operación LACP
LACP forma parte de una especificación IEEE (802.3ad) que permite agrupar varios puertos
físicos para formar un único canal lógico. LACP permite que un switch negocie un grupo
automático mediante el envío de paquetes LACP al otro switch. Realiza una función similar
a PAgP con EtherChannel de Cisco. Debido a que LACP es un estándar IEEE, se puede usar
para facilitar los EtherChannels en entornos de varios proveedores. En los dispositivos de
Cisco, se admiten ambos protocolos.
Nota: LACP en los inicios, se definió como IEEE 802.3ad. Sin embargo, LACP ahora se
define en el estándar más moderno IEEE 802.1AX para la redes de área local y metropolita na.
LACP proporciona los mismos beneficios de negociación que PAgP. LACP ayuda a crear el
enlace EtherChannel al detectar la configuración de cada lado y al asegurarse de que sean
compatibles, de modo que se pueda habilitar el enlace EtherChannel cuando sea necesario.
Los modos para LACP son los siguientes:
 On - Este modo obliga a la interfaz a proporcionar un canal sin LACP. Las interfaces configuradas en
el modo encendido no intercambian paquetes LACP.
 LACP activo - Este modo de LACP coloca un puerto en estado de negociación activa. En este estado,
el puerto inicia negociaciones con otros puertos mediante el envío de paquetes LACP.
P á g i n a | 280
 LACP pasivo - Este modo de LACP coloca un puerto en estado de negociación pasiva. En este estado,
el puerto responde a los paquetes LACP que recibe, pero no inicia la negociación de paquetes LACP.
Al igual que con PAgP, los modos deben ser compatibles en ambos lados para que se forme
el enlace EtherChannel. Se repite el modo encendido, ya que crea la configuración de
EtherChannel incondicionalmente, sin la negociación dinámica de PAgP o LACP.
El protocolo LACP permite ocho enlaces activos y, también, ocho enlaces de reserva. Un
enlace de reserva se vuelve activo si falla uno de los enlaces activos actuales.
6.1.9
Ejemplo de configuración del modo LACP

Considere los dos switches en la figura. Si S1 y S2 establecen un EtherChannel usando LACP
depende de la configuración de modo en cada lado del canal.
Dos switches LAN conectados entre sí a través de dos conexiones de red físicas que han
formado un EtherChannel utilizando LACP.
La tabla muestra las diversas combinaciones de modos LACP en S1 y S2 y el resultado

resultante del establecimiento de canales.
Modos LACP
Activo Activo Sí
Activado Activo/pasivo No
P á g i n a | 281
Activo Activo Sí
Activo Pasivo Sí 
Pasivo Activo Sí
Pasivo Pasivo No
6.1.10
Verifique su comprensión -
Funcionamiento de EtherChannel
Verifique su comprensión del funcionamiento de EtherChannel eligiendo la MEJOR
respuesta a las siguientes preguntas.
P á g i n a | 282
P á g i n a | 283
P á g i n a | 284
EtherChannel / Configuración de EtherChannel
Configuración de EtherChannel
6.2.1
Instrucciones de configuración
Ahora que ya sabe qué es EtherChannel, en este tema se explica cómo configurarlo. Las
siguientes pautas y restricciones son útiles para configurar EtherChannel:
P á g i n a | 285
 Soporte de EtherChannel - Todas las interfaces Ethernet deben admitir EtherChannel, sin
necesidad de que las interfaces sean físicamente contiguas
 Velocidad y dúplex - Configure todas las interfaces en un EtherChannel para que funcionen a
la misma velocidad y en el mismo modo dúplex.
 Coincidencia VLAN - Todas las interfaces en el grupo EtherChannel se deben asignar a la
misma VLAN o se deben configurar como enlace troncal (mostrado en la figura).
 Rango de VLAN - An EtherChannel supports the same allowed range of VLANs on all the
interfaces in a trunking EtherChannel. If the allowed range of VLANs is not the same, the
interfaces do not form an EtherChannel, even when they are set to modo or auto desirable.
La figura muestra una configuración que permitiría que se forme un EtherChannel entre el S1 y
el S2.
Un EtherChannel se forma cuando los ajustes de configuración coinciden en ambos switches.
El diagrama muestra dos switches LAN conectados entre sí a través de dos conexiones de red
físicas que han formado un EtherChannel basado en sus configuraciones de puerto. Las
configuraciones de puertos S1 y S2 son; velocidad de 1 Gbps, dúplex completo y VLAN 10.
En la siguiente figura, los puertos de S1 están configurados en modo semidúplex. Por lo tanto,
no se formará un EtherChannel entre el S1 y el S2.
P á g i n a | 286
Un EtherChannel no se forma cuando los ajustes de configuración son diferentes en cada

switch.
El diagama muestra dos switches LAN conectados entre sí a través de dos conexiones de red
físicas que no han formado un EtherChannel en función de sus configuraciones de puerto. Las
configuraciones de puerto S1 son; velocidad de 1 Gbps, mitad dúplex y VLAN 10. Las
configuraciones de puertos S2 son; velocidad de 1 Gbps, dúplex completo y VLAN 10.
Si se deben modificar estos parámetros, configúrelos en el modo de configuración de interfaz

de canal de puertos. Cualquier configuración que se aplique a la interfaz de canal de puertos
también afectará a las interfaces individuales. Sin embargo, las configuraciones que se aplican
a las interfaces individuales no afectan a la interfaz de canal de puertos. Por ello, realizar
cambios de configuración a una interfaz que forma parte de un enlace EtherChannel puede
causar problemas de compatibilidad de interfaces.
El canal de puertos se puede configurar en modo de acceso, modo de enlace troncal (más
frecuente) o en un puerto enrutado.
6.2.2
Ejemplo de Configuración de LACP

EtherChannel está deshabilitado de forma predeterminada y debe config urarse. La topología de
la figura se utilizará para demostrar un ejemplo de configuración de EtherChannel utilizando
LACP.
Dos switches, S1 y S2, están conectados entre sí a través de dos conexiones de red físicas que
han formado un EtherChannel; el puerto F0/1 en S1 está conectado al puerto F0/1 en S2; el
puerto F0/2 en S1 está conectado al puerto F0/2 en S2.
La configuración de EtherChannel con LACP requiere tres pasos:
Paso 1. Especifique las interfaces que conforman el grupo EtherChannel mediante el interface
range el comando de modo de configuración interface global. La palabra clave range le permite
seleccionar varias interfaces y configurarlas a la vez.
Paso 2. Cree la interfaz port channel con el channel-group comando mode active identifier en
el modo de configuración de interface range. El identificador especifica el número del grupo del
canal. Las mode active palabras clave identifican a esta configuración como EtherChannel
LACP.
P á g i n a | 287
Paso 3. Para cambiar la configuración de capa 2 en la interfaz de ca nal de puertos, ingrese al

modo de configuración de interfaz de canal de puertos mediante el interface port-
channel comando, seguido del identificador de la interfaz. En el ejemplo, S1 está configurado
con un EtherChannel LACP. El canal de puertos está configurado como interfaz de enlace
troncal con VLAN permitidas específicas.
6.2.3
Verificador de sintaxis - Configuración

EtherChannel
Configurar EtherChannel para S2 en función de los requisitos especificados .
Ingrese al modo interface range para FastEthernet0/1 y FastEthernet0/2. Úselo fa 0/1 - 2 como
designación de interfaz.
S1(config)#interface range fa 0/1 - 2
Use context sensitive help (?) to display the options for the channel-group command.
S1(config-if-range)#channel-group ?
<1-6> Channel group number
P á g i n a | 288
Select channel-group 1 and display the next option.
S1(config-if-range)#channel-group 1 ?
mode Etherchannel Mode of the interface
Enter the mode keyword and display the next set of options.
S1(config-if-range)#channel-group 1 mode ?
active Enable LACP unconditionally
auto Enable PAgP only if a PAgP device is detected
desirable Enable PAgP unconditionally
on Enable Etherchannel only
passive Enable LACP only if a LACP device is detected
Configure the channel-group to use LACP unconditionally.
S1(config-if-range)#channel-group 1 mode active

*Mar 21 00:02:28.184: %LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/1, changed state
to down
to down
to up
to up
to down
to down
to up
*Mar 21 00:04:34.114: %LINK-3-UPDOWN: Interface Port-channel1, changed
state to up
to up
Port-channel1, changed state to
up
Configure the switchport settings for the port-channel that was created:
 Enter interface configuration mode for port-channel 1

 Configure port-channel 1 as a trunk
 Allow VLANS 1,2,20 to cross the trunk link. Enter the VLANs as shown with no spaces.
S1(config-if-range)#interface port-channel 1
P á g i n a | 289
S1(config-if)#switchport mode trunk

S1(config-if)#switchport trunk allowed vlan 1,2,20
You have successfully configured EtherChannel.
6.2.4
Packet Tracer - Configuración de

EtherChannel
Acaban de instalarse tres switches. Hay enlaces redundantes entre los switches. Con esta
configuración, solo uno de estos enlaces puede utilizarse; de lo contrario, podría producirse un
bucle de bridging. Sin embargo, con el uso de un solo enlace, se emplea solo la mitad del ancho
de banda disponible. EtherChannel permite que hasta ocho enlaces redundantes se agrupen
en un enlace lógico. En esta práctica de laboratorio, configurará el protocolo PAgP (Port
Aggregation Protocol, protocolo de agregación de enlaces), un protocolo Cisco EtherChannel y
el protocolo LACP (Link Aggregation Control Protocol, protocolo de control de agregación de
enlaces), una versión de estándar abierto IEEE 802.3ad de EtherChannel.
Configure EtherChannel
Configure EtherChannel
EtherChannel / Verificación y solución de problemas de EtherChannel
Verificación y solución de
problemas de EtherChannel
6.3.1
Verificar EtherChannel
Como siempre, al configurar dispositivos en su red, debe verificar su configuración. Si hay
problemas, también deberá poder solucionarlos y solucionarlos. En este tema se proporcionan
los comandos que se deben verificar, así como algunos problemas comunes de red
EtherChannel y sus soluciones.
Los ejemplos de comandos de verificación utilizarán la topología mostrada en la figura.

P á g i n a | 290
El comando show interfaces port-channel muestra el estado general de la interfaz de canal

de puertos. En la figura, la interfaz de canal de puertos 1 está activa.
Cuando se configuren varias interfaces de canal de puertos en el mismo dispositivo, puede usar
el comando show etherchannel summary para mostrar una única línea de información por
canal de puertos. En el resultado, el switch tiene un EtherChannel configurado; el grupo 1 utiliza
el LACP.
El grupo de interfaces consta de las interfaces FastEthernet0/1 y FastEthernet0/2. El grupo es

un EtherChannel de capa 2 y está en uso, según lo indican las letras SU junto al número de
canal de puertos.
P á g i n a | 291
Use el comando show etherchannel port-channel para mostrar información sobre la interfaz
del canal de puertos específica, como se muestra en el resultado. En el ejemplo, la interfaz de
canal de puertos 1 consta de dos interfaces físicas, FastEthernet0/1 y FastEthernet0/2. Esta usa
LACP en modo activo. Está correctamente conectada a otro switch con una configuración
compatible, razón por la cual se dice que el canal de puertos está en uso.
P á g i n a | 292
En cualquier miembro de una interfaz física de un grupo EtherChannel, el show interfaces

etherchannel comando puede proporcionar información sobre la función de la interfaz en el
EtherChannel, como se muestra en el resultado. La interfaz FastEthernet0/1 for ma parte del
grupo EtherChannel 1. El protocolo para este EtherChannel es LACP.
6.3.2
Common Issues with EtherChannel

Configurations
Todas las interfaces dentro de un EtherChannel deben tener la misma configuración de
velocidad y modo dúplex, de VLAN nativas y permitidas en los enlaces troncales, y de VLAN de
acceso en los puertos de acceso. Garantizar estas configuraciones reducirá significativamente
los problemas de red relacionados con EtherChannel. Entre los problemas comunes de
EtherChannel se incluyen los siguientes:
 Los puertos asignados en el EtherChannel no son parte de la misma VLAN ni son configurados
como enlace troncal. Los puertos con VLAN nativas diferentes no pueden formar un
EtherChannel. La* conexión troncal se configuró en algunos de los puertos que componen el
EtherChannel, pero no en todos ellos. No se recomienda que configure el modo de enlace
troncal en los puertos individuales que conforman el EtherChannel. Al configurar un enlace
troncal en un EtherChannel, compruebe el modo de enlace troncal en EtherChannel.
 Si el rango permitido de VLANs no es el mismo, los puertos no formarán un EtherChannel,
incluso cuando PAgP está configurado en modo auto o desirable.
 Las opciones de negociación dinámica para PAgP y LACP no se encuentran con figuradas de
manera compatible en ambos extremos del EtherChannel.
P á g i n a | 293
Nota: Es fácil confundir PAgP o LACP con DTP, ya que ambos son protocolos que se usan para
automatizar el comportamiento en los enlaces troncales. PAgP y LACP se usan para la
agregación de enlaces (EtherChannel). DTP se usa para automatizar la creación de enlaces
troncales. Cuando se configura un enlace troncal de EtherChannel, normalmente se configura
primero EtherChannel (PAgP o LACP) y después DTP.
6.3.3
Ejemplo de solucionar problemas de

EtherChannel.
En la figura, las interfaces F0/1 y F0/2 en los switches S1 y S2 se conectan con un EtherChannel.
Sin embargo, el EtherChannel no está operativo.
Paso 1. Ver la información de resumen de EtherChannel
La salida del comando show etherchannel summary indica que el EtherChannel está caído.
P á g i n a | 294
Paso 2: Verifique la configuración de canalización de puerto
En la salida de show run | begin interface port-channel, una salida más detallada indica que
existen modos PAgP incompatibles configurados en los switches S1 y S2.
Paso 3: Corregir las configuraciones incorrectas
Para corregir el problema, el modo PAgP en el EtherChannel se cambia a deseable.
Nota: EtherChannel y STP deben interoperar. Por este motivo, el orden en el que se introducen
los comandos relacionados con EtherChannel es importante, y por ello se puede ver que se
quitó el canal de puertos de interfaz1 y después se volvió a agregar con el comando channel-
group, en vez de cambiarse directamente. Si se intenta cambiar la configuración directamente,
los errores STP hacen que los puertos asociados entren en estado de bloqueo o errdisabled.
P á g i n a | 295
Paso 4. Verificar que EtherChannel este en funcionamiento
El EtherChannel ahora está activo según lo verificado por la salida del comando show
etherchannel summary.
6.3.4
Packet Tracer: Solución de problemas de

EtherChannel
Un técnico júnior configuró recientemente cuatro switches. Los usuarios se quejan de que la red
funciona con lentitud y le piden que investigue.
P á g i n a | 296
Troubleshoot EtherChannel
Troubleshoot EtherChannel
EtherChannel / Práctica del módulo y cuestionario

6.4.1
Packet Tracer - Implementar

EtherChannel
Se le ha encomendado diseñar una implementación de EtherChannel para una empresa que
desee mejorar el rendimiento de los enlaces troncal del switch. Intentará varias formas
diferentes de implementar los enlaces EtherChannel con el fin de evaluar cuál es el mejor
para la empresa. Construirá la topología, configurará puertos troncales e implementará
EtherChannels LACP y PAgP.
Implement Etherchannel
6.4.2
Lab - Implementar EtherChannel

 Parte 1: Armar la red y configurar los ajustes básicos de los dispositivos

 Parte 2: Crear redes VLAN y asignar puertos de switch
 Parte 3: Configurar un enlace troncal 802.1Q entre los switches
 Parte 4: Implementar y verificar un EtherChannel entre los switches
P á g i n a | 297
6.4.3

Operación con EtherChannel
Para aumentar el ancho de banda o la redundancia, se pueden conectar varios enlaces entre
dispositivos. Sin embargo, el STP bloquea los enlaces redundantes para evitar los bucles de
switching. EtherChannel es una tecnología de agregación de enlaces que permite enlaces
redundantes entre dispositivos que no serán bloqueados por STP. EtherChannel agrupa varios
enlaces Ethernet físicos en un único enlace lógico. Proporciona tolerancia a fallos, uso
compartido de carga, mayor ancho de banda y redundancia entre conmutadores, enrutadores
y servidores. Cuando se configura un EtherChannel, la interfaz virtual resultante se denomina
“canal de puertos”. EtherChannel tiene varias ventajas, así como algunas restricciones a la
implementación. Los EtherChannels se pueden formar por medio de una negociación con
uno de dos protocolos: PAgP o LACP. Estos protocolos permiten que los puertos con
características similares formen un canal mediante una negociación dinámica con los
switches adyacentes. Cuando se configura un enlace EtherChannel mediante un propietario
Cisco PAgP, se envían paquetes PAgP entre los puertos aptos para EtherChannel para
negociar la formación de un canal. Los modos PAgP se encienden, PAgP deseable y PAgP
automático. LACP realiza una función similar a PAgP con EtherChannel de Cisco. Debido a
que LACP es un estándar IEEE, se puede usar para facilitar los EtherChannels en entornos
de varios proveedores. Los modos LACP se encienden, LACP activo y LACP pasivo.
Configurar EtherChannel
Las siguientes pautas y restricciones son útiles para configurar EtherChannel:
 EtherChannel support - Todas las interfaces Ethernet en todos los módulos deben admitir
EtherChannel, sin necesidad de que las interfaces sean físicamente contiguas o estén en el mismo
módulo.
 Speed and duplex - Configure todas las interfaces en un EtherChannel para que funcionen a la
misma velocidad y en el mismo modo dúplex.
 VLAN match - Todas las interfaces en el grupo EtherChannel se deben asignar a la misma VLAN o se
deben configurar como enlace troncal.
 Range of VLANs - Un EtherChannel admite el mismo rango permitido de VLAN en todas las
interfaces de un EtherChannel de enlace troncal.
La configuración de EtherChannel con LACP requiere tres pasos:
Paso 1. Especifique las interfaces que conforman el grupo EtherChannel mediante el

comando de modo de configuración global interface range.
Paso 2. Cree la interfaz de canal de puerto con el comando channel-group identifier mode
active en el modo de configuración de rango de interfaz.
P á g i n a | 298
Paso 3. Para cambiar la configuración de capa 2 en la interfaz de canal de puertos, ingrese al

modo de configuración de interfaz de canal de puertos mediante el comando interface port-
channel, seguido del identificador de la interfaz.
Verificar y resolver problemas de EtherChannel.
Existe una variedad de comandos para verificar una configuración EtherChannel que
incluye, show interfaces port-channel, show etherchannel summary, show etherchanne l
port-channel y show interfaces etherchannel. Entre los problemas comunes de
EtherChannel se incluyen los siguientes:
 Los puertos asignados en el EtherChannel no son parte de la misma VLAN ni son configurados como
enlace troncal. Los puertos con VLAN nativas diferentes no pueden formar un EtherChannel.
 La conexión troncal se configuró en algunos de los puertos que componen el EtherChannel, pero no
en todos ellos. Si el rango permitido de VLAN no es el mismo, los puertos no forman un
EtherChannel, incluso cuando PAgP se establece en modo automático o deseado. Las opciones de
negociación dinámica para PAgP y LACP no se encuentran configuradas de manera compatible en
ambos extremos del EtherChannel.
6.4.4
Módulo Quiz - Etherchannel

P á g i n a | 299
P á g i n a | 300
P á g i n a | 301
P á g i n a | 302
P á g i n a | 303
P á g i n a | 304
P á g i n a | 305
P á g i n a | 306
P á g i n a | 307
P á g i n a | 308
Capítulo 7_DHCPv4
Introducción
7.0.1

¡Bienvenido a DHCPv4!
El protocolo de configuración dinámica de host (DHCP) se utiliza para asignar direcciones

IPv4 dinámicamente a hosts de red. DHCPv4 es para una red IPv4. (No se preocupe,
aprenderá acerca de DHCPv6 en otro módulo.) Esto significa que usted, el administrador de
la red, no tiene que pasar el día configurando direcciones IP para cada dispositivo de la red.
En una pequeña casa u oficina, eso no sería muy difícil, pero cualquier red grande podría
tener cientos, o incluso miles de dispositivos.
En este módulo, aprenderá a configurar un router Cisco IOS para que sea un servidor
DHCPv4. A continuación, aprenderá cómo configurar un router Cisco IOS como cliente. Este
módulo incluye algunos comprobadores de sintaxis y una actividad Packet Tracer para
ayudarle a probar sus nuevos conocimientos. Las habilidades de configuración DHCPv4
reducirán significativamente su carga de trabajo, ¿y quién no quiere eso?
P á g i n a | 309
7.0.2

Título del módulo: DHCPv4
Objetivos del módulo: Implemente DHCPv4 para operar en varias LAN.
Explicar la forma en la que funciona DHCPv4 en la red

ConceptosDHCPv4
de una pequeña o mediana empresa .
Configurar un servidor DHCPv4

Configure un router como servidor DHCPv4.
del IOS de Cisco
Configurar un cliente DHCPv4 Configure un router como cliente DHCPv4.
DHCPv4 / Conceptos DHCPv4
Conceptos DHCPv4
7.1.1
Servidor y cliente DHCPv4

Dynamic Host Configuration Protocol v4 (DHCPv4) asigna direcciones IPv4 y otra
información de configuración de red dinámicamente. Dado que los clientes de escritorio
suelen componer gran parte de los nodos de red, DHCPv4 es una herramie nta
extremadamente útil para los administradores de red y que ahorra mucho tiempo.
Un servidor de DHCPv4 dedicado es escalable y relativamente fácil de administrar. Sin

embargo, en una sucursal pequeña o ubicación SOHO, se puede configurar un router Cisco
para proporcionar servicios DHCPv4 sin necesidad de un servidor dedicado. El software
Cisco IOS admite un servidor DHCPv4 con funciones completas opcional.
P á g i n a | 310
El servidor DHCPv4 asigna dinámicamente, o arrienda, una dirección IPv4 de un conjunto

de direcciones durante un período limitado elegido por el servidor o hasta que el cliente ya
no necesite la dirección.
Los clientes arriendan la información del servidor durante un período definido

administrativamente. Los administradores configuran los servidores de DHCPv4 para
establecer los arrendamientos, a fin de que caduquen a distintos intervalos. El arrendamie nto
típicamente dura de 24 horas a una semana o más. Cuando caduca el arrendamiento, el cliente
debe solicitar otra dirección, aunque generalmente se le vuelve a asignar la misma.
Servidor DHCPv4 conectado a un switch conectado a un cliente DHCPv4; en el paso uno, el

cliente DHCPv4 envía un mensaje; en el paso dos, el servidor DHCPv6 responde con un
mensaje.
1. El proceso de concesión DHCPv4 comienza con el cliente enviando un mensaje solicitando los
servicios de un servidor DHCP.
2. Si hay un servidor DHCPv4 que recibe el mensaje, responderá con una dirección IPv4 y otra
información de configuración de red posible.
7.1.2
Funcionamiento de DHCPv4
DHCPv4 funciona en un modo cliente/servidor. Cuando un cliente se comunica con un
servidor de DHCPv4, el servidor asigna o arrienda una dirección IPv4 a ese cliente. El cliente
se conecta a la red con esa dirección IPv4 arrendada hasta que caduque el arrendamiento. El
cliente debe ponerse en contacto con el servidor de DHCP periódicamente para extender el
arrendamiento. Este mecanismo de arrendamiento asegura que los clientes que se trasladan
o se desconectan no mantengan las direcciones que ya no necesitan. Cuando caduca un
P á g i n a | 311
arrendamiento, el servidor de DHCP devuelve la dirección al conjunto, donde se puede volver

a asignar según sea necesario.
7.1.3
Pasos para obtener un arrendamiento

Cuando el cliente arranca (o quiere unirse a una red), comienza un proceso de cuatro pasos
para obtener un arrendamiento:
1. Detección de DHCP (DHCPDISCOVER)

2. Oferta de DHCP (DHCPOFFER)
3. Solicitud de DHCP (DHCPREQUEST)
4. Acuse de recibo de DHCP (DHCPACK)
Paso 1. Detección DHCP (DHCPDISCOVER)
El cliente inicia el proceso con un mensaje de difusión DHCPDISCOVER con su propia

dirección MAC para detectar los servidores de DHCPv4 disponibles. Dado que el cliente no
tiene información de IPv4 válida durante el arranque, utiliza direcciones de difusión de capa 2
y de capa 3 para comunicarse con el servidor. El próposito del mensaje DHCPDISCOVER
es encontrar los servidores de DHCPv4 en la red.
Paso 1 del proceso DHCPv4: comienza con un mensaje de difusión DHCPDISCOVER desde
el cliente DHCPv4 a un servidor DHCPv6 que dice, en esencia, que me gustaría solicitar una
dirección.
P á g i n a | 312
Paso 2. Ofrecimie nto de DHCP (DHCPOFFER)
Cuando el servidor de DHCPv4 recibe un mensaje DHCPDISCOVER, reserva una dirección

IPv4 disponible para arrendar al cliente. El servidor también crea una entrada ARP que consta
de la dirección MAC del cliente que realiza la solicitud y la dirección IPv4 arrendada del cliente.
El servidor de DHCPv4 envía el mensaje DHCPOFFER asignado al cliente que realiza la
solicitud.
Paso 2 del proceso DHCPv4: es un mensaje de unidifusión DHCPOFFER enviado desde el

servidor DHCPv4 al cliente DHCPv4 que dice, en esencia, soy un servidor DHCPv4, aquí hay
una oferta de direcciones
Paso 3. Solicitud de DHCP (DHCPREQUEST)
Cuando el cliente recibe el mensaje DHCPOFFER proveniente del servidor, envía un mensaje
DHCPREQUEST. Este mensaje se utiliza tanto para el origen como para la renovación del
arrendamiento. Cuando se utiliza para el origen del arrendamiento, el mensaje DHCPREQUEST
sirve como notificación de aceptación vinculante al servidor seleccionado para los parámetros
que ofreció y como un rechazo implícito a cualquier otro servidor que pudiera haber
proporcionado una oferta vinculante al cliente.
Muchas redes empresariales utilizan varios servidores de DHCPv4. El mensaje

DHCPREQUEST se envía en forma de difusión para informarle a este servidor d e DHCPv4 y a
cualquier otro servidor de DHCPv4 acerca de la oferta aceptada.
P á g i n a | 313
Paso 3 del proceso DHCPv4: es un mensaje de difusión DHCPREQUEST desde el cliente

DHCPv4 al servidor DHCPv6 que dice, en esencia, acepto la oferta de direcciones IPv4.
Paso 4. Confirmación de DHCP (DHCPACK)
Al recibir el mensaje DHCPREQUEST, el servidor verifica la información del arrendamiento con

un ping ICMP a esa dirección para asegurarse de que no esté en uso, crea una nueva entrada
ARP para el arrendamiento del cliente y responde con un mensaje DHCPACK. El mensaje
DHCPACK es un duplicado del mensaje DHCPOFFER, a excepción de un cambio en el campo
de tipo de mensaje. Cuando el cliente recibe el mensaje DHCPACK, registra la información de
configuración y realiza una búsqueda de ARP para la dirección asignada. Si no hay respuesta
al ARP, el cliente sabe que la dirección IPv4 es válida y comienza a utilizarla como propia.
P á g i n a | 314
Paso 4 del proceso DHCPv4 es un mensaje de unidifusión DHCPACK enviado desde el servidor
DHCPv4 al cliente DHCPv4 que dice, en esencia, que se reconoce su aceptación .
7.1.4
Pasos para renovar un contrato de

arrendamiento
Antes de la expiración de la concesión, el cliente inicia un proceso de dos pasos para renovar
la concesión con el servidor DHCPv4, como se muestra en la figura:
1. Detección DHCP (DHCPREQUEST)
Antes de que caduque el arrendamiento, el cliente envía un mensaje DHCPREQUEST

directamente al servidor de DHCPv4 que ofreció la dirección IPv4 en primera instancia. Si
no se recibe un mensaje DHCPACK dentro de una cantidad de tiempo especificada, el cliente
transmite otro mensaje DHCPREQUEST de modo que uno de los otros servidores de
DHCPv4 pueda extender el arrendamiento.
2. Ofrecimiento de DHCP (DHCPACK)
Al recibir el mensaje DHCPREQUEST, el servidor verifica la información del arrendamie nto

al devolver un DHCPACK.
Nota: Estos mensajes (principalmente DHCPOFFER y DHCPACK) se pueden enviar como

unidifusión o difusión según la IETF RFC 2131.
El diagrama muestra el proceso de dos pasos y el intercambio de mensajes entre un cliente

DHCPv4 y un servidor DHCPv4 cuando el cliente desea renovar un arrendamiento. En el
P á g i n a | 315
primer paso, el cliente envía un mensaje de unicast DCHPREQUEST al servidor diciendo,

en esencia, que me gustaría renovar mi contrato de arrendamiento. En el paso dos, el servidor
responde con un mensaje de unidifusión DHCPACK que dice, se confirma su aceptación.
7.1.5
Compruebe su comprensión - DHCPv4

Conceptos
Verifique su comprensión de los conceptos de DHCPv4 eligiendo la MEJOR respuesta a las
P á g i n a | 316
P á g i n a | 317
DHCPv4 / Configure un servidor DHCPv4 del IOS de Cisco
Configure un servidor DHCPv4 del

IOS de Cisco
7.2.1
Servidor Cisco IOS DHCPv4

Ahora usted tiene una comprensión básica de cómo funciona DHCPv4 y cómo puede hacer su
trabajo un poco más fácil. Si no tiene un servidor DHCPv4 independiente, este tema le mostrará
cómo configurar un router Cisco IOS para que actúe como uno. Un router Cisco que ejecuta el
software IOS de Cisco puede configurarse para que funcione como servidor de DHCPv4. El
servidor de DHCPv4 que utiliza IOS de Cisco asigna y administra direcciones IPv4 de conjuntos
de direcciones especificados dentro del router para los clientes DHCPv4.
La topología de red muestra un router, que funciona como un servidor DHCPv4, conectando
dos LAN juntas. A la izquierda está la red 192.168.10.0/24 que consiste en el host PC1
conectado al switch S1 conectado al router R1 en G0/0/0 con una dirección de .1. A la derecha
está la red 192.168.11.0/24 que consiste en el host PC2 y un servidor DNS en la dirección
192.168.11.6/24 conectado al switch S2 que está conectado a R1 en G0/0/1 con una dirección
de .1.
P á g i n a | 318
7.2.2
Pasos para configurar un servidor

DHCPv4 del IOS de Cisco
Utilice los siguientes pasos para configurar un servidor DHCPv4 del IOS de Cisco:
Paso 1. Excluir direcciones IPv4

Paso 2. Defina un nombre de grupo DHCPv4.
Paso 3. Configure el grupo DHCPv4.
Paso 1. Excluir direcciones IPv4
El router que funciona como servidor de DHCPv4 asigna todas las direcciones IPv4 en un
conjunto de direcciones DHCPv4, a menos que esté configurado para excluir direcciones
específicas. Generalmente, algunas direcciones IPv4 de un conjunto se asignan a dispositivos
de red que requieren asignaciones de direcciones estáticas. Por lo tanto, estas direcciones IPv4
no deben asignarse a otros dispositivos. La sintaxis del comando para excluir direcciones IPv4
es la siguiente:
Router(config)# ip dhcp excluded-address low-address [high-address]
Se puede excluir una única dirección o un rango de direcciones especificando la dirección más
baja y la dirección más alta del rango. Las direcciones excluidas deben incluir las direcciones
asignadas a los routers, a los servidores, a las impresoras y a los demás dispositivos que se
configuraron o se configurarán manualmente. También puede introducir el comando varias
veces.
Paso 2. Defina un nombre de grupo DHCPv4
La configuración de un servidor de DHCPv4 implica definir un conjunto de direcciones que se

deben asignar.
Como se muestra en el ejemplo, el comando ip dhcp pool_pool-name_crea un conjunto con el

nombre especificado y coloca al router en el modo de configuración de DHCPv4, que se
identifica con el indicador Router(dhcp-config)#.
La sintaxis del comando para definir el grupo es la siguiente:
Router(config)# ip dhcp pool pool-name

Router(dhcp-config)#
Paso 3. Configure el grupo DHCPv4

P á g i n a | 319
La tabla indica las tareas para finalizar la configuración del pool de DHCPv4.
El conjunto de direcciones y el router de gateway predeterminado deben estar configurados.

Use la instrucción network para definir el rango de direcciones disponibles. Use el comando
default-router para definir el router de gateway predeterminado. Normalmente, el gateway es
la interfaz LAN del router más cercano a los dispositivos clientes. Se requiere un gateway, pero
se pueden indicar hasta ocho direcciones si hay varios gateways.
Otros comandos del pool de DHCPv4 son optativos. Por ejemplo, la dirección IPv4 del servidor
DNS que está disponible para un cliente DHCPv4 se configura mediante el comando dns-
server. El comando domain-name se utiliza para definir el nombre de dominio. La duración del
arrendamiento de DHCPv4 puede modificarse mediante el comando lease. El valor de
arrendamiento predeterminado es un día. El comando netbios-name-server se utiliza para
definir el servidor WINS con NetBIOS.
Nota: Microsoft recomienda no implementar WINS, en su lugar configurar DNS para la

resolución de nombres de Windows y retirar WINS.
7.2.3
Ejemplo de configuración
La topología para el ejemplo de configuración se muestra en la figura.
P á g i n a | 320
conectado al switch S1 conectado al router R1 en G0/0/0 con una dirección de .1. A la derecha
está la red 192.168.11.0/24 que consiste en el host PC2 y un servidor DNS en la dirección
192.168.11.5/24 conectado al switch S2 que está conectado a R1 en G0/0/1 con una direcc ión
de .1.
El ejemplo muestra la configuración para convertir a R1 en un servidor DHCPv4 para la LAN

192.168.10.0/24.
7.2.4
Comandos de verificación DHCPv4

Utilice los comandos de la tabla para verificar que el servidor DHCPv4 del IOS de Cisco esté
funcionando.
Comando Descripción
Muestra los comandos DHCPv4 configurados en

show running-config |
section dhcp el router.
Muestra una lista de todos los enlaces de

show ip dhcp binding direcciones IPv4 a direcciones MAC
proporcionados por el servicio DHCPv4.
Muestra información de conteo con respecto a la

show ip dhcp server cantidad de mensajes DHCPv4 que han sido
statistics enviados y recibidos.
P á g i n a | 321
7.2.5
Verifique que DHCPv4 esté operando

La topología que se muestra en la figura es usada en el resultado de ejemplo. En este ejemplo,
se configuró el R1 para que proporcione servicios DHCPv4. Dado que la PC1 no se encendió,
no tiene una dirección IP.
conectado al switch S1 que está conectado al router R1 en G0/0/0 con una dirección de .1. A la
derecha está la red 192.168.11.0/24 que consta del host PC2 y un DNS server en la dirección
192.168.11.5/24 conectado al switch S2, el cual está conectado a R1 at G0/0/1 con una
dirección de .1.
Verificar la configuración DHCPv4
Como se muestra en el ejemplo, el resultado del comando show running-config | section

dhcp muestran los comandos de DHCPv4 configurados en el R1. El | section parámetro
muestra solo los comandos asociados a la configuración DHCPv4.
P á g i n a | 322
Verificar las asignaciones de DHCP
Como se muestra en el ejemplo, se puede verificar el funcionamiento de DHCPv4 mediante el

comando show ip dhcp binding. Este comando muestra una lista de todas las vinculaciones
de la dirección IPv4 con la dirección MAC que fueron proporcionadas por el servicio DHCPv4.
Verificar estadísticas DHCPv4
La salida de la show ip dhcp server statistics, se utiliza para verificar que los mensajes están
siendo recibidos o enviados por el router. Este comando muestra información de conteo con
respecto a la cantidad de mensajes DHCPv4 que se enviaron y recibieron.
P á g i n a | 323
Verificar el direccionamiento IPv4 recibido del cliente DHCPv4
El comando ipconfig /all cuando se emite en la PC1, muestra los parámetros TCP/IP, como se
muestra en el ejemplo. Dado que la PC1 se conectó al segmento de red 192.168.10.0/24, recibió
automáticamente un sufijo DNS, una dirección IPv4, una máscara de subred, un gateway
predeterminado y una dirección del servidor DNS de ese pool. No se requiere ninguna
configuración de interfaz del router específica de DHCP. Si una computadora está conectada a
un segmento de red que tiene un pool de DHCPv4 disponible, la computadora puede obtener
una dirección IPv4 del pool adecuado de manera automática.
P á g i n a | 324
7.2.6
Verificador de sintaxis - Configuración de

DHCPv4
En esta actividad del Verificador de sintaxis, usted configurará R1 para que sea el servidor
DHCPv4 para la red 192.168.11.0/24.
conectado al conmutador S1 que está conectado al router R1 en G0/0/0 con una dirección de
.1. A la derecha está la red 192.168.11.0/24 que consiste en el host PC2 y un servidor DNS en
la dirección 192.168.11.5/24 conectado al switch S2 que está conectado a R1 en G0/0/1 con
una dirección de .1.
Excluya las siguientes direcciones del intervalo de direcciones 192.168.11.0/24:
 Excluya la dirección.1 a la .9.

 Excluya la dirección .254.
P á g i n a | 325
7.2.7
Desactive el servidor DHCPv4 del IOS de

Cisco
El servicio DHCPv4 está habilitado de manera predeterminada. Para desabilitar el servicio, use
el comando no service dhcp del modo de configuración global. Use el comando del
modo service dhcp de configuración global para volver a habilitar el proceso del servidor
DHCPv4, como se muestra en el ejemplo. Si los parámetros no se configuran, habilitar el
servicio no tiene ningún efecto.
Nota: Si se borra los enlaces DHCP o se detiene y reinicia el servicio DHCP, se pueden asignar
temporalmente direcciones IP duplicadas en la red.
7.2.8
Retransmisión DHCPv4
En una red jerárquica compleja, los servidores empresariales suelen estar ubicados en una
central. Estos servidores pueden proporcionar servicios DHCP, DNS, TFTP y FTP para la red.
Generalmente, los clientes de red no se encuentran en la misma subred que esos servidores.
Para ubicar los servidores y recibir servicios, los clientes con frecuencia utilizan mensajes de
difusión.
P á g i n a | 326
En la figura, la PC1 intenta adquirir una dirección IPv4 de un servidor de DHCPv4 mediante un
mensaje de difusión. En esta situación, el router R1 no está configurado como servidor de
DHCPv4 y no reenvía el mensaje de difusión. Dado que el servidor de DHCPv4 está ubicado
en una red diferente, la PC1 no puede recibir una dirección IP mediante DHCP. R1 debe
configurarse para retransmitir mensajes DHCPv4 al servidor DHCPv4.
La topología de red muestra un router que conecta dos LAN juntas. A la izquierda está la red
192.168.10.0/24 que consiste en el host PC1 conectado al switch S1 que está conectado al
router R1 en G0/0/0 con una dirección de .1. Texto debajo de PC1 lee; buscando un servidor
DHCPv4. Texto debajo del router lee; No puedo reenviar transmisiones entre redes. A la
derecha se encuentra la red 192.168.11.0/24 que consiste en el host PC2, un servidor DNS en
la dirección 192.168.11.5/24 y un servidor DHCPv4 en la dirección 192.168.11.6/24, todos
conectados al switch S2 que está conectado a R1 en G0/0/1 con una dirección de .1.
ipconfig /release
PC1 es una computadora con Windows. El administrador de red libera to da la información de

direccionamiento IPv4 actual mediante el comando ipconfig /release. Observe que se libera la
dirección IPv4 y ninguna dirección aparece.
P á g i n a | 327
ipconfig /renew
A continuación, el administrador de red intenta renovar la información de dire ccionamiento

IPv4 con el comando ipconfig /renew. Este comando hace que la PC1 transmita por difusión
un mensaje DHCPDISCOVER. En el resultado se muestra que la PC1 no puede ubicar el
servidor de DHCPv4. Dado que los routers no reenvían mensajes de difusió n, la solicitud no
es correcta.
El administrador de red podría agregar servidores DHCPv4 en R1 para todas las subredes.
Sin embargo, esto crearía costos adicionales y gastos administrativos.
ip helper-address
Una mejor solución es configurar R1 con el comando ip helper-address address en el modo

de configuración de interface . Esto hará que R1 retransmita transmisiones DHCPv4 al servidor
DHCPv4. Como se muestra en el ejemplo, la interfaz en R1 que recibe la difusión desde PC1
está configurada para retransmitir la dirección DHCPv4 al servidor DHCPv4 en 192.168.11.6.
show ip interface
Cuando se configura el R1 como agente de retransmisión DHCPv4, acepta solicitudes de

difusión para el servicio DHCPv4 y, a continuación, reenvía dichas solicitudes en for ma de
unidifusión a la dirección IPv4 192.168.11.6. El administrador de red puede utilizar el
comando show ip interface para verificar la configuración.
P á g i n a | 328
ipconfig /all
Como se muestra en la salida, PC1 ahora puede adquirir una dirección IPv4 del servidor
DHCPv4 como se ha verificado con el comando ipconfig /all.
7.2.9
Otras transmisiones de servicio

retransmitidas
DHCPv4 no es el único servicio que puede configurarse para que retransmita el router. De
manera predeterminada, el ip helper-address comando reenvia los siguientes ocho servidcios
UDP:
 Port 37: Tiempo

 Port 49: TACACS
 Port 53: Envenenamiento
 Port 67: DHCP/BOOTP server
 Port 68: DHCP/BOOTP client
 Port 69: TFTP
 Port 137: Servicio de nombre NetBIOS
 Port 138: Servicio de datagrama NetBIOS
7.2.10
Packet Tracer - Configurar DHCPv4

P á g i n a | 329
 Parte 1: Configurar un router como servidor de DHCP

 Parte 2: Configurar la retransmisión de DHCP
 Parte 3: Configurar un router como cliente DHCP
 Parte 4: Verificar la conectividad y DHCP
Configure DHCPv4
Configure DHCPv4
DHCPv4 / Configurar un router como cliente DHCPv4
Configurar un router como cliente

DHCPv4
7.3.1
Cisco Router como cliente DHCPv4

Hay escenarios en los que puede tener acceso a un servidor DHCP a través de su ISP. En estos
casos, puede configurar un router Cisco IOS como cliente DHCPv4. En esta guía se explicará
ese proceso.
En ocasiones, los routers Cisco en oficinas pequeñas y oficinas domésticas (SOHO) y en los
sitios de sucursales deben configurarse como clientes DHCPv4 de manera similar a los equipos
cliente. El método específico utilizado depende del ISP. Sin embargo, en su configuración más
simple, se utiliza la interfaz Ethernet para conectarse a un cable módem o a un módem DSL.
Para configurar una interfaz Ethernet como cliente DHCP, utilice el comando ip address dhcp
del modo de configuración de interfaz.
En la figura, suponga que un ISP ha sido configurado para proporcionar a clientes seleccionados
direcciones IP del rango de red 209.165.201.0/27 despu és de que la interfaz G0/0/1 es
configurada con el comando ip address dhcp.
P á g i n a | 330
Un router configurado como cliente DHCPv4 se conecta a través de G0/0/1 a un módem por
cable o DSL que luego se conecta a la nube que luego se conecta a un router ISP que funciona
como servidor DHCPv4.
7.3.2
Ejemplo de configuración
Para configurar una interfaz Ethernet como cliente DHCP, utilice el comando ip address
dhcp del modo de configuración de interfaz, como se muestra en el ejemplo. Esta configuración
supone que el ISP se ha configurado para proporcionar a los clientes seleccionados información
de direcciones IPv4.
El comando show ip interface g0/0/1 confirma que la interfaz está activa y que la dirección fue
asignada por un servidor DHCPv4.
7.3.3
Enrutador doméstico como cliente

DHCPv4
Los routers de los hogares se configuran para recibir información de asignación de dirección
IPv4 automáticamente desde el ISP. Esto es para que los clientes puedan configurar fácilmente
el enrutador y conectarse a Internet.
Por ejemplo, en la ilustración se muestra la página de configuración de WAN predeterminada

para un router inalámbrico de Packet Tracer. Observe que el tipo de conexión a Internet está
establecido como Automatic Configuration - DHCP. Se utiliza esta selección cuando el router
P á g i n a | 331
se conecta a un cable módem o DSL y actúa como cliente DHCPv4 y solicita una dirección IPv4
del ISP.
Varios fabricantes de enrutadores domésticos tendrán una configuración similar.
7.3.4
Verificador de sintaxis: configuración de

un router como cliente DHCPv4
En esta actividad del Comprobador de sintaxis, configurará un router Cisco como cliente DHCP.
Un router configurado como cliente DHCPv4 se conecta a través de G0/0/1 a un módem por
cable o DSL que luego se conecta a la nube que luego se conecta a un router ISP que funciona
como servidor DHCPv4.
Ingrese el modo de configuración de interfaz. Use g0/0/1 para el nombre de la interfaz.

P á g i n a | 332
SOHO(config)#interface g0/0/1
Configure the interface to acquire IPv4 addressing information from the ISP.
SOHO(config-if)#ip address dhcp
Activate the interface.
SOHO(config-if)#no shutdown
Sep 12 10:01:25.773: %DHCP-6-ADDRESS_ASSIGN: Interface GigabitEthernet0/0/1

assigned DHCP address 209.165.201.12, mask 255.255.255.224, hostname SOHO
SOHO(config-if)#end
Use the show ip interface g0/0/1 command to verify the IPv4 information.
SOHO#show ip interface g0/0/1
GigabitEthernet0/0/1 is up, line protocol is up
Internet address is 209.165.201.12/27
Broadcast address is 255.255.255.255
Address determined by DHCP
(output omitted)
You have successfully configured the router as a DHCP client.
DHCPv4 / Práctica del módulo y cuestionario

7.4.1
Packet Tracer - Implementar DHCPv4

Como técnico de red de la empresa, tiene la tarea de configurar un router Cisco como servidor
de DHCP para proporcionar la asignación dinámica de direcciones a los clientes de la red.
También se le pide que configure el router perimetral como cliente DHCP para que reciba
una dirección IP de la red ISP. Dado que el servidor está centralizado, deberá configurar los
P á g i n a | 333
dos routers LAN para retransmitir el tráfico DHCP entre las LAN y el router que sirve como
servidor DHCP.
Implement DHCPv4
Implement DHCPv4
7.4.2
Laboratorio: Implementar DHCPv4


 Parte 2: Configurar y verificar dos servidores DHCPv4 en R1
 Parte 3: Configurar y verificar una retransmisión DHCP en R2
Implement DHCPv4
7.4.3

Conceptos DHCPv4
El servidor DHCPv4 asigna dinámicamente, o arrienda, una dirección IPv4, a un cliente, de

un conjunto de direcciones durante un período limitado elegido por el servidor o hasta que el
cliente ya no necesite la dirección. El proceso de concesión DHCPv4 comienza con el cliente
que envía el mensaje solicitando los servicios de un servidor DHCP. Si hay un servidor
DHCPv4 que recibe el mensaje, responderá con una dirección IPv4 y otra información de
configuración de red posible. El cliente debe ponerse en contacto con el servidor de DHCP
periódicamente para extender el arrendamiento. Este mecanismo de arrendamiento asegura
que los clientes que se trasladan o se desconectan no mantengan las direcciones que ya no
necesitan. Cuando el cliente arranca (o quiere unirse a una red), comienza un proceso de
cuatro pasos para obtener un arrendamiento: DHCPDISCOVER, luego DHCPOFFER ,
luego DHCPREQUEST y finalmente DHCPACK. Antes de la expiración de la concesión,
el cliente inicia un proceso de dos pasos para renovar la concesión con el servidor DHCPv4:
DHCPREQUEST y luego DHCPACK.
Configurar un Servidor CISCO IOS DHCPv4
Un router Cisco que ejecuta el software IOS de Cisco puede configurarse para que funcio ne
como servidor de DHCPv4. Siga los pasos siguientes para configurar un servidor DHCPv4
del IOS de Cisco: excluir direcciones IPv4, definir un nombre de grupo DHCPv4 y configurar
P á g i n a | 334
el grupo DHCPv4. Verifique la configuración usando los comandos show running-config |

section dhcp, show ip dhcp binding y show ip dhcp server statistics. El servicio DHCPv4
está habilitado de manera predeterminada. Para desabilitar el servicio, use el comando no
service dhcp del modo de configuración global. En una red jerárquica compleja, los
servidores empresariales suelen estar ubicados en una central. Estos servidores pueden
proporcionar servicios DHCP, DNS, TFTP y FTP para la red. Generalmente, los clientes de
red no se encuentran en la misma subred que esos servidores. Para ubicar los servidores y
recibir servicios, los clientes con frecuencia utilizan mensajes de difusión. La PC1 intenta
adquirir una dirección IPv4 de un servidor de DHCPv4 mediante un mensaje de difusión. Si
el router R1 no está configurado como servidor de DHCPv4, no reenviará el mensaje de
difusión. Si el servidor DHCPv4 está ubicado en una red distinta, el PC no podrá recibir la
dirección IP mediante DHCP. El router debe estar configurado para retransmitir mensajes
DHCPv4 al servidor DHCPv4. El administrador de red libera toda la información de
direccionamiento IPv4 actual mediante el comando ipconfig /release. A continuación, el
administrador de red intenta renovar la información de direccionamiento IPv4 con el
comando ipconfig /renew. Una mejor solución es configurar R1 con el comando ip helper-
address address interface configuration. El administrador de red puede utilizar el
comando show ip interface para verificar la configuración. El PC ahora puede adquirir una
dirección IPv4 del servidor DHCPv4 como se ha verificado con el comando ipconfig /all.
De manera predeterminada, el ip helper-address comando reenvia los siguientes ocho
servicios UDP:
 Port 37: Tiempo

 Port 49: TACACS
 Port 53: Envenenamiento
 Port 67: DHCP/BOOTP server
 Port 68: DHCP/BOOTP client
 Port 69: TFTP
 Port 137: Servicio de nombre NetBIOS
 Port 138: Servicio de datagrama NetBIOS
Configurar un Cliente DHCPv4
La interfaz Ethernet se usa para conectarse a un cable o modem DSL. Para configurar una
interfaz Ethernet como cliente DHCP, utilice el comando ip address dhcp interface del
modo de configuración. Los routers de los hogares se configuran para recibir información de
asignación de dirección IPv4 automáticamente desde el ISP. El tipo de conexión de internet
está establecido en Automatic Configuration - DHCP. Se utiliza esta selección cuando el
router se conecta a un cable módem o DSL y actúa como cliente DHCPv4 y solicita una
dirección IPv4 del ISP.
P á g i n a | 335
7.4.4
Módulo Quiz - DHCPv4

P á g i n a | 336
P á g i n a | 337
P á g i n a | 338
P á g i n a | 339
P á g i n a | 340
P á g i n a | 341
P á g i n a | 342
P á g i n a | 343
P á g i n a | 344
P á g i n a | 345
P á g i n a | 346
Capítulo 8_SLAAC y DHCPv6

Introducción
8.0.1
Bienvenido
Bienvenido a SLAAC y DHCPv6!
SLAAC y DHCPv6 son protocolos de direccionamiento dinámico para una red IPv6. Por lo tanto,
un poco de configuración hará que su día como administrador de red sea mucho más fácil . En
este módulo, aprenderá a usar SLAAC para permitir a los hosts crear su propia dirección de
unidifusión global IPv6, así como configurar un router Cisco IOS para que sea un servidor
DHCPv6, un cliente DHCPv6 o un agente de retransmisión DHCPv6. Este mó dulo incluye un
laboratorio donde configurará DHCPv6 en equipos reales!
8.0.2

Module Title : SLAAC y DHCPv6
Module Objective: Configure la asignación dinámica de direcciones en redes IPv6.
Asignación de direcciones de Explique cómo un host IPv6 puede adquirir su

unidifusión global IPv6 configuración IPv6.
SLAAC Explicar el funcionamiento de SLAAC.
DHCPv6 Explique el funcionamiento de DHCPv6.
Configurar un servidor DHCPv6 Configurar servidor DHCPv6 stateful y stateless.

P á g i n a | 347
SLAAC y DHCPv6 / IPv6 GUA Assignment
IPv6 GUA Assignment

8.1.1
Configuración de host con IPv6

En primer lugar, lo más importante. Para utilizar la configuración automática de direcciones
stateless (SLAAC) o DHCPv6, debe revisar las direcciones globales de unidifusión (GUA)
y las direcciones link-local (LLAs). Este tema abarca ambas cosas.
En un router, una dirección global de unidifusión (GUA) IPv6 se configura manualmente

mediante el comando de configuración ipv6 address ipv6-address/prefix-length interface.
Un host de Windows también se puede configurar manualmente con una configuración de

dirección IPv6 GUA, como se muestra en la figura.
Muestra la ventana de
propiedades del
Protocolo de Internet
versión 6 y la dirección
IPv6 estática y la
configuración del
servidor DNS.
Introducir manualmente una GUA IPv6 puede llevar mucho tiempo y ser algo propenso a
errores. Por lo tanto, la mayoría de los hosts de Windows están habilitados para adquirir
dinámicamente una configuración GUA IPv6, como se muestra en la figura.
P á g i n a | 348
Muestra la ventana de
propiedades del Protocolo de
Internet versión 6 y la
configuración automática de
la dirección IPv6 DHCP y del
servidor DNS.
8.1.2
IPv6 Host Link-Local Address

Cuando se selecciona el direccionamiento IPv6 automático, el host intentará obtener y
configurar automáticamente la información de direcciones IPv6 en la interfaz. El host
utilizará uno de los tres métodos definidos por el Internet Control Message Protocol version
6 (ICMPv6) mensaje Router Advertisement (RA) recibidos en la interfaz. Un router IPv6
que está en el mismo vínculo que el host envía mensajes de RA que sugieren a los hosts
cómo obtener su información de direccionamiento IPv6. El host crea automáticamente la
dirección local del vínculo IPv6 cuando se inicia y la interfaz Ethernet está activa.
El ipconfig resultado de ejemplo muestra una dirección link-local (LLA) generada
automáticamente en una interfaz.
En la figura, observe que la interfaz no creó una GUA IPv6. La razón se debe a que, en este
ejemplo, el segmento de red no tiene un router que proporcione instrucciones de
configuración de red para el host.
A veces, los sistemas operativosNote: host mostrarán una dirección link-local anexada con
un «%» y un número. Esto se conoce como Id. de zona o Id. de ámbito. Es utilizado por el
sistema operativo para asociar el LLA con una interfaz específica.
Note: DHCPv6 se define en RFC 3315.

P á g i n a | 349
8.1.3
IPv6 GUA Assignment

IPv6 fue diseñado para simplificar la forma en que un host puede adquirir su configurac ió n
IPv6. De forma predeterminada, un router habilitado para IPv6 anuncia su información IPv6.
Esto permite a un host crear o adquirir dinámicamente su configuración IPv6.
IPv6 GUA se puede asignar dinámicamente utilizando servicios stateless y stateful, como se
Todos los métodos stateless y stateful de este módulo utilizan mensajes de RA ICMPv6 para
sugerir al host cómo crear o adquirir su configuración IPv6. Aunque los sistemas operativos
del host siguen la sugerencia del RA, la decisión real depende en última instancia del host.
P á g i n a | 350
Un diagrama de árbol invertido comienza con Asignación GUA dinámica, se divide en dos:
stateless y stateful Stateless se divide en SLAAC y SLAAC con servidor DHCPv6 y conduce
a un servidor DHCPv6 stateful.
8.1.4
Tres flags de mensaje RA

La decisión de cómo un cliente obtendrá un GUA IPv6 depende de la configuración dentro
del mensaje RA.
Un mensaje de RA ICMPv6 incluye tres flags para identificar las opciones dinámicas
disponibles para un host, como se indica a continuación:
 Un flag : este es el indicador de configuración automática de direcciones. Usa Stateless Address

Autoconfiguration (SLAAC) para crear un GUA de IPv6.
 O flag - Este es otro indicador de configuración (Other) Otra información está disponible desde un
servidor DHCPv6 stateless.
 M flag - Este es es indicador Managed Address. Utilice un servidor DHCPv6 stateful para obtener
una GUA IPv6.
P á g i n a | 351
Mediante diferentes combinaciones de los flags A, O y M, los mensajes RA informan al

host sobre las opciones dinámicas disponibles.
La figura ilustra estos tres métodos.
Muestra R1 enviando un mensaje de RA en respuesta a un RS de PC1. Los campos de

opción RA pueden especificar tres opciones diferentes: sólo SLAAC, SLAAC stateless con
servidor DHCPv6 y sólo servidor DHCPv6 stateful.
8.1.5
Compruebe su comprensión - Asignación

de IPv6 GUA
Verifique su comprensión de los métodos de asignación de direcciones de unidifusión global
IPv6 eligiendo la MEJOR respuesta a las siguientes preguntas.
P á g i n a | 352
P á g i n a | 353
SLAAC y DHCPv6 / SLAAC
SLAAC
8.2.1
Descripción general de SLAAC

No todas las redes tienen acceso a un servidor DHCPv6. Pero todos los dispositivos de una
red IPv6 necesitan un GUA. El método SLAAC permite a los hosts crear su propia dirección
única global IPv6 sin los servicios de un servidor DHCPv6.
SLAAC es un servicio stateless. Esto significa que no hay ningún servidor que mantenga
información de direcciones de red para saber qué direcciones IPv6 se están utilizando y
cuáles están disponibles.
SLAAC utiliza mensajes ICMPv6 RA para proporcionar direccionamiento y otra

información de configuración que normalmente proporcionaría un servidor DHCP Un host
configura su dirección IPv6 en función de la información que se envía en la RA. Los mensajes
RA son enviados por un router IPv6 cada 200 segundos.
Un host también puede enviar un mensaje Router Solicitation (RS) solicitando que un router
habilitado para IPv6 envíe al host un RA.
SLAAC se puede implementar como SLAAC solamente, o SLAAC con DHCPv6.
8.2.2
Activación de SLAAC
Consulte la topología siguiente para ver cómo está habilitado SLAAC para proporcionar
asignación GUA dinámica stateless.
P á g i n a | 354
Muestra una
topología con un
router conectado a
un switch
conectado a un PC
host.
El resultado del comando show ipv6 interface muestra la configuración actual en la interfaz G0/0/1.
Como se destaca, a R1 se le han asignado las siguientes direcciones IPv6:
 Link-local IPv6 address - fe80::1

 GUA and subnet - 2001:db8:acad:1: :1 y 2001:db8:acad:1: :/64
 IPv6 all-nodes group - ff02::1
Aunque la interfaz del router tiene una configuración IPv6, todavía no está habilitada para enviar
RA que contengan información de configuración de direcciones a hosts que utilicen SLAAC .
Para habilitar el envío de mensajes RA, un router debe unirse al grupo de todos los routers IPv6
mediante el comando ipv6 unicast-routing global config, como se muestra en el ejemplo.
P á g i n a | 355
El grupo de todos los routers IPv6 responde a la dirección de multidifusión IPv6 ff02 :: 2. Puede
utilizar el comando show ipv6 interface para verificar si un router está habilitado como se
muestra, en el ejemplo.
Un router Cisco habilitado para IPv6 envía mensajes RA a la dirección de multidifusión de todos
los nodos IPv6 ff02: :1 cada 200 segundos.
8.2.3
Método Sólo SLAAC

El método sólo SLAAC está habilitado de forma predeterminada cuando se configura
el comando ipv6 unicast-routing. Todas las interfaces Ethernet habilitadas con un GUA
IPv6 configurado comenzarán a enviar mensajes RA con el flag A establecido en 1 y los flags
O y M establecidos en 0, como se muestra en la figura.
El flag A = 1 sugiere al cliente que cree su propio IPv6 GUA, usando el prefijo anunciado
en la RA. El cliente puede crear su propio ID de interfaz utilizando el método Extended
Unique Identifier (EUI-64) o hacer que se genere aleatoriamente.
Los flags O=0 y M=0, le indican al cliente que use la información del mensaje RA
exclusivamente. Esto incluye información del prefijo, de la longitud de prefijo, del servidor
DNS, de la MTU y del default gateway. No se encuentra disponible ninguna otra informac ió n
de un servidor de DHCPv6.
P á g i n a | 356
Muestra que con sólo SLAAC el router tiene el flag A establecido en 1 en el RA.
En el ejemplo, PC1 esta habilitada para obtener su información de direccion de IPv6 de forma
automática. Debido a la configuración de los flags A, O y M, PC1 sólo realiza SLAAC,
utilizando la información contenida en el mensaje RA enviado por R1.
La dirección del default gateway es la dirección IPv6 de origen del mensaje RA, que es la
LLA para R1. El default gateway solo se puede obtener de forma automática mediante un
mensaje RA. Un servidor DHCPv6 no proporciona esta información.
P á g i n a | 357
8.2.4
ICMPv6 RS Messages
Un router envía mensajes de RA cada 200 segundos. Sin embargo, también enviará un
mensaje RA si recibe un mensaje RS de un host.
Cuando un cliente está configurado para obtener su información de direccionamie nto

automáticamente, envía un mensaje RS a la dirección de multidifusión IPv6 de ff02: :2.
La figura ilustra cómo un host inicia el método SLAAC.
Muestra el PC enviando
un mensaje RS a la
dirección de
multidifusión de todos
los routers y obteniendo
una RA en respuesta.
1. PC1 acaba de encender y aún no ha recibido un mensaje de RA. Por lo tanto, envía un mensaje RS a
la dirección de multidifusión IPv6 de todos los routers ff02: :2 solicitando una RA.
2. R1 forma parte del grupo de todos los routers IPv6 y recibió el mensaje RS. Genera un RA que
contiene el prefijo de red local y la longitud del prefijo (por ejemplo, 2001:db8:acad:1: :/64).
Entonces envía el mensaje RA a la dirección de multidifusión de todos los nodos IPv6 ff02::1. PC1
utiliza esta información para crear una GUA IPv6 única.
P á g i n a | 358
8.2.5
Proceso de host para generar ID de

interfaz
Mediante SLAAC, un host suele adquirir su información de subred IPv6 de 64 bits del RA
del router. Sin embargo, debe generar el resto del identificador de interfaz (ID) de 64 bits
utilizando uno de estos dos métodos:
 De generación aleatoria - La identificación de la interfaz de 64 bits es generada aleatoriamente por

el sistema operativo del cliente. Este es el método utilizado ahora por los hosts de Windows 10.
 EUI-64 - El host crea un ID de interfaz utilizando su dirección MAC de 48 bits e inserta el valor
hexadecimal de fffe en el medio de la dirección. Algunos sistemas operativos utilizan por defecto el
ID de interfaz generado aleatoriamente en lugar del método EUI-64, debido a problemas de
privacidad. Esto se debe a que EUI-64 utiliza la dirección MAC Ethernet del host para crear el ID de
interfaz.
Note: Windows, Linux y Mac OS permiten al usuario modificar la generación del ID de

interfaz para que se genere aleatoriamente o utilice EUI-64.
Por ejemplo, en el siguiente resultado de ipconfig, el host PC1 de Windows 10 utilizó la

información de subred IPv6 contenida en el R1 RA y generó aleatoriamente un ID de interfaz
de 64 bits como se destaca en el ejemplo.
8.2.6
Detección de direcciones duplicadas

El proceso permite al host crear una dirección IPv6. Sin embargo, no hay garantía de que la
dirección sea única en la red.
P á g i n a | 359
Ya que SLAAC es stateless; por lo tanto, un host tiene la opción de verificar que una
dirección IPv6 recién creada sea única antes de que pueda usarse Un host utiliza el proceso
de detección de direcciones duplicadas (DAD) para asegurarse de que IPv6 GUA es único.
DAD se implementa usando ICMPv6. Para realizar DAD, el host envía un mensaje ICMPv6
NS con una dirección de multidifusión especialmente construida, llamada dirección de
multidifusión de nodo solicitado. Esta dirección duplica los últimos 24 bits de dirección IPv6
del host.
Si ningún otro dispositivo responde con un mensaje NA, prácticamente se garantiza que la
dirección es única y puede ser utilizada por la PC1. Si un mensaje NA es recibido por el host,
la dirección no es única, y el sistema operativo debe determinar una nueva ID de interfaz
para utilizar.
Internet Engineering Task Force (IETF) recomienda que DAD se utilice en todas las
direcciones de unidifusión IPv6 independientemente de si se crea con SLAAC sólo, se
obtiene con DHCPv6 stateful, o se configura manualmente. DAD no es obligatorio porque
un ID de interfaz de 64 bits proporciona 18 quintillion de posibilidades y la posibilidad de
que haya una duplicación es remota. Sin embargo, la mayoría de los sistemas operativos
realizan DAD en todas las direcciones de unidifusión IPv6, independientemente de cómo se
configure la dirección.
8.2.7
Verifique su comprensión - SLAAC

Verifique su comprensión de SLAAC eligiendo la MEJOR respuesta a las siguientes preguntas.
P á g i n a | 360
P á g i n a | 361
P á g i n a | 362
SLAAC y DHCPv6 / DHCPv6
DHCPv6
8.3.1
Pasos de operación DHCPv6

En este tema se explica DHCPv6 stateless y stateful DHCPv6 stateless utiliza partes de
SLAAC para asegurarse de que toda la información necesaria se suministra al host. DHCPv6
stateful no requiere SLAAC.
Si bien DHCPv6 es similar a DHCPv4 en cuanto a lo que proporciona, los dos protocolos
son independientes respecto sí.
El host comienza las comunicaciones cliente / servidor DHCPv6 después de que se indica
DHCPv6 stateles o DHCPv6 stateful en el RA.
Los mensajes DHCPv6 de servidor a cliente utilizan el puerto de destino UDP 546, mientras
que los mensajes DHCPv6 de cliente a servidor utilizan el puerto de destino UDP 547.
Los pasos para las operaciones DHCPv6 son los siguientes:
1. El host envía un mensaje RS.

2. El router responde con un mensaje RA.
3. El host envía un mensaje DHCPv6 SOLIT.
4. El servidor DHCPv6 responde con un mensaje ADVERTISE.
5. El host responde al servidor DHCPv6.
6. El servidor DHCPv6 envía un mensaje REPLY
Step 1. Host sends an RS message.
PC1 envía un mensaje RS a todos los routers habilitados para IPv6.

P á g i n a | 363
Step 2. Router responds with an RA message.
R1 recibe el RS y responde con un RA indicando que el cliente debe iniciar la comunicación

con un servidor DHCPv6.
Step 3. Host sends a DHCPv6 SOLICIT message.
El cliente, ahora un cliente DHCPv6, necesita localizar un servidor DHCPv6 y envía un mensaje
DHCPv6 SOLICIT a la dirección reservada de todos los servidores DHCPv6 de multidifusión
IPv6 de ff02 :: 1: 2. Esta dirección de multidifusión tiene alcance link-local, lo cual significa que
los routers no reenvían los mensajes a otras redes.
Step 4. DHCPv6 server responds with an ADVERTISE message.

P á g i n a | 364
Uno o más servidores DHCPv6 responden con un mensaje unidifusión DHCPv6 ADVERTISE
El mensaje ADVERTISE le informa al cliente DHCPv6 que el servidor se encuentra disponible
para el servicio DHCPv6.
Step 5. Host responds to DHCPv6 server.
La respuesta PC1 depende de si está utilizando DHCPv6 stateful o stateless:
 Cliente DHCPv6 Stateless - El cliente crea una dirección IPv6 utilizando el prefijo en el mensaje
RA y una ID de interfaz autogenerada. El cliente envía un mensaje DHCPv6 INFORMATION-
REQUEST al servidor de DHCPv6 en el que solicita solamente parámetros de configuración,
como la dirección del servidor DNS.
 Cliente DHCPv6 Stateful - el cliente envía un mensaje DHCPv6 REQUEST al servidor para
obtener una dirección IPv6 y todos los demás parámetros de configuración del servidor.
P á g i n a | 365
Step 6. DHCPv6 sends a REPLY message.
El servidor envía un mensaje de unidifusión DHCPv6 REPLY al cliente. El contenido del

mensaje varía en función de si responde a un mensaje REQUEST o INFORMATION-
REQUEST
Note: El cliente usara la direccion IPv6 link-local de origen del RA como su direccion default
gateway. Un servidor DHCPv6 no proporciona esta información.
8.3.2
Operación DHCPv6 stateless

La opción de DHCPv6 stateless informa al cliente que utilice la información del mensaje RA
para el direccionamiento, pero que hay más parámetros de configuración disponibles de un
servidor de DHCPv6.
Este proceso se conoce como DHCPv6 stateless, debido a que el servidor no mantiene
información de estado del cliente (es decir, una lista de direcciones IPv6 asignadas y
P á g i n a | 366
disponibles). El servidor de DHCPv6 stateless solo proporciona parámetros de configurac ió n

para los clientes, no direcciones IPv6.
La figura ilustra la operación DHCPv6 stateless.
Muestra un diagrama en
el que el PC obtiene la
información del servidor
DHCPv6 stateless del
router R1.
1. PC1 recibe un mensaje de RA DHCP stateless. El mensaje RA contiene el prefijo de red y la longitud
del prefijo. El flag M para DHCP stateful se establece en el valor predeterminado 0. El flag A=1
indica al cliente que use SLAAC. El flag O=1 flag se utiliza para informarle al cliente que hay
información de configuración adicional disponible de un servidor de DHCPv6 stateless.
2. El cliente envía un mensaje DHCPv6 SOLCIT buscando un servidor DHCPv6 stateless para obtener
información adicional (por ejemplo, direcciones de servidor DNS).
8.3.3
Habilitar DHCPv6 stateless en una

interfaz
DHCPv6 Stateless está habilitado en una interfaz de router mediante el comando ipv6 nd
other-config-flag interface configuration. Esto establece el flag O en 1.
El resultado resaltado confirma que la RA le indicará a los hosts receptores que usen la
configuración automática stateless (A flag = 1) y se comunique con un servidor DHCPv6
para obtener otra información de configuración (O flag = 1).
Note: Se puede usar the no ipv6 nd other-config flag para restablecer la interfaz a la opción
predeterminada de SLAAC sólo (O flag = 0).
P á g i n a | 367
8.3.4
Operaciones de DHCPv6 stateful

Esta opción es la más similar a DHCPv4. En este caso, el mensaje RA indica al cliente que
obtenga toda la información de direccionamiento de un servidor DHCPv6 stateful, excepto
la dirección del default gateway que es la dirección link-local IPv6 de origen de la RA.
Esto se conoce como DHCPv6 stateful, debido a que el servidor de DHCPv6 mantiene
información de estado de IPv6. Esto es similar a la asignación de direcciones para IPv4 por
parte de un servidor de DHCPv4.
La figura ilustra la operación DHCPv6 stateful.
Muestra un diagrama con

un servidor DHCPv6
stateful, conectado a un
switch, conectado a un PC
cliente y un router cliente
DHCPv6.
P á g i n a | 368
1. PC1 recibe un mensaje RA DHCPv6 con el flag O establecido en 0 y el flag M establecido en 1, lo

que indica a PC1 que recibirá toda su información de direccionamiento IPv6 de un servidor
DHCPv6 stateful.
2. PC1 envía un mensaje DHCPv6 SOLIT buscando un servidor DHCPv6 stateful.
Note: Si A=1 y M=1, algunos sistemas operativos como Windows crearán una dirección IPv6
mediante SLAAC y obtendrán una dirección diferente del servidor DHCPv6 stateful. En la
mayoría de los casos, se recomienda establecer manualmente el flag A en 0.
8.3.5
Habilitar DHCPv6 stateful en una interfaz

DHCPv6 Stateful es habilitado en una interfaz de router mediante el comando ipv6 nd
managed-config-flag interface configuration Esto establece el flag M en 1.
El resultado resaltado en el ejemplo confirma que RA indicará al host que obtenga toda la
información de configuración IPv6 de un servidor DHCPv6 (flag M = 1).
8.3.6
Verifique su comprensión - DHCPv6

Verifique su comprensión de DHCPv6 eligiendo la MEJOR respuesta a las siguientes
preguntas.
P á g i n a | 369
P á g i n a | 370
P á g i n a | 371
SLAAC y DHCPv6 / Configure DHCPv6 Server
Configure DHCPv6 Server

8.4.1
Roles de router DHCPv6

Los routers IOS de Cisco son dispositivos potentes. En redes más pequeñas, no es necesario
tener dispositivos separados para tener un servidor DHCPv6, un cliente o un agente de
retransmisión. Se puede configurar un router Cisco para proporcionar servicios DHCPv6.
Específicamente, se puede configurar para que sea uno de los siguientes:
 Servidor DHCPv6 - El router proporciona servicios DHCPv6 stateless o stateful.

 Cliente DHCPv6 : la interfaz del router adquiere una configuración IP IPv6 de un servidor DHCPv6.
Agente de retransmisión* DHCPv6 - Router proporciona servicios de reenvío DHCPv6 cuando el
cliente y el servidor se encuentran en diferentes redes.
8.4.2
Configurar un servidor DHCPv6 stateless.

La opción de servidor DHCPv6 stateless requiere que el router anuncie la información de
direccionamiento de red IPv6 en los mensajes RA. Sin embargo, el cliente debe ponerse en
contacto con un servidor DHCPv6 para obtener más información.
Consulte la topología de ejemplo para aprender a configurar el método de servidor DHCPv6

stateless.
Muestra un
diagrama en el que
un router cliente
obtiene la
información del
servidor DHCPv6
stateless del router
R1.
En este ejemplo,
R1 proporcionará servicios SLAAC para la configuración IPv6 del host y los servicios
DHCPv6.
P á g i n a | 372
Hay cinco pasos para configurar y verificar un router como servidor DHCPv6 stateless:
Step 1. Habilite el enrutamiento IPv6. Step 2. Defina un nombre de grupo DHCPv6. Step
3. Configure el grupo DHCPv6. Step 4. Enlace el grupo DHCPv6 a una interfaz. Step 5.
Compruebe que los hosts han recibido información de direccionamiento IPv6.
Step 1. Enable IPv6 routing.
El ipv6 unicast-routing comando es requerido para habilitar el enrutamiento IPv6 Este

comando no es necesario para que el router sea un servidor de DHCPv6 stateless, pero se
requiere para que el router origine los mensajes RA ICMPv6.
Step 2. Define a DHCPv6 pool name.
Cree el grupo DHCPv6 mediante el comando ipv6 dhcp pool POOL-NAME global config. Esto
entra en el modo de subconfiguración del grupo DHCPv6 identificado por el Router(config-
dhcpv6)# mensaje .
Note: El nombre del grupo no tiene que estar en mayúsculas. Sin embargo, el uso de un nombre
en mayúsculas facilita la visualización en una configuración.
Step 3. Configure the DHCPv6 pool.
R1 se configurará para proporcionar información DHCP adicional, incluida la dirección del

servidor DNS y el nombre de dominio, como se muestra en el resultado del comando.
P á g i n a | 373
Step 4. Bind the DHCPv6 pool to an interface.
El grupo DHCPv6 debe vincularse a la interfaz mediante el comando del modo de configuración
de interface ipv6 dhcp server POOL-NAME, como se muestra en el ejemplo.
El router responde a las solicitudes de DHCPv6 stateless en esta interfaz con la información
incluida en el pool. El flag O debe cambiarse manualmente de 0 a 1 utilizando el comando de
interfazipv6 nd other-config-flag. Los mensajes RA enviados en esta interfaz indican que hay
información adicional disponible de un servidor de DHCPv6 stateless. El flag A es 1 de forma
predeterminada, indicando a los clientes que usen SLAAC para crear su propio GUA.
Step 5. Verify hosts received IPv6 addressing information.
Para comprobar DHCP stateless en un host de Windows, utilice el ipconfig /all comando. El
resultado de ejemplo muestra la configuración en PC1.
Observe en el resultado que PC1 creó su GUA IPv6 utilizando el prefijo 2001:db8:acad:1: :/64.
Observe también que el default gateway es la dirección link-local IPv6 de R1. Esto confirma que
PC1 derivó su configuración IPv6 de la RA de R1.
El resultado resaltado confirma que PC1 ha aprendido el nombre de dominio y la dirección del
servidor DNS del servidor DHCPv6 stateless.
P á g i n a | 374
8.4.3
Configurar un servidor DHCPv6 stateless.

Un router también puede ser un cliente DHCPv6 y obtener una configuración IPv6 de un
servidor DHCPv6, como un router que funcione como servidor DHCPv6. En la figura, R1
es un servidor DHCPv6 stateless.
P á g i n a | 375
Step 1. Habilite el enrutamiento IPv6. Step 2. Configure el router cliente para crear una
LLA. Step 3. Configure el router cliente para usar SLAAC. Step 4. Verifique que el router
cliente tenga asignado un GUA. Step 5. Verifique que el enrutador cliente haya recibido
otra información DHCPv6 necesaria.
En el router cliente DHCPv6 debe estar habilitado con el comando ipv6 unicast-routing.
8.4.4
Configurar un servidor DHCPv6 stateful.

La opción de servidor DHCP stateful requiere que el router habilitado para IPv6 indique al
host que se ponga en contacto con un servidor DHCPv6 para obtener toda la información de
direccionamiento de red IPv6 necesaria.
En la figura, R1 proporcionará servicios DHCPv6 stateful a todos los hosts de la red local.
Configurar un servidor de DHCPv6 stateful es similar a configurar un servidor stateless. La
diferencia más importante es que un servidor stateful también incluye información de
direccionamiento IPv6 de manera similar a un servidor DHCPv4.
P á g i n a | 376
Step 1. Habilite el enrutamiento IPv6. Step 2. Defina un nombre de grupo DHCPv6. Step
3. Configure el grupo DHCPv6. Step 4. Enlace el grupo DHCPv6 a una interfaz. Step 5.
Compruebe que los hosts han recibido información de direccionamiento IPv6.
El ipv6 unicast-routing comando es requerido para habilitar el enrutamiento IPv6.
Step 2. Define a DHCPv6 pool name.
Cree el grupo DHCPv6 mediante el comando de configuración global ipv6 dhcp pool POOL-
NAME.
Step 3. Configure the DHCPv6 pool.
R1 se configurará para proporcionar direccionamiento IPv6, dirección del servidor DNS y

nombre de dominio, como se muestra en el resultado del comando. Con DHCPv6 stateful, todos
los parámetros de direccionamiento y otros parámetros de configuración deben ser asignados
por el servidor de DHCPv6. El comando address prefix, se utiliza para indicar el conjunto de
direcciones que debe asignar el servidor. Otra información proporcionada por el servidor de
DHCPv6 stateful suele incluir la dirección del servidor DNS y el nombre de dominio.
Note: Este ejemplo está configurando el servidor DNS en el servidor DNS público de Google.
P á g i n a | 377
Step 4. Bind the DHCPv6 pool to an interface.
El ejemplo muestra la configuración completa de la interfaz GigabitEthernet 0/0/1 en R1.
El grupo DHCPv6 debe vincularse a la interfaz mediante el comando ipv6 dhcp server POOL-
NAME interface config.
 The M flag is manually changed from 0 to 1 using the interface command ipv6 nd managed-
config-flag.
 The A flag is manually changed from 1 to 0 using the interface command ipv6 nd prefix
default no-autoconfig. El flag A se puede dejar en 1, pero algunos sistemas operativos cliente
como Windows crearán una GUA usando SLAAC y obtendrán una GUA del servidor DHCPv6
stateful. Establecer el flag A en 0 indica al cliente que no utilice SLAAC para crear un GUA.
 The El comando IPv6 dhcp server vincula el conjunto de DHCPv6 con la interfaz. R1
responderá ahora con la información contenida en el grupo cuando reciba solicitudes DHCPv6
stateful en esta interfaz.
Note: You can use the no ipv6 nd managed-config-flag to set the M flag back to its default of
0. The no ipv6 nd prefix default no-autoconfig comando establece el flag A su valor
predeterminado de 1.
Step 5. Verify hosts received IPv6 addressing information.
Para comprobar en un host de Windows, utilice el ipconfig /all comando para comprobar el
método de configuración DHCP stateful. El ejemplo muestra la configuración en PC1. El
resultado resaltado muestra que PC1 ha recibido su GUA IPv6 de un servidor DHCPv6 stateful.
P á g i n a | 378
8.4.5
Configurar un cliente DHCPv6 stateful.

Un router también puede ser un cliente DHCPv6. El router cliente debe tener ipv6 unicast-
routing habilitado y una dirección link-local IPv6 para enviar y recibir mensajes IPv6.
Consulte la topología de ejemplo para aprender a configurar el cliente DHCPv6 stateful.
P á g i n a | 379
Step 1. Habilite el enrutamiento IPv6. Step 2. Configure el router cliente para crear una
LLA. Step 3. Configure el router cliente para que use DHCPv6. Step 4. Verifique que el
router cliente tenga asignado un GUA. Step 5. Verifique que el enrutador cliente haya
recibido otra información DHCPv6 necesaria.
El router cliente DHCPv6 debe estar ipv6 unicast-routing habilitado.
Step 2. Configure client router to create an LLA.
En el ejemplo, el comando ipv6 enable se configura en la interfaz R3 Gigabit Ethernet 0/0/1.

Esto permite al router crear una LLA IPv6 sin necesidad de un GUA.
Step 3. Configure client router to use DHCPv6.
El comando ipv6 address dhcp configura R3 para solicitar su información de direccionamiento

IPv6 de un servidor DHCPv6.
Step 4. Verify client router is assigned a GUA.
Utilice el comando show ipv6 interface brief para verificar la configuración del host como se
muestra.
P á g i n a | 380
Step 5. Verify client router received other DHCPv6 information.
El comando show ipv6 dhcp interface g0/0/1 confirma que R3 aprendió el DNS y los nombres
de dominio.
P á g i n a | 381
8.4.6
Comandos de verificación del server

DHCPv6
Utilice los comandos show ipv6 dhcp pool y show ipv6 dhcp binding para verificar el
funcionamiento DHCPv6 en un router.
El comando show ipv6 dhcp pool verifica el nombre del pool de DHCPv6 y sus parámetros.
El comando también identifica el número de clientes activos. En este ejemplo, el grupo IPV6-
STATEFUL tiene actualmente 2 clientes, lo que refleja PC1 y R3 que reciben su dirección
de unidifusión global IPv6 de este servidor.
Cuando un router proporciona servicios DHCPv6 stateful, también mantiene una base de
datos de direcciones IPv6 asignadas.
Utilice el resultado del comando show ipv6 dhcp binding para mostrar la dirección link-local
IPv6 del cliente y la dirección de unidifusión global asignada por el servidor.
El resultado muestra el enlace con estado actual en R1. El primer cliente en el resultado es PC1
y el segundo cliente es R3.
Esta información la mantiene un servidor de DHCPv6 stateful. Un servidor DHCPv6 stateless

no mantendría esta información.
P á g i n a | 382
8.4.7
Configuración del agente de retransmisión

DHCPv6
Si el servidor de DHCPv6 está ubicado en una red distinta de la del cliente, el router IPv6
puede configurarse como agente de retransmisión DHCPv6. La configuración de un agente
de retransmisión DHCPv6 es similar a la configuración de un router IPv4 como retransmisor
DHCPv4.
En la figura, R3 se configura como un servidor DHCPv6 stateful. PC1 está en la red

2001:db8:acad:2: :/64 y requiere los servicios de un servidor DHCPv6 stateful para adquirir
su configuración IPv6. R1 debe configurarse como el Agente de retransmisión DHCPv6.
La sintaxis del comando para configurar un router como agente de retransmisión DHCPv6
es la siguiente:
P á g i n a | 383
Este comando se configura en la interfaz que frente a los clientes DHCPv6 y especifica la
dirección del servidor DHCPv6 y la interfaz de salida para llegar al servidor, como se
muestra en el ejemplo. La interfaz de salida sólo es necesaria cuando la dirección de salto
siguiente es una LLA.
8.4.8
Verificar el agente de retransmisión de

DHCPv6
Compruebe que el agente de retransmisión DHCPv6 esté operativo con los comandos show
ipv6 dhcp interface y show ipv6 dhcp binding. Compruebe que los hosts de Windows
recibieron información de direccionamiento IPv6 con el comando ipconfig /all.
El agente de retransmisión DHCPv6 se puede verificar mediante el comando show ipv6

dhcp interface . Esto verificará que la interfaz G0/0/1 esté en modo de retransmisor.
En R3, utilice el comando show ipv6 dhcp binding, para comprobar si se ha asignado una
configuración IPv6 a alguno de los hosts.
Observe que a una dirección link-local de cliente se le ha asignado un GUA IPv6. Podemos
suponer que esto es PC1.
P á g i n a | 384
Por último, utilice ipconfig /all en PC1 para confirmar que se le ha asignado una configuración
IPv6. Como puede ver, PC1 ha recibido su configuración IPv6 del servidor DHCPv6.
8.4.9
Compruebe su comprensión - Configurar

el servidor DHCPv6
Verifique su comprensión de servidor DHCPv6 eligiendo la MEJOR respuesta a las siguientes
preguntas.
P á g i n a | 385
P á g i n a | 386
P á g i n a | 387
P á g i n a | 388
SLAAC y DHCPv6 / Práctica del módulo y cuestionario

8.5.1
Laboratorio: Configurar DHCPv6


 Part 2: Verificar la asignación de direcciones SLAAC desde R1
 Part 3: Configurar y verificar un servidor DHCPv6 stateless en R1
 Part 4: Configurar y verificar un servidor DHCPv6 stateful en R1
 Part 5: Configurar y verificar una retransmisión DHCPv6 en R2
Configure DHCPv6
P á g i n a | 389
8.5.2

IPv6 GUA Assignment
En un router, las direcciones globales de unidifusión (GUA) IPv6 se configuran manualme nte
mediante el comando de configuración de interface ipv6 address ipv6-address/prefix-length.
Cuando se selecciona el direccionamiento IPv6 automático, el host intentará obtener y
configurar automáticamente la dirección IPv6 información en la interfaz. La dirección local
del vínculo IPv6 es creada automáticamente por el host cuando se inicia y la interfaz Ethernet
es activo. De forma predeterminada, un router habilitado para IPv6 anuncia su informac ió n
IPv6, lo que permite a un host crear o adquirir dinámicamente su configuración IPv6. IPv6
GUA se puede asignar dinámicamente utilizando servicios stateless y stateful. La decisión
de cómo un cliente obtendrá un GUA IPv6 depende de la configuración dentro del mensaje
RA. Un mensaje de RA ICMPv6 incluye tres flags para identificar las opciones dinámicas
disponibles para un host, como se indica a continuación:
 Un flag : este es el indicador de configuración automática de direcciones. Utilice SLAAC para crear
una GUA IPv6.
 O flag - Este es otro indicador de configuración (Other) Otra información está disponible desde un
servidor DHCPv6 stateless.
 M flag - Este es es indicador Managed Address. Utilice un servidor DHCPv6 stateful para obtener
una GUA IPv6.
SLAAC
El método SLAAC permite a los hosts crear su propia dirección única global IPv6 sin los
servicios de un servidor DHCPv6. SLAAC, que es stateless, utiliza mensajes ICMPv6 RA
para proporcionar direccionamiento y otra información de configuración que normalme nte
proporcionaría un servidor DHCP SLAAC se puede implementar como SLAAC solamente,
o SLAAC con DHCPv6. Para habilitar el envío de mensajes RA, un router debe unirse al
grupo de todos los routers IPv6 mediante el comando de configuración global ipv6 unicast-
routing. Utilice el comando show ipv6 interface para verificar si un router está habilitado.
El método SLAAC sólo, está habilitado de forma predeterminada cuando se configura el
comando ipv6 unicast-routing. Todas las interfaces Ethernet habilitadas con un GUA IPv6
configurado comenzarán a enviar mensajes RA con el flag A establecido en 1 y los flags O
y M establecidos en 0. El flag A = 1 sugiere al cliente crear su propio IPv6 GUA usando el
prefijo anunciado en RA. Los flags O =0 y M=0 le indican al cliente que use la informac ió n
del mensaje RA exclusivamente. Un router envía mensajes de RA cada 200 segundos. Sin
embargo, también enviará un mensaje RA si recibe un mensaje RS de un host. Mediante
SLAAC, un host suele adquirir su información de subred IPv6 de 64 bits del RA del router.
Sin embargo, debe generar el identificador de interfaz (ID) de 64 bits restante utilizando uno
de estos dos métodos: generado aleatoriamente, o EUI-64. Un host utiliza el proceso DAD
para asegurarse de que IPv6 GUA es único. DAD se implementa usando ICMPv6. Para
realizar DAD, el host envía un mensaje ICMPv6 NS con una dirección de multidifus ió n
P á g i n a | 390
especialmente construida, llamada dirección de multidifusión de nodo solicitado. Esta

dirección duplica los últimos 24 bits de dirección IPv6 del host .
DHCPv6
El host comienza las comunicaciones cliente / servidor DHCPv6 después de que se indica
DHCPv6 stateles o DHCPv6 stateful en el RA. Los mensajes DHCPv6 de servidor a cliente
utilizan el puerto de destino UDP 546, mientras que los mensajes DHCPv6 de cliente a
servidor utilizan el puerto de destino UDP 547. La opción de DHCPv6 stateless informa al
cliente que utilice la información del mensaje RA para el direccionamiento, pero que hay
más parámetros de configuración disponibles de un servidor de DHCPv6. Esto se denomina
DHCPv6 stateless porque el servidor no mantiene ninguna información de estado del cliente.
DHCPv6 Stateless está habilitado en una interfaz de router mediante el comando ipv6 nd
other-config-flag interface configuration. Esto establece el flag O en 1. En este caso, el
mensaje RA indica al cliente que obtenga toda la información de direccionamiento de un
servidor DHCPv6 stateful, excepto la dirección del default gateway que es la dirección link -
local IPv6 de origen de la RA. Esto se conoce como DHCPv6 stateful, debido a que el
servidor de DHCPv6 mantiene información de estado de IPv6. DHCPv6 Stateful es
habilitado en una interfaz de router mediante el comando ipv6 nd managed-config-
flag interface configuration Esto establece el flag M en 1.
Configure DHCPv6 Server
Un router Cisco IOS se puede configurar para proporcionar servicios de servidor DHCPv6
como uno de los tres tipos siguientes: servidor DHCPv6, cliente DHCPv6 o agente de
retransmisión DHCPv6. La opción de servidor DHCPv6 stateless requiere que el router
anuncie la información de direccionamiento de red IPv6 en los mensajes RA. Un router
también puede ser un cliente DHCPv6 y obtener una configuración IPv6 de un servidor
DHCPv6. La opción de servidor DHCP stateful requiere que el router habilitado para IPv6
indique al host que se ponga en contacto con un servidor DHCPv6 para obtener toda la
información de direccionamiento de red IPv6 necesaria. El router cliente debe tener ipv6
unicast-routing habilitado y una dirección link-local IPv6 para enviar y recibir mensajes
IPv6. Utilice los comandos show ipv6 dhcp pool y show ipv6 dhcp binding para verificar
el funcionamiento DHCPv6 en un router. Si el servidor de DHCPv6 está ubicado en una red
distinta de la del cliente, el router IPv6 puede configurarse como agente de retransmis ió n
DHCPv6 utilizando el comando ipv6 dhcp relay destination ipv6-address [interface-type
interface-number]. Este comando se configura en la interfaz que enfrenta a los clientes
DHCPv6 y especifica la dirección del servidor DHCPv6 y la interfaz de salida para llegar al
servidor. La interfaz de salida sólo es necesaria cuando la dirección de salto siguiente es una
LLA. Compruebe que el agente de retransmisión DHCPv6 esté operativo con
los comandos show ipv6 dhcp interface y show ipv6 dhcp binding.
P á g i n a | 391
8.5.3
Prueba de módulo - SLAAC y DHCPv6

P á g i n a | 392
P á g i n a | 393
P á g i n a | 394
P á g i n a | 395
P á g i n a | 396
P á g i n a | 397
P á g i n a | 398
P á g i n a | 399
Capítulo 9_Conceptos de FHRP

Introducción
9.0.1

¡Bienvenido a FHRP Concepts!
Su red está en funcionamiento. Ha conquistado la redundancia de Capa 2 sin bucles de Capa

2. Todos sus dispositivos obtienen sus direcciones dinámicamente. ¡Usted es bueno en la
administración de la red! pero, espera. Uno de sus routers, el router de puerta de enlace
predeterminado, de hecho, se ha caído. Ninguno de sus hosts puede enviar mensajes fuera de
la red inmediata. Va a tomar un tiempo para que este router de puerta de enlace
predeterminado vuelva a funcionar. Tienes a muchas personas enojadas preguntando ¿qué
tan pronto la red estará "respaldada" (back up)?
Puede evitar este problema fácilmente. Los protocolos de redundancia de primer salto
(FHRP) son la solución que necesita. Este módulo analiza lo que hace la FHRP y todos los
tipos de FHRP disponibles para usted. Uno de estos tipos es un FHRP propietario de Cisco
llamado Hot Standby Router Protocol (HSRP). Aprenderá cómo funciona HSRP y
completará una actividad en Packet Tracer donde configurará y verificará HSRP. ¡No
esperes, empieza!
P á g i n a | 400
9.0.2

Título del módulo: Conceptos de FHRP
Objetivos del módulo: Explique cómo los FHRP proporcionan servicios de gateway
predeterminados en una red redundante.
Título del tema Objetivo del Tema
Protocolos de Redundancia Describa el propósito y el funcionamiento de los protocolos

de Primer Salto de redundancia de primer salto.
HSRP Explique cómo funciona el HSRP.
Conceptos de FHRP / Protocolos de Redundancia de Primer Salto
Protocolos de Redundancia de
Primer Salto
9.1.1
Limitaciones del Gateway Predeterminado

Si falla un router o una interfaz del router (que funciona como gateway predeterminado), los
hosts configurados con ese gateway predeterminado quedan aislados de las redes externas.
Se necesita un mecanismo para proporcionar gateways predeterminados alternativos en las
redes conmutadas donde hay dos o más routers conectados a las mismas VLAN. Este
mecanismo es proporcionado por los protocolos de redundancia de primer salto (FHRP).
En una red conmutada, cada cliente recibe solo un gateway predeterminado. No hay forma
de usar un gateway secundario, incluso si existe una segunda ruta que transporte paquetes
fuera del segmento local.
En la figura, el R1 es el responsable de enrutar los paquetes de la PC1. Si el R1 deja de estar

disponible, los protocolos de routing pueden converger de forma dinámica. Ahora, el R2
P á g i n a | 401
enruta paquetes de redes externas que habrían pasado por el R1. Sin embargo, el tráfico de la
red interna asociado al R1, incluido el tráfico de las estaciones de trabajo, de los servidores
y de las impresoras que se configuraron con el R1 como gateway predeterminado, aún se
envía al R1 y se descarta.
Nota: Nota: Para los efectos del análisis de la redundancia de los routers, no hay diferencia
funcional entre un switch capa 3 y un router en la capa de distribución. En la práctica, es
común que un switch capa 3 funcione como gateway predeterminado para cada VLAN en
una red conmutada. Esta discusión se centra en la funcionalidad del enrutamie nto,
independientemente del dispositivo físico utilizado.
La topología de red física

muestra dos switches, un
router, un PC y un servidor
(server). La PC1, está
enviando un paquete a través
de la red. El gráfico muestra el
paquete que se está
descartando en la interfaz de
R1.
PC1 no puede alcanzar la

puerta de enlace
predeterminada.
Por lo general, los dispositivos finales o terminales se configuran con una única dirección
IPv4 para un gateway predeterminado. Esta dirección no se modifica cuando cambia la
topología de la red. Si no se puede llegar a esa dirección IPv4 de gateway predeterminado, el
dispositivo local no puede enviar paquetes fuera del segmento de red local, lo que lo
desconecta completamente de las demás redes. Aunque exista un router redundante que sirva
como puerta de enlace predeterminada para ese segmento, no hay un método dinámico para
que estos dispositivos puedan determinar la dirección de una nueva puerta de enlace
predeterminada.
Nota: Los dispositivos IPv6 reciben dinámicamente su dirección de puerta de enlace

predeterminada del anuncio de router ICMPv6. Sin embargo, los dispositivos IPv6 se
benefician con una conmutación por error más rápida a la nueva puerta de enlace
predeterminada cuando se utiliza FHRP.
P á g i n a | 402
9.1.2
Redundancia del Router

Una forma de evitar un único punto de falla en el gateway predeterminado es impleme ntar
un router virtual. Como se muestra en la figura, para implementar este tipo de redundancia
de router, se configuran varios routers para que funcionen juntos y así dar la sensación de
que hay un único router a los hosts en la LAN. Al compartir una dirección IP y una dirección
MAC, dos o más routers pueden funcionar como un único router virtual.
La topología de red física muestra cuatro PC, tres routers y una nube de red troncal de Internet
o ISP. Los cuatro PCs y los tres routers están conectados a una LAN. Los tres routers también
tienen un enlace que sube a la red troncal Iternet o IPS. Hay un router de reenvío con
dirección IP 192.0.2.1/24. Hay un router virtual con dirección IP 192.0.2.100/24. Hay un
router en espera con dirección IP 192.0.2.2/24. Una flecha que representa un paquete enviado
desde PC2 va al router virtual en la dirección IP 192.0.2.100, luego al router de reenvío con
la dirección IP 192.0.2.1 y luego al Internet o ISP.
La dirección IPv4 del router virtual se configura como la puerta de enlace predeterminada
para las estaciones de trabajo de un segmento específico de IPv4. Cuando se envían tramas
desde los dispositivos host hacia el gateway predeterminado, los hosts utilizan ARP para
resolver la dirección MAC asociada a la dirección IPv4 del gateway predeterminado. La
resolución de ARP devuelve la dirección MAC del router virtual. El router actualme nte
activo dentro del grupo de routers virtuales puede procesar físicamente las tramas que se
P á g i n a | 403
envían a la dirección MAC del router virtual. Los protocolos se utilizan para identificar dos
o más routers como los dispositivos responsables de procesar tramas que se envían a la
dirección MAC o IP de un único router virtual. Los dispositivos host envían el tráfico a la
dirección del router virtual. El router físico que reenvía este tráfico es transparente para los
dispositivos host.
Un protocolo de redundancia proporciona el mecanismo para determinar qué router debe

cumplir la función activa en el reenvío de tráfico. Además, determina cuándo un router de
reserva debe asumir la función de reenvío. La transición entre los routers de reenvío es
transparente para los dispositivos finales.
La capacidad que tiene una red para recuperarse dinámicamente de la falla de un dispositivo
que funciona como gateway predeterminado se conoce como “redundancia de primer salto”.
9.1.3
Pasos para la Conmutación por Falla del

Router
Cuando falla el router activo, el protocolo de redundancia hace que el router de reserva asuma
el nuevo rol de router activo, como se muestra en la figura. Estos son los pasos que se llevan
a cabo cuando falla el router activo:
1. El router de reserva deja de recibir los mensajes de saludo del router de reenvío.
2. El router de reserva asume la función del router de reenvío.
3. Debido a que el nuevo router de reenvío asume tanto la dirección IPv4 como la dirección MAC del
router virtual, los dispositivos host no perciben ninguna interrupción en el servicio.
P á g i n a | 404
La topología de red física muestra cuatro PC, tres routers y una nube de red troncal de Internet
o ISP. Los cuatro PCs y los tres routers están conectados a una LAN. Los tres routers también
tienen un enlace que sube a la red troncal Iternet o IPS. Hay un router de reenvío con
dirección IP 192.0.2.1/24. Hay un router virtual con dirección IP 192.0.2.100/24. Hay un
router en espera con dirección IP 192.0.2.2/24. Hay una X a través del enlace LAN al router
con la dirección IP 192.0.2.1 que anteriormente era un router de reenvío. Una flecha que
representa un paquete enviado desde PC2 va al router virtual en la dirección IP 192.0.2.100,
luego al nuevo router de reenvío con dirección IP 192.0.2.2 y luego a la red troncal de Internet
o ISP.
9.1.4
Opciones de FHRP
La FHRP utilizada en un entorno de producción depende en gran medida del equipo y las
necesidades de la red. La tabla muestra todas las opciones disponibles para FHRP.
Opciones de FHRP Descripción
HRSP es una FHRP propietaria de Cisco que está

diseñada para permitir conmutación por error (failover)
transparente de un dispositivo IPv4 de primer salto.
HSRP proporciona alta disponibilidad de red al
proporcionar redundancia de enrutamiento de primer
salto para IPv4 hosts en redes configuradas con una
dirección de puerta de enlace predeterminada IPv4.
Protocolo de Router de Reserva HSRP se utiliza en un grupo de routers para seleccionar
Directa (HSRP, Hot Standby un dispositivo activo y un dispositivo de espera. En un
Router Protocol) grupo de interfaces de dispositivo, el dispositivo activo
es el dispositivo que se utiliza para enrutar los paquetes;
el dispositivo de espera es el dispositivo que se hace
cargo cuando el dispositivo activo falla o cuando se
preconfigura se cumplen las condiciones. La función del
router de espera HSRP es supervisar el estado operativo
del grupo HSRP y asumir rápidamente responsabilidad
de reenvío de paquetes si falla el router activo.
Esta es una FHRP propietaria de Cisco que proporciona

la misma funcionalidad de HSRP, pero en un entorno
HSRP para IPv6 IPv6. Un grupo IPv6 HSRP tiene un MAC virtual derivada
del número de grupo HSRP y un vínculo IPv6 virtual local
derivada de la dirección MAC virtual HSRP. Router
P á g i n a | 405
Opciones de FHRP Descripción
Periódico se envían anuncios (RA) para el enlace IPv6

virtual HSRP local cuando el grupo HSRP está activo.
Cuando el grupo se vuelve inactivo, estos RAs se
detienen después de enviar una RA final.
Este es un protocolo electoral no propietario que asigna

dinámicamente responsabilidad de uno o más routeres
virtuales a los routeres VRRP en una LAN IPv4. Esto
permite que varios routers en un enlace multiacceso
utilicen la misma dirección IPv4 virtual. Un router VRRP
Virtual Router Redundancy
está configurado para ejecutar el protocolo VRRP junto
Protocol version 2 (VRRPv2)
con uno o más routeres conectados a una LAN. En una
configuración VRRP, se elige un router como el virtual
router master, con los otros routers actuando como
copias de seguridad, en caso de que el virtual router
master falle.
Proporciona la capacidad de admitir direcciones IPv4 e

VRRPv3 IPv6. VRRPv3 Funciona en entornos de varios
proveedores y es más escalable que VRRPv2.
Este es un FHRP propiedad de Cisco que protege el

Protocolo de Equilibrio de Carga tráfico de datos de un router o circuito fallido, como
del Gateway (Load Balancing HSRP y VRRP, mientras que también permite la carga
Protocol, GLBP) equilibrada (también llamado uso compartido de carga)
entre un grupo de routers.
Esta es una FHRP propietaria de Cisco que proporciona

la misma funcionalidad de GLBP, pero en un entorno
IPv6. GLBP para IPv6 proporciona automáticamente un
respaldo de router para los hosts IPv6 configurados con
GLBP para IPv6
un único gateway predeterminado en una LAN.
Múltiples routers de primer salto en la LAN se combinan
para ofrecer un único router IPv6 virtual de primer salto
mientras comparte el reenvío de paquetes IPv6 carga.
Especificado en RFC 1256, IRDP es una solución FHRP

Protocolo de detección del
heredada. IRDP permite IPv4 hosts ubiquen routers que
router ICMP (IRDP, ICMP Router
proporcionan conectividad IPv4 a otras redes IP (no
Discovery Protocol)
locales).
P á g i n a | 406
9.1.5
Verifique su conocimiento - Protocolos de

Redundancia de Primer Salto
Verifique su comprensión de los protocolos de redundancia de primer salto eligiendo la
MEJOR respuesta a las siguientes preguntas.
P á g i n a | 407
P á g i n a | 408
P á g i n a | 409
Conceptos de FHRP / HSRP
HSRP
9.2.1
HSRP: Descripción general

Cisco proporciona HSRP y HSRP para IPv6 como una forma de evitar la pérdida de acceso
externo a la red si falla el router predeterminado.
Es el protocolo FHRP exclusivo de Cisco diseñado para permitir la conmutación por falla
transparente de los dispositivos IPv4 de primer salto.
HSRP proporciona una alta disponibilidad de red, ya que proporciona redundancia de routing
de primer salto para los hosts IPv4 en las redes configuradas con una dirección IPv4 de
gateway predeterminado. HSRP se utiliza en un grupo de routers para seleccionar un
dispositivo activo y un dispositivo de reserva. En un grupo de interfaces de dispositivo, el
dispositivo activo es aquel que se utiliza para enrutar paquetes, y el dispositivo de reserva es
el que toma el control cuando falla el dispositivo activo o cuando se cumplen condiciones
previamente establecidas. La función del router de suspensión del HSRP es controlar el
estado operativo del grupo de HSRP y asumir rápidamente la responsabilidad de reenvío de
paquetes si falla el router activo.
9.2.2
Prioridad e Intento de Prioridad del HSRP

El rol de los routers activos y de reserva se determina durante el proceso de elección del
HSRP. De manera predeterminada, el router con la dirección IPv4 numéricamente más alta
se elige como router activo. Sin embargo, siempre es mejor controlar cómo funcionará su red
en condiciones normales en lugar de dejarlo librado al azar.
Prioridad HSRP
La prioridad HSRP se puede utilizar para determinar el router activo. El router con la
prioridad HSRP más alta será el router activo. De manera predeterminada, la prioridad HSRP
es 100. Si las prioridades son iguales, el router con la dirección IPv4 numéricamente más alta
es elegido como router activo.
Para configurar un router para que sea el router activo, utilice el comando de interfaz standby
priority. El rango de prioridad HSRP es de 0 a 255.
P á g i n a | 410
Preferencias HSRP
De forma predeterminada, después de que un router se convierte en el router activo, seguirá

siendo el router activo incluso si otro router está disponible en línea con una prioridad HSRP
más alta.
Para forzar un nuevo proceso de elección HSRP a tener lugar cuando un router de mayor
prioridad entra en línea, la preferencia debe habilitarse mediante el comando de
interface standby preempt. El intento de prioridad es la capacidad de un router HSRP de
activar el proceso de la nueva elección. Con este intento de prioridad activado, un router
disponible en línea con una prioridad HSRP más alta asume el rol de router activo.
El intento de prioridad solo permite que un router se convierta en router activo si tiene una
prioridad más alta. Un router habilitado para intento de propiedad, con una prioridad
equivalente pero una dirección IPv4 más alta, no desplazará la prioridad de un router activo.
Consulte la topología de la figura.
La topología de red física muestra tres PCs conectadas a un switch. El switch a su vez está
conectado a dos routers, el router R1 con dirección IP 172.16.10.2/24 que es el router activo
currect con una prioridad de 150, y el router R2 con dirección IP 172.16.10.3/24 que es el
router en espera actual con una prioridad de 100. R1 y R2 se conectan a una nube troncal.
Hay un router virtual con una dirección IP virtual de 172.16.10.1/24 y una dirección MAC
virtual de 0000.0C07.AC01.
El R1 se configuró con la prioridad de HSRP de 150 mientras que el R2 tiene la prioridad de

HSRP predeterminada de 100. El intento de prioridad está habilitado en el R1. Con una
prioridad más alta, el R1 es el router activo y el R2 es el router de reserva. Debido a un corte
P á g i n a | 411
de energía que solo afecta al R1, el router activo ya no está disponible y el router de reserva
R2 asume el rol de router activo. Después de que se restaura la energía, el R1 vuelve a estar
en línea. Dado que R1 tiene una prioridad más alta y el intento de prioridad se encuentra
habilitado, forzará un nuevo proceso de elección. R1 reanudará su rol de router activo y el
R2 volverá al rol de router de reserva.
Nota: Nota: Si el intento de prioridad está desactivado, el router que arranque primero será
el router activo si no hay otros routers en línea durante el proceso de elección.
9.2.3
Estados y Temporizadores de HSRP

Un router puede ser el router HSRP activo responsable de la devolución del tráfico al
segmento, donde el router puede ser un router HSRP pasivo de reserva, listo para asumir rol
activo si falla el router activo. Cuando se configura una interfaz con HSRP o se habilita
primero con una configuración HSRP existente, el router envía y recibe paquetes de saludo
del HSRP para comenzar el proceso de determinar qué estado asumirá en el grupo HSRP.
La Tabla 1 resume los estados de HSRP.
Estado de HSRP Descripción
Este estado se ingresa a través de un cambio de configuración o cuando

Inicial (Initial)
una interfaz está disponible en primer lugar.
El router no ha determinado la dirección IP virtual ha visto un mensaje

Aprendizaje
de saludo desde el router activo. En este estado, el router espera para
(Learn)
escuchar al router activo.
El router conoce la dirección IP virtual, pero no es el router activo ni el

Escucha (Listen)
router en espera. Escucha los mensajes de saludo de esos routers.
El router envía mensajes de saludo periódicos y participa activamente

Hablar (Speak)
en la elección del router activo y/o en espera.
En espera El router es candidato a convertirse en el próximo router activo y envía

(Standby) mensajes de saludo periódicos.
Active The router won the election

P á g i n a | 412
El router HSRP activo y el de reserva envían paquetes de saludo a la dirección de

multidifusión del grupo HSRP cada 3 segundos, de forma predeterminada. El router de
reserva se convertirá en activo si no recibe un mensaje de saludo del router activo después
de 10 segundos. Puede bajar estas configuraciones del temporizador para agilizar las fallas o
el intento de prioridad. Sin embargo, para evitar el aumento del uso de la CPU y cambios de
estado de reserva innecesarios, no configure el temporizador de saludo a menos de 1 segundo
o el temporizador de espera a menos de 4 segundos.
9.2.4
Verifique Su conocimiento - HSRP

HSRP.
P á g i n a | 413
P á g i n a | 414
Conceptos de FHRP / Práctica del Módulo y Cuestionario
Práctica del Módulo y Cuestionario

9.3.1

Protocolos de redundancia de primer salto
P á g i n a | 415
Si falla un router o una interfaz del router (que funciona como gateway predeterminado), los
hosts configurados con ese gateway predeterminado quedan aislados de las redes externas.
Se necesita un mecanismo para proporcionar gateways predeterminados alternativos en las
redes conmutadas donde hay dos o más routers conectados a las mismas VLAN. Una forma
de evitar un único punto de falla en el gateway predeterminado es implementar un router
virtual. Como se muestra en la figura, para implementar este tipo de redundancia de router,
se configuran varios routers para que funcionen juntos y así dar la sensación de que hay un
único router a los hosts en la LAN. Cuando falla el router activo, el protocolo de redundancia
hace que el router de reserva asuma el nuevo rol de router activo. Estos son los pasos que se
llevan a cabo cuando falla el router activo:
1. El router de reserva deja de recibir los mensajes de saludo del router de reenvío.
2. El router de reserva asume la función del router de reenvío.
3. Debido a que el nuevo router de reenvío asume tanto la dirección IPv4 como la dirección MAC del
router virtual, los dispositivos host no perciben ninguna interrupción en el servicio.
La FHRP utilizada en un entorno de producción depende en gran medida del equipo y las
necesidades de la red. Estas son las opciones disponibles para FHRP:
 HSRP y HSRP para IPv6

 VRRPV2 y VRRPV3
 GLBP and GLBP for IPv6
 IRDP
HSRP
Es el protocolo HSRP exclusivo de Cisco diseñado para permitir la conmutación por falla
transparente de los dispositivos IPv4 de primer salto. HSRP se utiliza en un grupo de routers
para seleccionar un dispositivo activo y un dispositivo de reserva. En un grupo de interfaces
de dispositivo, el dispositivo activo es aquel que se utiliza para enrutar paquetes, y el
dispositivo de reserva es el que toma el control cuando falla el dispositivo activo o cuando
se cumplen condiciones previamente establecidas. La función del router de suspensión del
HSRP es controlar el estado operativo del grupo de HSRP y asumir rápidamente la
responsabilidad de reenvío de paquetes si falla el router activo. El router con la prioridad
HSRP más alta será el router activo. El intento de prioridad es la capacidad de un router
HSRP de activar el proceso de la nueva elección. Con este intento de prioridad activado, un
router disponible en línea con una prioridad HSRP más alta asume el rol de router activo.
Los estados HSRP incluyen inicial, aprendizaje, escucha, habla y espera.
P á g i n a | 416
9.3.2
Módulo de preguntas - Conceptos de

FHRP
P á g i n a | 417
P á g i n a | 418
P á g i n a | 419
P á g i n a | 420
P á g i n a | 421
P á g i n a | 422
P á g i n a | 423
9.3.3
Packet Tracer - Guía de configuración

HSRP
Nota: La configuración de HSRP no es una habilidad necesaria para este módulo, curso o para
la certificación CCNA. Sin embargo, pensamos que podría disfrutar implementando HSRP en
Packet Tracer. Completar esta actividad le ayudará a comprender mejor cómo funciona FHRP,
y específicamente HSRP.
En esta actividad Packet Tracer, aprenderá a configurar Hot Standby Router Protocol (HSRP)
para proporcionar dispositivos de puerta de enlace predeterminados redundantes a hosts en
LAN. Después de configurar HSRP, probará la configuración para comprobar que los hosts
pueden utilizar la puerta de enlace predeterminada redundante si el dispositivo de puerta de
enlace actual no está disponible.
 Configurar un router activo HSRP.

 Configure un router de espera HSRP.
 Verify HSRP operation.
HSRP Configuration Guide

HSRP Configuration Guide
Capítulo 10_Conceptos de Seguridad de

LAN
Introducción
10.0.1

Bienvenido a los conceptos de seguridad de LAN
Si su ruta de carrera está en TI, usted no sólo va a estar construyendo y realizando

mantenimiento de redes. Usted va a ser responsable por la seguridad de su red. Para los
arquitectos y administradores de red de hoy en día, la seguridad no es un pensamiento para
P á g i n a | 424
después. ¡Es una prioridad para ellos! De hecho, mucha gente en TI ahora trabaja
exclusivamente en el área de seguridad de la red.
¿Usted entiende lo que hace a una LAN segura? ¿Sabe lo que los usuarios maliciosos pueden
hacer para romper la seguridad de la red? ¿Usted sabe lo que puede hacer para detenerlos?
Este módulo es su introducción al mundo de la seguridad en redes, no espere más, ¡haga clic
en Siguiente!
10.0.2

Titulo del Módulo: Conceptos de Seguridad de LAN
Objetivo del Módulo: Explique cómo las vulnerabilidades ponen en riesgo la seguridad de
LAN.
Explique cómo usar la seguridad de punto terminal para

Seguridad de punto terminal
mitigar los ataques.
Explique cómo se utilizan AAA y 802.1x para autenticar los

Control de acceso
terminales y los punto terminal LAN y dispositivos.
Amenazas a la seguridad de
Identifique vulnerabilidades de la Capa 2.
Capa 2
Ataque de tablas de Explique cómo un ataque de tablas de direcciones MAC

direcciones MAC compromete la seguridad de LAN.
Explique cómo los ataques a la LAN comprometen la

Ataques a la LAN
seguridad de LAN.
P á g i n a | 425
Conceptos de Seguridad de LAN / Seguridad de Punto Terminal
Seguridad de Punto Terminal

10.1.1
Ataques de Red Actuales

Normalmente, los medios de comunicación cubren los ataques de red externos a redes
empresariales. Sencillamente busque en el internet por "Los ataques más recientes de red" y
encontrará información actualizada de ataques actuales. Muy posiblemente, estos ataques
envuelven una o más de las siguientes:
 Negación de Servicio Distribuido(DDoS) – Esto es un ataque coordinado desde muchos dispositivos,

llamados zombies, con la intención de degradar o detener acceso publico al sitio web y los recursos
de una organización.
 Filtración de Datos – Este es un ataque en el que los servidores de datos o los hosts de una
organización han sido comprometidos con el fin de robar información confidencial.
 Malware – Este es un ataque en el que los hosts de una organización son infectados con software
malicioso que causa una serie de problemas. Por ejemplo, ransomware como WannaCry, mostrado
en la figura, encripta los datos en un host y bloquea el acceso hasta que se le pague un rescate.
10.1.2
P á g i n a | 426
Dispositivos de Seguridad de Red

Se necesitan diversos dispositivos de seguridad para proteger el perímetro de la red del acceso
exterior. Estos dispositivos podrían incluir un router habilitado con una Red Privada Virtual
(VPN), un Firewall de Siguiente Generación (NGFW), y un Dispositivo de Acceso a la Red
(NAC).
Red Privada Virtual (VPN): proporciona una conexión segura para que usuarios remotos se
conecten a la red empresarial a través de una red pública. Los servicios VPN pueden ser
integrados en el firewall.
Firewall de Siguiente Generación (NGFW): proporciona inspección de paquetes con estado,

visibilidad y control de aplicaciones, un Sistema de Prevención de Intrusos de Próxima
Generación (NGIPS), Protección Avanzada contra Malware (AMP) y filtrado de URL.
P á g i n a | 427
Un dispositivo NAC incluye autenticación, autorización y registro (AAA) . En empresas más

grandes, estos servicios podrían incorporarse en un dispositivo que pueda administrar políticas
de acceso en una amplia variedad de usuarios y tipos de dispositivos. El Cisco Identity Services
Engine (ISE) en un ejemplo de dispositivo NAC.
10.1.3
Protección de terminales
Los dispositivos LAN como los switches, los Controladores de LAN Inalámbricos (WLCs),
y otros puntos de acceso (AP) interconectan puntos terminales. La mayoría de estos
dispositivos son susceptibles a los ataques LAN que se cubren en este módulo.
Sin embargo, muchos ataques se originan dentro de la red. Si un atacante se infiltra en un

host interno, este puede ser el punto de partida para que obtenga acceso a dispositivos
esenciales del sistema, como servidores e información confidencial.
Los puntos terminales son hosts que generalmente consisten en computadoras portátiles,
computadoras de escritorio, servidores y teléfonos IP, así como dispositivos propiedad de los
empleados (BYOD). Los puntos terminales son particularmente susceptibles a ataques
relacionados con malware que se originan a través del correo electrónico o la navegación
web. Estos puntos finales suelen utilizar características de seguridad tradicionales basadas en
host, como antivirus/antimalware, firewalls basados en host y sistemas de prevención de
intrusiones (HIPS) basados en host. Sin embargo, actualmente los puntos finales están más
protegidos por una combinación de NAC, software AMP basado en host, un Dispositivo de
Seguridad de Correo Electrónico (ESA) y un Dispositivo de Seguridad Web (WSA). Los
productos de Protección Avanzado de Malware (AMP) incluyen soluciones de dispositivos
finales como Cisco AMP.
P á g i n a | 428
La figura es una topología simple que representa todos los dispositivos de seguridad de red
y soluciones de dispositivos finales discutidas en este módulo.
La figura es una topologia de red mostrando dispositivos de seguridad de red y soluciones de

dispositivos finales. La nube de internet esta en la parte superior izquierda. Adjunto a la nube
en Internet está un usuario remoto con un cliente de VPN. Conectado a la nube en la red
interna hay un router habilitado para VPN que está conectado a un NGFW. El NGFW está
conectado a un switch multicapa que tiene dos conexiones a otro switch multicapa.
Conectado al primer switch esta un dispositivo NAC AAA/ISE. Conectado al segundo switch
esta un dispositivo ESA/WSA. Los dos switches multicapa están conectados a un switch
LAN seguro y a un WLC. También se muestran varios dispositivos finales cableados e
inalámbricos protegidos con AMP, que incluyen una computadora de escritorio, una
computadora portátil, un teléfono IP y un teléfono inteligente.
10.1.4
Dispositivo de Seguridad de Correo

Electrónico Cisco (ESA)
Los dispositivos de seguridad de contenido incluyen un control detallado sobre el correo
electrónico y la navegación web para los usuarios de una organización.
P á g i n a | 429
Según el Talos Intelligence Group de Cisco, en junio de 2019, el 85% de todos los correos
electrónicos enviados eran spam. Los ataques de suplantación de identidad son una forma de
correo electronico no deseado paticularmente virulento. Recuerde que un ataque de phishing
lleva al usuario a hacer clic en un enlace o abrir un archivo adjunto. Spear phishing selecciona
como objetivo a empleados o ejecutivos de alto perfil que pueden tener credenciales de inicio
de sesión elevadas. Esto es particularmente crucial en el ambiente actual, donde, de acuerdo
al instituto SANS, 95% de todos los ataques en redes empresariales son del resultado de un
spear phishing exitoso.
El dispositivo Cisco ESA está diseñado para monitorear el Protocolo Simple de Transferenc ia
de Correo (SMTP). Cisco ESA se actualiza en tiempo real de Cisco Talos, quien detecta y
correlaciona las amenazas con un sistema de monitoreo que utiliza una base de datos mundia l.
Cisco ESA extrae estos datos de inteligencia de amenazas cada tres o cinco minutos. Estas
son algunas funciones de Cisco ESA:
 Bloquear las amenazas

 Remediar contra el malware invisible que evade la detección inicial
 Descartar correos con enlaces malos (como se muestra en la figura).
 Bloquear el acceso a sitios recién infectados
 Encriptar el contenido de los correos salientes para prevenir perdida de datos.
En la figura Cisco ESA descarta el correo con enlaces malos.
Un atacante envía un correo electrónico de suplantación de identidad (phishing) desde la

nube, destinado a un ejecutivo de la compañía; el firewall lo re-envía al ESA, que lo descarta.
1. El atacante envía un ataque de suplantación a un importante host en la red.

2. El firewall reenvía todos los correos al ESA
3. ESA analiza el correo electrónico, lo registra y si es malware lo descarta.
10.1.5
P á g i n a | 430
Dispositivo de Seguridad de la Red de

Cisco (WSA)
Cisco Web Security Appliance (WSA) es una tecnología de mitigación para amenazas
basadas en la web. Ayuda a las organizaciones a abordar los desafíos de asegurar y controlar
el tráfico web. Cisco WSA combina protección avanzada contra malware, visibilidad y
control de aplicaciones, controles de políticas de uso aceptable e informes.
Cisco WSA proporciona un control completo sobre cómo los usuarios acceden a Internet.
Ciertas funciones y aplicaciones, como chat, mensajería, video y audio, pueden permitirse,
restringirse con límites de tiempo y ancho de banda, o bloquearse, de acuerdo con los
requisitos de la organización. La WSA puede realizar listas negras de URL, filtrado de URL,
escaneo de malware, categorización de URL, filtrado de aplicaciones web y cifrado y
descifrado del tráfico web.
En la figura, un usuario corporativo intenta conectarse a un sitio marcado en la lista negra.
Un usuario interno trata de conectarse a un sitio que esta en lista negra; el firewall lo desvía
al WSA y este lo descarta.
1. Un usuario intenta conectarse a un sitio web.

2. El firewall reenvía la solicitud del sitio web a la WSA.
3. La WSA evalúa la URL y determina si es un sitio marcado en la lista negra. El WSA descarta el
paquete y envía un mensaje de acceso denegado al usuario.
P á g i n a | 431
10.1.6
Ponga a prueba su conocimiento -

Seguridad de Punto Terminal
seguridad de punto terminal (endpoint security)
P á g i n a | 432
P á g i n a | 433
Conceptos de Seguridad de LAN / Control de Acceso
Control de Acceso
10.2.1
Autenticación con una contraseña local

En el tema anterior usted aprendió que un NAC provee servicios AAA. En este tema usted
aprenderá mas sobre AAA y las formas de controlar el acceso.
Muchas formas de autenticación pueden ser llevadas a cabo en dispositivos de red, y cada
método ofrece diferentes niveles de seguridad. El método más simple de autenticación para
acceso remoto consiste en configurar un inicio de sesión, combinando nombre de usuario y
contraseña, a nivel de consola, lineas vty, y puertos auxiliares, como se muestra en el
siguiente ejemplo. Este método es el más simple de implementar, pero también el mas débil
y menos seguro. Este método no es fiable y la contraseña es enviada en texto plano. Cualquier
persona con la contraseña puede acceder al dispositivo.
SSH es un tipo de acceso remoto más seguro.
 Requiere un nombre de usuario y una contraseña, que se encriptan durante la transmisión.

 El nombre de usuario y la contraseña pueden ser autenticados por el método de base de datos local.
 Proporciona más responsabilidad porque el nombre de usuario queda registrado cuando un usuario
inicia sesión.
El siguiente ejemplo ilustra el SSH y métodos de acceso remoto a una base de datos local:
P á g i n a | 434
El método de base de datos local tiene algunas limitaciones
 Las cuenta de usuario deben ser configuradas localmente en cada dispositivo. En una gran empresa
con múltiples routers y switches que controlar, puede tomar mucho tiempo implementar y cambiar
bases de datos locales en cada dispositivo.
 Además, la configuración de la base de datos local no proporciona ningún método de autenticación
de respaldo. Por ejemplo, ¿qué sucede si el administrador olvida el nombre de usuario y la
contraseña para ese dispositivo? Sin un método de respaldo disponible para la autenticación, la
restauración se convierte en la única opción.
Una mejor solución es hacer que todos los dispositivos se refieran a la misma base de datos
de nombres de usuario y contraseñas alojados en un servidor central.
10.2.2
Componentes AAA
AAA significa Autenticación, Autorización y Registro El concepto de AAA es similar al uso
de una tarjeta de crédito, como se muestra en la imagen La tarjeta de crédito identifica quién
la usa y cuánto puede gastar puede el usuario de esta, y mantiene un registro de cuántos
elementos o servicios adquirió el usuario.
"AAA" o "triple A", estos servicios proporcionan el marco principal para ajustar el control
de acceso en un dispositivo de red. AAA es un modo de controlar quién tiene permitido
acceder a una red (autenticar), controlar lo que las personas pueden hacer mientras se
encuentran allí (autorizar) y qué acciones realizan mientras acceden a la red (registrar).
P á g i n a | 435
10.2.3
Autenticación
Dos métodos de implementación de autenticación AAA son Local y basado en servidor.
Autenticación AAA local
Los AAA locales guardan los nombres de usuario y contraseñas localmente en un dispositivo
de red como el router de Cisco. Los usuarios se autentican contra la base de datos local, como
se muestra en la figura. AAA local es ideal para las redes pequeñas.
Un cliente remoto se conecta a un router AAA, se le solicita un usuario y contraseña, el router

revisa su base de datos local antes de permitir acceso a la red corporativa.
P á g i n a | 436
1. El cliente establece una conexión con el router.

2. El router AAA solicita al usuario un nombre de usuario y una contraseña.
3. El router autentica el nombre de usuario y la contraseña mediante la base de datos local y el
usuario obtiene acceso a la red en función de la información de esta base de datos.
Autenticación AAA basada en el servidor
Con el método basado en servidor, el router accede a un servidor central de AAA, como se
muestra en la imagen El servidor AAA contiene los nombres de usuario y contraseñas de
todos los usuarios. El router AAA usa el protocolo de Sistema de Control de Acceso del
Controlador de Acceso Terminal Mejorado (TACACS+) o el protocolo de Servicio de
Autenticación Remota de Usuario de Discado (RADIUS) para comunicarse con el servidor
de AAA. Cuando hay múltiples enrutadores y switches, el método basado en el servidor es
más apropiado.
Un cliente remoto se conecta a un enrutador AAA, se le consulta su nombre de usuario y

contraseña, el enrutador autentica las credenciales utilizando un servidor AAA, y se le da al
usuario acceso a la red.
1. El cliente establece una conexión con el router.

2. El router AAA solicita al usuario un nombre de usuario y una contraseña.
3. El router autentica el nombre de usuario y la contraseña mediante un servidor de AAA remoto.
4. El usuario obtiene acceso a la red en función de la información en el servidor AAA remoto.
10.2.4
Autorización
La autorización es automática y no requiere que los usuarios tomen medidas adiciona les
después de la autenticación. La autorización controla lo que el usuario puede hacer o no en
la red después de una autenticación satisfactoria:
P á g i n a | 437
La autorización utiliza un conjunto de atributos que describe el acceso del usuario a la red.
Estos atributos son usados por el servidor AAA para determinar privilegios y restricciones
para ese usuario, como se muestra en la figura.
1. Cuando un usuario ha sido autenticado, una sesión es establecida entre el router y el servidor
AAA.
2. El router pide autorización al servidor AAA para la solicitud de servicio del cliente.
3. El servidor AAA responde con un PASS/FAIL a la solicitud.
10.2.5
Registro
El registro de AAA recopila y reporta datos de uso. La organización puede utilizar estos datos
para fines como auditorías o facturación. Los datos recopilados pueden incluir la hora de
inicio y finalización de la conexión, los comandos ejecutados, la cantidad de paquetes y el
número de bytes.
Un uso muy implementado debe registro consiste en combinarlo con la autenticación AAA.
Los servidores AAA mantienen un registro detallado de lo que el usuario autenticado hace
exactamente en el dispositivo, como se muestra en la imagen Esto incluye todos los
comandos EXEC y de configuración que emite el usuario. El registro contiene varios campos
de datos, incluidos el nombre de usuario, la fecha y hora, y el comando real que introdujo el
usuario. Esta información resulta útil para solucionar problemas de dispositivos. Ademas
proporciona evidencia contra individuos que realizan actividades maliciosas.
P á g i n a | 438
1. Cuando se autentica a un usuario, el proceso de registro AAA genera un mensaje para comenzar el
proceso de registro.
2. Cuando el usuario termina, se registra un mensaje de finalización y se da por terminado el proceso
de registro.
10.2.6
802.1x
El estándar IEEE 802.1X define un control de acceso y un protocolo de autenticación basados
en puertos. Este protocol evita que las estaciones de trabajo no autorizadas se conecten a una
LAN a través de puertos de switch de acceso público. El servidor de autenticación autentica
cada estación de trabajo, que está conectada a un puerto del switch, antes de habilitar
cualquier servicio ofrecido por el switch o la LAN.
Con la autenticación 802.1X basada en puertos, los dispositivos de la red cumplen roles
específicos, como se muestra en la figura:
El diagrama muestra los dispositivos involucrados en 802.1x autenticación basada en

puertos. A la izquierda esta el suplicante, en este caso un escritorio, el cual requiere acceso y
responde a solicitudes desde un Switch. El suplicante se conecta al autenticador, en este caso
el switch, controla el acceso físico a la red según el estado de autenticación del cliente. El
autenticador esta conectado a un servidor de autenticación el cual realiza la autenticación del
cliente.
 Cliente (suplicante) - Este es un dispositivo ejecutando software de cliente 802.1X, el cual esta
disponible para dispositivos conectados por cable o inalámbricos.
 Switch (Autenticador) –El switch funciona como actúa intermediario (proxy) entre el cliente y el
servidor de autenticación. Solicita la identificación de la información del cliente, verifica dicha
información al servidor de autenticación y transmite una respuesta al cliente. Otro dispositivo que
puede actuar como autenticador es un punto de acceso inalámbrico.
 Servidor de autenticación El servidor valida la identidad del cliente y notifica al switch o al punto de
acceso inalámbrico si el cliente esta o no autorizado para acceder a la LAN y a los servicios del Switch.
P á g i n a | 439
10.2.7
Verifique su comprensión: Control de

Acceso
control de acceso.
P á g i n a | 440
P á g i n a | 441
Conceptos de Seguridad de LAN / Amenazas a la seguridad de Capa 2
Amenazas a la seguridad de Capa 2

10.3.1
Capa 2 Vulnerabilidades
Los dos temas anteriores discutieron seguridad en puntos terminales. En este tema, usted va
a seguir aprendiendo sobre formas de asegurar una LAN, enfocándose en las tramas de la
Capa de Enlace (Capa 2) y el switch.
Recuerde que el modelo de referencia OSI está dividido en siete capas, las cuales trabajan de
manera independiente una de otra. La figura muestra la función de cada capa y los principa les
componentes que pueden ser explotados.
Los administradores de red regularmente implementan soluciones de seguridad para proteger

los componentes en la Capa 3 y hasta la Capa 7. Ellos usan VPNs, firewalls, y dispositivos
IPS para proteger estos elementos. Si la Capa 2 se ve comprometida, todas las capas
superiores también se ven afectadas. Por ejemplo, si un atacante con acceso a la red interna
captura los marcos de la Capa 2, entonces toda la seguridad implementada en las capas
anteriores sería inútil. El atacante podría causar mucho daño en la infraestructura de red LAN
de Capa 2.
El diagrama muestra el numero, nombre, y otra información relacionada con las capas del
modelo OSI desde arriba a abajo: 7 - aplicación, 6- presentación, 5 - sesión, 4 - transporte, 3
- Red, 2 - enlace de datos, y 1 - física. Muestra que las tramas Ethernet en Capa 2 pueden ser
comprometidss, y con una flecha se indica que todas las capas superiores también se ven
comprometidas.
P á g i n a | 442
HTTP, HTTPS, POP3, IMAP, SSL, SSH,...Protocolos/PuertosDir ecciones
10.3.2
Categorías de Ataques a Switches

La seguridad es solamente tan sólida como el enlace más débil en el sistema, y la Capa 2 es
considerada el enlace más débil. Esto se debe a que las LAN estaban tradicionalmente bajo
el control administrativo de una sola organización. Nosotros confiábamos inherentemente en
todas las personas y dispositivos conectados a nuestra LAN. Hoy, con BYOD y ataques más
sofisticados, nuestras LAN se han vuelto más vulnerables a la penetración. Además de
proteger de la Capa 3 a la Capa 7, los profesionales de seguridad de red también deben mitigar
los ataques a la infraestructura LAN de la Capa 2.
El primer paso para mitigar los ataques a la infraestructura de Capa 2 es comprender el

funcionamiento de la Capa 2 y las amenazas de la infraestructura de Capa 2.
Los ataques contra la infraestructura LAN de capa 2 se describen en la tabla y se analiza n

con más detalle más adelante en este módulo.
P á g i n a | 443
Ataques de Capa 2
Categoría Ejemplos
Ataques a la tabla MAC Incluye ataques de saturación de direcciones MAC.
Incluye ataques VLAN Hopping y VLAN Double-Tagging Esto

Ataques de VLAN tambien incluye ataques entre dispositivos en una misma
VLAN.
Ataques de DHCP Incluye ataques de agotamiento y suplantación DHCP.
Incluye la suplantación de ARP y los ataques de

Ataques ARP
envenenamiento de ARP.
Ataques de Suplantación Incluye los ataques de suplantación de direcciones MAC e

de Direcciones IP.
Incluye ataques de manipulación al Protocolo de Árbol de

Ataque de STP
Extensión
10.3.3
Técnicas de Mitigación en el Switch

La tabla provee una visión general de soluciones Cisco para mitigar ataques en Capa 2.
Mitigación de ataques en Capa 2.

Solución Descripción
Previene muchos tipos de ataques incluyendo ataques MAC

Seguridad de Puertos
address flooding Ataque por agotamiento del DHCP
Previene ataques de suplantación de identidad y de

DHCP Snooping
agotamiento de DHCP
P á g i n a | 444
Solución Descripción
Inspección ARP dinámica Previene la suplantación de ARP y los ataques de

(DAI) envenenamiento de ARP.
Protección de IP de origen
Impide los ataques de suplantación de direcciones MAC e IP.
(IPSG)
Estas soluciones de Capa 2 no serán efectivas si los protocolos de administración no son

seguros. Por ejemplo, los protocolos administrativos Syslog, Protocolo Simple de
Administración de Red (SNMP), Protocolo Trivial de Transferencia de Archivos (TFTP),
Telnet, Protocolo de Transferencia de Archivos (FTP) y la mayoría de otros protocolos
comunes son inseguros, por lo tanto, se recomiendan las siguientes estrategias:
 Utilice siempre variantes seguras de protocolos de administración como SSH, Protocolo de Copia
Segura (SCP), FTP Seguro (SFTP) y Seguridad de capa de sockets seguros / capa de transporte (SSL /
TLS).
 Considere usar una red de administración fuera de banda para administrar dispositivos.
 Usar una VLAN de administración dedicada que solo aloje el tráfico de administración.
 Use ACL para filtrar el acceso no deseado.
10.3.4
Ponga a prueba su conocimiento:

Amenazas de Seguridad de Capa 2
amenazas de seguridad.
P á g i n a | 445
P á g i n a | 446
P á g i n a | 447
Conceptos de Seguridad de LAN / Ataque de Tablas de Direcciones MAC
Ataque de Tablas de Direcciones

MAC
10.4.1
Revisar la Operación del Switch

En este tema el foco esta aun en los switches, específicamente en la tabla de direcciones
MAC y como estas tablas son vulnerables a ataques.
Recuerde que para tomar decisiones de reenvío, un Switch LAN de Capa 2 crea una tabla
basada en las direcciones MAC de origen que se encuentran en las tramas recibidas. Como
se muestra en la figura, esto es llamado un tabla de direcciones MAC. Tabla de direcciones
MAC se guarda en la memoria y son usadas para reenviar tramas de forma eficiente.
10.4.2
Saturación de Tablas de Direcciones MAC

Todas las tablas MAC tiene un tamaño fijo, por lo que un switch puede quedarse sin espacio
para guardar direcciones MAC. Los ataques de saturación de direcciones MAC aprovechan
esta limitación al bombardear el switch con direcciones MAC de origen falsas hasta que la
tabla de direcciones MAC del switch esté llena.
Cuando esto ocurre, el switch trata la trama como un unicast desconocido y comienza a
inundar todo el tráfico entrante por todos los puertos en la misma VLAN sin hacer referencia
P á g i n a | 448
a la tabla MAC. Esta condición ahora permite que un atacante capture todas las tramas
enviadas desde un host a otro en la LAN local o VLAN local.
Nota: El tráfico se satura solo dentro de la LAN o VLAN local. El atacante solo puede
capturar el tráfico dentro de la LAN o VLAN local a la que está conectado el atacante.
La figura, muestra como el atacante puede fácilmente usar la herramienta de ataque de red
llamada macof para desbordar una tabla de direcciones MAC.
1. El atacante esta conectado a VLAN 10 y usa macof para rápidamente generar de manera aleatoria
muchas direcciones MAC y IP de origen y destino.
2. En un corto periodo de tiempo la tabla MAC del switch se llena.
3. Cuando la tabla MAC esta llena, el switch empieza a reenviar todas las tramas que recibe. Mientras
que macof continúe ejecutándose, la tabla MAC se mantiene llena y el switch continua reenviando
todas las tramas que ingresan hacia cada puerto asociado a la VLAN 10.
4. Luego, el atacante usa el software de analizador de paquetes para capturar frames desde
cualquier dispositivo conectado en la VLAN 10.
Si el atacante detiene la ejecución de macof o si es descubierto y detenido, el switch

eventualmente elimina las entradas mas viejas de direcciones MAC de la tabla y empieza a
funcionar nuevamente como un switch.
10.4.3
Mitigación de Ataques a la Tabla de

Direcciones MAC.
Lo que hace que herramientas como macof sean peligrosas es que un atacante puede crear
un ataque de saturación de tabla MAC muy rápidamente. Por ejemplo, un switch Catalyst
6500 puede almacenar 132,000 direcciones MAC en su tabla de direcciones MAC. Una
herramienta comomacof puede saturar un switch con hasta 8,000 tramas falsas por segundo;
P á g i n a | 449
creando un ataque de saturación de la tabla de direcciones MAC en cuestión de segundos.

Este ejemplo muestra la salida del comando macof en un host Linux.
Otra razón por la que estas herramientas de ataque son peligrosas, es porque no solo afectan
el switch local sino que también afectan switches conectados de Capa 2. Cuando la tabla de
direcciones MAC de un switch está llena, comienza a desbordar todos los puertos, incluidos
los conectados a otros switches de Capa 2.
Para mitigar los ataques de saturación de la tabla de direcciones MAC, los administradores
de red deben implementar la seguridad del puerto. Seguridad de puertos (Port security)
permitirá que el puerto aprenda sólo un número específico de direcciones MAC de origen.
Seguridad de puertos (Port security) será discutido más adelante en otro módulo.
10.4.4
Verifica tu entendimiento- Ataques a

Tablas de Direcciones MAC.
ataques de tablas de direcciones MAC.
P á g i n a | 450
P á g i n a | 451
Conceptos de Seguridad de LAN / Ataques a la LAN
Ataques a la LAN
10.5.1
Video - VLAN y Ataques DHCP

Este tema investiga los diferentes tipos de ataques LAN y las técnicas de mitigación a estos
ataques. Como en temas anteriores, estos ataques tienden a ser específicamente a los switches
y Capa 2.
Haga clic en reproducir en la figura para ver un video sobre ataques de denegación de
servicio.
5:21
10.5.2
Ataque de VLAN Hopping

El VLAN Hopping permite que una VLAN pueda ver el tráfico de otra VLAN sin cruzar
primero un router. En un ataque de VLAN Hopping básico, el atacante configura un host
para que actúe como un switch para aprovechar la función de entroncamiento automático
habilitada de forma predeterminada en la mayoría de los puertos del switch.
El atacante configura el host para falsificar la señalización 802.1Q y la señalización del

Protocolo de enlace dinámico (DTP), propiedad de Cisco, hacia el enlace troncal con el
P á g i n a | 452
switch de conexión. Si es exitoso, el switch establece un enlace troncal con el host, como se
muestra en la figura. Ahora el atacante puede acceder todas las VLANS en el switch. El
atacante puede enviar y recibir tráfico en cualquier VLAN, saltando efectivamente entre las
VLAN.
Un atacante esta conectado a un switch que esta conectado a otro switch por medio de un
troncal 802.1Q. El segundo switch tiene una conexión con el servidor 1 en la VLAN 10 y
una conexión al servidor 2 en la VLAN 20. El atacante estableció un enlace troncal 802.1Q,
no autorizado, al switch para ganar acceso a la VLAN del servidor.
El atacante obtiene acceso

a la VLAN del servidor.
10.5.3
Ataque de VLAN Double-Tagging

Un atacante, en situaciones específicas, podrían insertar una etiqueta 802.1Q oculta dentro
de la trama que ya tiene una etiqueta 802.1Q. Esta etiqueta permite que la trama se envíe a
una VLAN que la etiqueta 802.1Q externa no especificó.
El atacante envía una trama 802.1Q con doble etiqueta (double tag) al switch. El encabezado
externo tiene la etiqueta VLAN del atacante, que es la misma que la VLAN nativa del puerto
de enlace troncal. Para fines de este ejemplo, supongamos que es la VLAN 10. La etiqueta
interna es la VLAN víctima; en este caso, la VLAN 20.
P á g i n a | 453
Un atacante esta conectado al switch, este tiene un enlace troncal a otro switch, y la VLAN
nativa esta configurada como VLAN nativa 10. El segundo switch tiene un host objetivo
adjunto en VLAN 20. El atacante esta enviando una trama al primer switch con los siguie ntes
campos: Ethernet, VLAN 10, VLAN 20, y datos.
El frame llega al primer switch, que mira la primera etiqueta 802.1Q de 4 bytes. El switch ve
que la trama esta destinada para la VLAN 10, la cual es una VLAN nativa. El switch reenvía el
paquete a todos los puertos de VLAN 10, después de quitar la etiqueta de VLAN 10. La trama
no es re-etiquetada porque es parte de la VLAN nativa. En este punto, la etiqueta de VLAN 20
todavía está intacta y no ha sido inspeccionada por el primer switch.
P á g i n a | 454
La trama llega al segundo switch, que no tiene conocimiento de que debía ser para la VLAN 10.
El switch emisor no etiqueta el tráfico de la VLAN nativa, como se especifica en la especificación
802.1Q. El segundo switch observa solo la etiqueta interna 802.1Q, que el atacante insertó, y
ve que la trama está destinada a la VLAN 20 (la VLAN víctima). El segundo switch envía el
paquete al puerto víctima o lo satura, dependiendo de si existe una entrada en la tabla de MAC
para el host víctima.
Un ataque de VLAN Double-tagging es unicast, y funciona unidireccional, y funcio na

cuando el atacante está conectado a un puerto que reside en la misma VLAN que la VLAN
nativa del puerto troncal. La idea es que el doble etiquetado permite al atacante enviar datos
a hosts o servidores en una VLAN que de otro modo se bloquearía por algún tipo de
configuración de control de acceso. Presumiblemente, también se permitirá el tráfico de
retorno, lo que le dará al atacante la capacidad de comunicarse con los dispositivos en la
VLAN normalmente bloqueada.
Mitigación de Ataques a VLAN
Los ataques de VLAN hopping y VLAN Double-Tagging se pueden evitar mediante la

implementación de las siguientes pautas de seguridad troncal, como se discutió previame nte
en este modulo:
 Deshabilitar troncal en todos los puertos de acceso.

 Deshabilitar entroncamiento automático en enlaces troncales para poder habilitarlos de manera
manual.
 Asegúrese de que la VLAN nativa sólo se usa para los enlaces troncales.
P á g i n a | 455
10.5.4
Mensajes DHCP
Los servidores DHCP, de manera dinámica, proporcionan información de configuración de
IP a los clientes, como la dirección IP, la máscara de subred, el gateway predeterminado, los
servidores DNS y más. Una revisión de la secuencia típica de un intercambio de mensajes
DHCP entre el cliente y el servidor es mostrada en la figura.
La figura muestra la secuencia típica de un intercambio de mensajes DHCP entre el cliente y

el servidor. El servidor se muestra a la izquierda y el cliente a la derecha. De arriba hacia
abajo, que sigue en la secuencia de imágenes. Primero, el cliente envía un mensaje DHCP
DISCOVER, tipo broadcast, al servidor con el mensaje, me gustaría solicitar una dirección.
Luego, el servidor responde con una unidifusión DHCPOFFER indicando, Yo soy
DHCPsvr1, aqui hay una direccion que le puedo ofrecer. La información en este mensaje es:
dirección IP de 192.168.10.15, máscara de subred de 255.255.255.0, puerta de enlace
predeterminada de 192.168.10.1 y tiempo de arrendamiento de 3 días. El cliente responde
con un mensaje DHCP REQUEST, tipo broadcast, que dice: "Acepto la oferta de dirección
IP". El servidor responde con un mensaje DHCP ACK, tipo unicast, que dice: "Se confirma
su aceptación".
P á g i n a | 456
10.5.5
Ataques de DHCP
Los dos tipos de ataques DHCP son agotamiento y suplantación de identidad. Ambos ataques
pueden ser mitigados implementando DHCP snooping.
Ataque por Agotamiento DHCP
El objetivo de un ataque de agotamiento DHCP es crear un DoS para la conexión de clientes.

Los ataques de agotamiento de DHCP requieren una herramienta de ataque, como Gobbler.
Gobbler tiene la capacidad de ver todo el alcance de las direcciones IP alquilables e intenta
alquilarlas todas. Específicamente, este crea un mensaje DHCP DISCOVER con una
dirección MAC falsa.
Ataque de Suplantación DHCP
Un ataque de suplantación DHCP se produce cuando un servidor DHCP, no autorizado, se

conecta a la red y brinda parámetros de configuración IP falsos a los clientes legítimos. Un
servidor no autorizado puede proporcionar una variedad de información engañosa:
 Puerta de enlace predeterminada incorrecta - el atacante proporciona una puerta de enlace no

válida o la dirección IP de su host para crear un ataque de MITM. Esto puede pasar totalmente
inadvertido, ya que el intruso intercepta el flujo de datos por la red.
 Servidor DNS incorrecto el atacante proporciona una dirección del servidor DNS incorrecta que
dirige al usuario a un sitio web malicioso.
 Dirección IP incorrecta - El servidor no autorizado proporciona una dirección IP no válida que crea
efectivamente un ataque DoS en el cliente DHCP
El atacante se conecta a un servidor DHCP dudoso.
Supongamos que un atacante conecta con éxito un servidor DHCP no autorizado a un puerto
de switch en la misma subred que los clientes. El objetivo del servidor no autorizado es
proporcionar a los clientes información de configuración de IP falsa.
El servidor DHCP no autorizado está conectado a un switch en la red.

P á g i n a | 457
El cliente transmite mensajes DHCP DISCOVER, tipo broadcast
Un cliente legítimo se conecta a la red y requiere parámetros de configuración de IP. Por lo

tanto, el cliente emite un DHCP DISCOVER, tipo broadcast, en búsqueda de una respuesta de
un servidor DHCP. Ambos servidores recibirán el mensaje y responden.
Respuesta DHCP legítima y no autorizada

P á g i n a | 458
El servidor DHCP legitimo responde con parámetros de configuración de IP validos. Sin

embargo, el servidor no autorizado también responde con una oferta DHCP, la cual contiene
parámetros de configuración IP definidos por el atacante. El cliente responderá a la primera
oferta recibida.
El cliente acepta la oferta del servidor DHCP no autorizado
La oferta maliciosa fue recibida primero, y por lo tanto, el client e hace envía un DHCP
REQUEST, tipo broadcast, aceptando los parámetros IP definidos por el atacante. El servidor
legítimo y el dudoso recibirán la solicitud.
P á g i n a | 459
El servidor malicioso confirma que recibió la solicitud
Solamente el servidor no autorizado emite una respuesta individual al cliente para acusar
recibo de su solicitud. El servidor legítimo dejará de comunicarse con el cliente.
10.5.6
Video- Ataques ARP, Ataques STP, y

Reconocimiento CDP.
Haga clic en reproducir en la figura para ver un video sobre ataques de denegación de
servicio.
P á g i n a | 460
10.5.7
Ataques ARP
Recuerde que los hosts transmiten una solicitud de ARP a otros hosts del segmento para
determinar la dirección MAC de un host con una dirección IP específica. Esto es típicame nte
hecho para descubrir la dirección MAC de una puerta de enlace predeterminada. Todos los
hosts de la subred reciben y procesan la solicitud de ARP. El host con la dirección IP que
coincide con la de la solicitud de ARP envía una respuesta de ARP.
Según ARP RFC, cualquier cliente puede enviar una respuesta de ARP no solicitada llamada
“ARP gratuito” Cuando un host envía un ARP gratuito, otros hosts en la subred almacenan
en sus tablas de ARP la dirección MAC y la dirección IP que contiene dicho ARP.
El problema es que un atacante puede enviar un mensaje ARP gratuito al switch y el switch
podría actualizar su tabla MAC de acuerdo a esto. Por lo tanto, cualquier host puede reclamar
ser el dueño de cualquier combinación de direccion IP Y MAC que ellos elijan. En un ataque
típico el atacante puede enviar respuestas ARP, no solicitadas, a otros hosts en la subred con
la dirección MAC del atacante y la dirección IP de la puerta de enlace predeterminada.
Hay muchas herramientas disponibles en Internet para crear ataques de MITM de ARP, como
dsniff, Cain & Abel, ettercap y Yersinia. IPv6 utiliza el protocolo de descubrimiento de
vecinos ICMPv6 para la resolución de direcciones de Capa 2. IPv6 utiliza el protocolo de
descubrimiento de vecinos ICMPv6 para la resolución de direcciones de capa 2.
La suplantación de identidad ARP y el envenenamiento ARP son mitigados implementa ndo

DAI.
Estado normal con una tabla MAC convergida.
Cada dispositivo tiene una tabla MAC actualizada con la dirección IP y MAC correctas de
cada dispositivo en la red.
P á g i n a | 461
Nota: Las
direcciones
MAC, se están
mostrando con
24 bits para
efectos de
hacerlo
sencillo.
Ataque por Suplantación de ARP
El atacante envía dos respuestas gratuitas falsas en un intento de reemplazar R1 como la puerta
de enlace predeterminada.
1. En el primero ARP informa todos los dispositivos en la LAN que la direccion MAC del atacante
(CC:CC:CC) está mapeado a la direccion IP de la PC1, 10.0.0.11.
2. EL segundo le informa a todos los dispositivos en la LAN que la direccion MAC del atacante
(CC:CC:CC) está mapeado a la direccion IP de la PC1, 10.0.0.11.
Nota: Las
direcciones
MAC, se están
mostrando con
24 bits para
efectos de
hacerlo sencillo.
.
Ataque de envenenamiento ARP con ataque MITM.

P á g i n a | 462
R1 y PC1 remueven la entrada correcta de la dirección MAC de cada uno y la reemplaza con la
dirección MAC de PC2. El atacante ha logrado envenenar la caché ARP de todos los
dispositivos en la subred. El envenenamiento ARP lleva a varios ataques MITM, posando una
seria amenaza de seguridad en la red.
Nota: Las
direcciones
MAC, se están
mostrando con
24 bits para
efectos de
hacerlo sencillo.
10.5.8
Ataque de Suplantación de Dirección

Las direcciones IP y las direcciones MAC pueden ser suplantadas por una cantidad de
razones. El ataque de suplantación de identidad se da cuando un atacante secuestra una
dirección IP valida de otro dispositivo en la subred o usa una dirección IP al azar. La
suplantación de direcciones IP es difícil de mitigar, especialmente cuando se usa dentro de
una subred a la que pertenece la IP.
Los atacantes cambian la dirección MAC de su host para que coincida con la dirección MAC
conocida de un otro host objetivo. Luego, el host atacante envía una trama a través de la red
con la dirección MAC recién configurada. Cuando el switch recibe la trama, examina la
dirección MAC de origen. El switch sobrescribe la entrada actual en la tabla MAC y asigna
la dirección MAC al nuevo puerto, como se ve en la figura. Luego, sin darse cuenta, reenvía
las tramas host atacante.
P á g i n a | 463
Nota: Las
direcciones MAC,
se están mostrando
con 24 bits para
efectos de hacerlo
sencillo.
Un atacante en
PC2 esta conectado al puerto Fa0/2 de un switch. Conectado al switch en el puerto Fa0/1 esta
la PC1 con la MAC BB:BB:BB. El atacante está enviando un mensaje al switch que dice, mi
MAC es BB:BB:BB. La tabla de direcciones MAC del switch ahora no muestra ninguna otra
direccion MAC mapeada al puerto Fa0/1 excepto la MAC BB:BB:BB.
Cuando el host de destino envía tráfico, el switch corregirá el error, re-alineando la dirección
MAC al puerto original. Para evitar que el switch corrija la asignación del puerto a su estado
correcto, el atacante puede crear un programa o script que constantemente enviará tramas al
switch, para que el switch mantenga la información incorrecta o falsificada. No hay un
mecanismo de seguridad en la Capa 2 que permita a un switch verificar la fuente de las
direcciones MAC, lo que lo hace tan vulnerable a la suplantación de identidad.
La suplantación de identidad de direcciones IP y direcciones MAC puede ser mitigada

implementado IPSG.
10.5.9
Ataque de STP
Los atacantes de red pueden manipular el Protocolo de Árbol de Expansión (STP) para
realizar un ataque falsificando el root bridge y cambiando la topología de una red. Los
atacantes hacen que su host parezca ser un root bridge; por lo tanto capturan todo el trafico
para el dominio del Switch inmediato.
Para realizar un ataque de manipulación de STP, el host atacante transmite Unidades de Datos
de Protocolo de Puente STP (BPDU), que contienen cambios de configuración y topología
que forzarán los re-cálculos de Árbol de Expansión, como se muestra en la figura. Las BPDU
enviadas por el host atacante anuncian una prioridad de puente (bridge) inferior, en un intento
de ser elegidas como root bridge.
P á g i n a | 464
El diagrama muestra un atacante y dos switches conectados juntos en un triángulo con el

atacante abajo. Ambos puertos entre el atacante y el Switch de arriba a la izquierda están en
estado de Reenvió (Forwarding). Ambos puertos conectados entre los switches están
transmitiendo. En la conexión entre el atacante y el switch de arriba la derecha, el puerto en
la atacante bloqueando y en el switch esta enviando. El switch en la parte superior izquierda
es actualmente el puente raíz (root bridge) con una prioridad de 8192. El atacante puede
enviar BPDUs de STP a ambos switches con prioridad 0.
Si tiene éxito, el host atacante se convierte en el puente raíz, como se muestra en la figura, y
ahora puede capturar una variedad de frames, que de otro modo no serían accesibles.
P á g i n a | 465
El diagrama muestra un atacante y dos switches conectados juntos en un triangulo con el

atacante abajo. El atacante se ha convertido en el puente raíz. Ambos puertos entre el atacante
y el Switch de arriba a la izquierda están en estado de Reenvió (Forwarding). Ambos puertos
entre el atacante y el Switch de arriba a la derecha están reenviando. En la conexion entre los
switches de arriba, el puerto de switch de la izquierda esta transmitiendo y el puerto de switch
de la derecha esta bloqueando.
Este ataque STP es mitigado implementando BPDU Guard en todos los puertos de acceso.
BPDU Guard se discute con detalle más adelante en el curso.
10.5.10
Reconocimiento CDP
Cisco Discovery Protocol (CDP) es un protocolo de detección de enlaces de Capa 2
patentado. Está habilitado en todos los dispositivos de Cisco de manera predeterminada. CDP
puede detectar automáticamente otros dispositivos con CDP habilitado y ayudar a configurar
automáticamente la conexión. Los administradores de red también usan CDP para configurar
dispositivos de red y solucionar problemas.
La información de CDP se envía por los puertos con CDP habilitado en transmisio nes
periódicas sin encriptar. La información de CDP incluye la dirección IP del dispositivo, la
P á g i n a | 466
versión de software de IOS, la plataforma, las funcionalidades y la VLAN nativa. El

dispositivo que recibe el mensaje de CDP actualiza la base de datos de CDP.
La información de CDP es muy útil para la solución de problemas de red. Por ejemplo, CDP
puede usarse para verificar la conectividad de Capa 1 y 2. Si un administrador no puede hacer
ping a una interfaz con conexión directa, pero aún recibe información de CDP, es probable
que el problema esté en la configuración de Capa 3.
Sin embargo, un atacante puede usar la información proporcionada por CDP para detectar
vulnerabilidades en la infraestructura de red.
En la figura, una captura de Wireshark de ejemplo, muestra el contenido de un paquete de

CDP. El atacante puede identificar la versión del software Cisco IOS del dispositivo. Esto
permite que el atacante determine si hay vulnerabilidades de seguridad específicas a esa
versión determinada de IOS.
Las transmisiones de CDP se envían sin encriptación ni autenticación. Por lo tanto, un

atacante puede interferir con la infraestructura de la red enviando tramas de CDP fabricadas
con información falsa a dispositivos de Cisco con conexión directa.
Para mitigar la explotación de CDP, se debe limitar el uso de CDP en los dispositivos o
puertos. Por ejemplo, se debe deshabilitar CDP en los puertos de extremo que se conectan a
dispositivos no confiables.
P á g i n a | 467
Para deshabilitar CDP globalmente en un dispositivo, use el comando del modo de

configuración global no cdp run. Para habilitar CDP globalmente, use el comando de
configuración global cdp run.
Para deshabilitar CDP en un puerto, use el comando de configuración de interfaz no cdp

enable. Para habilitar CDP en un puerto, use el comando de configuración de interfaz cdp
enable.
Nota: El Protocolo de detección de capa de enlace (LLDP) también es vulnerable a los

ataques de reconocimiento. Configure no lldp run para deshabilitar LLDP globalmente. Para
deshabilitar LLDP en la interfaz, configure no lldp transmit y no lldp receive.
10.5.11
Verifique su comprensión - Ataques LAN

ataques LAN.
P á g i n a | 468
P á g i n a | 469
P á g i n a | 470
P á g i n a | 471
Conceptos de Seguridad de LAN / Práctica del Módulo y Cuestionario
Práctica del Módulo y Cuestionario

10.6.1

Los punto terminales son particularmente susceptibles a ataques malware que se originan a
través de correo electrónico o el navegador web, como DDOS, filtración de datos y malware.
Estos puntos terminales suelen utilizar características de seguridad tradicionales basadas en
host, como antivirus/antimalware, firewalls basados en host y sistemas de prevención de
intrusiones (HIPSs) basados en host. Los puntos terminales están mejor protegidos por una
combinación de NAC, software AMP basado en host, un dispositivo de seguridad de correo
electrónico (ESA) y un dispositivo de seguridad web (WSA). La WSA puede realizar listas
negras de URL, filtrado de URL, escaneo de malware, categorización de URL, filtrado de
aplicaciones web y cifrado y descifrado del tráfico web.
AAA es un modo de controlar quién tiene permitido acceder a una red (autenticar), controlar
lo que las personas pueden hacer mientras se encuentran allí (autorizar) y qué acciones
realizan mientras acceden a la red (registrar). La autorización utiliza un conjunto de atributos
que describe el acceso del usuario a la red. Un uso muy implementado del Registro es en
combinación con la Autenticación AAA. Los servidores AAA mantienen un registro
detallado de lo que el usuario autenticado hace exactamente en el dispositivo. El estándar
IEEE 802.1X define un control de acceso y un protocolo de autenticación basado en puertos,
que evita que las estaciones de trabajo no autorizadas se conecten a una LAN a través de los
puertos de switch acceso público.
Si la Capa 2 se ve comprometida, todas las capas superiores también se ven afectadas. El

primer paso para mitigar los ataques a la infraestructura de Capa 2 es comprender el
funcionamiento de la Capa 2 y las amenazas de la infraestructura de Capa 2: Port Security,
DHCP snooping, DAI, y IPSG. Estos no van a funcionar a menos que los protocolos de
administración sean seguros.
Los ataques por saturación de MAC, saturan la tabla de direcciones MAC del switch, con
información falsa, hasta que este llena. Cuando esto ocurre, el switch trata la trama como un
unicast desconocido, y comienza a reenviar todo el tráfico entrante por todos los puertos en
la misma VLAN, sin hacer referencia a la tabla MAC. El atacante puede ahora capturar todas
las tramas enviadas desde un host para otro host en una LAN o VLAN local. El atacante
usa macof para rapidamente generar, de manera aleatoria, muchas direcciones MAC y IP de
origen y destino. Para mitigar los ataques de saturación de la tabla de direcciones MAC, los
administradores de red deben implementar la seguridad del puerto.
El VLAN Hopping permite que una VLAN pueda ver el tráfico de otra VLAN sin cruzar
primero un router. El atacante configura a un host para actuar como un Switch y tomar ventaja
P á g i n a | 472
de la característica de puerto troncal habilitada por defecto en la mayoría de puertos del

switch
Un ataque VLAN Double-Tagging es unidireccional y funciona únicamente cuando el

atacante está conectado a un puerto que reside en la misma VLAN que la VLAN nativa del
puerto troncal. El Double-Tagging permite al actor de la amenaza enviar datos a los hosts o
servidores en una VLAN que de otro modo se bloquearía por algún tipo de configuración de
control de acceso El trafico de retorno también sera permitido, dejando que el atacante se
comunique con otros dispositivos en la VLAN normalmente bloqueada.
Los ataques de VLAN hopping and VLAN double-tagging se pueden evitar mediante la
implementación de las siguientes pautas de seguridad troncal:
 Deshabilitar troncal en todos los puertos de acceso.

 Deshabilitar troncal automático en enlaces troncales para poder habilitarlos de manera manual.
 Asegurarse de que la VLAN nativa solo se usa para los enlaces troncales.
Los servidores DHCP, de manera dinámica, proporcionan la información de configurac ió n

de IP a los clientes, como la dirección IP, la máscara de subred, el default gateway, los
servidores DNS y más. Los dos tipos de ataques DHCP son agotamiento y suplantación de
identidad. Ambos ataques pueden ser mitigados implementando DHCP snooping.
Ataque ARP: un atacante puede enviar un mensaje ARP gratuito al switch y el switch podría
actualizar su tabla MAC de acuerdo a esto. Ahora el atacante envía respuestas ARP no
solicitadas a otros hosts en la subred con la dirección MAC del actor amenazante y la
dirección IP del default gateway. La suplantación de identidad ARP y el envenenamie nto
ARP son mitigados implementando DAI.
Ataque de suplantación de direcciones: la suplantación de identidad de una direccion IP es

cuando un atacante secuestra una direccion IP valida de otro dispositivo en la subred o usa
una dirección IP al azar. Los atacantes cambian la dirección MAC de su host para que
coincida con otra dirección MAC conocida de un host de destino. La suplantación de
identidad de direcciones IP y direcciones MAC puede ser mnitigada implementado IPSG.
Ataque STP: el amenazante manipula STP para conducir un ataque suplantando root bridge
y cambiando la topologia de la red. Los atacantes hacen que su host aparezca como un root
bridge; por lo tanto capturan todo el trafico para el dominio del Switch inmediato. Este ataque
STP es mitigado implementando BPDU guard en todos los puertos de acceso.
La información de CDP se envía por los puertos con CDP habilitado en transmisio nes
periódicas sin encriptar. La información de CDP incluye la dirección IP del dispositivo, la
versión de software de IOS, la plataforma, las funcionalidades y la VLAN nativa. El
dispositivo que recibe el mensaje CDP actualiza su base de datos CDP, la informac ió n
suministrada por el CDP puede también ser usada por un atacante para descubrir
vulnerabilidades en la infraestructura de la red. Para mitigar la explotación de CDP, se debe
limitar el uso de CDP en los dispositivos o puertos.
P á g i n a | 473
10.6.2
Módulo Quiz: Conceptos de Seguridad de

LAN
P á g i n a | 474
P á g i n a | 475
P á g i n a | 476
P á g i n a | 477
P á g i n a | 478
Capítulo 11_Configuraciones de seguridad

del Switch
Introducción
11.0.1

¡Bienvenido a Configuración de Seguridad de Switch!
Una parte importante de su responsabilidad como profesional en redes es mantener la red

segura. Casi siempre pensamos solo en ataques de seguridad viniendo de afuera de la red,
pero las amenazas podrían estar también dentro de la red. Estas amenazas pueden ir desde un
empleado inocente agregando un switch Ethernet a la red corporativa para tener mas puertos ,
hasta un ataque malicioso causado por un empleado descontento. Es su trabajo mantener la
red segura y asegurarse que las operaciones de negocio continúen sin ser comprometidas
¿Cómo mantenemos la red segura y estable? ¿Cómo la protegemos de ataques malic iosos
desde adentro de la red? ¿Cómo nos aseguramos que los empleados no estén agregando
switches, servidores y otros dispositivos a la red que podrían comprometer las operaciones
de la red?
¡Este modulo es la introducción para mantener su red segura desde adentro!
11.0.2

Module Title: Configuración de Seguridad de Switch
Module Objective: Configure la seguridad del switch para mitigar los ataques de LAN.
Implementación de Seguridad Implemente la seguridad de puertos para mitigar los

de Puertos ataques de tablas de direcciones MAC.
P á g i n a | 479
Explique cómo configurar DTP y la VLAN nativa para

Mitigación de ataques de VLAN
mitigar los ataques de VLAN.
Explique cómo configurar el snooping de DHCP para

Mitigación de ataques de DHCP
mitigar los ataques de DHCP.
Explique cómo configurar ARP para mitigar los ataques

Mitigación de ataques de ARP
de ARP.
Explique como configurar Portfast y BPDU Guard para

Mitigación de ataques de STP
mitigar los ataques de STP.
Configuraciones de seguridad del Switch / Implementación de Seguridad de Puertos
Implementación de Seguridad de
Puertos
11.1.1
Asegurar los puertos sin utilizar

Los dispositivos de Capa 2 se consideran el eslabón mas débil en la infraestructura de s eguridad
de una compañía. Los ataques de Capa 2 son de los mas sencillos de desplegar para los
hackers, pero estas amenazas también pueden ser mitigadas con algunas soluciones comunes
de capa 2.
Se deben proteger todos los puertos del switch (interfaces) a ntes de implementar el switch para
su uso en producción. Como un puerto es protegido depende de su función.
Un método simple que muchos administradores usan para contribuir a la seguridad de la red
ante accesos no autorizados es inhabilitar todos los puertos del switch que no se utilizan. Por
ejemplo, si un switch Catalyst 2960 tiene 24 puertos y hay tres conexiones Fast Ethernet en
uso, es aconsejable inhabilitar los 21 puertos que no se utilizan. Navegue a cada puerto no
utilizado y emita el comando shutdown de Cisco IOS. Si un puerto debe reactivarse más tarde,
se puede habilitar con el comando no shutdown.
Para configurar un rango de puertos, use el comando interface range.

P á g i n a | 480
Por ejemplo, para apagar los puertos for Fa0/8 hasta Fa0/24 en S1, usted deb e ingresar el
siguiente comando:
11.1.2
Mitigación de ataques por saturación de

tabla de direcciones MAC
El método más simple y eficaz para evitar ataques por saturación de la tabla de direcciones
MAC es habilitar la sport security.
La seguridad de puertos limita la cantidad de direcciones MAC válidas permitidas en el puerto.

Permite a un administrador configurar manualmente las direcciones MAC para un puerto o
permitir que el switch aprenda dinámicamente un número limitado de direcciones MAC. Cuando
un puerto configurado con port security recibe un frame, la dirección MAC de origen del frame
se compara con la lista de direcciones MAC de origen seguro que se configuraron manualmente
o se aprendieron dinámicamente en el puerto.
Al limitar a uno la cantidad de direcciones MAC permitidas en un puerto, la seguridad de puertos

se puede usar para controlar la expansión no autorizada de la red, como se muestra en la figura.
EL gráfico muestra un switch conectado a tres dispositivos Arriba del switch esta la tabal a de
direcciones MAC con el puerto 0/1 permitiendo la MAC AA:AA:AA, el puerto 0/2 la MAC
BB:BB:BB, y el puerto 0/2 la MAC CC:CC:CC. El switch muestra que el puerto 0/1 esta
conectado a una PC con la direccion MAC AA:AA:AA. El enlace esta marcado en verde EL
puerto 0/2 de ese switch esta conectado a una computadora portátil no autorizada con la
direccion MAC BA:AD:01. El enlace tiene un circulo rojo con una linea a traves. El puerto 0/3 de
ese switch tambien esta conectado a una computadora portatil no autor izada con la direccion
MAC BA:AD:02. Este enlace tambien tiene un circulo rojo con una linea a traves. Hay una nota
al en la parte de abajo del diagrama que dice que las direcciones MAC se estan mostrando con
24bits para efectos de hacerlo sencillo.
P á g i n a | 481
Note: Las direcciones

MAC se están mostrando
con 24 bits para efectos
de hacerlo sencillo.
11.1.3
Habilitar la seguridad del puerto.

Observe en el ejemplo, el comando switchport port-security fue rechazado. Esto se debe a
que port security solo se puede configurar en puertos de acceso o trunks configurados
manualmente Los puertos capa 2 del switch están definidos como dynamic auto (troncal
encendido), de manera predeterminada. Por lo tanto, en el ejemplo, el puerto se configura con
el comando switchport mode access de configuración de la interfaz.
Note: La seguridad del puerto troncal está más allá del alcance de este curso.
Use el comando show port-security interface para mostrar la configuración de seguridad del
puerto actual para FastEthernet 0/1, como se muestra en el ejemplo. Note que port security esta
P á g i n a | 482
habilitado, el modo de violación esta apagado, y que el numero máximo de direcciones MAC
permitidas es 1. Si un dispositivo esta conectado al puerto, el switch automáticamente agregara
la direccion MAC de este dispositivo como una direccion MAC segura. En este ejemplo, no
existe ningún dispositivo conectado al puerto.
Note: Si un puerto activo está configurado con el comando switchport port-security y hay más
de un dispositivo conectado a ese puerto, el puerto pasará al estado de error desactivado. Esta
condición se discute mas adelante en este capitulo.
Una vez que se activa port security, se pueden configurar otras funciones especificas de port
security, como se muestra en el ejemplo.
11.1.4
Limitar y Aprender MAC Addresses

Para poner el numero máximo de direcciones MAC permitidas en un puerto, utilice el siguiente
comando:
Switch(config-if)# switchport port-security maximum value
El valor predeterminado de port security es 1. EL numero maximo de direcciones MAC seguras

que se puede configurar depende del switch y el IOS. En este ejemplo, el maximo es 8192.
P á g i n a | 483
El switch se puede configurar para aprender direcciones MAC en un puerto seguro de tres
maneras:
1. Manually Configured
El administrador configura manualmente una(s) direccion MAC estatica usando el siguiente

comando para cada direccion MAC en el puerto:
2. Dynamically Learned
Cuando se ingresa el comando switchport port-security, la actual MAC origen para el

dispositivo conectado al puerto, se asegura automáticamente pero no se agrega a la
configuración de inicio. Si el switch es reiniciado, el puerto tendrá que volver a aprender la
direccion MAC del dispositivo.
3. Dynamically Learned – Sticky
El administrador puede configurar al switch para que aprenda la direccion MAC

automáticamente a la "pegue" a la configuración en ejecución usando el siguiente comando:
Al guardar la configuración en ejecución la direccion MAC aprendida automaticamente se

quedara en NVRAM.
EL siguiente ejemplo muestra una configuración completa de port security en la interfaz

FastEthernet 0/1. El administrador especifica una cantidad máxima de 4 direcciones MAC,
configura una direccion MAC segura, y luego configura el puerto para que aprenda mas
direcciones MAC de manera automática hasta un máximo de 4 direcciones MAC. Use los
comandos show port-security interface y show port-security address para verificar la
configuración.
P á g i n a | 484
La salida del comando show port-security interface, verifica que port-security está habilitado,
hay un host conectado al puerto (i.e., Secure-up), un total de 2 MAC addresses serán permitidas,
y S1 ha aprendido una MAC address staticamente, y una MAC address dynamicamente (i.e.,
sticky).
La salida del comando show port-security address lista las dos MAC address aprendidas.
P á g i n a | 485
11.1.5
Vencimiento de la seguridad del puerto.

EL vencimiento de la seguridad del puerto puede usarse para poner el tiempo de vencimiento
de las direcciones seguras estáticas y dinámicas en un puerto. Hay dos tipos de envejecimiento
por puerto:
 Absolute - Las direcciones seguras en el puerto se eliminan después del tiempo de caducidad
especificado.
 Inactivity - Las direcciones seguras en el puerto se eliminan solo si están inactivas durante el
tiempo de caducidad especificado.
Utilice el vencimiento para remover las direcciones MAC seguras en un puerto seguro sin
necesidad de eliminar manualmente las direcciones MAC existentes. Los tiempos limite de
vencimiento pueden ser incrementados para asegurarse que las direcciones MAC pasadas se
queden, aun cuando se agregan nuevas direcciones MAC. El vencimiento de direcciones
seguras configuradas estáticamente puede ser habilitado o des-habilitado por puerto.
Use el comando switchport port-security aging para habilitar o deshabilitar el envejecimiento

estático para el puerto seguro, o para establecer el tiempo o el tipo de envejecimiento.
Los parámetros para el comando se describen en la tabla.
Parámetro Descripción
Habilite el vencimiento para las direcciones seguras

static estaticamente configuradas en este puerto.
Especifique el tiempo de vencimiento de este puerto. El

time time rango es de 0 a 1440 minutos. Sin embargo, si el tiempo es
0, el vencimiento esta des-habilitado en este puerto.
Ponga el tiempo absoluto de vencimiento. Todas las

direcciones seguras en este puerto se vencen exactamente
type absolute después del tiempo (in minutes) especificado y son
removidas de la lista de direcciones seguras.
Defina el tipo de inactividad de vencimiento. Las

direcciones seguras en este puerto se vencen solo si no hay
type inactivity trafico desde la direccion segura de origen por un periodo
de tiempo especificado.
P á g i n a | 486
Note: Las direcciones MAC se están mostrando con 24 bits para efectos de hacerlo sencillo.
El ejemplo muestra a un administrador configurando el tipo de envejecimiento a 10 minutos de

inactividad y utilizando el comando show port-security interface para verificar la
configuración.
11.1.6
Seguridad de puertos: modos de violación

de seguridad
Si la dirección MAC de un dispositivo conectado al puerto difiere de la lista de direcciones
seguras, entonces ocurre una violación de puerto. El puerto entra en el estado de error -disabled
de manera predeterminada.
Para poner el modo de violación de seguridad de puerto, use el siguiente co mando:
La tabla siguiente muestra como reacciona el switch basado en la configuración de modo de

violación.
P á g i n a | 487
Modos de violación de seguridad

del router Descripción
El puerto transiciona al estado de error-disabled inmediatamente,

apaga el LED del puerto, y envía un mensaje syslog. Aumenta el
shutdown
contador de violaciones Contador. Cuando un puerto seguro esta en
(predeterminados)
estado error-disabled un administrador debe re-habilitarlo ingresando
los comandos shutdown y no shutdown .
El puerto bota los paquetes con direcciones MAC de origen

desconocidas hasta que usted remueva un numero suficiente de
restrict direcciones MAC seguras para llegar debajo del maximo valor o
incremente el máximo valor Este modo causa que el contador de
violación de seguridad incremente y genere un mensaje syslog.
Este modo es el menos seguro de los modos de violaciones de

seguridad. No se realiza el tráfico de puertos los paquetes con
direcciones MAC de origen desconocidas hasta que usted remueva un
protect numero suficiente de direcciones MAC seguras para llegar debajo del
valor máximo o o incremente el máximo valor No se envía ningún
mensaje syslog.
Comparación de modos de violación de

seguridad
Discards Envía
Violation Incremease Shutdown
Offending mensaje de
Mode Volation Counter port
Traffic syslog
Protect Sí No No No
Restrict Sí Sí Sí No
Apagado Sí Sí Sí Sí
El siguiente ejemplo muestra un administrador cambiando la violación de seguridad a

''restringir''. La salida del comando show port-security interface, confirma que se ha realizado
el cambio.
P á g i n a | 488
11.1.7
Puertos en Estado error-disabled

Cuando un puerto esta apagado y puesto en modo error -desabilitado, no se envía ni se recibe
tráfico a través de ese puerto. En la consola, se muestra una serie de mensajes relacionados
con la seguridad del puerto.
P á g i n a | 489
Note: The port protocol and link status are changed to down and the port LED is turned off.
En el ejemplo, el comando show interface identifica el port status como err-disabled. La salida
del comando show port-security interface, ahora muestra el estado del puerto como secure-
shutdown. El contador de violación incrementa en uno.
El administrador debe determinar que causo la violación de seguridad. Si un dispositivo no

autorizado está conectado a un puerto seguro, la amenaza de seguridad es eliminada antes de
restablecer el puerto.
Para volver a habilitar el puerto, primero use el comando shutdown, luego use el comando no
shutdown para que el puerto sea operativo, como se muestra en el ejemplo.
P á g i n a | 490
11.1.8
Verificar la seguridad del puerto

Después de configurar la seguridad de puertos en un switch, revise cada interfaz para verificar
que la seguridad de puertos y las direcciones MAC estáticas se configuraron correctamente.
Port Security for All Interfaces
Para mostrar la configuración de seguridad del puerto para el conmutador, use el comando
show port-security. El ejemplo indica que todas las 24 interfaces están configuradas con el
comando switchport port-security, porque el máximo permitido es 1 y el modo de violación
está en shutdown. No hay dispositivos conectados Por lo tanto, el contandor CurrentAddr
(Count) es 0 para cada interfaz.
Port Security for a Specific Interface
Use el comando show port-security interface para ver los detalles de una interfaz específica,
como se muestra anteriormente y en este ejemplo.
P á g i n a | 491
Verify Learned MAC Addresses
Para verificar que las direcciones MAC están "pegadas" a la configuración, use el comando
show run, como se muestra en el ejemplo de FastEthernet 0/19.
Verify Secure MAC Addresses
Para mostrar todas las direcciones MAC seguras que se configuran manualmente o se aprenden
dinámicamente en todas las interfaces de conmutador, use el comando show port-security
address como se muestra en el ejemplo.
11.1.9
Verificador de Sintaxis - Implementar

Seguridad de Puerto
Implementar seguridad de puertos para la interface del Switch basado en requerimientos
específicos.
Usted esta actualmente en una sesión en S1 Configure FastEthernet 0/5 seguridad de puertos
usando los siguientes requerimientos
 Use the interface name fa0/5 para ingresar al modo de configuración de la interfaz.
 Abitar el puerto para el modo acceso.
 Habilitar la seguridad del puerto.
 Configurar el numero máximo de direcciones MAC a 3.
 Estaticamente configurar la dirección MAC aaaa.bbbb.1234.
P á g i n a | 492
 Configurar el puerto para que aprenda dinamicamente direcciones MAC adicionales y que las
agrege dinamicamente a la configuracion en ejecucion.
 Volver al modo EXEC privilegiado.
S1(config-if)#switchport port-security
S1(config-if)#switchport port-security maximum 3
S1(config-if)#switchport port-security mac-address aaaa.bbbb.1234
S1(config-if)#switchport port-security mac-address sticky
S1(config-if)#end
Enter the command to verify port security for all interfaces.
S1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security
Action
(Count) (Count) (Count)
-------------------------------------------------------------------------
--
Fa0/5 3 2 0
Shutdown
-------------------------------------------------------------------------
--
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192
Enter the command to verify port security on FastEthernet 0/5. Use fa0/5 for the interface
name.
S1#show port-security interface fa0/5

Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 3
Total MAC Addresses : 2
Configured MAC Addresses : 1
Sticky MAC Addresses : 1
Last Source Address:Vlan : 0090.2135.6B8C:1
Security Violation Count : 0
Enter the command that will display all of the addresses to verify that the manually configured
and dynamically learned MAC addresses are in the running configuration.
S1#show port-security address

Secure Mac Address Table
-----------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0090.2135.6b8c SecureSticky Fa0/5 -
P á g i n a | 493
1 aaaa.bbbb.1234 SecureConfigured Fa0/5 -

-----------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192
You have successfully configured and verified port security for the
interface.
11.1.10
Packet Tracer - Implementar la seguridad

portuaria
En esta actividad, configurará y verificará la seguridad de puertos de un switch. La seguridad
de puertos permite restringir el tráfico de entrada de un puerto mediante la limitación de las
direcciones MAC que tienen permitido enviar tráfico al puerto.
Implement Port Security
Implement Port Security
Configuraciones de seguridad del Switch / Mitigación de ataques de VLAN
Mitigación de ataques de VLAN

11.2.1
Revisión de ataques a VLAN

Como una revisión rápida ,, un ataque de salto a una VLAN puede ser lanzado en una de 3
maneras:
 La suplantación de mensajes DTP del host atacante hace que el switch entre en modo de enlace
troncal. Desde aquí, el atacante puede enviar tráfico etiquetado con la VLAN de destino, y el
conmutador luego entrega los paquetes al destino.
 Introduciendo un switch dudoso y habilitando enlaces troncales. El atacante puede acceder
todas las VLANs del switch victima desde el switch dudoso.
 Otro tipo de ataque de salto a VLAN es el ataque doble etiq ueta o doble encapsulado. Este
ataque toma ventaja de la forma en la que opera el hardware en la mayoría de los switches.
P á g i n a | 494
11.2.2
Pasos para mitigar ataques de salto

Use los siguiente Pasos para mitigar ataques de salto:
Step 1:Deshabilite las negociaciones de DTP (enlace automático) en puertos que no sean
enlaces mediante el comando de configuración de la interfaz switchport mode access.
Step 2: Deshabilite los puertos no utilizados y colóquelos en una VLAN no utilizada.
Step 3: Active manualmente el enlace troncal en un puerto de enlace troncal utilizando

el comando switchport mode trunk.
Step 4:Deshabilite las negociaciones de DTP (enlace automático) en los puertos de enlace
mediante el comando switchport nonegotiate.
Step 5: Establezca la VLAN nativa en otra VLAN que no sea la VLAN 1 mediante el
comando switchport trunk native vlan vlan \ _number.
por ejemplo, asumamos lo siguiente
 Los puertos FastEthernet 0/1 hasta fa0/16 son puertos de acceso activos
 Los puertos FastEthernet 0/17 hasta 0/20 no estan en uso
 FastEthernet ports 0/21 through 0/24 son puertos troncales.
Salto de VLAN puede ser mitigado implementando la siguiente configuración.
 Los puertos Fastethernet 0/1 al 0/16 son puertos de acceso y por lo tanto troncal se deshabilita
poniéndolos explicitamente como puertos de acceso.
 Los puertos FastEthernet 0/17 al 0/20 son puertos que no están en uso y están deshabilitados
y asignados a una VLAN que no se usa.
P á g i n a | 495
 Los puertos FastEthernet 0/21 al 0/24 son enlaces troncales y se configuran manualmente como
troncales con DTP deshabilitado. La VLAN nativa también se cambia de la VLAN
predeterminada 1 a la VLAN 999 que no se usa.
11.2.3
Mitigar ataques de brinco de VLAN

Mitigar ataques de salto de VLAN en el switcg basado en los requerimientos especificos.
Usted esta actualmente en una sesion en S1 El estado de los puertos es el siguiente:
 Los puertos FastEthernet 0/1 hasta 0/4 se usan para hacer troncales con otros switches.
 Los puertos FastEthernet 0/5 hasta 0/10 no están en uso.
 Los puertos FastEthernet 0/11 hasta 0/24 son puertos activos en uso.
Utilíce range fa0/1 – 4 para ingresar al modo de configuración de interfaz para las troncales.
S1(config)#interface range fa0/1 – 4
Configure the interfaces as nonnegotiating trunks assigned to default VLAN 99.
S1(config-if-range)#switchport mode trunk

S1(config-if-range)#switchport nonegotiate
S1(config-if-range)#switchport trunk native vlan 99
S1(config-if-range)# exit
Use range fa0/5 - 10 to enter interface configuration mode for the trunks.
S1(config)#interface range fa0/5 – 10
Configure the unused ports as access ports, assign them to VLAN 86, and shutdown the ports.
S1(config-if-range)#switchport mode access

S1(config-if-range)#switchport access vlan 86
% Access VLAN does not exist. Creating vlan 86
S1(config-if-range)#shutdown
*Mar 1 00:28:48.883: %LINK-5-CHANGED: Interface FastEthernet0/5, changed
state to administratively down
*Mar 1 00:28:48.950: %LINK-5-CHANGED: Interface FastEthernet0/10,
changed state to administratively down
FastEthernet0/5, changed state to down
P á g i n a | 496

FastEthernet0/6, changed state to down
S1(config-if-range)# exit
Use range fa0/11 - 24 to enter interface configuration mode for the active ports and then
configure them to prevent trunking.
S1(config)#interface range fa0/11 - 24

S1(config-if-range)# end
S1#
You have successfully mitigated VLAN hopping attacks on this switch.
Configuraciones de seguridad del Switch / Mitigación de ataques de DHCP
Mitigación de ataques de DHCP

11.3.1
Revisión de ataques DHCP

El objetivo de un ataque de inanición de DHCP es crear una denegación de servicio(DoS)
para la conexión de los clientes. Los ataques de agotamiento de DHCP requieren una
herramienta de ataque, como Gobbler. Recuerde que los ataques de inanición de DHCP
pueden ser efectivamente mitigados usando seguridad de puertos porque Gobbler usa una
dirección MAC de origen única para cada solicitud DHCP enviada.
Sin embargo mitigar ataques DHCP de suplantación de identidad requiere mas protección.
Gobbler podría configurarse para usar la dirección MAC de la interfaz real como la
dirección Ethernet de origen, pero especifique una dirección Ethernet diferente en la carga
útil de DHCP. Esto haría que la seguridad del puerto sea ineficaz porque la dirección MAC
de origen sería legítima.
Los ataques de suplantación de DHCP se pueden mitigar mediante el uso de detección

DHCP en puertos confiables.
P á g i n a | 497
11.3.2
Indagación de DHCP
La inspección de DHCP no depende de las direcciones MAC de origen. En cambio, la
inspección de DHCP determina si los mensajes de DHCP vienen de una fuente configurada
administrativamente como confiable o no confiable. Luego filtra los mensajes de DHCP y
limita la velocidad del trafico DHCP viniendo desde fuentes no confiables.
Dispositivos que estén bajo su control administrativo como Switches, enrutadores y

servidores, son fuentes confiables. Cualquier dispositivo más allá del cortafuegos fuera de su
red son fuentes no confiables. Además, todos los puertos de acceso son tratados generalme nte
como fuentes no fiables. La figura muestra un ejemplo de puertos fiables y no fiables.
El diagrama muestra arriba a la derecha de la topologia un servidor DHCP, que está

conectado al switch de distribución abajo de este. El switch de distribución esta conectado a
otro switch de distribución a la izquierda del diagrama y el switch de acceso abajo de este.
El otro switch de distribución tiene un switch de acceso conectado debajo de el. Ambos
switch de acceso tienen conexión a ambos switches de distribución, pero a cada uno. El
switch de acceso a la derecha tiene una computadora abajo de el y otro switch de acceso tiene
una computadora con un carácter dudoso abajo. El diagrama muestra un cuadro morado para
los puertos confiables y un circulo rojo para los puertos no confiables. Hay cuadros morados
entre el servidor DHCP y el switch de distribución, también entre cada enlace y en medio de
todos los switches. Sin embargo, hay un circulo rojo en medio de las dos computadoras y los
switches de acceso.
P á g i n a | 498
Note que el servidor DHCP dudoso podría estar en un puerto no confiable después de
habilitar DHCP snooping. Todas las interfaces son tratadas por defecto como no confiables.
Típicamente las interfaces confiables son enlaces troncales y puertos conectados
directamente a un servidor DHCP legitimo. Estas interfasces deben ser configuradas
explicitamente como confiables.
Se crea una tabla DHCP que incluye la dirección MAC de origen de un dispositivo en un
puerto no confiable y la dirección IP asignada por el servidor DHCP a ese dispositivo. La
dirección MAC y la dirección IP están unidas. Por lo tanto, esta tabla se denomina tabla de
enlace DHCP snooping.
11.3.3
Pasos para implementar DHCP Snooping

Utilice las siguientes pasos para habilitar DHCP snooping
Step 1. Habilite la inspección DHCP mediante el comando de configuración global ip dhcp

snooping.
Step 2. En puertos de confianza, use el comando de configuración de la interfaz ip dhcp

snooping trust.
Step 3: Limite la cantidad de mensajes de descubrimiento de DHCP que puede recibir por
segundo en puertos no confiables mediante el de configuración de la interfaz ip dhcp
snooping limit rate.
Step 4. Habilite la inspección DHCP por VLAN, o por un rango de VLAN, utilizando el
comando de configuración global ip dhcp snooping vlan.
11.3.4
Un ejemplo de configuración de detección

de DHCP.
La topologia de referencia para este ejemplo de DHCP snooping es mostrado en la figura.
Note que F0/5 es un puerto no confiable porque este conecta con una computadora. F0/1 es
un puerto confiable porque conecta con el servidor DHCP.
P á g i n a | 499
El gráfico tiene una leyenda con un cuadro morado; puerto confiable y un circulo rojo; puerto
no confiable, debajo de el diagrama de la Topología. Entonces el gráfico muestra una red
LAN con un switch con puertos confiables y puertos no confiables. El switch tiene una
computadora conectada a la izquierda. y un DHCP conectado a la izquierda. En la interfaz
conectada a la computadora hay un circulo rojo de una interfaz no confiable. y en la interfaz
conectada al servidor DHCP hay un cuadrado morado de un puerto confiable.
El siguiente es un ejemplo de como configurar DHCP snooping en S1. Note como DHCP
snooping es activado primero. La interfaz ascendente al servidor DHCP es explícitame nte
confiable. Luego, el rango de puertos FastEthernet desde F0/5 a F0/24 son no confiables de
manera predeterminada, de manera que se establece un limite de transferencia de seis
paquetes por segundo. Finalmente, la inspección DHCP está habilitada en VLANS 5, 10, 50,
51 y 52.
Use el comando EXEC privilegiado show ip dhcp snooping, show ip dhcp snooping
binding para verificar la inspección DHCP, y para ver los clientes que han recibido
información DHCP, como se muestra en el ejemplo.
Note: La inspección dinámica de ARP (DAI) también requiere de la inspección DHCP, que
es el siguiente tema
P á g i n a | 500
11.3.5
Comprobador de sintaxis: mitigar los

ataques DHCP
Implemente DHCP snooping para un switch basado en la siguiente topologia y
requerimientos específicos.
El comprobador de sintaxis tiene una topologia que tienen un switch de distribuc io n

conectado a un switch de acceso en la interface G0/1. La interface de acceso F0/1 del switch
conecta la PC a la izquierda y en el lado derecho la interfaz G0/2 el switch esta conectado al
servidor.
P á g i n a | 501
Usted esta actualmente en una sesion en S1 Habilite la detección global de DHCP para el
switch.
S1(config)#ip dhcp snooping
Enter interface configuration mode for g0/1 - 2, trust the interfaces, and return to global
configuration mode.
S1(config)#interface range g0/1 - 2

S1(config-if-range)#ip dhcp snooping trust
S1(config-if-range)#exit
Enter interface configuration mode for f0/1 - 24, limit the DHCP messages to no more than 10
per second, and return to global configuration mode.
S1(config)#interface range f0/1 - 24

S1(config-if-range)#ip dhcp snooping limit rate 10
Enable DHCP snooping for VLANs 10,20,30-49.
S1(config)#ip dhcp snooping vlan 10,20,30-49

S1(config)# exit
Enter the command to verify DHCP snooping.
S1#show ip dhcp snooping

Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10,20,30-49
DHCP snooping is operational on following VLANs:
none
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
circuit-id default format: vlan-mod-port
remote-id: 0cd9.96d2.3f80 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface Trusted Allow option Rate limit (pps)
----------------------- ------- ------------ ----------------
GigabitEthernet0/1 yes yes unlimited
Custom circuit-ids:
GigabitEthernet0/2 yes yes unlimited
Custom circuit-ids:
FastEthernet0/1 no no 10
Custom circuit-ids:
Enter the command to verify the current DHCP bindings logged by DHCP snooping
P á g i n a | 502
S1#show ip dhcp snooping binding

MacAddress IpAddress Lease(sec) Type VLAN
Interface
------------------ --------------- ---------- ------------- ---- -----
---------------
00:03:47:B5:9F:AD 10.0.0.10 193185 dhcp-snooping 5
FastEthernet0/1
S1#
You have successfully configured and verified DHCP snooping for the switch.
Configuraciones de seguridad del Switch / Mitigación de ataques de ARP
Mitigación de ataques de ARP

11.4.1
Inspección dinámica de ARP

En un ataque típico, el actor amenazante puede enviar respuestas ARP no solicitadas a otros
hosts en la subred, con la dirección MAC del actor amenazante y la dirección IP de la puerta
de enlace predeterminada. Para evitar la suplantación de ARP y el envenenamiento por ARP
resultante, un interruptor debe garantizar que solo se transmitan las Solicitudes y Respuestas
de ARP válidas.
La inspección dinámica (DAI) requiere de DHCP snooping y ayuda a prevenir ataques ARP
así:
 No retransmitiendo respuestas ARP invalidas o gratuitas a otros puertos en la misma VLAN.

 Intercepta todas las solicitudes y respuestas ARP en puertos no confiables.
 Verificando cada paquete interceptado para un enlace IP-to-MAC válido.
 Descarte y registro de respuestas no válidas de ARP para evitar el envenenamiento por ARP.
 Error-disabling deshabilita la interfaz si se excede el número de DAI configurado de paquetes ARP.
11.4.2
Pautas de implementación DAI

Para mitigar las probabilidades de ARP spoofing Y ARP poisoning, siga estas pautas de
implementación DAI.
P á g i n a | 503
 Habilite la detección de DHCP.

 Habilite la detección de DHCP en las VLAN seleccionadas.
 Habilite el DAI en las VLANs seleccionadas.
 Configure las interfaces de confianza para la detección de DHCP y la inspección de ARP ("no
confiable" es la configuración predeterminada).
Generalmente, es aconsejable configurar todos los puertos de switch de acceso como no

confiables y configurar todos los puertos de enlace ascendente que están conectados a otros
switches como confiables.
La topologia de muestra en la figura identifica puertos confiables y no confiables.
El gráfico muestra una leyenda con un puerto confiable en un cuadro morado y un puerto no
confiable en un circulo rojo, arriba de eso hay un diagrama de LAN mostrando Inspección
de Confiabilidad de ARP Dinámico. El diagrama ilustra una red LAN con puertos confiables
y no confiables. En una interfaz en la parte inferior izquierda hay un atacante en una PC y en
la parte superior izquierda un PC regular. Ambos dispositivos están conectados al switch y
ambos tienen un circulo rojo en el puerto para switch para puertos no confiables. A la derecha
del switch está router que también está conectado al switch. La conección del router tiene un
cuadrado morado en el switch que simboliza una coneccion ARP confiable.
11.4.3
Ejemplo de configuración DAI

En la topologia anterior S1 está conectado a dos usuarios en la VLAN 10. DAI será
configurado para mitigar ataques ARP spoofing and ARP poisonig.
P á g i n a | 504
Como se muestra en el ejemplo, la inspección DHCP está habilitada porque DAI requiere
que funcione la tabla de enlace de inspección DHCP. Siguiente,la detección de DHCP y la
inspección de ARP están habilitados para la computadora en la VLAN 10. El puerto de enlace
ascendente al router es confiable y, por lo tanto, está configurado como confiable para la
inspección DHP y ARP.
DAI se puede configurar para revisar si hay direcciones MAC e IP de destino o de origen:
 MAC de destino \: comprueba la dirección MAC de destino en el encabezado de Ethernet con la

dirección MAC de destino en el cuerpo ARP.
 MAC de origen: comprueba la dirección MAC de origen en el encabezado de Ethernet con la
dirección MAC del remitente en el cuerpo ARP.
 Dirección IP: comprueba el cuerpo ARP en busca de direcciones IP no válidas e inesperadas,
incluidas las direcciones 0.0.0.0, 255.255.255.255 y todas las direcciones de multidifusión IP.
El comando de configuración global ip arp inspection validate {[src-mac] [dst-mac] [ip]},

se utiliza para configurar DAI para descartar paquetes ARP cuando las direcciones IP no son
válidas. Se puede usar cuando las direcciones MAC en el cuerpo de los paquetes ARP no
coinciden con las direcciones que se especifican en el encabezado Ethernet. Note como en el
siguiente ejemplo, solo un comando puede ser configurado. Por lo tanto, al ingresar varios
comandos ip arp inspection validate se sobrescribe el comando anterior. Para incluir mas
de un método de validación, ingreselos en la misma línea de comando como se muestra y
verifica en la siguiente salida.
P á g i n a | 505
11.4.4
Comprobador de sintaxis: mitigar los

ataques ARP
Implemente DAI para un switch basado en la siguiente topologia y requerimie ntos
específicos.
El comprobador de sintaxis tiene una topologia que tienen un switch de distribuc io n

conectado a un switch de acceso en la interface G0/1. La interface de acceso F0/1 del switch
conecta la PC a la izquierda y en el lado derecho la interfaz G0/2 el switch esta conectado al
servidor.
Usted esta actualmente en una sesion en S1 Habilite la detección g lobal de DHCP para el
switch.
S1(config)#ip dhcp snooping
Enter interface configuration mode for g0/1 - 2, trust the interfaces for both DHCP snooping
and DAI, and then return to global configuration mode.
S1(config)#interface range g0/1 - 2

S1(config-if-range)#ip dhcp snooping trust
S1(config-if-range)#ip arp inspection trust
Enable DHCP snooping and DAI for VLANs 10,20,30-49.
S1(config)#ip dhcp snooping vlan 10,20,30-49

S1(config)#ip arp inspection vlan 10,20,30-49
S1(config)#
You have successfully configured DAI for the switch.

P á g i n a | 506
Configuraciones de seguridad del Switch / Mitigación de ataques de STP
Mitigación de ataques de STP

11.5.1
PortFast y protección BPDU

Recuerde que los atacantes de red pueden manipular el Protocolo de árbol de expansión (STP)
para realizar un ataque falsificando el puente raíz y cambiando la topología de una red. Para
mitigar los ataques de manipulación del Protocolo de árbol de expansión (STP), use PortFast y
la Unidad de datos de protocolo de puente (BPDU) Guard.
 PortFast \ - PortFast trae inmediatamente una interfaz configurada como puerto de acceso o
troncal al estado de reenvío desde un estado de bloqueo, sin pasar por los estados de escucha
y aprendizaje. Aplicar a todos los puertos de acceso de usuario final. PortFast solo debe
configurarse en interfaces conectadas a dispositivos finales.
 Protección BPDU: el error de protección BPDU deshabilita inmediatamente un puerto que
recibe una BPDU. Al igual que PortFast, la protección BPDU solo debe conf igurarse en
interfaces conectadas a dispositivos finales.
En la figura, los puertos de acceso para S1 deberían ser configurados con PortFast y BPDU
Guard.
Hay dos switches capa 3 de

distribución en la parte superior
del diagrama que están
conectados por un troncal.
Ambos switches capa 3 tienen un
enlace troncal que esta
conectado al mismo switch capa
2 de acceso abajo. Este se llama
S1 y esta conectado en int G0/1
y G0/2. Abajo de S1 hay varias
PCs y al lado del switch los
puertos de acceso F0/1 - F0/24.
P á g i n a | 507
11.5.2
Configure PortFast
PortFast omite los estados de escucha y aprendizaje de STP para minimizar el tiempo que los
puertos de acceso deben esperar a que STP converja. Si habilita PortFast en un puerto que se
conecta a otro switch, corre el riesgo de crear un bucle de árbol de expansión.
PortFast se puede habilitar en una interfaz mediante el comando spanning-tree portfast de

configuración de la interfaz. Alternativamente, Portfast se puede configurar globalmente en
todos los puertos de acceso mediante el comando spanning-tree portfast default de
configuración global.
Para verificar si PortFast está habilitado globalmente, puede usar el comando show running-
config | begin span o el comando show spanning-tree summary. Para verificar si PortFast
tiene habilitada una interfaz, use el comando show running-config interface type / number,
como se muestra en el siguiente ejemplo. El comando show spanning-tree interface type /
number detail también se puede usar para la verificación.
Note que cuando PortFast esta habilitado, se muestran mensaje de advertencia.

P á g i n a | 508
11.5.3
Configurar la protección BPDU

Aunque PortFast esta2 habilitado, la interfaz seguirá escuchando por BPDUs. Los BPDUs
inesperados pueden ser accidentales o parte de un intento no autorizado para agregar un switch
a una red.
Si se recibe una BPDU en un puerto de acceso habilitado para BPDU Guard, el puerto se pone
en estado de error deshabilitado. Esto significa que el puerto se cierra y debe volver a habilitarse
manualmente o recuperarse automáticamente mediante el comando global errdisable
recovery cause psecure_violation.
BPDU Guard se puede habilitar en un puerto mediante el comando de configuración de la

interfaz spanning-tree bpduguard enable. Alternativamente, use el comando de configuración
global spanning-tree portfast bpduguard default para habilitar globalmente la protección
BPDU en todos los puertos habilitados para PortFast.
Para mostrar información sobre el estado del árbol de expansión, use el comando show
spanning-tree summary En este ejemplo, PortFast predeterminado y modo de protección de
BPDU están activados como estado predeterminado para los puertos configurados como de
modo de acceso.
Note: Siempre active BPDU Guard en todos los puertos habilitados para PortFast.
P á g i n a | 509
11.5.4
11.5.4 – Comprobador de sintaxis: mitigar

los ataques STP
Implemente Portfast y seguridad BPDU para un switch basado en la siguiente topologia y
requerimientos específicos.
El comprobador de sintaxis tiene

una topologia que es la misma que
en el diagrama 11.5.1; donde hay
dos switches capa 3 de
distribución en la parte superior
del diagrama que están
conectados por un troncal. Ambos
switches capa 3 tienen un enlace
troncal que esta conectado al
mismo switch capa 2 de acceso
abajo. Este se llama S1 y esta
conectado en int G0/1 y G0/2.
Abajo de S1 hay varias PCs y al
lado del switch los puertos de
acceso F0/1 - F0/24.12.1.5 El
diagrama muestra donde varias
tecnologías operan dentro del
espectro electromagnético. Tipos
de ondas de izquierda a derecha;
ondas de
radio,infrarrojo,ultravioleta,rayos
x,y rayos gamma. La frecuencia
de las ondas se incrementa de
izquierda a derecha. Los
dispositivos inalámbricos
incluyendo torres de radio,radios,
televisores, hornos microondas, y
antenas parabólicas, están en la
lista de la izquierda.
Usted esta actualmente en una sesion en S1 Complete los siguientes pasos para implementar
PortFast y BPDU Guard en todos los puertos de acceso.
 Enter interface configuration mode for fa0/1 - 24.

 Configurar los puertos en modo de acceso.
 Vuelva al modo de configuración global.
 Habilite PortFast por defecto para todos los puertos de acceso.
 Habilite seguridad BPDU por defecto para todos los puertos de acceso.
P á g i n a | 510
S1(config)#interface range fa0/1 - 24

S1(config)#spanning-tree portfast default
S1(config)#spanning-tree portfast bpduguard default
S1(config)# exit
Verify that PortFast and BPDU Guard is enabled by default by viewing STP summary
information.
S1#show spanning-tree summary

Switch is in pvst mode
Root bridge for: none
Extended system ID is enabled
Portfast Default is enabled
PortFast BPDU Guard Default is enabled
Portfast BPDU Filter Default is disabled
Loopguard Default is disabled
EtherChannel misconfig guard is enabled
UplinkFast is disabled
BackboneFast is disabled
Configured Pathcost method used is short
(output omitted)
S1#
You have successfully configured and verified PortFast and BPDU Guard
for the switch.
Configuraciones de seguridad del Switch / Práctica del módulo y cuestionario

11.6.1
Packet Tracer - Configuración de

seguridad en el Switch
En esta actividad de Packet Tracer, usted puede:
 Proteger los puertos sin utilizar.

 Implemente seguridad de puertos
 Mitigar los ataques de salto de VLAN
 Mitigación de ataques de DHCP
 Mitigación de ataques de ARP
 Mitigación de ataques de STP
 Verificación de la configuración del switch
P á g i n a | 511
Switch Security Configuration

11.6.2
Lab - Configuración de Seguridad en el

Switch
En esta práctica de laboratorio:
 Proteger los puertos sin utilizar.

 Implemente seguridad de puertos
 Mitigar los ataques de salto de VLAN
 Mitigación de ataques de DHCP
 Mitigación de ataques de ARP
 Mitigación de ataques de STP
 Verificación de la configuración del switch

11.6.3

Se deben proteger todos los puertos (interfaces) del switch antes de implementar el
dispositivo para la producción. El método más simple y eficaz de evitar ataques por
saturación de la tabla de direcciones MAC es habilitar la seguridad de puertos. Los puertos
capa 2 del switch están definidos como dynamic auto (troncal encendido), de manera
predeterminada. El switch se puede configurar para obtener información sobre las
direcciones MAC en un puerto seguro de una de estas tres formas: configurado manualme nte,
aprendido dinámicamente y aprendido dinámicamente - fijo. EL vencimiento de la seguridad
del puerto puede usarse para poner el tiempo de vencimiento de las direcciones seguras
estáticas y dinámicas en un puerto. Hay dos tipos de envejecimiento por puerto:absoluto e
inactivo. Si la dirección MAC de un dispositivo conectado a el puerto difiere de la lista de
direcciones seguras, entonces ocurre una violación de puerto. El puerto entra en el estado de
error-disabled de manera predeterminada. Cuando un puerto está desactivado como
consecuencia de un error, se apagará con eficacia y no habrá envío ni recepción de tráfico en
ese puerto. Para mostrar la configuración de seguridad del puerto para el conmutador, use el
comando show port-security.
P á g i n a | 512
Para Mitigar ataques de salto de VLAN
Step 1. Deshabilitar las negociaciones de protocolo DTP en puertos sin enlace troncal
Step 2. Permite desactivar los puertos no utilizados.
Step 3. Habilitar manualmente el enlace troncal en los puertos troncales.
Step 4. Deshabilitar las negociaciones de protocolo DTP en puertos troncales.
Step 5. Cambie la configuración de la VLAN nativa a otra opción que no sea VLAN 1.
El objetivo de un ataque de inanición de DHCP es crear una denegación de servicio(DoS)

para la conexión de los clientes. Los ataques de suplantación de DHCP se pueden mitigar
mediante el uso de detección DHCP en puertos confiables. La inspección DHCP determina
si los mensajes DHCP provienen de una fuente confiable o no confiable configurada
administrativamente. Luego filtra los mensajes de DHCP y limita la velocidad del tráfico
DHCP viniendo desde fuentes no confiables. Utilice las siguientes pasos para habilitar DHCP
snooping:
Step 1. Habilite la Indagación DHCP.

Step 2. En puertos de confianza, use el comando de configuración de la interfaz ip dhcp
snooping trust.
Step 3. Limitar el numero de mensajes de descubrimiento DHCP que pueden rer recibidos
por segundo en puertos no confiables.
Step 4. Habilite el DHCP snooping por el VLAN, o por un rango de VLANs.
La inspección dinámica(DAI) requiere de DHCP snooping y ayuda a prevenir ataques ARP

así:
 No retransmitiendo respuestas ARP invalidas o gratuitas a otros puertos en la misma VLAN.

 Intercepta todas las solicitudes y respuestas ARP en puertos no confiables.
 Verificando cada paquete interceptado para un enlace IP-to-MAC válido.
 Descarte y registre respuestas de ARP inválidas para evitar el envenenamiento por ARP.
 Error-disabling deshabilita la interfaz si se excede el número DAI configurado de paquetes ARP.
Para mitigar las probabilidades de ARP spoofing Y ARP poisoning, siga estas pautas de
implementación DAI
 Habilite la detección de DHCP.

 Habilite la detección de DHCP en las VLAN seleccionadas.
 Habilite el DAI en los VLANs seleccionados.
 Configure las interfaces de confianza para la detección de DHCP y la inspección de ARP ("no
confiable" es la configuración predeterminada).
Generalmente, es aconsejable configurar todos los puertos de switch de acceso como no

confiables y configurar todos los puertos de enlace ascendente que están conectados a otros
switches como confiables.
DAI se puede configurar para revisar si hay direcciones MAC e IP de destino o de origen:
P á g i n a | 513
 MAC de destino: - comprueba la dirección MAC de destino en el encabezado de Ethernet con la

dirección MAC de destino en el cuerpo ARP.
 MAC de origen: comprueba la dirección MAC de origen en el encabezado de Ethernet con la
dirección MAC del remitente en el cuerpo ARP.
 Dirección IP: comprueba el cuerpo ARP en busca de direcciones IP no válidas e inesperadas,
incluidas las direcciones 0.0.0.0, 255.255.255.255 y todas las direcciones de multidifusión IP.
Para mitigar los ataques de manipulación del Protocolo de árbol de expansión (STP), use
PortFast y la Unidad de datos de protocolo de puente (BPDU) Guard.
 PortFast \ - PortFast trae inmediatamente una interfaz configurada como puerto de acceso o troncal
al estado de reenvío desde un estado de bloqueo, sin pasar por los estados de escucha y aprendizaje.
Aplicar a todos los puertos de acceso de usuario final. PortFast solo debe configurarse en interfaces
conectadas a dispositivos finales. PortFast omite los estados de escucha y aprendizaje de STP para
minimizar el tiempo que los puertos de acceso deben esperar a que STP converja. Si habilita PortFast
en un puerto que se conecta a otro switch, corre el riesgo de crear un bucle de árbol de expansión.
 BPDU Guard - BPDU guard immediatamente deshabilita un puerto que recibes un error de BPDU.
Al igual que PortFast, BPDU guard sólo debe ser configurada en interfaces conectadas a dispositivos
finales. BPDU Guard puede ser habilitada en un puerto mediante el comando de configuración de
interface spanning-tree bpduguard enable. Alternativamente, use el comando de configuración
global spanning-tree portfast bpduguard default para habilitar globalmente BPDU guard en todos
los puertos habilitados para PortFast.
11.6.4
Módulo quiz: Configuraciones de

seguridad del Switch
P á g i n a | 514
P á g i n a | 515
P á g i n a | 516
P á g i n a | 517
P á g i n a | 518
P á g i n a | 519
P á g i n a | 520
P á g i n a | 521
P á g i n a | 522
P á g i n a | 523
Capítulo 12_Conceptos WLAN

Introducción
12.0.1

¡Bienvenido a los Conceptos de WLAN!
¿Utiliza usted conexiones inalámbricas en su casa, trabajo o escuela? ¿Alguna vez se ha

preguntado como funciona?
Existen tantas maneras de conectarse de forma inalámbrica. Como todo lo demás que tiene
que ver con las redes, este tipo de conexiones funcionan mejorar en situaciones particulares.
Requieren de dispositivos específicos y también son propensos a ciertos tipos de ataques. Y
por supuesto, existen soluciones para mitigar este tipo de ataques. ¿Desea más informac ió n?
El modulo de Conceptos de WLAN le brinda a usted el conocimiento fundamental que usted
necesita para entender qué son las LAN Inalámbricas, lo que pueden hacer y como
protegerlas.
Si tiene curiosidad, no espere, ¡empiece hoy mismo!
12.0.2

Titulo del Módulo: Conceptos WLAN
Objetivo del módulo: Explique cómo las WLAN habilitan la conectividad de red.
Introducción a la tecnología
Describa la tecnología y los estándares WLAN.
inalámbrica
Describa los componentes de una infraestructura

Componentes de las WLAN
WLAN.
P á g i n a | 524
Explique cómo la tecnología inalámbrica permite el

Funcionamiento de WLAN
funcionamiento de WLAN.
Explique cómo un WLC utiliza CAPWAP para

Funcionamiento de CAPWAP
administrar múltiples AP.
Administración de canales Describa la administración de canales en una WLAN.
Amenazas a la WLAN Describa las amenazas a las WLAN.
WLAN seguras Describa los mecanismos de seguridad de WLAN.
Conceptos WLAN / Introducción a la tecnología inalámbrica
Introducción a la tecnología
inalámbrica
12.1.1
Beneficios de redes inalámbricas

P á g i n a | 525
Una LAN inalámbrica (WLAN) es un tipo de red inalámbrica que se usa comúnmente en
hogares, oficinas y entornos de campus. Las redes deben apoyar a la gente que está en
movimiento. La gente se conecta usando computadoras, computadoras portátiles, tabletas y
teléfonos inteligentes. Hay muchas diferentes infraestructuras de red que proveen acceso a la
red, como LANs cableadas, red de proveedor de servicios, y redes de teléfonos celulares. Las
WLAN hacen posible la movilidad dentro de los entornos domésticos y comerciales.
En las empresas que cuentan con una infraestructura inalámbrica, puede haber un ahorro de
costos cada vez que se cambia el equipo, o al reubicar a un empleado dentro de un edificio,
reorganizar el equipo o un laboratorio, o mudarse a ubicaciones temporales o sitios de
proyectos. Una infraestructura inalámbrica puede adaptarse a los rápidos cambios de
necesidades y tecnologías.
12.1.2
Tipos de redes inalámbricas

Las LAN inalámbricas (WLAN) se basan en los estándares IEEE y se pueden clasificar en
cuatro tipos principales: WPAN, WLAN, WMAN y WWAN.
Redes inalámbricas de área personal (WPAN) - Utiliza transmisores de baja potencia para
una red de corto alcance, generalmente de 20 a 30 pies (6 a 9 metros). Los dispositivos
basados en Bluetooth y ZigBee se usan comúnmente en WPANs. Los WPAN se basan en el
estándar 802.15 y una frecuencia de radio de 2.4 GHz.
WPAN con casa y edificios se muestra

conectándose de forma inalámbrica a una torre
de radio.
P á g i n a | 526
Redes LAN Inalámbricas (WLAN) - Utiliza

transmisores para cubrir una red de tamaño
mediano, generalmente de hasta 300 pies. Las
redes WLANs son adecuadas para uso en casas,
oficinas, e inclusive campus. Las WLAN se basan
en el estándar 802.11 y una frecuencia de radio de
2,4 GHz o 5 GHz.
Redes MAN inalámbricos(WMAN) - Utiliza

transmisores para proporcionar servicio
inalámbrico en un área geográfica más grande. Las
redes WMANs son adecuadas para proveer
acceso inalámbrico a ciudades metropolitanas o
distritos específicos. Las WMANs utilizan
frecuencias específicas con licencia.
Redes inalámbricas de área amplia (WWAN) -

Utiliza transmisores para proporcionar cobertura en
un área geográfica extensa. Las redes WWANs
son adecuadas para comunicaciones nacionales y
globales. Las WMANs utilizan frecuencias
específicas con licencia.
P á g i n a | 527
12.1.3
Tecnologías inalámbricas
Para enviar y recibir datos, la tecnología inalámbrica usa el espectro de radio sin licencia.
Cualquier persona que tenga un router inalámbrico y tecnología inalámbrica en el dispositivo
que utilice puede acceder al espectro sin licencia.
Bluetooth - es un estándar IEEE 802.15 WPAN que utiliza un proceso de emparejamie nto
de dispositivos para comunicarse a distancias de hasta 300 pies (100m) Se puede encontrar
en dispositivos domésticos inteligentes, conexiones de audio, automóviles y otros
dispositivos que requieren una conexión de corta distancia. Hay dos tipos de radios
Bluetooth:
 Bluetooth de baja energía (BLE) - admite topología

de malla para dispositivos de red a gran escala.
 Velocidad básica Bluetooth / Velocidad mejorada
(BR / EDR): - admite topologías punto a punto y está
optimizada para la transmisión de audio.
WiMAX (Interoperabilidad mundial para acceso

por microondas) - WiMAX es una alternativas a
Internet de banda ancha por cable. Sin embargo es
típicamente usado en áreas que no están
conectadas a un cable DSL o a un proveedor de
cable. Es un estándar IEEE 802.16 WWAN que
proporciona acceso inalámbrico de banda ancha
de alta velocidad de hasta 30 millas (50 km).
WiMAX funciona de manera similar a Wi-Fi, pero
con velocidades más altas, a través de distancias
mayores y para una mayor cantidad de usuarios.
Usa una red de torres WiMAX que son similares a
las torres de telefonía celular. Los transmisores
WiMAX y los transmisores celulares pueden
compartir espacio en la misma torre, como se
P á g i n a | 528
Banda Ancha Celular (Cellular Broadband) - 4G

/ 5G Celular son redes móviles inalámbricas
utilizadas principalmente por teléfonos celulares,
pero pueden usarse en automóviles, tabletas y
computadoras portátiles. Las redes celulares son
redes de acceso múltiple que llevan
comunicaciones de datos y de voz. Un sitio celular
es creado por una torre celular transmitiendo
señales en una área determinada. Los sitios
celulares interconectados forman la red celular.
Los dos tipos de redes celulares son Global
System for Mobile (GSM) y Code Division Multiple
Access (CDMA). GSM es reconocido
internacionalmente, mientras que CDMA se usa
principalmente en los Estados Unidos.
La red GSM de 4ta generación (4G) es la red móvil

actual. 4G ofrece velocidades que son 10 veces las
redes 3G anteriores. El nuevo 5G promete ofrecer
velocidades 100 veces más rápidas que 4G y
conectar más dispositivos a la red que nunca.
Banda ancha satelital - Proporciona acceso de

red a sitios remotos mediante el uso de una antena
parabólica direccional que está alineada con un
satélite de órbita terrestre geoestacionaria
específica. Usualmente este es más caro y
requiere una línea de visión clara. Este es usado
típicamente por dueños de casas y negocios
donde el cable y DSL no están disponibles.
12.1.4
Estándares de Wi-Fi 802.11

El mundo de las comunicaciones inalámbricas es vasto. Sin embargo, para habilidades
particulares relacionadas con el trabajo, queremos centrarnos en aspectos específicos de Wi
Fi. El mejor lugar para comenzar es con los estándares IEEE 802.11 WLAN. Los estándares
P á g i n a | 529
WLAN definen cómo se usan las frecuencias de radio para los enlaces inalámbricos. La
mayoría de los estándares especifican que los dispositivos inalámbricos tienen una antena
para transmitir y recibir señales inalámbricas en la frecuencia de radio especificada (2.4 GHz
o 5 GHz). Algunos de los estándares más nuevos que transmiten y reciben a velocidades más
altas requieren que los puntos de acceso (AP) y los clientes inalámbricos tengan múltip les
antenas utilizando la tecnología de entrada múltip le y salida múltiple (MIMO). MIMO utiliza
múltiples antenas como transmisor y receptor para mejorar el rendimiento de la
comunicación. Se pueden soportar hasta cuatro antenas.
A través de los años, se han desarrollado varias implementaciones de los estándares IEEE
802.11, como se muestra en la figura. La tabla destaca estos estándares.
Estándar
IEEE Radiofrecuencia Descripción
WLAN
802.11 2,4 GHz  Velocidades de hasta 2 Mbps.
 Velocidades de hasta 54 Mbps.

 Área de cobertura pequeña.
802.11a 5 GHz  Menos efectivo penetrando estructuras de construcción.
 No interoperable con 802.11b o 802.11g.

2,4 GHz  Mayor alcance que 802.11a.
802.11b
 Mejor penetración en las estructuras de los edificios.

2,4 GHz  Compatible con versiones anteriores de 802.11b con capacidad
802.11g
de ancho de banda reducida.
 Las velocidades de datos varían de 150 Mbps a 600 Mbps con un

rango de distancia de hasta 70 m (230 pies).
 Los AP y los clientes inalámbricos requieren múltiples antenas
802.11n 2.4 GHz 5 GHz usando Tecnología MIMO.
 Es compatible con dispositivos 802.11a/b/g con datos limitados
velocidades.
 Proporciona velocidades de datos que van desde 450 Mbps a

1.3 Gbps (1300 Mbps) usando tecnología MIMO.
802.11ac 5 GHz  Se pueden soportar hasta ocho antenas.
 Es compatible con dispositivos 802.11a/n con datos limitados.
P á g i n a | 530
Estándar
IEEE Radiofrecuencia Descripción
WLAN
 Lanzado en 2019 - último estándar.

 También conocido como High-Efficiency Wireless (HEW).
 Mayores velocidades de transmisión de datos.
 Mayor capacidad.
 Maneja muchos dispositivos conectados.
802.11ax 2.4 GHz 5 GHz  Eicacia energética mejorada.
 Capacidad de 1 GHz y 7 GHz cuando esas frecuencias estén
disponibles
 Busque en Internet Wi-Fi Generación 6 para obtener más
información.
12.1.5
Radiofrecuencia
Todos los dispositivos inalámbricos funcionan en el rango del espectro electromagnético.
Las redes WLAN operan en la banda de frecuencia de 2,4 GHz y la banda de 5 GHz. Los
dispositivos de LAN inalámbricos tienen transmisores y receptores sintonizados a
frecuencias específicas de ondas de radio para comunicarse. Específicamente, las siguie ntes
bandas de frecuencia se asignan a LAN inalámbricas 802.11:
 2.4 GHz (UHF) - 802.11b/g/n/ax

 5 GHz (SHF) – 802.11a/n/ac/ax
Dispositivos inalámbricos y donde operan en el espectro electromagnético.
El espectro electromagnético
P á g i n a | 531
12.1.6
Organizaciones de estándares
inalámbricos
Los estándares aseguran la interoperabilidad entre dispositivos fabricados por diferentes
fabricantes. A nivel internacional, las tres organizaciones que influyen en los estándares
WLAN son ITU-R, el IEEE, y la Wi-Fi Alliance.
La Unión Internacional de Telecomunicaciones (UIT) regula la

asignación del espectro de radiofrecuencia y las órbitas de los
satélites a través del UIT-R. UIT-R significa el Sector de
Radiocomunicaciones de la UIT.
El IEEE especifica cómo se modula una frecuencia

de radio para transportar información. Mantiene los
estándares para redes de área local y metropolitana
(MAN) con la familia de estándares IEEE 802 LAN /
MAN. Los estándares dominantes en la familia IEEE
802 son 802.3 Ethernet y 802.11 WLAN.
La Wi-Fi Alliance es una asociación comercial global,

sin fines de lucro, dedicada a promover el crecimiento
y la aceptación de las WLAN. Es una asociación de
proveedores cuyo objetivo es mejorar la
interoperabilidad de los productos que se basan en el
estándar 802.1.
P á g i n a | 532
12.1.7
Verifique su conocimiento – Introducción

a la tecnología inalámbrica
las redes, tecnologías y estándares inalámbricos.
P á g i n a | 533
P á g i n a | 534
P á g i n a | 535
Conceptos WLAN / Componentes de la WLAN
Componentes de la WLAN
12.2.1
12.2.1 – Video – Componentes WLAN

En el tema anterior usted aprendió sobre los beneficios de la tecnología inalámbrica, tipos de
redes inalámbricas, estándar 802.11 y frecuencias de radio. Aquí aprenderemos sobre los
componentes WLAN.
Haga clic en Reproducir para ver un video sobre componentes WLAN.
0: 00 5:58
12.2.2
NIC inalámbrica
Las implementaciones inalámbricas requieren un mínimo de dos dispositivos que tengan un
transmisor de radio y un receptor de radio sintonizados a las mismas frecuencias de radio:
P á g i n a | 536
 Dispositivos finales con NIC

inalámbricas
 Un dispositivo de red, como un
router inalámbrico o un AP inalámbrico
Para comunicarse de forma inalámbrica, las computadoras portátiles, tabletas, teléfonos

inteligentes e incluso los últimos automóviles incluyen NIC inalámbricas integradas que
incorporan un transmisor / receptor de radio. Si un dispositivo no tiene una NIC inalámb r ica
integrada, se puede utilizar un adaptador inalámbrico USB, como se muestra en la figura.
Nota: Muchos dispositivos inalámbricos con los que está familiarizado no tienen antenas
visibles. Están integrados dentro de teléfonos inteligentes, computadoras portátiles y routers
domésticos inalámbricos.
12.2.3
12.2.3 – Router de hogar inalámbrico

El tipo de dispositivo de infraestructura con el que se asocia y autentica un dispositivo final
varía según el tamaño y los requisitos de la WLAN.
Un usuario doméstico generalmente interconecta dispositivos inalámbricos utilizando un

pequeño router inalámbrico. El enrutador inalámbrico sirve como:
 Access point - Esto proporciona acceso inalámbrico 802.11a/b/g/n/ac

 Switch -Esto proporciona un switch Ethernet 10/100/1000 dúplex completo de cuatro puertos para
interconectar dispositivos cableados.
 Router - Esto proporciona una puerta de enlace predeterminada para conectarse a otras
infraestructuras de red, como Internet.
P á g i n a | 537
Un router inalámbrico se implementa comúnmente como una pequeña empresa o dispositivo

de acceso inalámbrico residencial. El router inalámbrico anuncia sus servicios inalámbr icos
mediante el envío de beacons que contienen su identificador de conjunto de servicios
compartidos (SSID). Los dispositivos descubren de forma inalámbrica el SSID e intentan
asociarse y autenticarse con él para acceder a la red local y el Internet.
La mayoría de los routers inalámbricos también ofrecen funciones avanzadas, como acceso
de alta velocidad, soporte para transmisión de video, direccionamiento IPv6, calidad de
servicio (QoS), utilidades de configuración y puertos USB para conectar impresoras o
unidades portátiles.
Además, los usuarios domésticos que desean ampliar sus servicios de red pueden
implementar extensores de alcance Wi-Fi. Un dispositivo puede conectarse de forma
inalámbrica al extensor, lo que aumenta sus comunicaciones para que se repitan al router
inalámbrico.
12.2.4
Puntos de acceso inalámbrico

Si bien los extensores de alcance son fáciles de configurar, la mejor solución sería instalar
otro punto de acceso inalámbrico para proporcionar acceso inalámbrico dedicado a los
dispositivos del usuario. Los clientes inalámbricos usan su NIC inalámbrica para descubrir
puntos de acceso cercanos compartiendo el SSID Los clientes luego intentan asociarse y
autenticarse con un AP. Después de ser autenticados los usuarios inalámbricos tienen acceso
a los recursos de la red. En la figura, se ve el software Cisco Meraki.
P á g i n a | 538
12.2.5
Categorías AP
Los AP se pueden clasificar como AP autónomos o AP basados en controladores.
AP autónomo
Estos son dispositivos independientes configurados mediante una interfaz de línea de

comandos o una GUI, como se muestra en la figura Los AP autónomos son útiles en
situaciones en las que solo se requieren un par de APs en la organización. Un router
doméstico es un ejemplo de AP autónomo porque toda la configuración de AP reside en el
dispositivo. Si aumentan las demandas inalámbricas, se requerirían más APs. Cada AP
funciona independientemente de otros AP y cada AP requiere de una configuración y
administración manual. Esto se volvería abrumador si se necesitaran muchos APs.
Varios dispositivos inalámbricos conectados a un AP autónomo que tiene una conexión por
cable a un switch en una red cableada.
P á g i n a | 539
APs basados en controladores
Estos dispositivos no necesitan una configuración inicial y normalmente se les denomina puntos
de acceso lightweight (LAPs). Los puntos de acceso LAP usan el Protocolo Lightweight Access
Point Protocol (LWAPP) para comunicarse con el controlador WLAN (WLC), como se muestra
en la siguiente figura. Los puntos de acceso basados en controlador son útiles en situaciones
en las que se necesitan varios puntos de acceso en la red. Conforme se agregan p untos de
acceso, cada punto de acceso es configurado y administrado de manera automática por el WLC.
Observe en la figura que el WLC tiene cuatro puertos conectados a la infraestructura de

switching. Estos cuatro puertos están configurados como un grupo de agregación de enlaces
(LAG) para agruparlos. Al igual que funciona EtherChannel, LAG proporciona redundancia y
equilibrio de carga. Todos los puertos del switch que están conectados al WLC deben estar
conectados y configurados con EtherChannel activado. Sin embargo, LAG no funciona
exactamente como EtherChannel. El WLC no es compatible con el Protocolo de agregación de
puertos (PaGP) o el Protocolo de control de agregación de enlaces (LACP).
P á g i n a | 540
12.2.6
Antenas inalámbricas
La mayoría de los AP de clase empresarial requieren antenas externas para que sean unidades
completamente funcionales.
Las antenas omnidireccionales como la que se

muestra en la figura brindan una cobertura de 360
grados y son ideales en casas, áreas de oficinas
abiertas, salas de conferencias y áreas exteriores.
P á g i n a | 541
Antenas direccionales enfocan la señal de radio en

una dirección específica. Esto mejora la señal
hacia y desde el AP en la dirección en que apunta
la antena. Esto proporciona una fuerza de señal
más fuerte en una dirección y una fuerza de señal
reducida en todas las demás direcciones. Ejemplos
de antenas direccionales Wi-Fi incluyen antenas
Yagi y antenas parabólicas.
Entrada múltiple Salida múltiple (MIMO) utiliza

múltiples antenas para aumentar el ancho de banda
disponible para las redes inalámbricas IEEE
802.11n/ac/ax. Se pueden utilizar hasta ocho
antenas de transmisión y recepción para aumentar
el rendimiento.
12.2.7
Verifique su comprensión - Componentes

WLAN
componentes WLAN.
P á g i n a | 542
P á g i n a | 543
P á g i n a | 544
Conceptos WLAN / Funcionamiento de WLAN
Funcionamiento de WLAN
12.3.1
12.3.1 – Video – Operación de la WLAN

El tema anterior cubrió componentes WLAN. Este tema va a cubrir operación WLAN.
Haga clic en Reproducir para ver un video operación WLAN.

P á g i n a | 545
11: 50
0:00
12.3.2
Modos de topología inalámbrica

Las LAN inalámbricas pueden acomodar varias topologías de red. El estándar 802.11
identifica dos modos principales de topología inalámbrica: modo Ad hoc y modo
Infraestructura. Tetherin también es un modo en ocasiones usado para proveer un acceso
inalámbrico rápido.
Modo ad hoc- Es cuando dos dispositivos se conectan de forma inalámbrica de igual a igual
(P2P) sin utilizar AP o routers inalámbricos. Los ejemplos incluyen clientes inalámbr icos
que se conectan directamente entre sí mediante Bluetooth o Wi-Fi Direct. El estándar IEEE
802.11 se refiere a una red ad hoc como un conjunto de servicios básicos independie ntes
(IBSS).
Dos computadoras portátiles que se

comunican directamente entre sí a través
de señales inalámbricas.
P á g i n a | 546
Modo Infraestructura- Esto ocurre

cuando los clientes inalámbricos se
interconectan a través de un router
inalámbrico o AP, como en las WLAN. Los
AP se conectan a la infraestructura de red
utilizando el sistema de distribución por
cable, como Ethernet.
Tethering - La variación de la topología

ad hoc es cuando un teléfono inteligente
o tableta con acceso a datos móviles está
habilitado para crear un punto de acceso
personal. En ocasiones se refiere a esta
característica como “anclaje a red
(tethering.)”. Un punto de acceso suele
ser una solución rápida temporal que
permite que un teléfono inteligente brinde
los servicios inalámbricos de un router
Wi-Fi. Otros dispositivos pueden
asociarse y autenticarse con el teléfono
inteligente para usar la conexión a
Internet.
12.3.3
BSS y ESS
El modo de infraestructura define dos bloques de construcción de topología: un conjunto de
servicios básicos (BSS) y un conjunto de servicios extendidos (ESS).
P á g i n a | 547
Conjunto de Servicios Básicos (BSS)
Utiliza un AP único para interconectar todos los clientes inalámbricos asociados. Dos BSS
se muestran en la figura. Los círculos representan el área de cobertura del BSS, que se
denomina Área de Servicio Básico (BSA). Si un cliente inalámbrico se muda de su BSA, ya
no puede comunicarse directamente con otros clientes inalámbricos dentro de la BSA.
La dirección MAC de capa 2 del AP se utiliza para identificar de forma exclusiva cada BSS,
que se denomina Identificador de conjunto de servicios básicos (BSSID). Por lo tanto, el
BSSID es el nombre formal del BSS y siempre está asociado con un solo AP.
La figura muestra dos BSAs.

Uno se identifica con el
BSSID 00d0: bc80: dd07 y
consiste en una computadora
portátil con conexión
inalámbrica a un AP. El
segundo BSA se identifica
mediante el BSSID 00d0:
afdb: e0fc y consta de dos
computadoras portátiles, cada
una con una conexión
inalámbrica a un AP.
12.3.4
802.11 Estructura de la Trama

Recuerde que todas las tramas de capa 2 consisten en un encabezado, carga útil y sección de
secuencia de verificación de trama (FCS). El formato de la trama 802.11 es similar al formato
de la trama de Ethernet, excepto que contiene más campos, como se muestra en la figura.
El diagrama muestra los campos de un frame 802.11. A la izquierda está el encabezado que
consta de los siguientes campos: control de la trama, duración, dirección 1, dirección 2,
dirección 3, control de secuencia y dirección 4. El siguiente es la carga útil y el último es el
campo FCS.
P á g i n a | 548
Todas las tramas 802.11 inalámbricas contienen los siguientes campos;
 Control de la trama -identifica el tipo de trama inalámbrica y contiene subcampos para la versión
del protocolo, el tipo de trama, el tipo de dirección, la administración de energía y la configuración
de seguridad.
 Duración - En general, se usa para indicar el tiempo restante necesario para recibir la siguiente
transmisión de tramas.
 Dirección 1 normalmente, contiene la dirección MAC del dispositivo o AP receptor inalámbrico.
 Dirección 2 normalmente, contiene la dirección MAC del dispositivo o AP receptor inalámbrico.
 Dirección 3 -en ocasiones, contiene la dirección MAC del destino, como la interfaz del router
(gateway predeterminado) a la que se conecta el AP.
 Control de Secuencia - Contiene información para controlar la secuencia y las tramas fragmentadas
 Direccion 4 - suele estar vacío, ya que se usa solo en el modo ad hoc.
 carga útil - contiene los datos para la transmisión.
 FCS - Esto se utiliza para el control de errores de la capa 2.
12.3.5
CSMA/CA
Las WLAN son configuraciones de medios compartidos semidúplex. Half-duplex signif ica
que solo un cliente puede transmitir o recibir en dado momento. Medios compartidos
significa que todos los clientes pueden transmitir y recibir en el mismo canal de radio. S Esto
crea un problema porque un cliente inalámbrico no puede escuchar mientras está enviando,
lo que hace que sea imposible detectar una colisión.
Para resolver este problema las WLAN utilizan el acceso múltiple con detección de operador
con evitación de colisiones (CSMA / CA) para determinar cómo y cuándo enviar datos. Un
cliente inalámbrico hace lo siguiente:
P á g i n a | 549
1. Escucha el canal para ver si está inactivo, es decir, no hay otro tráfico actualmente en el canal. El
canal es también llamado el portador.
2. Envía un mensaje Ready to Send (RTS) al AP para solicitar acceso dedicado a la red.
3. Recibe un mensaje Clear to Send (CTS) del AP que otorga acceso para enviar.
4. Si el cliente inalámbrico no recibe el mensaje CTS este espera una cantidad de tiempo aleatoria
antes de reiniciar el proceso.
5. Después de recibir el CTS, trasmite la información.
6. Todas las transmisiones son reconocidas. Si un cliente no recibe el reconocimiento, asume que
ocurrió una colisión y reinicia el proceso.
12.3.6
Asociación de AP de cliente inalámbrico

Para que los dispositivos inalámbricos se comuniquen a través de una red, primero se deben
asociar a un AP o un router inalámbrico. Una parte importante del proceso 802.11 es
descubrir una WLAN y conectarse a esta. Los dispositivos inalámbricos completan el
siguiente proceso de tres etapas, como muestra en la figura:
 Descubre un AP inalámbrico
 Autenticar con el AP.
 Asociarse con el AP.
La figura muestra que para asociarse con un AP, un cliente inalámbrico atraviesa un proceso
de tres etapas. Una computadora portátil representa un cliente inalámbrico que se esta
comunicando de forma inalámbrica con un AP. Una flecha que fluye del cliente al AP
representa la etapa uno en la que el cliente descubre el AP. Abajo de eso una doble flecha
P á g i n a | 550
entre los dispositivos representa la etapa de autenticación. Abajo de eso una doble flecha
entre los dispositivos representa la etapa de asociación.
Para lograr una asociación exitosa, un cliente inalámbrico y un AP deben acordar parámetros
específicos: Para permitir la negociación de estos procesos, se deben configurar los
parámetros en el AP y posteriormente en el cliente.
 SSID -El nombre del SSID aparece en la lista de redes inalámbricas disponibles en un cliente. En
organizaciones más grandes que usan múltiples VLAN para segmentar el tráfico, cada SSID se asigna
a una VLAN Según la configuración de la red, varios AP en una red pueden compartir un SSID.
 Contraseña - el cliente inalámbrico la necesita para autenticarse con el AP.
 Network mode - Esto se refiere a los estándares WLAN 802.11a/b/g/n/ac/ad. Los AP y routers
inalámbricos pueden funcionar en modo combinado, lo que significa que pueden utilizar varios
estándares al mismo tiempo.
 Modo de seguridad - : se refiere a la configuración de los parámetros de seguridad, como WEP, WPA
o WPA2. Habilite siempre el nivel más alto de seguridad que se admita.
 Configuración de canales - Se refiere a las bandas de frecuencia que se usan para transmi tir datos
inalámbricos. Los routers inalámbricos y los AP pueden escanear los canales de radiofrecuencia y
seleccionar automáticamente una configuración de canal adecuada. Los routers y los AP
inalámbricos pueden elegir la configuración de canales, o esta se puede definir manualmente si
existe interferencia con otro AP o dispositivo inalámbrico.
12.3.7
Modo de entrega pasiva y activa

Los dispositivos inalámbricos deben detectar un AP o un router inalámbrico y se deben
conectar a este. Los clientes inalámbricos se conectan al AP mediante un proceso de anális is
(sondeo). Este proceso puede ser pasivo o activo.
En modo pasivo el AP anuncia abiertamente su servicio enviando periódicamente tramas de

señal de difusión que contienen el SSID, los estándares admitidos y la configuración de
seguridad. El propósito principal de la señal es permitir que los clientes inalámbr icos
descubran qué redes y qué AP existen en un área determinada, de modo que puedan elegir
qué red y qué AP usar. Esto permite a los clientes inalámbricos elegir qué red y AP utilizar.
P á g i n a | 551
Un AP que envía tres frames beacon que contienen SSID, estándares compatibles y
configuraciones de seguridad que recibe un cliente inalámbrico.
En modo activo: los clientes inalámbricos deben conocer el nombre del SSID. El cliente
inalámbrico inicia el proceso al transmitir por difusión una trama de solicitud de sondeo en varios
canales. La solicitud de sondeo incluye el nombre del SSID y los estándares admitidos. Los AP
configurados con el SSID enviarán una respuesta de prueba que incluye el SSID, los estándares
admitidos y la configuración de seguridad. Si un AP o un router inalámbrico se configuran para
que no transmitan por difusión las tramas de señal, es posible que se requiera el modo activo.
Para descubrir las redes WLAN cercanas, un cliente inalámbrico también podría enviar una
solicitud de sondeo sin un nombre de SSID. Los AP configurados para transmitir por difusión
tramas de señal responderían al cliente inalámbrico con una respuesta de sondeo y
proporcionarían el nombre del SSID. Los AP con la característica de transmisión del SSID por
difusión deshabilitada no responden.
P á g i n a | 552
Un cliente inalámbrico está enviando una solicitud de prueba que contiene el SSID y los
estándares compatibles a un AP que envía una respuesta de prueba que contiene el SSID, los
protocolos compatibles y la configuración de seguridad.
12.3.8
Verifique su comprensión - Operación de

la WLAN
operación WLAN.
P á g i n a | 553
P á g i n a | 554
P á g i n a | 555
Conceptos WLAN / Funcionamiento de CAPWAP
Funcionamiento de CAPWAP
12.4.1
Video - CAPWAP
En el tema anterior aprendiste sobre la operación de WLAN. Ahora aprenderá sobre Control
y aprovisionamiento de puntos de acceso inalámbricos (CAPWAP).
Haga clic en Reproducir para ver un video sobre el protocolo de Control y aprovisionamie nto
de puntos de acceso inalámbrico (CAPWAP).
2:18
12.4.2
Introducción a la CAPWAP
CAPWAP es un protocolo estándar IEEE que permite que un WLC administre múltiples AP
y WLANs. CAPWAP también es responsable de la encapsulación y el reenvío del tráfico del
cliente WLAN entre un AP y un WLC.
Basado en LWAPP pero agrega seguridad adicional con Datagram Transport Layer Security
(DLTS). CAPWAP establece túneles en los puertos del Protocolo de datagramas de usuario
(UDP). CAPWAP puede operar sobre IPv4 o IPv6, pero usa IPv4 de manera predeterminada.
P á g i n a | 556
IPv4 e IPv6 pueden usar los puertos UDP 5246 y 5247. Sin embargo, los túneles CAPWAP
usan diferentes protocolos IP en el encabezado de la trama. IPv4 usa el protocolo IP 17 e
IPv6 usa el protocolo IP 136.
La figura muestra una pequeña red IPv4 o IPv6 en la nube. Un WLC se conecta a tres AP
usando CAPWAP.
12.4.3
Arquitectura MAC dividida

Un componente clave de CAPWAP es el concepto de un control de acceso a medios divididos
(MAC). El concepto CAPWAP split MAC realiza todas las funciones que normalme nte
realizan los AP individuales y las distribuye entre dos componentes funcionales:
 AP Funciones MAC
 Funciones WLC MAC
La tabla muestra algunas de las

funciones MAC realizadas por cada
uno.
P á g i n a | 557
12.4.4
Encriptación de DTLS
DTLS es un protocolo que proporciona seguridad entre el AP y el WLC. Les permite
comunicarse mediante encriptación y evita escuchas o alteraciones.
DTLS está habilitado de manera predeterminada para asegurar el canal de control CAPWAP
pero está deshabilitado de manera predeterminada para el canal de datos, como se muestra
en la figura. Todo el tráfico de control y gestión CAPWAP intercambiado entre un AP y
WLC está encriptado y protegido de forma predeterminada para proporcionar privacidad en
el plano de control y evitar ataques de Man-In-the-Middle (MITM).
La figura muestra un WLC conectado a un AP mediante encapsulación CAPWAP. La

encapsulación del canal de control está habilitada de manera predeterminada, mientras que
el cifrado de datos es opcional y está habilitado en cada AP.
El cifrado de datos CAPWAP es opcional y se habilita para cada AP. El cifrado de datos está
deshabilitado de manera predeterminada y requiere que se instale una licencia DTLS en el
WLC antes de que se pueda habilitar en el AP. Cuando está habilitado, todo el tráfico del
cliente WLAN se encripta en el AP antes de reenviarse al WLC y viceversa.
12.4.5
AP FlexConnect
FlexConnect es una solución inalámbrica para las implementaciones en sucursales y oficinas
remotas. Le permite configurar y controlar puntos de acceso en una sucursal desde la oficina
corporativa a través de un enlace WAN, sin implementar un controlador en cada oficina.
P á g i n a | 558
Hay dos modos de opción para FlexConnect AP:
 Modo conectado - El WLC es accesible. En este modo, el AP FlexConnect tiene conectividad CAPWAP
con su WLC y puede enviar tráfico a través del túnel CAPWAP, como se muestra en la figura. El WLC
realiza todas las funciones CAPWAP.
 Modo independiente - El WLC es inalcanzable. El AP FlexConnect ha perdido la conectividad
CAPWAP con el WLC. El AP FlexConnect puede asumir algunas de las funciones de WLC, como
cambiar el tráfico de datos del cliente localmente y realizar la autenticación del cliente localmente.
La figura muestra un túnel CAPWAP formado entre un AP FlexConnect en una sucursal y

un WLC en una oficina corporativa. El equipo de la sucursal consiste en una computadora
portátil con conexión inalámbrica a un AP FlexConnect que está conectado a un switch que
está conectado a un router. Luego, el router se conecta a otro router en la oficina corporativa
a la que está conectado el WLC. El WLC proporciona acceso a la red corporativa e Internet.
12.4.6
Verifique su comprensión - Operación

CAPWAP
CAPWAP.
P á g i n a | 559
P á g i n a | 560
P á g i n a | 561
P á g i n a | 562
P á g i n a | 563
Conceptos WLAN / Administración de canales
Administración de canales
12.5.1
Canal de frecuencia de saturación

Los dispositivos de LAN inalámbricos tienen transmisores y receptores sintonizados a
frecuencias específicas de ondas de radio para comunicarse. Una práctica común es que las
frecuencias se asignen como rangos. Los rangos se dividen en rangos más pequeños llamados
canales.
Si la demanda de un canal específico es demasiado alta, es probable que ese canal se sature
en exceso. La saturación del medio inalámbrico degrada la calidad de la comunicación. Con
los años, se han creado una serie de técnicas para mejorar la comunicación inalámbrica y
aliviar la saturación. Estas técnicas mitigan la saturación de canales usándolos de manera
más eficiente.
Direct-Sequence Spread Spectrum (DSSS) -

Una técnica de modulación diseñada para
extender una señal sobre una banda de
frecuencia más grande. Las técnicas de
amplio espectro se desarrollaron durante el
tiempo de guerra para que sea más difícil
para los enemigos interceptar o bloquear una
señal de comunicación. Lo hace al extender la
señal sobre una frecuencia más amplia que
efectivamente oculta el pico discernible de la
señal, como se muestra en la figura. Un
receptor configurado correctamente puede
revertir la modulación DSSS y reconstruir la
señal original. DSSS es Usado por dispositivos
802.11b para evitar interferencias de otros
dispositivos que usan la misma frecuencia de
2.4 GHz.
P á g i n a | 564
Espectro ensanchado por salto de

frecuencia (FHSS)- Esto se basa en
métodos de amplio espectro para
comunicarse. Transmite señales de
radio cambiando rápidamente una
señal portadora entre muchos
canales de frecuencia. El emisor y el
receptor deben estar sincronizados
para "saber" a qué canal saltar. Este
proceso de salto de canal permite un
uso más eficiente de los canales,
disminuyendo la congestión del
canal. FHSS fue Usado por el
estándar 802.11 original. Los walkie-
talkies y los teléfonos inalámbricos
de 900 MHz también usan FHSS, y
Bluetooth usa una variación de
FHSS.
Orthogonal Frequency-Division
Multiplexing (OFDM) - A subconjunto de
multiplexación por división de frecuencia en el
que un solo canal utiliza múltiples subcanales
en frecuencias adyacentes. Los subcanales
en un sistema OFDM son precisamente
ortogonales entre sí, lo que permite que los
subcanales se superpongan sin interferir.
OFDM es utilizado por varios sistemas de
comunicación, incluidos 802.11a/g/n/ac. El
nuevo 802.11ax utiliza una variación de
OFDM llamada acceso múltiple por división
de frecuencia ortogonal (OFDMA).
12.5.2
Selección de canales
Una práctica recomendada para las WLAN que requieren múltiples AP es utilizar canales no
superpuestos. Por ejemplo, los estándares 802.11b/g/n operan en el espectro de 2.4 GHz a
P á g i n a | 565
2.5GHz. La banda 2.4 GHz está subdividida en múltiples canales. Cada canal tiene un ancho
de banda de 22 MHz y está separado del siguiente canal por 5 MHz. El estándar 802.11b
identifica 11 canales para América del Norte, como se muestra en la figura (13 en Europa y
14 en Japón).
Nota: Busque en Internet canales de 5 GHz para obtener más información sobre los otros 16
canales disponibles y para conocer más sobre las variaciones de los diferentes países.
Canales superpuestos de 2.4GHz en América del

Norte
La figura muestra
11 canales que
tienen 22MHz de
ancho y 5MHz entre
cada uno. El
espectro está entre
2.2GHz y 2.5GHz.
La interferencia ocurre cuando una señal se superpone a un canal reservado para otra señal,
causando una posible distorsión. La mejor práctica para las WLAN de 2.4GHz que requieren
múltiples AP es usar canales no superpuestos, aunque la mayoría de los AP modernos lo
harán automáticamente. Si hay tres AP adyacentes, use los canales 1, 6 y 11, como se muestra
en la figura.
Canales no superpuestos de 2.4GHz para

802.11b/g/n
La figura muestra tres AP que utilizan los

canales 1, 6, y 11.
P á g i n a | 566
Para los estándares de 5 GHz 802.11a/n/ac, hay 24 canales. La banda de 5Ghz está dividida
en tres secciones. Cada canal está separado del siguiente canal por 20 MHz La figura muestra
la primera sección de ocho canales para la banda de 5 GHz. Aunque hay una ligera
superposición, los canales no interfieren entre sí. La conexión inalámbrica de 5 GHz puede
proporcionar una transmisión de datos más rápida para clientes inalámbricos en redes
inalámbricas muy pobladas debido a la gran cantidad de canales inalámbricos no
superpuestos.
Nota: Busque en Internet canales de 5 GHz para obtener más información sobre los otros 16
canales disponibles y para conocer más sobre las variaciones de los diferentes países.
Primeros ocho canales no interferentes de 5 GHz

La figura
muestra 8
canales que
tienen 20 MHz
entre cada uno.
El espectro está
entre 5150
MHz y 5350
MHz.
Al igual que con las WLAN de 2.4GHz, elija canales que no interfieran al configurar
múltiples AP de 5GHz adyacentes entre sí, como se muestra en la figura.
Canales no interferentes de 5 GHz para

802.11a/n/ac
La figura muestra tres AP que utilizan los

canales 36, 48 y 60.
P á g i n a | 567
12.5.3
12.5.3 – Planifique la implementación de

WLAN
La cantidad de usuarios admitidos por una WLAN depende del diseño geográfico de la
instalación, incluida la cantidad de cuerpos y dispositivos que pueden caber en un espacio,
las velocidades de datos que esperan los usuarios, el uso de canales no superpuestos por
múltiples AP en un ESS, y transmitir configuraciones de energía.
Al planificar la ubicación de los AP, el área de cobertura circular aproximada es importante

(como se muestra en la figura), pero hay algunas recomendaciones adicionales:
La figura muestra un
mapa de un lugar
con diferentes áreas,
entradas y salidas.
Hay círculos en
diferentes áreas para
limitar el área de
cobertura.
 Si los AP van a utilizar el cableado existente o si hay ubicaciones donde no se pueden colocar AP,
tenga en cuenta estas ubicaciones en el mapa.
 Tenga en cuenta todas las fuentes potenciales de interferencia que pueden incluir hornos de
microondas, cámaras de video inalámbricas, luces fluorescentes, detectores de movimiento o
cualquier otro dispositivo que use el rango de 2.4 GHz.
 Coloque los AP por encima de las obstrucciones.
 Coloque APs verticalmente cerca del techo en el centro de cada área de cobertura, si es posible.
 Coloque los AP en ubicaciones donde se espera que estén los usuarios. Por ejemplo, una sala de
conferencias es una mejor locación para un AP que un pasilllo.
 Si se configuró una red IEEE 802.11 para el modo mixto, los clientes inalámbricos pueden
experimentar velocidades más lentas de lo normal para admitir los estándares inalámbricos más
antiguos.
Al estimar el área de cobertura esperada de un AP, tenga en cuenta que este valor varía según
el estándar WLAN o la combinación de estándares implementados, la naturaleza de la
P á g i n a | 568
instalación y la potencia de transmisión para la que está configurado el AP. Siempre consulte
las especificaciones del AP cuando planifique áreas de cobertura.
12.5.4
Verifique su conocimiento– Gestión de

canales
administración de canales.
P á g i n a | 569
P á g i n a | 570
Conceptos WLAN / Amenazas a la WLAN
Amenazas a la WLAN
12.6.1
Video– Amenazas en la WLAN

El tema anterior cubrió componentes y configuración WLAN Aquí usted aprenderá sobre
amenazas WLAN.
Haga clic en Reproducir para ver un video sobre amenazas WLAN.

P á g i n a | 571
12.6.2
Resumen de seguridad inalámbrica

Una WLAN está abierta a cualquier persona dentro del alcance de un AP y las credenciales
apropiadas para asociarla. Con una NIC inalámbrica y conocimiento de técnicas de craqueo,
un atacante puede no tener que ingresar físicamente al lugar de trabajo para obtener acceso a
una WLAN.
Los ataques pueden ser generados por personas externas, empleados descontentos e incluso
involuntariamente por los empleados. Las redes inalámbricas son específicame nte
susceptibles a varias amenazas, incluidas las siguientes:
 Intercepción de datos - Los datos inalámbricos deben estar encriptados para evitar que los espías
los lean.
 Intrusos inalámbricos - Los usuarios no autorizados que intentan acceder a los recursos de la red
pueden ser disuadidos mediante técnicas de autenticación efectivas.
 Ataques de denegación de servicio (DoS) - El acceso a los servicios WLAN puede verse
comprometido de forma accidental o maliciosa. Existen varias soluciones dependiendo de la fuente
del ataque DoS.
 APs Falsos - Los AP no autorizados instalados por un usuario bien intencionado o con fines
maliciosos se pueden detectar utilizando un software de administración.
12.6.3
Ataques de DoS
Los ataques DoS inalámbricos pueden ser el resultado de:
Las señales que se irradian desde un teléfono

inalámbrico y un microondas interfieren con las
señales en una red inalámbrica.
P á g i n a | 572
 Dispositivos configurados inapropiadamente - Los errores de configuración pueden deshabilitar la

WLAN. Por ejemplo, un administrador podría alterar accidentalmente una configuración y
deshabilitar la red, o un intruso con privilegios de administrador podría deshabilitar
intencionalmente una WLAN.
 Un usuario malintencionado que interfiere intencionalmente con la comunicación
inalámbrica. - Su objetivo es deshabilitar la red inalámbrica por completo o hasta el punto en que
ningún dispositivo legítimo pueda acceder al medio.
 Interferencia Accidental - La redes WLANs son propensas a interferencia de otros dispositivos
inalámbricos como hornos microondas, teléfonos inalámbricos, monitores de bebé y más como se
muestra en la figura. La banda 2.4 GHz es más propensa a interferencia que la banda 5 GHz.
12.6.4
Puntos de acceso no autorizados

Un AP falso es un AP o un router inalámbrico que se ha conectado a una red corporativa sin
autorización explícita y en contra de la política corporativa. Cualquier persona con acceso a
las instalaciones puede instalar (de forma maliciosa o no maliciosa) un enrutador inalámbr ico
de bajo costo que potencialmente puede permitir el acceso a un recurso de red seguro.
Una vez conectado, el AP falso puede ser usado por el atacante para capturar direcciones
MAC, capturar paquetes de datos, obtener acceso a recursos de red o lanzar un ataque
intermediario.
Un punto de acceso a la red personal también podría usarse como un AP no autorizado, por
ejemplo, un usuario con acceso seguro a la red permite que su host Windows autorizado se
convierta en un AP Wi-Fi. Al hacerlo, elude las medidas de seguridad y otros dispositivos no
autorizados ahora pueden acceder a los recursos de la red como un dispositivo compartido.
Para evitar la instalación de puntos de acceso no autorizados, las organizaciones deben

configurar WLC con políticas de puntos de acceso no autorizados y utilizar software de
monitoreo para monitorear activamente el espectro de radio en busca de puntos de acceso no
autorizados.
P á g i n a | 573
12.6.5
Ataque man-in-the-middle
En un ataque intermediario (MITM por su sigla en inglés), el pirata informático se coloca
entre dos entidades legítimas para leer o modificar los datos que pasan entre las dos partes.
Hay muchas maneras de crear un ataque MITM.
Un ataque de "AP gemelo malvado" es un ataque MITM inalámbrico popular en el que un

atacante introduce un AP falso y lo configura con el mismo SSID que un AP legítimo Las
ubicaciones que ofrecen Wi-Fi gratis, como aeropuertos, cafeterías y restaurantes, son
lugares particularmente populares para este tipo de ataque debido a la autenticación abierta.
Un actor de amenazas
en Bobs Latte ha usado
su computadora portátil
para configurar un
gemelo malvado usando
un SSID de Bob latte,
autenticación abierta y
canal 6.
Clientes inalámbrico que se tratan de conectar a una red WLAN podrían ver dos APs con el
mismo SSID ofreciendo acceso inalámbrico. Los que están cerca del AP falso encuentran la
señal más fuerte y probablemente se asocian con ella. El tráfico de usuarios ahora se envía al
AP falso, que a su vez captura los datos y los reenvía al AP legítimo, como se muestra en la
figura. El tráfico de retorno del AP legítimo se envía al AP falso, se captura y luego se reenvía
al usuario desprevenido. El atacante puede robar la contraseña del usuario, su informac ió n
personal, obtener acceso a su dispositivo y comprometer el sistema.
Un usuario de Bobs Latte está

enviando tráfico inalámbrico a
una computadora portátil
configurada por un actor de
amenazas como un gemelo
malvado que reenvía el tráfico a
un enrutador dentro de la nube de
Internet.
P á g i n a | 574
La derrota de un ataque como un ataque MITM depende de la sofisticación de la

infraestructura WLAN y la vigilancia en el monitoreo de la actividad en la red. El proceso
comienza con la identificación de dispositivos legítimos en la WLAN. Para hacer esto los
usuarios deben estar autenticados. Una vez que todos los dispositivos legítimos son
conocidos, la red puede ser monitoreada de dispositivos o tráfico anormal.
12.6.6
Verifique su comprensión -amenazas

WLAN
amenazas a WLAN.
P á g i n a | 575
P á g i n a | 576
Conceptos WLAN / WLAN seguras
WLAN seguras
12.7.1
12.7.1 – Video – WLAN seguras

El tema anterior explicó amenazas WLAN. Que puede hacer usted para asegurar una red
WLAN?
Haga clic para reproducir el video sobre técnicas de seguridad para WLANs.
7: 09
12.7.2
12.7.2 – Encubrimiento SSID y filtrado de

direcciones MAC
Las señales inalámbricas pueden viajar a través de materiales sólidos como techos, pisos,
paredes, fuera de casa o del espacio de la oficina. Sin medidas de seguridad estrictas, la
instalación de una WLAN puede ser equivalente a colocar puertos Ethernet en todas partes,
incluso en el exterior.
Para abordar las amenazas de mantener alejados a los intrusos inalámbricos y proteger los
datos, se utilizaron dos características de seguridad tempranas que aún están disponibles en
la mayoría de los enrutadores y puntos de acceso:SSID cloaking y MAC address filtering.
P á g i n a | 577
Encubrimiento SSID
Los AP y algunos enrutadores inalámbricos permiten deshabilitar la trama de baliza SSID,

como se muestra en la figura Los clientes inalámbricos deben configurarse manualmente con
el SSID para conectarse a la red.
Filtrado de direcciones MAC
Un administrador puede permitir o denegar manualmente el acceso inalámbrico de los

clientes en función de su dirección física de hardware MAC. En la figura, el router está
configurado para permitir dos direcciones MAC. Los dispositivos con diferentes direcciones
MAC no podrán unirse a la WLAN de 2.4GHz.
P á g i n a | 578
12.7.3
802.11 Métodos de autenticación originales

Aunque estas dos características disuadirían a la mayoría de los usuarios, la realidad es que
ni el ocultamiento de SSID ni el filtrado de direcciones MAC disuadirían a un intruso astuto.
Los SSID se descubren fácilmente incluso si los AP no los transmiten y las direcciones MAC
pueden ser falsificadas. La mejor manera de proteger una red inalámbrica es utilizar sistemas
de autenticación y cifrado.
Se introdujeron dos tipos de autenticación con el estándar 802.11 original
 Sistema de autenticación abierto - Cualquier cliente inalámbrico debería poder conectarse

fácilmente y solo debería usarse en situaciones en las que la seguridad no sea una preocupación,
como las que proporcionan acceso gratuito a Internet, como cafeterías, hoteles y áreas remotas. El
cliente inalámbrico es responsable de proporcionar seguridad, como el uso de una red privada
virtual (VPN) para conectarse de forma segura. Los VPNs proveen servicios de autenticación y
cifrado. VPNs están más allá del alcance de este tema.
 Autenticación de llave compartida - Proporciona mecanismos, como WEP, WPA, WPA2 y WPA3
para autenticar y cifrar datos entre un cliente inalámbrico y AP. Sin embargo, la contraseña debe
ser pre-compartida entre las dos partes para conectar.
El siguiente cuadro resumen estos métodos de autenticación:

P á g i n a | 579
12.7.4
Métodos de autenticación de clave

compartida
Actualmente hay cuatro técnicas de autenticación de clave compartida disponibles, como se
muestra en la tabla. Hasta que la disponibilidad de dispositivos WPA3 se vuelva
omnipresente, las redes inalámbricas deben usar el estándar WPA2.
Método de
Descripción
autenticación
La especificación original 802.11 designada para proteger los datos

Privacidad usando el Rivest Cipher 4 (RC4) Método de cifrado con una llave
equivalente al estática. Sin embargo, La llave nunca cambia cuando se
cableado (WEP) intercambian paquetes. Esto lo hace fácil de hackear. WEP ya no se
recomienda y nunca debe usarse.
Un estándar de alianza Wi-Fi que usa WEP, pero asegura los datos
Acceso Wi-Fi con un cifrado más sólido que el Protocolo de integridad de clave
protegido (WPA) temporal (TKIP). generación de hash. El TKIP cambia la clave para
cada paquete, lo que hace que sea mucho más difícil de hackear
WPA2 es un estándar de la industria para proteger las redes

inalámbricas. Suele Utilizar el Estándar de cifrado avanzado (AES)
WPA2
para el cifrado. AES es actualmente se considera el protocolo de
cifrado más sólido.
La próxima generación de seguridad Wi-Fi. Todos los dispositivos

habilitados para WPA3 usan los últimos métodos de seguridad, no
WPA3 permiten protocolos heredados obsoletos y requieren el uso de
Tramas de administración protegidas (PMF). Sin embargo, los
dispositivos con WPA3 no están disponibles fácilmente.
12.7.5
Autenticando a un usuario doméstico

Los routers domésticos suelen tener dos opciones de autenticación: WPA y WPA2 WPA2 es
el mas fuerte de los dos La figura muestra la opción para seleccionar uno de los dos métodos
de autenticación WPA2:
P á g i n a | 580
 Personales - (PSK). Destinados a redes domésticas o de pequeñas oficinas, los usuarios se autentican
utilizando una clave pre-compartida(PSK). Los clientes inalámbricos se autentican con el enrutador
inalámbrico utilizando una contraseña previamente compartida. no requiere un servidor de
autenticación especial.
 empresa - destinado para redes empresariales pero requiere un servidor de autenticación de
Servicio de usuario de acceso telefónico de autenticación remota (RADIUS). Aunque requiere una
configuración más complicada, proporciona seguridad adicional. El servidor RADIUS debe autenticar
el dispositivo y luego los usuarios deben autenticarse utilizando el estándar 802.1X, que utiliza el
Protocolo de autenticación extensible (EAP) para la autenticación.
En la figura el administrador está configurando el router inalámbrico con autenticac ió n

personal WPA2 en la banda 2.4 GHz.
12.7.6
Métodos de encriptación
El cifrado suele utilizarse para proteger datos. Si un intruso ha capturado datos cifrados, no
podrá descifrarlos en un período de tiempo razonable.
Los estándares WPA y WPA2 usan los siguientes métodos de cifrado:
 Protocolo de integridad de clave temporal (TKIP) - TKIP es el método de encriptación utilizado por
WPA. Proporciona soporte para equipos WLAN heredados al abordar las fallas originales asociadas
con el método de encriptación WEP 802.11. Utiliza WEP, pero encripta la carga útil de la Capa 2
usando TKIP y realiza una Verificación de integridad de mensajes (MIC) en el paquete encriptado
para garantizar que el mensaje no haya sido alterado.
P á g i n a | 581
 Estándar de cifrado avanzado (AES) - AES es el método de encriptación utilizado por WPA2. este es
el método preferido de cifrado porque es un método mucho más fuerte. Utiliza el modo de contador
de cifrado con el protocolo de código de autenticación de mensajes de bloqueo de cadena (CCMP)
que permite a los hosts de destino reconocer si se han alterado los bits encriptados y no encriptados.
En la figura el administrador está configurando el router inalámbrico para usar WPA2 con
cifrado AES en la banda 2.4 GHz.
12.7.7
Autenticación en la empresa
En redes que tienen requerimientos de seguridad estrictos, una autenticación adicional o
inicio de sesión es requerida para garantizar al cliente acceso inalámbrico. La elección del
modo de seguridad empresarial requiere un servidor RADIUS de autenticación, autorizac ió n
y contabilidad (AAA).
 Dirección IP del servidor RADIUS - Esta es la dirección accesible del servidor RADIUS.
 Números de puerto UDP - Los puertos UDP 1812 para la autenticación RADIUS y 1813 para la
contabilidad RADIUS, pero también pueden funcionar utilizando los puertos UDP 1645 y 1646.
 Llave compartida - se utiliza para autenticar el AP con el servidor RADIUS.
En la figura, el administrador está configurando el router inalámbrico para usar autenticac ió n

WPA2 Enterprise con encriptación AES. La dirección IPv4 del servidor RADIUS también
se configura con una contraseña segura que se utilizará entre el router inalámbrico y el
servidor RADIUS.
P á g i n a | 582
La llave compartida no es un parámetro que debe ser configurado en un cliente inalámbr ico.
Solo se requiere en el AP para autenticarse con el servidor RADIUS. Nota: La autenticac ió n
y autorización del usuario se maneja mediante el estándar 802.1X, que proporciona una
autenticación centralizada basada en el servidor de los usuarios finales.
El proceso de inicio de sesión 802.1X utiliza EAP para comunicarse con el servidor AP y
RADIUS. EAP es un marco para autenticar el acceso a la red. Puede proporcionar un
mecanismo de autenticación seguro y negociar una clave privada segura que luego puede
usarse para una sesión de encriptación inalámbrica usando encriptación TKIP o AES.
12.7.8
WPA3
En el momento de este escrito los dispositivos que soportan autenticación WPA3
autenticación no están fácilmente disponibles. Sin embargo, WPA2 ya no se considera segura
WPA3, si está disponible, es el método de autenticación 802.11 recomendado. WPA3 incluye
cuatro características:
 WPA3-personal
 WPA3-empresa
 Redes abiertas
 Internet de las cosas (IoT)
WPA3-personal
En WPA2-Personal, los actores de amenazas pueden escuchar el "handshake" entre un cliente

inalámbrico y el AP y utilizar un ataque de fuerza bruta para intentar adivinar el PSK. WPA3-
P á g i n a | 583
Personal frustra este ataque utilizando la Autenticación Simultánea (SAE), una característica
especificada en el IEEE 802.11-2016. El PSK nunca es expuesto, haciéndolo imposible de
adivinar para el atacante.
WPA3-empresa
WPA3 - Empresa: Utiliza la autenticación 802.1X / EAP. Sin embargo, requiere el uso de
una suite criptográfica de 192 bits y elimina la combinación de protocolos de seguridad para
los estándares 802.11 anteriores. WPA3-Enterprise se adhiere a la Suite de Algoritmo de
Seguridad Nacional Comercial (CNSA) que se usa comúnmente en redes Wi-Fi de alta
seguridad.
Redes abiertas
Las redes abiertas en WPA2 envían tráfico de usuarios en texto claro no autenticado. En
WPA3, las redes Wi-Fi abiertas o públicas aún no utilizan ninguna autenticación. Sin
embargo, utiliza el cifrado inalámbrico oportunista (OWE) para cifrar todo el tráfico
inalámbrico.
IOT Integración
Aunque WPA2 incluyó la Configuración protegida de Wi-Fi (WPS) para incorporar

rápidamente dispositivos sin configurarlos primero, WPS es vulnerable a una variedad de
ataques y no se recomienda. Además, los dispositivos IoT generalmente no tienen cabeza, lo
que significa que no tienen una interfaz gráfica de usuario incorporada para la configurac ió n,
y necesitan una forma fácil de conectarse a la red inalámbrica. El Protocolo de
aprovisionamiento de dispositivos (DPP) se diseñó para abordar esta necesidad. Cada
dispositivo sin cabeza tiene una clave pública codificada. La clave suele estar estampada en
el exterior del dispositivo o en su embalaje como un código de Respuesta rápida (QR). El
administrador de red puede escanear el código QR y rápidamente a bordo del dispositivo.
Aunque no es estrictamente parte del estándar WPA3, DPP reemplazará a WPS con el
tiempo.
12.7.9
12.7.9 – Verifique su comprensión -

WLAN seguras
técnicas para asegurar la WLAN.
P á g i n a | 584
P á g i n a | 585
P á g i n a | 586
P á g i n a | 587
Conceptos WLAN / Práctica del módulo y cuestionario

12.8.1

Una LAN inalámbrica (WLAN) es un tipo de red inalámbrica que se usa comúnmente en
hogares, oficinas y entornos de campus. Las LAN inalámbricas (WLAN) se basan en los
estándares IEEE y se pueden clasificar en cuatro tipos principales: WPAN, WLAN, WMAN
y WWAN. Para enviar y recibir datos, la tecnología inalámbrica usa el espectro de radio sin
licencia. Ejemplos de esta tecnología son Bluetooth, WiMAX, banda ancha celular y banda
ancha satelital. Los estándares 802.11 WLAN definen cómo se usan las frecuencias de radio
para los enlaces inalámbricos. Las redes WLAN operan en la banda de frecuencia de 2,4 GHz
y la banda de 5 GHz. Los estándares aseguran la interoperabilidad entre dispositivos
fabricados por diferentes fabricantes. A nivel internacional, las tres organizaciones que
influyen en los estándares WLAN son ITU-R, el IEEE, y la Wi-Fi Alliance.
Para comunicarse de forma inalámbrica, la mayoria de los dispositivos incluyen NIC

inalámbricas integradas que incorporan un transmisor / receptor de radio. El router
inalámbrico sirve como un punto de acceso, un switch, y un router. Los clientes inalámbr icos
usan su NIC inalámbrica para descubrir puntos de acceso cercanos compartiendo el SSID
Los clientes luego intentan asociarse y autenticarse con un AP. Después de ser autenticados
los usuarios inalámbricos tienen acceso a los recursos de la red. Los AP se pueden clasificar
como AP autónomos o AP basados en controladores. Hay tres tipos de antenas para AP de
clase empresarial: omnidireccionales, direccionales y MIMO.
El estándar 802.11 identifica dos modos principales de topología inalámbrica: modo Ad hoc
y modo Infraestructura. El anclaje a red es usado para proveer un acceso inalámbrico rápido.
El modo de infraestructura define dos bloques de construcción de topología: un conjunto de
servicios básicos (BSS) y un conjunto de servicios extendidos (ESS). Todas las tramas 802.11
contienen los siguientes campos: control de frame, duración, dirección 1, dirección 2,
dirección 3, control de secuencia y dirección 4. WLANs usan CSMA/CA como el método
para determinar cómo y cuando enviar datos en la red. Una parte importante del proceso
802.11 es descubrir una WLAN y conectarse a esta. Los dispositivos inalámbricos descubren
un AP inalámbrico, se autentican con él y luego se asocian con él. Los clientes inalámbr icos
se conectan al AP mediante un proceso de exploración (sondeo) pasivo o activo.
CAPWAP es un protocolo estándar IEEE que permite que un WLC administre múltiples AP
y WLAN. El concepto CAPWAP dividir MAC realiza todas las funciones que normalme nte
realizan los AP individuales y las distribuye entre dos componentes funcionales: DTLS es un
protocolo que proporciona seguridad entre el AP y el WLC. FlexConnect es una solución
inalámbrica para las implementaciones en sucursales y oficinas remotas. Usted puede
configurar y controlar puntos de acceso en una sucursal desde la oficina corporativa a través
P á g i n a | 588
de un enlace WAN, sin implementar un controlador en cada oficina. Hay dos modos de
opción para FlexConnect AP: Conectado e independiente.
Los dispositivos de LAN inalámbricos tienen transmisores y receptores sintonizados a

frecuencias específicas de ondas de radio para comunicarse. Las frecuencias se asignan como
rangos. Los rangos se dividen en rangos más pequeños llamados canales: DSSS, FHSS y
OFDM. Los estándares 802.11b/g/n operan en el espectro de 2.4 GHz a 2.5GHz. La banda
2.4 GHz está subdividida en múltiples canales. Cada canal tiene un ancho de banda de 22
MHz y está separado del siguiente canal por 5 MHz. Al planificar la ubicación de los puntos
de acceso, el área de cobertura circular aproximada es importante.
Las redes inalámbricas son susceptibles a amenazas, que incluyen: interceptación de datos,
intrusos inalámbricos, ataques DoS y puntos de acceso no autorizados. Los ataques DoS
inalámbricos pueden ser el resultado de: dispositivos mal configurados, un usuario
malintencionado que interfiere intencionalmente con la comunicación inalámbrica e
interferencia accidental. Un AP falso es un AP o un router inalámbrico que se ha conectado
a una red corporativa sin autorización explícita y en contra de la política corporativa. Una
vez conectado, el atacante puede ser utilizado por un atacante para capturar direcciones
MAC, capturar paquetes de datos, obtener acceso a recursos de red o lanzar un ataque de
hombre en el medio. Ataque man-in-the- middle: el agente de amenaza se coloca entre dos
entidades legítimas para leer, modificar o redirigir los datos que se transmiten entre las dos
partes. Un ataque de "AP gemelo malvado" es un ataque MITM inalámbrico popular en el
que un atacante introduce un AP falso y lo configura con el mismo SSID que un AP legítimo
Para evitar la instalación de puntos de acceso no autorizados, las organizaciones deben
configurar WLC con políticas de puntos de acceso no autorizados.
Para mantener alejados a los intrusos inalámbricos y proteger los datos, dos características
de seguridad tempranas todavía están disponibles en la mayoría de los enrutadores y puntos
de acceso: ocultamiento de SSID y filtrado de direcciones MAC. Hay cuatro técnicas de
autenticación de clave compartida disponibles: WEP, WPA, WPA2 y WPA3 (los
dispositivos con WPA3 aún no están disponibles fácilmente). Los routers domésticos suelen
tener dos opciones de autenticación: WPA y WPA2 WPA2 es el más fuerte de los dos El
cifrado suele utilizarse para proteger datos. Los estándares WPA y WPA2 usan los siguie ntes
métodos de cifrado: TKIP y AES. En redes que tienen requerimientos de seguridad estrictos,
una autenticación adicional o inicio de sesión es requerida para garantizar al cliente acceso
inalámbrico. La elección del modo de seguridad empresarial requiere un servidor RADIUS
de autenticación, autorización y contabilidad (AAA).
P á g i n a | 589
12.8.2
Módulo Quiz: Conceptos WLAN

P á g i n a | 590
P á g i n a | 591
P á g i n a | 592
P á g i n a | 593
P á g i n a | 594
P á g i n a | 595
P á g i n a | 596
P á g i n a | 597
Capítulo 13_Configuraciones de redes

inalámbricas WLAN
Introducción
13.0.1

Bienvenido a la Configuración de WLAN
P á g i n a | 598
Algunos de nosotros recordamos conectarnos al Internet usando conexiones dial up. Para la
conexión dial up se usaba la linea telefónica fija. No era posible hacer o recibir llamadas con
el teléfono fijo mientras se navegaba en Internet. La conexión al Internet con dial up era muy
lenta. Básicamente, para la mayoría de las personas, su computadora estaba en un lugar fijo
en la casa o escuela.
Y después pudimos conectarnos al Internet sin usar las lineas telefónicas fijas. Sin embargo
nuestras computadoras estaban aún conectadas con cables a dispositivos que se conectaban
al Internet. Hoy en día podemos conectarnos al Internet usando dispositivos inalámbricos que
nos permitan llevar nuestros teléfonos, laptops y tablets prácticamente a cualquier lugar. Es
grandioso tener esa libertad de moverse, pero requiere de dispositivos intermediarios y finales
especiales y un buen entendimiento de los protocolos inalámbricos. ¿Desea obtener más
información? Entonces, ¡este es el modulo para ti!
13.0.2

Título del Módulo: Configuraciones de redes inalámbricas WLAN
Objetivo del Módulo: Implemente una WLAN con un router inalámbrico y WLC.
Configuración de WLAN del sitio

Configure una WLAN para admitir un sitio remoto.
remoto
Configure un WLC de red inalámbrica WLAN para que

Configure un WLC en el WLC use la interfaz de administración y la autenticación
WPA2 PSK.
Configure una red inalámbrica Configure un WLC de red inalámbrica WLAN para que
WLAN WPA2 Enterprise en el use una interfaz VLAN, un servidor DHCP, y
WLC autenticación WPA2. Autenticación Enterprise
Solucione problemas comunes de configuración

Solución de problemas de WLAN
inalámbrica.
P á g i n a | 599
Configuraciones de redes inalámbricas WLAN / Configuración de WLAN del sitio remoto
Configuración de WLAN del sitio

remoto
13.1.1
Video - Configuración de una red

inalámbrica
Haga clic en Reproducir en la figura para ver una demostración de cómo configurar una red
inalámbrica.
13.1.2
Router inalámbrico
Los trabajadores remotos, las oficinas pequeñas y las redes caseras, comúnmente usan
routers de casa y oficina pequeña. A estos routers en ocasiones se les llama routers
integrados porque típicamente incluyen un switch para dispositivos conectados por cable,
un puerto para conectarse al Internet (a veces llamado "WAN"), y componentes
inalámbricos para clientes de acceso inalámbrico, como se muestra en la figura del Cisco
Meraki MX64W. En lo que resta de este módulo, a los routers de casas y oficinas pequeñas
los llamaremos routers inalámbricos.
La figura muestra la parte de atrás de un router de casa o pequeña oficina. El router tiene
dos antenas, una de cada lado. En el lado izquierdo, hay un botón de reset. Al lado del
P á g i n a | 600
botón de reset hay cuatro puertos para conectar dispositivos LAN. Hay un puerto para la
conexión WAN y finalmente el botón de encendido y el puerto para el cable de energía.
Cisco Meraki MX64W
La próxima imagen muestra la conexión física de una laptop cableada, hacia un router
inalámbrico, que a su vez se conecta a un modem DSL o cable modem para obtener
conectividad a Internet.
La imagen muestra la conexión física de una laptop cableada, hacia un router inalámbr ico,
que a su vez se conecta a un modem DSL o cable modem para obtener conectividad a Internet.
Muestra una persona sentada frente a una computadora de escritorio. Conectada en la parte
de atrás del escritorio de la computadora, hay un enlace que va al router inalámbrico y del
P á g i n a | 601
router inalámbrico hay un enlace hacia el modem de banda ancha. El modem de banda ancha
tiene una conexión serial al Internet que se muestra como una nube.
Estos routers inalámbricos comúnmente proveen seguridad WLAN, servicios de DHCP,

Traducción de Direcciones de Red (NAT), Quality of Service (QoS), y una variedad de otras
funciones. El conjunto de características varia de acuerdo al modelo del router.
Nota: La configuración del módem por cable o DSL generalmente se realiza a través del
representante del proveedor de servicios, ya sea en el sitio o de manera remota, a través de
un tutorial con usted en el teléfono. Si usted compra el módem, el mismo vendrá con la
documentación sobre cómo conectarlo a su proveedor de servicios, lo que muy
probablemente incluirá el contacto con su proveedor de servicios para obtener más
información.
13.1.3
Conéctese al router inalámbrico.

La mayoría de los routers inalámbricos están listos para utilizarse desde el primer momento.
Están pre-configurados para conectarse a la red y proporcionar servicios. Por ejemplo, el
router inalámbrico utiliza el DHCP para proporcionar automáticamente información de
asignación de direcciones a los dispositivos conectados. Sin embargo, las direcciones IP
predeterminadas del router inalámbrico, los nombres de usuario y las contraseñas se pueden
encontrar fácilmente en Internet. Simplemente ingrese la frase “dirección IP predeterminada
del router inalámbrico” o “contraseñas predeterminada del router inalámbrico ” para ver un
listado de muchos sitios web que proporcionan esta información. Por ejemplo, el usuario y
la contraseña para el router inalámbrico en la figura es "admin" En consecuencia, su prioridad
principal debe ser cambiar estos valores predeterminados por razones de seguridad.
Para obtener acceso a la GUI de configuración del router inalámbrico, abra un navegador
web. En el campo Dirección, ingrese la dirección IP privada predeterminada de su router
inalámbrico. La dirección IP predeterminada se puede encontrar en la documentación que
viene con el router inalámbrico o se puede buscar en Internet. La figura muestra la dirección
IPv4 192.168.0.1, que es un valor predeterminado común para muchos fabricantes. Una
ventana de seguridad solicita autorización para acceder a la GUI del router. La palabra admin
se utiliza comúnmente como nombre de usuario y contraseña predeterminados. Nuevamente,
consulte la documentación del router inalámbrico o busque en Internet.
P á g i n a | 602
13.1.4
Configuración básica de red

La configuración básica de la red incluye los siguientes pasos:
1. Iniciar sesión en el router desde un navegador web.

2. Cambie la contraseña de administrador predeterminada.
3. Iniciar sesión con la nueva contraseña administrativa.
4. Cambiar las direcciones IPv4 predeterminadas del DHCP.
5. Renovar la dirección IP.
6. Iniciar sesión en el router con la nueva dirección IP.
1. Iniciar sesión en el router desde un navegador web
Después de iniciar sesión, se abre una GUI. La GUI tendrá las pestañas o menús para ayudarlo
a navegar en las distintas tareas de configuración del router. A menudo es necesario guardar
las opciones de configuración modificadas en una ventana antes de pasar a otra ventana. En
este punto, se recomienda realizar cambios en la configuración predeterminada.
Haga clic en el siguiente paso:

P á g i n a | 603
2. Cambiar la contraseña de administrador predeterminada.
Para cambiar la contraseña de inicio de sesión predeterminada, busque la sección de

Administración de la GUI del router. En este ejemplo, se escogió la pestaña Administración.
Aquí es donde se puede cambiar la contraseña del router. En algunos dispositivos, como el que
se encuentra en el ejemplo, solo puede cambiar la contraseña. El nombre de usuario sigue
siendo admin o cualquier nombre de usuario predeterminado para el router que está
configurando.
Haga clic en el siguiente paso.

P á g i n a | 604
3. Iniciar sesión con la nueva contraseña administrativa
Una vez que usted guarde la contraseña, el router inalámbrico solicitará autorización
nuevamente. Ingrese el nombre de usuario y la contraseña nueva, como se muestra e n el
ejemplo.
4. Cambiar las direcciones IPv4 predeterminadas del DHCP
Cambie la dirección IPv4 predeterminada del router. Una práctica recomendada es utilizar
direcciones IPv4 privadas dentro de su red. En el ejemplo, se utiliza la dirección IPv4 10.10.10.1,
pero podría ser cualquier dirección IPv4 privada que elija.

P á g i n a | 605
5. Renovar la dirección IP
Al hacer clic en guardar, perderá temporalmente el acceso al router inalámbrico. Abra una
ventana de comandos y renueve su dirección IP con el comando ipconfig/renew, como se
muestra en el ejemplo.

P á g i n a | 606
6. Iniciar sesión en el router con la nueva dirección IP
Ingrese la nueva dirección IP del router para recuperar el acceso a la GUI de configuración del
router, como se muestra en el ejemplo. Ahora está listo para continuar con la configuración de
acceso inalámbrico en el router.
13.1.5
Configuración inalámbrica
La configuración básica de la red inalámbrica incluye los siguientes pasos:
1. Ver los valores predeterminados de WLAN

2. Cambiar el modo de red.
3. Configurar el SSID
4. Configurar el canal
5. Configurar el modo de seguridad
6. Configurar la contraseña.
P á g i n a | 607
1. Ver los valores predeterminados de WLAN
De inmediato, un router inalámbrico proporciona acceso inalámbrico a los dispositivos

mediante un nombre y contraseña de red inalámbrica predeterminados. El nombre de la red
inalámbrica se denomina Identificador de Conjunto de Servicios (SSID). Ubique las
configuraciones inalámbricas básicas del router para cambiar estos valores predeterminados,
como se muestra en el ejemplo.
2. Cambiar el modo de red.
Algunos routers inalámbricos le permiten escoger qué estándar 802.11 desea implementar. Este
ejemplo muestra que se ha seleccionado "Legacy". Esto significa que todos los dispositivos
inalámbricos que se conectan al router inalámbrico deben tener una variedad de NIC
inalámbricas instaladas. Los routers inalámbricos actuales configurados para el modo mixto
admiten, en su mayoría, las NIC 802.11a, 802.11n y 802.11ac.

P á g i n a | 608
3. Configurar el SSID
Asignar un SSID a las redes inalámbricas WLANs. OfficeNet se usa en el ejemplo para todas
las tres redes WLANS (la tercera WLAN no se muestra). El router inalámbrico anuncia su
presencia mediante el envío de broadcasts que anuncian su SSID. Esto le permite a los hosts
inalámbricos detectar automáticamente el nombre de la red inalámbrica. Si la difusión del SSID
está desactivada, debe introducir manualmente el SSID en cada dispositivo inalámbrico que se
conecte a la WLAN.

P á g i n a | 609
4 Configurar el canal
Los dispositivos configurados con el mismo canal dentro de la banda de 2,4 GHz pueden
superponerse y causar distorsión, lo que disminuye el rendimiento inalámbrico y potencialmente
podría interrumpir las conexiones de red. La solución para evitar la interferencia es configurar
canales que no se superpongan en los routers inalámbricos y los puntos de acceso cercanos
entre sí. Específicamente, los canales 1, 6 y 11 son canales que no se superponen. En el
ejemplo, el router inalámbrico está configurado para utilizar el canal 6.
5. Configurar el modo de seguridad
De inmediato, es posible que un router inalámbrico no tenga configurada ninguna seguridad de

WLAN. En el ejemplo, se escoge la versión personal de Wi-Fi Protected Access versión 2
(WPA2 Personal) para las tres WLANs. La WPA2 con cifrado de Advanced Encryption Standard
(AES) es actualmente el modo de seguridad más sólido.

P á g i n a | 610
6. Configurar la contraseña.
La WPA2 Personal utiliza una contraseña para autenticar a los clientes inalámbricos. La WPA2
personal es más fácil de usar en entornos de oficinas pequeñas o domésticas, ya que no
requiere un servidor de autenticación. Las organizaciones más grandes implementan la WPA2
Enterprise y requieren que los clientes inalámbricos se autentiquen con un nombre de usuario
y una contraseña.
P á g i n a | 611
13.1.6
Configuración de una red de Malla

Inalámbrica
En una red de una oficina pequeña o doméstica, un router inalámbrico puede bastar para
proporcionar acceso inalámbrico a todos los clientes. Sin embargo, si desea extender el rango
más allá de aproximadamente 45 metros en el interior y 90 metros en el exterior, puede
agregar puntos de acceso inalámbricos. Como se muestra en la figura, En el red de Malla
Inalámbrica, dos puntos de acceso se configuran con las mismas configuraciones de WLAN
de nuestro ejemplo anterior. Observe que los canales escogidos son 1 y 11, de modo tal que
los puntos de acceso no interfieren con el canal 6 configurado previamente en el router
inalámbrico.
La imagen muestra dos puntos de acceso inalámbricos en una red de oficina pequeña o casa.
Los puntos de acceso inalámbrico se conectan de manera inalámbrica a un router. El router
inalámbrico está conectado a un módem de banda ancha. El módem de banda ancha esta
conectado a una nube mostrando el Internet. Hay flechas apuntando desde el punto de acceso
inalámbrico que muestra los ajustes de configuración. Un punto de acceso inalámbrico esta
en el canal 1 en 2.4GHz y el otro en el canal 11 en 2.4GHz.
Extender una WLAN en una oficina pequeña o en el hogar se vuelve cada vez más fácil. Los
fabricantes han creado una red de Malla Inalámbrica (WMN) a través de aplicaciones de
teléfono inteligente. Usted compra el sistema, dispersa los puntos de acceso, los conecta,
P á g i n a | 612
descarga la aplicación y configura su WMN en pocos pasos. Para encontrar las reseñas de las
ofertas actuales, busque en Internet "el mejor sistema de red de Malla Inalámbrica".
13.1.7
NAT para IPv4

En un router inalámbrico, si busca una página como la página de estado que se muestra en la
figura, encontrará la información de la asignación de direcciones IPv4 que el router utiliza
para enviar datos a Internet. Observe que la dirección IPv4 es 209.165.201.11 es una red
diferente a la dirección 10.10.10.1 asignada a la interfaz LAN del router. A todos los
dispositivos en la LAN del router se les asignarán direcciones con el prefijo 10.10.10.
La dirección IPv4 209.165.201.11 es públicamente enrutable en Internet. Cualquier dirección

con el 10 en el primer octeto es una dirección IPv4 privada y no se puede enrutar en Internet.
Por lo tanto, el router utilizará un proceso llamado Traducción de Direcciones de Red (NAT)
para convertir las direcciones IPv4 privadas en direcciones IPv4 enrutables en Internet. Con
NAT, una dirección IPv4 privada de origen (local) se traduce a una dirección pública
(global). En el caso de los paquetes entrantes, el proceso es inverso. Por medio de NAT, el
router puede traducir muchas direcciones IPv4 internas en direcciones públicas.
Algunos ISP utilizan la asignación de direcciones privadas para conectarse a los dispositivos
del cliente. Sin embargo, al final, su tráfico abandonará la red del proveedor y se enrutará en
Internet. Para ver las direcciones IP de sus dispositivos, busque "Cuál es mi dirección IP" en
P á g i n a | 613
Internet. Haga esto para otros dispositivos en la misma red y verá que todos comparten la
misma dirección IPv4 pública. NAT hace esto posible realizando un rastreo de los números
de puerto de origen para cada sesión establecida por dispositivo. Si su ISP tiene la IPv6
habilitada, verá una dirección IPv6 única para cada dispositivo.
13.1.8
Calidad de servicio
Muchos routers inalámbricos tienen una opción para configurar la Calidad de Servicio (QoS).
Al configurar QoS, puede garantizar que ciertos tipos de tráfico, como voz y video, tengan
prioridad sobre el tráfico que no es sensible a retrasos, como el correo electrónico y la
navegación web. En algunos routers inalámbricos, también se puede priorizar el tráfico en
puertos específicos.
La figura es un boceto simplificado de una interfaz de QoS basada en una GUI de Netgear.
Por lo general, encontrará la configuración de QoS en los menús avanzados. Si tiene un router
inalámbrico disponible, investigue las configuraciones de QoS. A veces, es posible que se
enumeren bajo "Control de Ancho de Banda" o algo similar. Consulte la documentación del
router inalámbrico o busque "configuraciones de QoS" en Internet para la marca y el modelo
de su router.
P á g i n a | 614
13.1.9
Reenvío de Puerto
Los routers inalámbricos comúnmente se pueden utilizar para bloquear puertos TCP y UDP,
a fin de impedir el acceso no autorizado entrante y saliente de una LAN. No obstante, existen
situaciones en las que deben abrirse puertos específicos para que determinados programas y
aplicaciones puedan comunicarse con dispositivos de otras redes. El Reenvío de Puerto es un
método basado en reglas que permite dirigir el tráfico entre dispositivos de redes separadas.
Una vez que el tráfico llega al router, este determina si debe reenviarse el tráfico a
determinado dispositivo según el número de puerto que se encuentra en el tráfico. Por
ejemplo, se puede configurar un router para que reenvíe el puerto 80, que esta asociado con
HTTP. Cuando el router recibe un paquete con el puerto de destino 80, reenvía el tráfico al
servidor interno de la red que sirve a las páginas web. En la figura, el reenvío de puerto está
habilitado para el puerto 80 y se asigna al servidor web en la dirección IPv4 10.10.10.50.
La activación de puertos permite que el router reenvíe datos temporalmente mediante puertos
entrantes a un dispositivo determinado. Se puede utilizar la activación de puertos para
reenviar datos a una PC, solo si se utiliza un rango de puertos designados para realizar una
solicitud saliente. Por ejemplo, un videojuego puede utilizar los puertos 27000 a 27100 para
establecer una conexión con otros jugadores. Estos son los puertos de activación. Un cliente
de chat puede utilizar el puerto 56 para conectar a los mismos jugadores, a fin de que
interactúen entre sí. En este caso, si existe tráfico de juegos en un puerto saliente dentro del
rango de puertos activados, el tráfico de chat entrante que corresponde al puerto 56 se reenvía
a la PC que se utiliza para jugar el videojuego y para chatear con amigos. Una vez que fina liza
el juego y dejan de utilizarse los puertos activados, el puerto 56 ya no puede enviar tráfico
de ningún tipo a esta PC.
P á g i n a | 615
13.1.10
Packet Tracer - Configurar una red

inalámbrica
Durante esta actividad, configurará un router inalámbrico y un punto de acceso para que
admitan clientes inalámbricos y enruten los paquetes IP.
Configure a Wireless Network
13.1.11
Práctica de laboratorio: Configuración de

una red inalámbrica
En esta práctica de laboratorio, hará una configuración básica de un router inalámbrico y
conectará una PC al router de manera inalámbrica.
Configuraciones de redes inalámbricas WLAN / Configure una WLAN básica en el WLC
Configure una WLAN básica en el

WLC
13.2.1
Video - Configure una WLAN básica en el

WLC
En el tema anterior aprendiste sobre la configuracion de WLAN en un sitio remoto. Este tema
es acerca de configurar una WLAN en el WLC.
P á g i n a | 616
Haga clic en Reproducir para ver la demostración de como configurar un WLC 3504 Cisco con
conectividad WLAN.
13.2.2
Topología WLC
Para topologia y el esquema de direccionamiento usados en los videos y este tema se muestran
en la figura y en la tabla. El punto de acceso (AP) es basado en un controlador, que es diferente
a un AP autónomo. Recuerde que los puntos de acceso basados en controlador no necesitan
una configuración inicial y normalmente se les denomina Puntos de Acceso Lightweight (LAPs).
Los puntos de acceso LAP usan el Protocolo Lightweight Access Point Protocol (LWAPP) para
comunicarse con el controlador WLAN (WLC). Los puntos de acceso basados en controlador
son útiles en situaciones en las que se necesitan varios puntos de acceso en la red. Conforme
se agregan puntos de acceso, cada punto de acceso es configurado y administrado de manera
automática por el WLC.
La imagen muestra la topologia de un Cisco Wireless LAN Controller (WLC). PC-A es un

servidor RADIUS/SNMP conectado a R1 en la interfaz F0/0 de R1. La PC-B esta conectada a
S1 en el puerto F0/6 de S1. R1 y S1 están conectados juntos en la interfaces F0/1 de R1 y en
la F0/5 de S1 . S1 esta conectado a un WLC en el puerto F0/18. En el puerto F0/1 de S1 esta
conectado el punto de acceso AP1. Hay una computadora po rtátil conectada en forma
inalámbrica a AP1.
P á g i n a | 617
Topología
El punto de acceso tiene
PoE, lo que significa que
recibe electricidad por
medio del cable Ethernet
que esta conectado al
switch.
Tabla de Direcciones
P á g i n a | 618
13.2.3
Iniciar sesión en el WLC

Configurar un controlador de red inalámbrica (WLC) no es muy diferente que configurar un router
inalámbrico La diferencia mas grande es que el WLC controla los puntos de acceso y provee
más servicios y capacidades de administración; varias que van más allá del alcance de este
curso.
Nota: Las figuras de este tema que muestran la interfaz gráfica (GUI) y los menús, son del
Controlador Inalámbrico Cisco 3504. Sin embargo, otros modelos de WLC tienen menús y
características similares.
La figura muestra un usuario iniciando sesión en el WLC con los credenciales que fueron
configurados en la configuración inicial.
La página de Network Summary es un panel que provee una visión rápida del número de redes
inalámbricas configuradas, los puntos de acceso asociados y los clientes activos. También se
puede ver la cantidad de puntos de acceso dudosos y los clientes, como se muestra en la figura.
P á g i n a | 619
13.2.4
Ver la información del punto de acceso

Haga clic en Access Points desde el menú de la izquierda para ver un resumen de toda la
información de sistema y desempeño del punto de acceso, como se muestra en la siguiente
figura. El AP está usando la dirección IP 192.168.200.3. Debido a que el protocolo Cisco
Discovery Protocol (CDP) esta activo en esta red, el WLC sabe que el AP está conectado al
puerto FastEthernet 0/1 del switch.
P á g i n a | 620
El AP en la topología es un Cisco Aironet 1815i, lo cual significa que se puede usar la línea de
comandos y una cantidad limitada comandos de IOS. En el ejemplo, el administrador de la red
hizo ping a la puerta de enlace, hizo ping al WLC, y verificó la interfaz conectada con cable.
13.2.5
Configuración Avanzada
La mayoría de los WLC tienen configuraciones básicas y menús que los usuarios pueden
accesar rápidamente para implementar una variedad de configuraciones comunes. Sin
embargo, como administrador de la red, usted comúnmente accederá a la configuración
avanzada. En el Wireless Controller Cisco 3504, haga clic enAdvanced en la esquina superior
derecha para accesar la páginaSummary, como se muestra en la figura. Desde aquí, usted
puede acceder a toda la configuración del WLC.
P á g i n a | 621
13.2.6
Configurar una WLAN

Los controladores de red LAN inalámbricos tienen puertos e interfaces. Los puertos son los
conectores para las conexiones físicas a la red cableada. Se ven como puertos de switch Las
interfaces son virtuales. Se crean a nivel de software y son muy similares a las VLAN interfaces.
De hecho, cada interfaz que lleva trafico desde una WLAN se configura en el WLC como una
VLAN diferente. El Cisco WLC 3504 soporta hasta 150 puntos de acceso y 4096 VLANs; sin
embargo, sólo tiene cinco puertos físicos, como se muestra en la figura. Esto significa que cada
puerto físico puede soportar varios puntos de acceso y WLANs. Los puertos en el WLC son
básicamente puertos troncales que pueden llevar trafico de múltiples VLANs hacia un switch
para distribuirlo a múltiples puntos de acceso. Cada punto de acceso puede soportar varias
WLANs.
La figura muestra el frente de un controladora inalámbrico Cisco 3504. Tiene 2 p uertos para
administración fuera de banda, un puerto de consola, un puerto de consola mini -usb, un puerto
USB 3.0, un puerto 5G, y cuatro puertos Gigabit.
La configuración WLAN en el WLC incluye los siguientes pasos:
1. Crear la WLAN.
2. Aplicar y activar la WLAN
3. Seleccionar una interfaz.
4. Asegurar la WLAN
5. Verificar que la WLAN este funcionando
6. Monitorear la WLAN
7. Ver la información del cliente inalámbrico
1. Crear la WLAN.
P á g i n a | 622
En la figura, el administrador esta creando una nueva WLAN que usara el

nombre Wireless_LAN y como identificador de conjunto de servicios (SSID). El ID es una valor
arbitrario que se usa para identificar la WLAN en el WLC en pantalla.
2. Aplicar y active la WLAN
Después de hacer clic en Apply, el administrador de la red debe habilitar la WLAN antes de que
sea accesado por los usuarios, como se muestra en la figura. La casilla de verificación Enabled
permite al administrador configurar una variedad de funciones para la WLAN, así como WLANs
adicionales, antes de habilitarlas para que sean accesibles para los clientes. Desde aquí, el
administrador de la red puede configurar una variedad de funciones para la WLAN incluyendo
seguridad, QoS, políticas y otras configuraciones avanzadas.
P á g i n a | 623
3. Seleccionar una interfaz.
Cuando crea la red WLAN, debe seleccionar la interfaz que llevara el trafico del WLAN La
próxima figura muestra la selección de una interfaz que ya ha sido creada en el WLC.
Aprenderemos como crear interfaces mas adelante en este modulo.
4. Asegurar la WLAN
Haga clic en la pestaña de Security para accesar todas las opciones disponibles para asegurar
la red LAN. El administrador de la red desea asegurar la Capa 2 con WPA2 -PSK. WPA2 y
802.1X están definidos de manera predeterminada. En el menú de Security de Capa 2, debe
verificar que WPA+WPA2 esta seleccionado (no se muestra). Haga clic en PSK y ponga el pre-
shared key, como se muestra en la figura. Luego, haga clic en Apply. Esto habilitará la WLAN
con autenticación WPA2-PSK. A partir de ahora, los clientes inalámbricos que conozcan el pre-
shared key pueden asociarse y autenticarse con el punto de acceso.
P á g i n a | 624
5 Verificar que la WLAN este funcionando
Haga clic en WLANs en el menú de la izquierda, para ver la nueva WLAN configurada. En la
figura, puede verificar que el ID del WLAN esta configurado con el nombre y
SSID Wireless_LAN, que esta activo, y que esta usando seguridad WPA2 PSK.
6. Monitorear la WLAN
Haga clic en la pestaña Monitor en la parte superior para acceder de nuevo a la pagina
avanzada Summary. Aquí puede ver que Wireless_LAN ahora tiene un cliente usando sus
servicios, como se muestra en la figura.
P á g i n a | 625
7. Ver detalles del cliente inalámbrico
Haga clic en Clients en el menú de la derecha para ver mas información sobre los clientes
conectados al WLAN, como se muestra en la figura. Un cliente esta conectado
a Wireless_LAN a través de un punto de acceso y se le asigno la dirección IP 192.168.5.2. Los
servicios de DHCP en esta topologia son dados por el router.
13.2.7
Configuración Básica de una WLAN en el

WLC
En este laboratorio, explorará algunas de las características de un Controlador de la red
Inalámbrica Va a crear una nueva WLAN en el controlador e implementar seguridad en esa
LAN. Luego va a configurar un host inalámbrico para conectarse a la nueva WLAN a tra vés de
un AP que esté bajo el control del WLC. Por último, verificará que exista conectividad.
Configure a Basic WLAN on the WLC
Configure a Basic WLAN on the WLC

P á g i n a | 626
Configuraciones de redes inalámbricas WLAN / Configure una red inalámbrica WLAN WPA2
Enterprise en el WLC
Configure una red inalámbrica

WLAN WPA2 Enterprise en el
WLC
13.3.1
Video - Defina un servidor RADIUS y

SNMP en el WLC.
El tema anterior trataba acerca de configurar una WLAN en el WLC. Ahora aprenderá a
configurar una red WLAN WPA2 Enterprise.
Haga clic en reproducir en la figura para ver una demostración de como configurar servicios de
SNMP y RADIUS en el WLC.
13.3.2
SNMP y RADIUS
EN la figura, PC-A esta ejecutando software de servidor de Protocolo Simple de Administración
de Red (SNMP) y de Servicio de Autenticación Remota de Usuario de Discado (RADIUS).
SNMP se utiliza para monitorear la red El administrador de la red desea que el WLC reenvíe
mensajes de registro de SNMP, llamados traps, al servidor SNMP.
P á g i n a | 627
Además, para la autenticación con el WLAN, el administrador de la red desea usar el servidor
RADIUS para los servicios de autenticación, autorización y registro (AAA). En vez de ingresar
una llave pre-compartida para autenticarse, como se hace con WPA2-PSK, los usuarios
ingresan sus propio usuario y contraseña. Los credenciales serán verificados en el servidor
RADIUS. De esta manera, el acceso de cada usuario puede ser rastreado y auditado de manera
individual, de ser necesario las cuentas de usuario pueden ser agregadas o modificadas desde
una locación central. El servidor RADIUS es requerido cuando las redes WLAN están usando
autenticación WPA2 Enterprise.
Nota: La configuración del servidor SNMP y del servidor RADIUS esta fuera del alcance de
este modulo.
Esta figura muestra una

topología de red. PC-A es
un servidor
RADIUS/SNMP
conectado a R1 en la
interfaz F0/0 de R1. La
PC-B esta conectada a
S1 en el puerto F0/6 de
S1. R1 y S1 están
conectados juntos en la
interfaz F0/1 de R1 y en
la F0/5 de S1 S1 esta
conectado a un WLC en
el puerto F0/18. El puerto
F0/1 de S1 esta
conectado al punto de
acceso AP1. Hay una
computadora portátil
conectada en forma
inalámbrica a AP1.
13.3.3
Configurar Información del Servidor

SNMP
Haga clic en la pestaña MANAGEMENT para accesar una variedad de funciones de
administración. SNMP esta listado en la parte superior del menú de la izquierda. Haga clic
P á g i n a | 628
en SNMP para expandir los sub-menús, y luego haga clic enTrap Receivers. Haga clic
en New... para configurar un nuevo recibidor de SNMP trap, como se muestra en la figura.
1. Haga clic en Management

2. Haga clic en SNMP
3. Haga clic en Trap Receivers
4. Haga clic enNew...
Agregue el nombre del SNMP Community y la dirección IP (IPv4 o IPv6) del servidor SNMP.
Haga clic en Apply. Ahora el WLC enviará los mensajes de registro de SNMP al servidor SNMP.
13.3.4
Configure los servidores RADIUS.

En nuestra configuración de ejemplo, el administrador de la red desea configurar una WLAN
usando WPA2 Enterprise, en vez de WPA2 Personal o WPA2 PSK. La autenticación sera
manejada por el servidor RADIUS que se esta ejecutando en PC-A.
P á g i n a | 629
Para configurar el WLC con la información del servidor RADIUS, haga clic en SECURITY tab
> RADIUS > Authentication. No existen servidores RADIUS configurados Haga clic
en Nuevo... para agregar la PC-A como el servidor RADIUS.
1. Haga clic enSECURITY

2. Haga clic enRADIUS
3. Haga clic en Authentication
Agregue la direccion IPv4 para PC-A y el secreto compartido. Esta es la contraseña que se usa
entre el WLC y el servidor RADIUS. No es para los usuarios Haga clic en Apply, como se
Después de hacer clic en Apply, la lista de RADIUS Authentication Servers configurados se

refresca con el nuevos servidor listado, como se muestra en la figura.
P á g i n a | 630
13.3.5
Video - Configurar una VLAN para una

nueva WLAN
Haga clic en reproducir en la figura para ver una demostración de como configura r una VLAN
en el WLC.
P á g i n a | 631
13.3.6
Topologia de direcciones en VLAN 5

Cada WLAN configurada en el WLC necesita su propia interfaz virtual. El WLC tiene cinco
puertos físicos para el trafico de datos. Cada puerto físico puede ser configurado para soportar
múltiples WLANs, cada una en su propia interfaz virtual. Los puertos físicos se pueden enlazar
entre ellos para crear enlaces con mayor capacidad de ancho de banda
El administrador de la red ha decidido que la nueva WLAN use la interfaz VLAN 5 y la red
192.168.5.0/24. R1 ya tiene un sub-interfaz configurada y activa para VLAN 5, tal como se
muestra en la topología y en la salida del comando show ip interface brief.
Esta figura muestra una topología de

red. PC-A es un servidor
RADIUS/SNMP conectado a R1 en la
interfaz F0/0 de R1. R1 tiene una sub-
interfaz configurada en la VLAN 5 con la
dirección IP 192.168.5.1. La PC-B esta
conectada a S1 en el puerto F0/6 de S1.
R1 y S1 están conectados R1 y S1
están conectados entre sí, usando la
interfaz F0/1 de R1 y la F0/5 de S1 S1
no esta conectado a un WLC en el
puerto F0/18. El WLC tiene la dirección
IP 192.168.200.254 para
administración y una interfaz en VLAN
5 con la dirección IP 192.168.5.254. El
puerto F0/1 en S1 esta conectado a un
punto de acceso, AP1. Hay una
computadora portátil conectada en
forma inalámbrica a AP1.
P á g i n a | 632
13.3.7
Configurar una nueva interfaz

1. Crear una nueva interfaz

2. Configurar el nombre y el ID de la VLAN
3. Configurar la direccion del puerto y la interfaz
4. Configurar la dirección del servidor DHCP
5. Aplicar y Confirmar
6. Verificar interfaces
1. Crear una nueva interfaz
Para agregar una nueva interfaz, haga clic en CONTROLLER > Interfaces > New..., como se
1. Haga clic en CONTROLLER

2. Haga clic en Interfaces
2. Configure el nombre y el ID de la VLAN
En la figura se muestra que el administrador de la red configura el nombre de la interfaz

como vlan5 y el ID de la VLAN como 5. Haciendo clic en Apply se crea la nueva interfaz.
P á g i n a | 633
3. Configurar la direccion del puerto y la interfaz
En la pagina Edit de la interfaz, configure el número de puerto físico. G1 en la topología es el

Puerto número 1 en el WLC. Luego, configure el direccionamiento de la interf az de la VLAN 5.
En la figura, la VLAN 5 tiene asignada la dirección IPv4 192.168.5.254/24. R1 es la puerta de
enlace con la dirección IPv4 192.168.5.1.
4. Configurar la direccion del servidor DHCP

P á g i n a | 634
En empresas grandes, los WLCs se configuran para que reenvíen los mensajes de DHCP a un
servidor dedicado. Desplazasece hacia abajo en la pagina para configurar el servidor DHCP
primario con la dirección IPv4 192.168.5.1, como se muestra en la figura. Esta es la dirección
del router de puerta de enlace predeterminado. El router esta configurado con un pool de DHCP
para la red WLAN. Conforme los dispositivos host se unen a la WLAN asociada con la interfaz
VLAN 5, van recibiendo las direcciones IP de este pool.
5. Aplicar y Confirmar
Desplazasece hacia arriba y haga clic en Apply, como se muestra en la figura. Haga clic
en OK para el mensaje de advertencia.
6. Verificar interfaces
P á g i n a | 635
Haga Click Interfaces. La nueva interfaz vlan5, ahora se muestra en la lista de interfaces con
su dirección IPv4, como se muestra en la figura.
13.3.8
Video - Configurar el Alcance de DHCP

Haga clic en reproducir en la figura para ver una demostración de cómo configurar servicios de
DHCP.
3: 35 0:00
13.3.9
Configurar el Alcance DHCP

La configuración del ámbito de DHCP incluye los siguientes pasos:
1. Configurar el ámbito DHCP

P á g i n a | 636
2. Nombrar un ámbito DHCP

3. Verificar el nuevo ámbito DHCP
4. Configurar y activar un nuevo ámbito DHCP
5. Verificar el nuevo ámbito DHCP
1. Cree un nuevo alcance DHCP.
Un alcance DHCP es muy similar a un pool de DHCP en un router. Puede incluir una variedad
de información como grupos de direcciones para asignar a los clientes de DHCP, información
del servidor DNS, tiempos de asignación y mas. Para configurar un nuevo alcance DHCP, haga
clic en Internal DHCP Server > DHCP Scope > New..., como se muestra en la figura.
1. Haga clic en Internal DHCP Server.

2. Haga clic enDHCP Scope.
2. Nombrar un alcance DHCP.
En la próxima pantalla, nombre el alcance. EL alcance aplica para la red de administración

inalámbrica, entonces el administrador de la red usará Wireless_Management para el nombre
del alcance y después debe hacer clic en Apply.
P á g i n a | 637
3. Verificar el nuevo alcance DHCP
Volverá a la páginaDHCP Scopes y ahí verifique que el alcance está listo para ser configurado.
Haga clic en el nombre del nuevo alcance para configurar el alcance de DHCP.
4. Configurar y activar un nuevo alcance DHCP
En la pantalla de edición del ámbito Wireless_Management, configure un grupo de direcciones

para la red 192.168.200.0/24 empezando en .240 y terminando en .249. La dirección de red y
la mascara de subred han sido configuradas. Se configura la dirección IPv4 del router de enlace,
la cual es la sub interfaz para R1 en 192.168.200.1. Para efectos de este ejemplo, se deja todo
el resto de ámbito sin cambios. El administrador de la red debe seleccionar Enabled del menú
desplegable de Estado y hacer clic en Apply.
P á g i n a | 638
5. Verificar el nuevo alcance DHCP
El administrador de red será llevado de vuelta la página de DHCP Scopes y podrá verificar que
el alcance está listo para ser asignado a una nueva WLAN.
13.3.10
Video - Configure una red inalámbrica

WLAN WPA2 Enterprise
Haga clic en reproducir en la figura para ver una demostración de como configurar una WLAN
con WPA2 Enterprise en el WLC.
P á g i n a | 639
13.3.11
Configure una red inalámbrica WLAN

WPA2 Enterprise
De manera predeterminada, todas las WLANs creadas recientemente en el WLC van a usar
WPA2 con el Sistema Avanzado de Encripción (AES). 802.1X es el protocolo de manejo de
llaves predeterminado que se usa para comunicarse con el servidor RADIUS. El administrador
ya había configurado la dirección IPv4 del servidor RADIUS ejecutándose en PC -A, de tal
manera que la única configuración pendiente es crear una nueva WLAN para que use la
interfaz vlan5.
1. Crear una nueva WLAN

2. Configurar el nombre y el SSID de la WLAN
3. Habilitar la WLAN para VLAN 5
4. Verificar los valores predeterminados de AES y 802.1X.
5. Configurar la seguridad de WLAN para que use el servidor RADIUS
6. Verificar que la nueva WLAN este disponible
P á g i n a | 640
1. Crear una nueva WLAN
Haga clic en la pestaña WLANs y luego en Ir para crear una nueva WLAN, como se muestra
en la figura.
2. Configurar el nombre y el SSID de la WLAN
Rellene con el nombre del perfil y el SSID Con el fin de ser consistente con la VLAN que fue
previamente configurada, escoja un ID de 5. Sin embargo, puede usar cualquier valor
disponible. Haga clic en Apply, para crear una nueva WLAN, como se muestra en la figura.
3. Habilitar la WLAN para VLAN 5

P á g i n a | 641
La WLAN ha sido creada pero aun necesita activarse y asociarse con la interfaz VLAN correcta.
Cambiar el estado de Enabled y escoger vlan5 en la lista desplegable de Interface/Interface
Grupo(G). Haga clic en Aplicar y haga clic en OK para aceptar el mensaje emergente, como se
1.-Hacer click en Enable.
2.-Escoger vlan5.
3.-Hacer click en Apply.
4.-Hacer click en OK.
4. Verifique los valores predeterminados de AES y 802.1X.
Haga clic en la pestaña Security para ver la configuración predeterminada de seguridad para
la WLAN nueva. La WLAN usará seguridad WPA2 con encripción AES. El tráfico de
autenticación es manejado por 802.1X entre el WLC y el servidor RADIUS.
P á g i n a | 642
1.- Hacer click en la pestaña Security.
2.-Verificar que la encriptación sea AES.

3.-Verificar que 802.1X es el protocolo de administración de la llave de autenticación.
5. Configurar el servidor RADIUS.
Ahora necesitamos seleccionar el servidor RADIUS que va a usarse para autenticar los
usuarios de esta WLAN. Haga clic en la ficha AAA Servers. En la lista desplegable
seleccionar el servidor RADIUS que fue configurado previamente en el WLC. Aplique los
cambios.
P á g i n a | 643
1.-Hacer click en la ficha AAA Servers.
2.-Seleccionar el servidor RADIUS con la dirección ip 172.16.1.254, de la lista desplegable

junto al servidor 1.
3.-Seleccionar Apply para aplicar los cambios.
6. Verifique que la nueva WLAN este disponible
Para verificar que la nueva WLAN esta listada y activa, haga clic en Back o en el sub-menú
WLANs a la izquierda. Tanto la WLAN Wireless_LAN como la WLAN CompanyName están
listadas. En la figura, note que ambos están activos. Wireless_LAN esta usando WPA2 con
autenticación PSK. CompanyName esta usando seguridad WPA2 con autenticación 802.1X.
P á g i n a | 644
13.3.12
Packet Tracer: Configuración de WLAN

WPA2 Enterprise en el WLC
En esta actividad, usted va a configurar una nueva WLAN en un controlador inalámbrico LAN
(WLC), incluyendo la interfaz VLAN que se usara. Usted va a configurar la WLAN para que use
un servidor RADIUS y WPA2-Enterprise para autenticar usuarios. Configure también el WLC
para usar un servidor SNMP.
Configure a WPA2 Enterprise WLAN on the WLC
Configure a WPA2 Enterprise WLAN on the WLC
Configuraciones de redes inalámbricas WLAN / Solución de problemas de WLAN
Solución de problemas de WLAN

13.4.1
Enfoques para la Solución de Problemas

En el tema anterior aprendiste sobre la configuración de WLAN. Vamos a ver cómo resolver
problemas de WLAN.
Los problemas de red pueden ser simples o complejos, y pueden ser el resultado de una
combinación de problemas de hardware, software y conectividad. Los técnicos informáticos
deben ser capaces de analizar el problema y determinar la causa del error para poder reparar
el problema de red. Este proceso se denomina “solución de problemas”.
Para resolver problemas de red de cualquier tipo, se debe seguir un proceso sistemático. Una
metodología de solución de problemas común y eficaz se basa en el método científico, y se
puede dividir en los seis pasos importantes que se muestran en la ilustración.
P á g i n a | 645
Para evaluar el problema, determine cuántos dispositivos de la red lo tienen. Si existe un

problema con un dispositivo de la red, inicie el proceso de solución de problemas en ese
dispositivo. Si existe un problema con todos los dispositivos de la red, inicie el proceso de
solución de problemas en el dispositivo donde se conectan todos los otros dispositivos. Debe
desarrollar un método lógico y coherente para diagnosticar problemas de red mediante la
eliminación de un problema por vez.
13.4.2
Cliente Inalámbrico no está conectando

Cuando se está resolviendo problemas de una red WLAN, se recomienda usar un proceso de
eliminación.
En la figura, un cliente inalámbrico no se esta conectando a la WLAN.

P á g i n a | 646
La figura muestra una topologia

de red con un cliente
inalámbrico que no se puede
conectar al AP. También
muestra un router conectado a
un switch. El switch esta
conectado a un segundo
switch. El segundo switch esta
conectado a un WLC, 2 PCs y
el AP. El AP esta conectado de
manera inalámbrica a un
teléfono celular, una Tablet y
una Laptop. Sin embargo, la
conexión entre la laptop y el
punto de acceso tiene una X
indicando que no se ha
establecido conexión.
Si no existe conectividad, revise lo siguiente:
 Revise la configuración de red en la PC usando el comando ipconfig. Verifique que la PC ha

recibido una dirección IP por medio de DHCP o ha sido configurada con una IP estática.
 Confirme que el dispositivo conecta a la red cableada: Conecte el dispositivo a la red LAN
cableada y haga ping a un dirección IP conocida.
 De ser necesario, cargue de nuevo los controladores en el cliente como corresponde. Puede
que necesite probar con una NIC inalámbrica diferente.
 Si la NIC inalámbrica del cliente funciona, revise la configuración del modo de seguridad y
encripción en el cliente. Si la configuración de seguridad no es la misma, el cliente no podrá
ganar acceso a la WLAN.
Si la PC esta funcionando pera la conexión inalámbrica tiene un desempeño pobre, revise lo

siguiente:
 ¿Qué tan lejos esta la PC del punto de acceso? ¿Está la PC fuera del área planeada de
cobertura (BSA)?
 Revise la configuración del canal en el cliente inalámbrico. El software del cliente debería
detectar el canal siempre que el SSID sea el correcto.
 Revise si existen otros dispositivos en el área que puedan estar interfiriendo con la banda de
2.4 GHz. Algunos dispositivos como por ejemplo, teléfonos inalámbricos, monitores de bebes,
hornos microondas, sistemas de seguridad inalámbricos, y potencialmente puntos de acceso no
autorizados. Los datos enviados por estos dispositivos pueden causar interferenci a con la
WLAN y problemas intermitentes de conexión entre un cliente inalámbrico y un AP.
Lo siguiente, asegúrese de que todos los dispositivos estén presentes. Considere la posibilidad
de un problema de seguridad física. ¿Hay suficiente energía para todos los dispositivos y están
todos encendidos?
P á g i n a | 647
Finalmente, inspeccione los enlaces entre los dispositivos cableados y revise que no existan
conectores malos o cables que falten o estén dañados. Si la parte física en su bien, verifique la
LAN cableada, haciendo ping a los dispositivos, incluyendo el AP. Si la conectividad sigue
fallando a este punto, puede que algo este malo en el AP o su configuración.
Cuando el usuario de la PC es descartado como posible fuente del problema, y el estado físico
de los dispositivos ha sido confirmado, empiece a investigar el desempeño del AP. Revise el
estado de energía en el punto de acceso.
13.4.3
Resolución de Problemas cuando la red

esta lenta.
Para optimizar e incrementar el ancho de banda de los routers y APs de banda dob le 802.11
pruebe:
 Actualizar sus clientes inalámbricos - Los dispositivos antiguos 802.11b, 802.11g, e incluso
los 802.11n pueden hacer que toda la red WLAN funcione mas lento. Para un mejor desempeño,
todos los dispositivos deben soportar el mejor estándar aceptado. Aunque 802.11ax fue lanzado
en el 2019, 802.11ac es posiblemente el estándar mas alto que las empresas pueden utilizar.
 Divida el tráfico - La manera mas sencilla de mejorar el desempeño de la red inalámbrica es
dividir el trafico entre la banda 802.11n de 2.4 GHz y la banda de 5 GHz. Por lo tanto, 802.11n
(o alguno mejor) puede usar ambas bandas como dos redes separadas para ayudar a manejar
mejor el trafico. Por ejemplo, use la red de 2.4 GHz para tareas básicas en internet, como la
navegación web, email. y descargas, y use la de 5 GHz para transmitir multimedia, como se ve
en la figura.
La figura muestra una red casera en donde

se divide el trafico entre las bandas de
2.4GHz y 5GHz. El WLC esta conectado a un
televisor, un teléfono celular y una tablet
usando 5GHz. También esta conectado a
dos computadoras portátiles usando 2.4
GHz.
P á g i n a | 648
Hay muchas razones para utilizar este método de dividir el trafico:
 La banda de 2.4 GHz puede ser muy útil para manejo de trafico en internet básico que no es
sensible al tiempo.
 El ancho de banda se puede compartir con otros WLANs cercanos.
 La banda 5 GHz esta mucho menos concurrida que la banda de 2.4 Ghz, lo que la hace ideal
para transmitir multimedia.
 La banda de 5 GHz tiene mas canales, por lo tanto, el canal que se usa esta posiblemente libre
de interferencia.
Los routers y APs de doble banda usan el mismo nombre de red tanto en la banda de 2.4 Ghz
como en la de 5 Ghz de manera predeterminada. La manera más sencilla de segmentar el
trafico es renombrar una de las redes inalámbricas. Con un nombre separado y que sea
descriptivo, es mas fácil conectarse a la red correcta.
Para mejorar el rango de una red inalámbrica, asegúrese de que la ubicación del router
inalámbrico o AP se encuentre libre de obstrucciones como muebles, accesorios y
electrodomésticos altos. Estos bloquean la señal, lo cual acorta el rango de la WLAN. Si esto
no resuelve el problema, puede que necesite usar un Extensor de Rango de Wi-Fi o implementar
la tecnología inalámbrica Powerline.
13.4.4
Actualizar el Firmware
La mayoría de los routers y AP inalámbricos ofrecen firmware actualizable. Las versiones de
firmware pueden contener correcciones de problemas comunes informados por los clientes así
como las vulnerabilidades de seguridad. Revise periódicamente el sitio web del fabricante para
ver el firmware actualizado. En la figura, se puede ver que el administrador de la red esta
verificando que el firmware este actualizado en un AP Cisco Meraki.
P á g i n a | 649
En un WLC, es muy posible que se pueda actualizar el firmware de todos los APs que son
controlados por el WLC. En la próxima figura, el administrador de la red esta descargando la
imagen del firmware que se usara para actualiza todos los APs.
En un controlador inalámbrico Cisco 3504, haga clic en WIRELESS tab > Access Point desde
el menú de la izquierda >sub-menú Global Configuration. Luego diríjase hasta el fondo de la
pagina hacia la sección de Pre-descarga.
Los usuarios se desconectarán de la WLAN y a Internet hasta que la actualización finalice . El

router inalámbrico posiblemente deba reiniciar varias veces antes de que se hayan restaurado
las operaciones normales de la red.
13.4.5
Packet Tracer: Solución de problemas

WLAN
Ahora que usted ha aprendido a configurar conexiones inalámbricas en la casa y en redes
empresariales, debe aprender a resolver problemas en ambos ambientes inalámbrico. Su
objetivo es habilitar conectividad entre los hosts en las redes hacia el servidor Web tanto por
dirección IP como por URL. No se requiere que haya conectividad entre la red de casa y la red
empresarial.
Troubleshoot WLAN Issues
Troubleshoot WLAN Issues

P á g i n a | 650
Configuraciones de redes inalámbricas WLAN / Práctica y Resumen del Módulo
Práctica y Resumen del Módulo

13.5.1
Packet Tracer: Configuración WLAN

En esta actividad, usted va a configurar una router inalámbrico doméstico y una red basada
en WLC. Va a implementar seguridad tanto WPA2-PSK como WPA2-Enterprise.
WLAN Configuration
WLAN Configuration
13.5.2

Los trabajadores remotos, las oficinas, sucursales pequeñas y las redes caseras a menúdo
usan un router inalámbrico, el cual típicamente incluye un switch para clientes cableados, un
puerto para la conexión a Internet (a veces llamado "WAN") y componentes inalámbr icos
para el acceso de clientes inalámbricos. La mayoría de los routers inalámbricos están
preconfigurados para conectarse a la red y proporcionar servicios. El router inalámbr ico
utiliza el DHCP para proporcionar automáticamente información de asignación de
direcciones a los dispositivos conectados. Su primera prioridad debe ser cambiar el nombre
de usuario y contraseña de su router inalámbrico. Use la interfaz de su router inalámbr ico
para completar la configuración básica de su red inalámbrica. Si desea extender el rango más
allá de aproximadamente 45 metros en el interior y 90 metros en el exterior, puede agregar
puntos de acceso inalámbricos. El router utilizará un proceso llamado como Traducción de
Direcciones de Red (NAT) para convertir las direcciones IPv4 privadas en direcciones IPv4
enrutables en Internet. Al configurar QoS, puede garantizar que ciertos tipos de tráfico, como
voz y video, tengan prioridad sobre el tráfico sin plazos, como el correo electrónico y la
navegación web.
Los puntos de acceso LAP usan el Protocolo Lightweight Access Point Protocol (LWAPP)
para comunicarse con el controlador WLAN (WLC). Configurar un controlados de LAN
inalámbrico (WLC) es similar a configurar un router inalámbrico, excepto que un WLC
controla los puntos de acceso y provee mas capacidades de administración y servicios. Use
la interfaz del WLC para ver un panorama completo del sistema de información y desempeño
de los puntos de acceso, para accesar la configuración avanzada y para configurar una
WLAN.
P á g i n a | 651
SNMP se utiliza para monitorear la red El WLC esta configurado para enviar todos los
registros de SNMP al servidor, utilizando traps. Para la autenticación de usuarios en en
WLAN, se utiliza un servidor RADIUS para autenticación, autorización y registro(AAA).
Acceso de un usuario puede ser monitoreado y auditado Use la interfaz del WLC para
configurar el servidor SNMP y la información del servidor RADIUS, las interfaces VLAN,
el alcance DHCP y una WLAN WPA2 Enterprise.
El proceso de solución de problemas consta de seis pasos. Cuando se está resolviendo

problemas de una red WLAN, se recomienda usar un proceso de eliminación. Algunos
problemas comunes son: falta de conectividad y pobre desempeño de la conexión inalámb r ica
cuando la PC esta operando. Para optimizar e incrementar el ancho de banda de los routers y
APs de banda doble 802.11 pruebe: actualizar sus clientes inalámbricos o dividir el trafico.
La mayoría de los routers y puntos de acceso inalámbricos ofrecen firmware actualizab le.
Las versiones de firmware pueden contener correcciones de problemas comunes informados
por los clientes así como las vulnerabilidades de seguridad. Revise periódicamente el sitio
web del fabricante para ver el firmware actualizado.
13.5.3
Módulo Quiz - Configuración WLAN

P á g i n a | 652
P á g i n a | 653
P á g i n a | 654
P á g i n a | 655
P á g i n a | 656
P á g i n a | 657
P á g i n a | 658
P á g i n a | 659
P á g i n a | 660
P á g i n a | 661
Capítulo 14_Conceptos de enrutamiento

Introducción
14.0.1

¡Bienvenido a Conceptos de enrutamiento!
No importa cuán eficaz sea la configuración de la red, algo siempre dejará de funcio nar
correctamente o incluso dejará de funcionar completamente. Esta es una simple verdad sobre
la creación de redes. Por lo tanto, a pesar de que ya sabe bastante sobre el enrutamie nto,
todavía necesita saber cómo funcionan sus routers. Este conocimiento es fundamental si
desea poder solucionar problemas de su red. Este módulo entra en detalle sobre el
funcionamiento de un router. ¡Súbete!
14.0.2

Título del módulo: Conceptos de enrutamiento
Objetivos del módulo: Explique cómo los routers utilizan la información en los paquetes
para tomar decisiones de reenvío.
P á g i n a | 662
Conceptos de enrutamiento / Determinación de trayecto:
Determinación de trayecto:
14.1.1
Dos funciones del router

Antes de que un router reenvíe un paquete a cualquier lugar, tiene que determinar la mejor
ruta para que el paquete tome. En este tema se explica cómo los enrutadores realizan esta
determinación.
Los switches Ethernet se utilizan para conectar dispositivos finales y otros dispositivos
intermediarios, como otros conmutadores Ethernet, a la misma red. Un router conecta varias
redes, lo que significa que posee varias interfaces, cada una de las cuales pertenece una red
IP diferente.
Cuando un router recibe un paquete IP en una interfaz, determina qué interfaz debe usar para
reenviar el paquete hacia el destino. Esto se conoce como enrutamiento. La interfaz que usa
el router para reenviar el paquete puede ser el destino final o una red conectada a otro router
que se usa para llegar a la red de destino. Generalmente, cada red a la que se conecta un router
requiere una interfaz separada, pero puede que este no siempre el caso.
Las funciones principales de un router son determinar la mejor ruta para reenviar paquetes
basándose en la información de su tabla de enrutamiento, y reenviar paquetes hacia su
destino.
14.1.2
Ejemplo de Funciones del router

El router usa su tabla de routing para encontrar la mejor ruta para reenviar un paquete. Haga
clic en Reproducir en la animación de la ilustración, para seguir un paquete desde la
computadora de origen hasta la computadora de destino. Observe cómo tanto R1 como R2
utilizan sus respectivas tablas de enrutamiento IP para determinar primero la mejor ruta y, a
continuación, reenviar el paquete.
La animación representa dos redes LAN con hosts conectados por dos routers R1 y R2. Se
anima un paquete que atraviesa la conexión de una LAN a la otra LAN. Las pantallas del
router aparecen FOR R! y R2 que muestran las direcciones IP v.4 coincidentes en el router
pasando de una red a otra.
P á g i n a | 663
14.1.3
Mejor ruta es igual a la coincidencia más

larga
¿Qué significa que el router deba encontrar la mejor coincidencia en la tabla de routing? La
mejor ruta de la tabla de enrutamiento también se conoce como la coincidencia más larga. La
coincidencia más larga es un proceso que el router utiliza para encontrar una coincidenc ia
entre la dirección IP de destino del paquete y una entrada de enrutamiento en la tabla de
enrutamiento.
La tabla de enrutamiento contiene entradas de ruta que consisten en un prefijo (dirección de

red) y una longitud de prefijo. Para que haya una coincidencia entre la dirección IPv4 de
destino de un paquete y una ruta en la tabla de routing, una cantidad mínima de los bits del
extremo izquierdo deben coincidir entre la dirección IPv4 del paquete y la ruta en la tabla de
routing. La máscara de subred de la ruta en la tabla de routing se utiliza para determinar la
cantidad mínima de bits del extremo izquierdo que deben coincidir. Recuerde que un paquete
IP sólo contiene la dirección IP de destino y no la longitud del prefijo.
La mejor coincidencia es la ruta de la tabla de routing que contiene la mayor cantidad de bits
del extremo izquierdo coincidentes con la dirección IPv4 de destino del paquete. La ruta con
P á g i n a | 664
la mayor cantidad de bits del extremo izquierdo equivalentes, o la coincidencia más larga, es
siempre la ruta preferida.
Nota: El término longitud del prefijo se utilizará para hacer referencia a la parte de red de
direcciones IPv4 e IPv6.
14.1.4
Ejemplo de coincidencia más larga de

direcciones IPv4
En la tabla, un paquete IPv4 tiene la dirección IPv4 de destino 172.16.0.10. El router tiene
tres rutas posibles que coinciden con este paquete: 172.16.0.0/12, 172.16.0.0/18 y
172.16.0.0/26. De las tres rutas, 172.16.0.0/26 tiene la coincidencia más larga y se elige
para reenviar el paquete. Recuerde que para que cualquiera de estas rutas se considere una
coincidencia debe tener al menos la cantidad de bits coincidentes que se indica en la
máscara de subred de la ruta.
14.1.5
Ejemplo de coincidencia más larga de

direcciones IPv6
En la tabla, un paquete IPv6 tiene la dirección IPv6 de destino 2001:db8:c000: :99. En este
ejemplo se muestran tres entradas de ruta, pero sólo dos de ellas son una coincidencia válida,
siendo una de ellas la coincidencia más larga. Las dos primeras entradas de ruta tienen
longitudes de prefijo que tienen el número requerido de bits coincidentes como indica la
P á g i n a | 665
longitud del prefijo. La primera entrada de ruta con una longitud de prefijo de /40 coincide
con los 40 bits del extremo izquierdo de la dirección IPv6. La segunda entrada de ruta tiene
una longitud de prefijo de /48 y con los 48 bits que coinciden con la dirección IPv6 de destino,
y es la coincidencia más larga. La tercera entrada de ruta no coincide porque su prefijo /64
requiere 64 bits coincidentes. Para que el prefijo 2001:db8:c 000:5555: :/64 sea una
coincidencia, los primeros 64 bits deben ser la dirección IPv6 de destino del paquete. Solo
coinciden los primeros 48 bits, por lo que esta entrada de ruta no se considera una
coincidencia.
Para el paquete IPv6 de destino con la dirección 2001:db8:c000: :99, considere las tres
entradas de ruta siguientes:
14.1.6
Creación de la tabla de enrutamiento

Una tabla de enrutamiento consta de prefijos y sus longitudes de prefijo. Pero, ¿cómo aprende
el router sobre estas redes? ¿Cómo rellena R1 en la figura su tabla de enrutamiento?
La figura muestra tres tipos de redes Directed Connected Network, Remote Network y
Default Route. El Router1 (R1) es la red conectada directamente con dos conmutadores S1 y
S2 conectados a dos PC1 y PC2. El switch está conectado al router R1. R1 y Router2 (R2)
se conectan directamente a través de una conexión punto a punto. R2 está conectado dos
conmutadores S# y S4 con cada conmutador que tiene un PC PC3 y P4 conectado a ellos. R2
forma la red remota. R2 tiene una conexión remota adicional al ISP mediante una conexión
punto a punto que es la conexión a Internet. El esquema numérico para cada dispositivo es
direcciones IPv4 e IPv6 de doble pila.
P á g i n a | 666
Redes desde la perspectiva de R1
Las redes en la topología se resaltan y etiquetan desde la perspectiva de R1. Todas las redes
IPv4 e IPv6 resaltadas en amarillo son redes conectadas directamente. Todas las redes IPv4
e IPv6 resaltadas en azul son redes remotas.
Redes conectadas directamente
Las redes conectadas directamente son redes que están configuradas en las interfaces activas
de un router. Una red conectada directamente se agrega a la tabla de enrutamiento cuando
una interfaz se configura con una dirección IP y una máscara de subred (longitud de prefijo)
y está activa (arriba y arriba).
Redes remotas
Las redes remotas son redes que no están conectadas directamente al router. Un router
descubre redes remotas de dos maneras:
P á g i n a | 667
Rutas estáticas : se agrega a la tabla de enrutamiento cuando se configura manualmente una

ruta. Protocolos de enrutamiento dinámico : se han añadido a la tabla de enrutamiento cuando
los protocolos de enrutamiento aprenden dinámicamente acerca de la red remota. Estos
protocolos incluyen el protocolo de información de routing versión 2 (RIPv2), abrir primero la
ruta más corta (OSPF) y el protocolo de routing de gateway interior mejorado (EIGRP).
Ruta predeterminada
Una ruta predeterminada específica un router de salto siguiente que se utilizará cua ndo la tabla
de enrutamiento no contiene una ruta específica que coincida con la dirección IP de destino. La
ruta predeterminada puede configurarse manualmente como ruta estática o puede introducirla
el protocolo de routing.
Una ruta predeterminada sobre IPv4 tiene una entrada de ruta de 0.0.0.0/0 y una ruta
predeterminada sobre IPv6 tiene una entrada de ruta de: :/0. La longitud del prefijo /0 indica que
cero bits o ningún bit deben coincidir con la dirección IP de destino para que se utilice esta
entrada de ruta. Si no hay rutas con una coincidencia más larga, más de 0 bits, entonces la ruta
predeterminada se utiliza para reenviar el paquete. A veces, la ruta predeterminada se conoce
como una puerta de enlace de último recurso.
14.1.7
Compruebe su comprensión -
Determinación de la ruta
Verifique su comprensión de routers eligiendo la MEJOR respuesta a las siguientes preguntas.
P á g i n a | 668
P á g i n a | 669
P á g i n a | 670
Conceptos de enrutamiento / Reenvío de paquetes
Reenvío de paquetes
14.2.1
Proceso de decisión de reenvío de paquetes

Ahora que el router ha determinado la mejor ruta para un paquete en función de la
coincidencia más larga, debe determinar cómo encapsular el paquete y reenviarlo hacia fuera
la interfaz de salida correcta.
La figura muestra cómo un router determina primero la mejor ruta y, a continuación, reenvía
el paquete. Hay 5 pasos representados:
P á g i n a | 671
Los siguientes pasos describen el proceso de reenvío de paquetes que se muestra en la

figura:
1. El marco de enlace de datos con un paquete IP encapsulado llega a la interfaz de entrada.

2. El router examina la dirección IP de destino en el encabezado del paquete y consulta su tabla de
enrutamiento IP.
3. El router encuentra el prefijo coincidente más largo en la tabla de enrutamiento.
4. El router encapsula el paquete en un marco de enlace de datos y lo reenvía por la interfaz de
salida. El destino podría ser un dispositivo conectado a la red o un router de siguiente salto.
5. Sin embargo, si no hay ninguna entrada de ruta coincidente, el paquete se elimina.
Encabezado de trama de enlace de datosDirección IP de destinoResto del paquete IPTráiler de enlace de
Prefijo Prefijo Longitud

P
refijo Prefijo Prefijo Longitud
Reenvía el paquete a un dispositivo en una red conectada directamente
Si la entrada de ruta indica que la interfaz de salida es una red conectada directamente, esto
significa que la dirección IP de destino del paquete pertenece a un dispositivo de la red
conectada directamente. Por lo tanto, el paquete se puede reenviar directamente al dispositivo
de destino. El dispositivo de destino suele ser un dispositivo final en una LAN Ethernet, lo
que significa que el paquete debe estar encapsulado en una trama Ethernet.
Para encapsular el paquete en la trama Ethernet, el router necesita determinar la direcc ión
MAC de destino asociada a la dirección IP de destino del paquete. El proceso varía según si
el paquete es un paquete IPv4 o IPv6:
Paquete IPv4 : el router comprueba su tabla ARP para la dirección IPv4 de destino y una
dirección MAC Ethernet asociada. Si no hay coincidencia, el router envía una solicitud ARP.
El dispositivo de destino devolverá una respuesta ARP con su dirección MAC. El router
ahora puede reenviar el paquete IPv4 en una trama Ethernet con la dirección MAC de
destino adecuada. Paquete IPv6 : el router comprueba su caché de vecino para la dirección
IPv6 de destino y una dirección MAC Ethernet asociada. Si no hay coincidencia, el router
envía un mensaje ICMPv6 Neighbor Solicitation (NS). El dispositivo de destino devolverá
un mensaje ICMPv6 Neighbor Advertisement (NA) con su dirección MAC. El router ahora
puede reenviar el paquete IPv6 en una trama Ethernet con la dirección MAC de destino
adecuada.
P á g i n a | 672
Reenvía el paquete a un router de salto siguiente
Si la entrada de ruta indica que la dirección IP de destino está en una red remota, esto significa
que la dirección IP de destino del paquete pertenece a un dispositivo de red que no está
conectado directamente. Por lo tanto, el paquete debe ser reenviado a otro enrutador,
específicamente a un router de siguiente salto. La dirección de salto siguiente se indica en la
entrada de ruta.
Si el router de reenvío y el router de siguiente salto se encuentran en una red Ethernet, se

producirá un proceso similar (ARP e ICMPv6 Neighbor Discovery) para determinar la dirección
MAC de destino del paquete como se describió anteriormente. La diferencia es que el router
buscará la dirección IP del router de salto siguiente en su tabla ARP o caché de vecino, en lugar
de la dirección IP de destino del paquete.
Nota: Este proceso variará para otros tipos de redes de capa 2.
Descarta el paquete - No coincide en la tabla de enrutamiento
Si no hay ninguna coincidencia entre la dirección IP de destino y un prefijo en la tabla de

enrutamiento, y si no hay una ruta predeterminada, se descartará el paquete.
14.2.2
Una responsabilidad principal de la función de switching es la de encapsular los paquetes en
el tipo de marco de enlace de datos correcto para el enlace de datos de salida. Por ejemplo,
el formato de marco de vínculo de datos para un vínculo serie podría ser el protocolo punto
a punto (PPP), el protocolo de control de enlace de datos de alto nivel (HDLC) o algún otro
protocolo de capa 2.
PC1 Sends Packet to PC2
En la primera animación, PC1 envía un paquete a PC2. Si no existe ninguna entrada ARP
para el gateway predeterminado en la tabla ARP, la PC1 envía una solicitud de ARP. El
router R1 devolvería una respuesta ARP.
P á g i n a | 673
El diagrama de red es PC1 conectado a PC2 a través de routers R1, R2 y R3. PC1 es
192.168.1.10 en la red 192.168.1.0/24 conectada a R1. R1 está conectado a R2 en la red
192.168.2.0/14 con conexiones Gigabit R1 G0/0/1 192.168.2.1 conectadas a R2 G/0/0
192.168.2.2. R2 se conecta a R3 en la red 192.168.3.0/24. R2 S0/1/0 102.168.3.1 se conecta
a R3 S0/1/0 192.168.3.2 en interfaces serie.. R3 se conecta a PC2 en la red 192.168.4.0/24.
La conexión de interfaz para R3 G0/0/0 192.168.4.1 se conecta directamente a PC2
192.168.4.10. Hay cuatro animaciones diferentes. La primera animación representa la caché
arp PC1s y la decisión de enviar el paquete a R1 su puerta de enlace.
R1 Forwards the Packet to PC2
R1 ahora reenvía el paquete a PC2. Debido a que la interfaz de salida se encuentra en una
red Ethernet, el R1 debe resolver la dirección IPv4 de siguiente salto con una dirección MAC
de destino mediante ARP: Si no existe ninguna entrada ARP para la interfaz del proximo salto
192.168.2.2 en la tabla ARP, R1 envía una solicitud de ARP. R2 devolvería una respuesta
ARP.
P á g i n a | 674
La segunda animación muestra la tabla de enrutamiento R1s y la decisión de enviar el

paquete al Router R2.
IP de
R2 Forwards the Packet to R3
R2 ahora reenvía el paquete a R3. Debido a que la interfaz de salida no es una red Ethernet, el
R2 no tiene que resolver la dirección IPv4 de siguiente salto con una dirección MAC de destino.
Cuando la interfaz es una conexión serial punto a punto (P2P), el router encapsula el paquete
IPv4 en el formato de trama de enlace de datos correspondiente que utiliza la interfaz de salida
(HDLC, PPP, etc.). Debido a que no hay direcciones MAC en las interfaces seriales, el R2
establece la dirección de destino de enlace de datos en el equivalente a una difusión.
P á g i n a | 675
La tercera animación muestra la tabla de enrutamiento para R2 y la dirección de destino a la

que el paquete está tratando de alcanzar. R2 transmite en su interfaz serial la dirección de
destino a R3 que recoge el paquete.
R3 Forwards the Packet to PC2
R3 ahora reenvía el paquete a PC2. Dado que la interfaz de salida es una red Ethernet
conectada directamente, el R3 debe resolver la dirección IPv4 de destino del paquete con una
dirección MAC de destino: Si la entrada no aparece en la caché ARP, el R3 envía una solicitud
de ARP por la interfaz FastEthernet 0/0. La PC2 envía a cambio una respuesta ARP con su
dirección MAC.
La cuarta animación muestra el enlace punto a punto que recibe el paquete desde R2 y
busca en su tabla de enrutamiento para enviar el paquete a PC2.
¿Qué ruta tiene que seguir?

14.2.3
Mecanismos de reenvío de paquetes

Como se menciono anteriormente, la responsabilidad principal de la función de reenvío de
paquetes es la de encapsular los paquetes en el tipo de marco de enlace de datos correcto para
la interfaz de salida. Cuanto más eficientemente un router pueda realizar esta tarea, más
rápido podrá reenviar paquetes por el router. Los routers admiten tres mecanismos de reenvío
de paquetes:
P á g i n a | 676
 Switching de procesos
 Switching rápido
 Cisco Express Forwarding (CEF)
Process Switching
Un mecanismo de reenvío de paquetes más antiguo que todavía está disponible para routers
Cisco. Cuando un paquete llega a una interfaz, se reenvía al plano de control, donde la CPU
hace coincidir la dirección de destino con una entrada de la tabla de routing y, a continuac ió n,
determina la interfaz de salida y reenvía el paquete. Es importante comprender que el router
hace esto con cada paquete, incluso si el destino es el mismo para un flujo de paquetes. Este
mecanismo de switching de procesos es muy lento y rara vez se implementa en las redes
modernas. Compare esto con el switching rápido.
La figura separa el plano de control que es la CPU del plano de datos. Hay 5 paquetes
etiquetados 1 a 5 que ingresan a la interfaz de ingreso a través del plano de datos al plano de
control. A continuación, el plano de control reenvía los paquetes a través del plano de datos
hacia fuera de la interfaz de salida.
P á g i n a | 677
Fast Switching
La conmutación rápida es otro mecanismo de reenvío de paquetes más antiguo que fue el
sucesor de la conmutación de procesos. Fast switching usa una memoria caché de switching
rápido para almacenar la información de siguiente salto. Cuando un paquete llega a una interfaz,
se reenvía al plano de control, donde la CPU busca una coincidencia en la caché de switching
rápido. Si no encuentra ninguna, se aplica el switching de procesos al paquete, y este se reenvía
a la interfaz de salida. La información de flujo del paquete también se almacena en la caché de
switching rápido. Si otro paquete con el mismo destino llega a una interfaz, se vu elve a utilizar
la información de siguiente salto de la caché sin intervención de la CPU.
Con el switching rápido, observe que el switching de procesos se aplica solo al primer paquete
de un flujo, el cual se agrega a la caché de switching rápido. Los cuat ro paquetes siguientes se
procesan rápidamente según la información de la caché de switching rápido.
Cisco Express Forwarding (CEF)
CEF es el mecanismo de reenvío de paquetes más reciente y predeterminado del IOS de Cisco.
Al igual que el switching rápido, CEF arma una base de información de reenvío (FIB) y una tabla
de adyacencia. Sin embargo, las entradas de la tabla no se activan por los paquetes como en
el switching rápido, sino que se activan por los cambios, como cuando se modifica un elemento
en la topología de la red. Por lo tanto, cuando se converge una red, la FIB y las tablas de
adyacencia contienen toda la información que el router debe tener en cuenta al reenviar un
paquete. Cisco Express Forwarding es el mecanismo de reenvío más rápido y la opción más
utilizada en los routers Cisco y en los Multilayer Switches.
P á g i n a | 678
CEF crea la FIB y las tablas de adyacencia una vez que se converge la red. Los cinco paquetes
se procesan rápidamente en el plano de datos.
Una analogía frecuente que se usa para describir los tres mecanismos de reenvío de paquetes
es la siguiente:
 El switching de procesos resuelve un problema realizando todos los cálculos matemáticos, incluso
si los problemas son idénticos.
 El switching rápido resuelve un problema realizando todos los cálculos matemáticos una vez y
recuerda la respuesta para los problemas posteriores idénticos.
 CEF soluciona todos los problemas posibles antes de tiempo en una hoja de cálculo.
14.2.4
Verifique su comprensión-Reenvío de
paquetes
reenvio de paquetes.
P á g i n a | 679
P á g i n a | 680
Conceptos de enrutamiento / Configuración básica de un router
Configuración básica de un router

14.3.1
Topología
Un router utiliza una tabla de enrutamiento para determinar a dónde enviar los paquetes. Pero
antes de sumergirse en los detalles de la tabla de enrutamiento IP, este tema revisa las tareas
básicas de configuración y verificación del enrutador. También completarás una activ idad de
Rastreador de paquetes para actualizar tus habilidades.
La topología de la figura se utilizará para los ejemplos de configuración y verificación. También

se usará en el siguiente tema para discutir la tabla de enrutamiento IP.
P á g i n a | 681
La figura representa un diagrama de 3 routers R1, R2 y R3 conectados a 4 switches S1, S2, S3

y S4. R1 se conecta a los conmutadores S1 y S2 mediante dos conexiones gigabit G/0/0 y
G0/0/1. PC1 está conectado al conmutador 1 (S1) en la red 10.0.1.0/24 y 2001:db8:acad:1: :/64
con una dirección IP de pila dual de .10 y: :10. PC2 está conectado al conmutador 2 (S2) en la
red 10.0.2.0/24 y 2001:db8:acad:2: :/64 con una dirección IP de pila dual de .10 y: :10. R1 tiene
una red punto a punto para R2 y las redes ISP. La conexión serie a R2 es S0/1/01 y S0/1/0. La
conexión ISP es S0/1/1. La red R1 a R2 es la red 10.0.3.0/22 y 2001:db8:acad:3: :/64. La red
R2 es 209.165.200.224/30 y 2001:db8:feed:224: :/64 para el ISP. R2 tiene dos conexiones
gigabit a los conmutadores 3 (S3) y a los conmutadores (S4) G0/0/0 y G/0/0/1. S3 es la red
10.0.4.0/24 y 2001:db8:acad:4: :/64 conectada a la interfaz R2 G0/0/0. S4 es la red 10.0.5.0/24
y 2001:db8:acad:5: :/64 conectada a la interfaz R2 G0/0/1. PC3 se conecta a S3 con una
dirección de.10 y: :10. PC4 se conecta a S4 con una dirección de.10 y: :10. Las direcciones de
puerta de enlace R1 y R2 terminan con .1 y: :1. La interfaz serie entre R1 y R2 tiene direcciones
de R1 .1 ans: :1 y R2 .2 y: :2. La conexión R2 a ISP es .225 y .1 a ISP .226 y: :2.
14.3.2
Comandos de Configuración
Los siguientes ejemplos muestran la configuración completa de R1.
P á g i n a | 682
P á g i n a | 683
14.3.3
Comandos de verificación
Algunos comandos de verificación comunes incluyen los siguientes:

 show running-config interface interface-type number
 show interfaces
 show ip interface
 show ip route
 ping
En cada caso, ip reemplace ipv6 por la versión IPv6 del comando. La figura muestra de nuevo
la topología para facilitar la referencia.

gigabit a los conmutadores 3 (S3) y a los conmutadores (S4) G0/0/0 y G/0/0/ 1. S3 es la red
P á g i n a | 684
show ip interface brief
show ipv6 interface brief
show running-config interface
show interfaces
P á g i n a | 685
show ip interface
P á g i n a | 686
show ipv6 interface

P á g i n a | 687
show ip route
show ipv6 route
Ping
P á g i n a | 688
14.3.4
Salida del comando de filtro

Otra característica muy útil que mejora la experiencia del usuario en la interfaz de línea de
comandos (CLI)es el filtrado de los resultados del comando show. Los comandos de filtrado se
pueden utilizar para mostrar secciones específicas de los resultados. Para habilitar el comando
de filtrado, ingrese una barra vertical partida (|) después del comando show y luego ingrese un
parámetro de filtrado y una expresión de filtrado.
Los parámetros de filtrado que se pueden configurar después de la barra vertical incluyen lo
siguiente:
 section - muestra la sección completa que comienza con la expresión de filtrado.

 include - incluye todas las líneas de resultados que coinciden con la expresión de filtrado.
 exclude - excluye todas las líneas de resultados que coinciden con la expresión de filtrado.
 begin -muestra todas las líneas de resultados desde determinado punto, comenzando por la
línea que coincide con la expresión de filtra
Nota: Los filtros de salida se pueden usar en combinación con cualquier comando show.
La figura muestra de nuevo la topología para su conveniencia:

P á g i n a | 689

gigabit a los conmutadores 3 (S3) y a los conmutadores (S4) G0/0/0 y G/0/0/1. S3 es la red
Estos ejemplos demuestran algunos de los usos más comunes de los parámetros de filtrado.
14.3.5
Packet Tracer - Revisión básica de la

configuración del router
Los routers R1 y R2 tienen dos LAN cada uno. R1 ya está configurado. Su tar ea es configurar
el direccionamiento adecuado para R2 y verificar la conectividad entre las LAN.
P á g i n a | 690
Basic Router Configuration Review
Basic Router Configuration Review
Conceptos de enrutamiento / Tabla de routing IP
Tabla de routing IP
14.4.1
Origen de la ruta
¿Cómo sabe un router dónde puede enviar paquetes? Crea una tabla de enrutamiento basada
en la red en la que se encuentra.
Una tabla de enrutamiento contiene una lista de rutas a redes conocidas (prefijos y longitudes
de prefijo). La fuente de esta información se deriva de lo siguiente:
 Redes conectadas directamente

 Rutas estáticas
 Protocolos de enrutamiento dinámico
En la figura, R1 y R2 están utilizando el protocolo de enrutamiento dinámico OSPF para

compartir información de enrutamiento. Además, R2 se configura con una ruta estática
predeterminada al ISP.
La figura representa un diagrama de 3 routers R1, R2 y R3 conectados a 4 switches S1, S2,

S3 y S4. R1 se conecta a los switches S1 y S2 mediante dos conexiones gigabit G/0/0 y
G0/0/1. PC1 está conectado al switch 1 (S1) en la red 10.0.1.0/24 y 2001:db8:acad:1: :/64
con una dirección IP de pila dual de .10 y: :10. PC2 está conectado al conmutador 2 (S2) en
la red 10.0.2.0/24 y 2001:db8:acad:2: :/64 con una dirección IP de pila dual de .10 y: :10. R1
tiene una red punto a punto para R2 y las redes ISP. La conexión serie a R2 es S0/1/01 y
S0/1/0. La conexión ISP es S0/1/1. La red R1 a R2 es la red 10.0.3.0/22 y 2001:db8:acad:3 :
:/64. La red R2 es 209.165.200.224/30 y 2001:db8:feed:224: :/64 para el ISP. R2 tiene dos
conexiones gigabit a los conmutadores 3 (S3) y a los conmutadores (S4) G0/0/0 y G/0/0/1.
S3 es la red 10.0.4.0/24 y 2001:db8:acad:4: :/64 conectada a la interfaz R2 G0/0/0. S4 es la
red 10.0.5.0/24 y 2001:db8:acad:5: :/64 conectada a la interfaz R2 G0/0/1. PC3 se conecta a
S3 con una dirección de.10 y: :10. PC4 se conecta a S4 con una dirección de.10 y: :10. Las
direcciones de puerta de enlace R1 y R2 terminan con .1 y: :1. La interfaz serie entre R1 y
R2 tiene direcciones de R1 .1 ans: :1 y R2 .2 y: :2. La conexión R2 a ISP es .225 y .1 a ISP
.226 y: :2. El router R1 se resalta en el diagrama.
P á g i n a | 691
P á g i n a | 692
En las tablas de enrutamiento para R1 y R2, observe que los orígenes de cada ruta se
identifican mediante un código. El código identifica la forma en que se descubrió la ruta. Por
ejemplo, los códigos frecuentes incluyen lo siguiente:
 L - Identifica la dirección asignada a la interfaz de un router. Esto permite que el router determine
de forma eficaz si recibe un paquete para la interfaz o para reenviar.
 C - Identifica una red conectada directamente.
 S - Identifica una ruta estática creada para llegar a una red específica.
 O - Identifica una red que se descubre de forma dinámica de otro router con el protocolo de routing
OSPF.
 * - la ruta es candidata para una ruta predeterminada.
14.4.2
Principios de la tabla de enrutamiento

Existen tres principios de tabla de enrutamiento como se describe en la tabla. Estos son
problemas que se abordan mediante la configuración adecuada de protocolos de enrutamie nto
dinámico o rutas estáticas en todos los enrutadores entre los dispositivos de origen y destino.
P á g i n a | 693
14.4.3
Entradas de la tabla de routing

Como administrador de redes, es imprescindible saber cómo interpretar el contenido de las
tablas de routing IPv4 e IPv6. En la ilustración, se muestra una entrada de la tabla de routing
IPv4 en el R1 para la ruta a la red remota 10.0.4.0/24 y 2001:db8:acad:4::/64. Ambas rutas
ruta se descubrieron de forma dinámica de otro router a través del protocolo de routing OSPF.
P á g i n a | 694
La figura muestra cómo leer una entrada de enrutamiento IPv4 y cómo leer una entrada de
enrutamiento IPv6. La entrada de la tabla de enrutamiento para IPv4 comienza con el origen
de enrutamiento 0, a continuación, la red de destino (longitud de prefijo y prefijo) 10.0.4.0/24
junto a la distancia administrativa de 110 y la métrica de 50 junto al salto siguiente media nte
10.0.3.2 y la marca de tiempo de ruta de 00:13; 29 termina con una interfaz de salida de serie
0/1/1. Juntar la entrada es: 0 10.0.0.0/24 110/50 via 10.0.3.2 00:13:29 Serie 0/1/1. La entrada
ipv6 comienza igual con el origen de enrutamiento 0, luego la red de destino de
2001:DB8:ACAD:4: :/64 la distancia administrativa de 110 y la métrica de 50 al lado del
salto siguiente a través de FE80: :2:C no hay marca de tiempo de ruta y termina con la interfaz
de salida de serie 0/1/1
En la figura, los números identifican la siguiente información:
1. Route source identifica el modo en que se aprendió la ruta

2. Destination network (prefix and prefix length) identifica la dirección de la red remota.
3. Administrative distance identifica la confiabilidad del origen de la ruta. Los valores más bajos
indican el origen de ruta preferido.
4. Metric identifica el valor asignado para llegar a la red remota. Los valores más bajos indican las rutas
preferidas.
5. Next-hop identifica la dirección IP del router siguiente para reenviar el paquete.
6. Route timestamp identifica el tiempo que pasó desde que se descubrió la ruta.
7. Exit interface identifica la interfaz de salida a utilizar para los paquetes salientes para llegar a su
destino final.
Nota: La longitud del prefijo de la red de destino especifica el número mínimo de bits de
extrema izquierda que deben coincidir entre la dirección IP del paquete y la red de destino
(prefijo) para que se utilice esta ruta.
14.4.4
Redes conectadas directamente

Para que un router pueda aprender acerca de las redes remotas, debe tener al menos una
interfaz activa configurada con una dirección IP y una máscara de subred (longitud de
prefijo). Esto se conoce como una red conectada directamente o una ruta conectada
directamente. Los routers agregan una ruta conectada directamente cuando una interfaz se
configura con una dirección IP y se activa.
Una red conectada directamente se indica mediante un código de estado de C en la tabla de

enrutamiento. La ruta contiene un prefijo de red y una longitud de prefijo.
La tabla de enrutamiento también contiene una ruta local para cada una de sus redes
conectadas directamente, indicada por el código de estado de L. Esta es la dirección IP que
P á g i n a | 695
se asigna a la interfaz en esa red conectada directamente. Para las rutas locales IPv4, la
longitud del prefijo es /32 y para las rutas locales IPv6 la longitud del prefijo es /128. Esto
significa que la dirección IP de destino del paquete debe coincidir con todos los bits de la
ruta local para que esta ruta sea una coincidencia. El propósito de la ruta local es permitir que
el router determine de forma eficaz si recibe un paquete para la interfaz o para reenviar.
Las redes conectadas directamente y las rutas locales se muestran en el siguiente resultado.
14.4.5
Rutas estáticas
Después de configurar las interfaces conectadas directamente y de agregarlas a la tabla de
routing, se puede implementar el routing estático o dinámico.
Las rutas estáticas se configuran de forma manual. Estas definen una ruta explícita entre dos
dispositivos de red. A diferencia de los protocolos de routing dinámico, las rutas estáticas no
se actualizan automáticamente y se deben reconfigurar de forma manual si se modifica la
topología de la red. Los beneficios de utilizar rutas estáticas incluyen la mejora de la
seguridad y la eficacia de los recursos. Las rutas estáticas consumen menos ancho de banda
que los protocolos de routing dinámico, y no se usa ningún ciclo de CPU para calcular y
comunicar las rutas. La principal desventaja de usar rutas estáticas es que no se vuelven a
configurar de manera automática si se modifica la topología de la red.
El routing estático tiene tres usos principales:

P á g i n a | 696
 Facilita el mantenimiento de la tabla de routing en redes más pequeñas en las cuales no está
previsto que crezcan significativamente.
 Utiliza una única ruta predeterminada para representar una ruta hacia cualquier red que no tenga
una coincidencia más específica con otra ruta en la tabla de routing. Las rutas predeterminadas se
utilizan para enviar tráfico a cualquier destino que esté más allá del próximo router ascendente.
 Enruta trafico de y hacia redes internas. Una red de rutas internas es aquella a la cual se accede a
través un de una única ruta y cuyo router tiene solo un vecino.
La figura muestra un ejemplo de red superpuesta. En dicha ilustración, observe que cualquier
red conectada al R1 solo tiene una manera de alcanzar otros destinos, ya sean redes
conectadas al R2 o destinos más allá del R2. Esto significa que las redes 10.0.1.0/24 y
10.0.2.0/24 son redes stub y R1 es un router stub.
La figura representa dos redes stub que consisten en un PC1 en la red 10.0.1.0/24 y
2001:db8:acad:1: :/64 conectadas al switch S1 que tiene un gigabit G0/0/0 conectado al router
R1. PC2 está en la red 10.0.2.4 y 2001:db8:acad:2: :/64 conectado al conmutador S2 que está
conectado a la interfaz gigabit G0/0/1 en R1. R1 router se llama router stub. R1 está
conectado al enrutador R2 mediante una conexión serie R1 S0/1/1 a S0/1/0 en R2 con una
dirección de red de 10.0.3.0/24. R2 se conecta a otras redes. Los PC están apilados de forma
dual con direcciones .10 y: :10. Las interfaces R1 son .1 y: :1. R2 tiene la dirección de
conexión serie de .2 y: :2.
En este ejemplo, se puede configurar una ruta estática en R2 para llegar a las redes R1.
Además, como el R1 tiene solo una forma de enviar tráfico no local, se puede configurar una
ruta estática predeterminada en el R1 para señalar al R2 como el siguiente salto para todas
las otras redes.
P á g i n a | 697
14.4.6
Rutas estáticas en la tabla de enrutamiento

IP
Para demostrar el enrutamiento estático, la topología de la figura se simplifica para mostrar
sólo una LAN conectada a cada enrutador. La figura muestra las rutas estáticas IPv4 e IPv6
configuradas en R1 para alcanzar las redes 10.0.4.0/24 y 2001:db8:acad:4: :/64 en R2. Los
comandos de configuración son sólo para demostración y se describen en otro módulo.
El diagrama muestra los comandos de configuración para R1 para establecer las rutas
estáticas para IPv4 e IPv6 para llegar a PC3 desde la topología descrita en la figura 14.3.1.
El comando IPv4 se escribe como R1 (config)#ip route 10.0.4.0 255.255.255.0 10.0.3.2. La
dirección de red IPv4 remota es 10.0.4.0 255.255.255.0. La dirección IPv4 del router
siguiente salto es 10.0.3.2. El comando IPv6 se escribe como R1 (config)# ipv6 route
2001.db8.acad.4: :/64 2001.db8.acad3: :2. La dirección de red IPv6 remota es
2001.db8.acad.4: :/64y el IPv6 del enrutador de salto siguiente es 2001.db8.acad3: :2.
La salida muestra las entradas de enrutamiento estático IPv4 e IPv6 en R1 que pueden
alcanzar las redes 10.0.4.0/24 y 2001:db8:acad:4: :/64 en R2. Observe que ambas entradas
de enrutamiento utilizan el código de estado de S indicar que la ruta fue aprendida por una
ruta estática. Ambas entradas también incluyen la dirección IP del router siguiente salto, a
través de ip-address. El static parámetro al final del comando muestra sólo rutas estáticas.
P á g i n a | 698
14.4.7
Protocolos de routing dinámico

Los routers usan protocolos de enrutamiento dinámico para compartir información sobre el
estado y la posibilidad de conexión de redes remotas. Los protocolos de routing dinámico
realizan diversas actividades, como la detección de redes y el mantenimiento de las tablas de
routing.
Las ventajas importantes de los protocolos de enrutamie nto dinámico son la capacidad de
seleccionar una mejor ruta y la capacidad de descubrir automáticamente una nueva mejor
ruta cuando se produce un cambio en la topología.
El descubrimiento de redes es la capacidad de un protocolo de enrutamiento de compartir

información sobre las redes que conoce con otros routers que también están usando el mismo
protocolo de enrutamiento. En lugar de depender de las rutas estáticas configuradas
manualmente hacia redes remotas en cada router, los protocolos de routing dinámico
permiten que los routers descubran estas redes de forma automática a través de otros routers.
Estas redes y la mejor ruta hacia cada una se agregan a la tabla de routing del router y se
identifican como redes descubiertas por un protocolo de routing dinámico específico.
La figura muestra los routers R1 y R2 que utilizan un protocolo de enrutamiento común para
compartir información de red.
P á g i n a | 699

S3 y S4. R1 se conecta a los conmutadores S1 y S2 mediante dos conexiones gigabit G/0/0
y G0/0/1. PC1 está conectado al conmutador 1 (S1) en la red 10.0.1.0/24 y 2001:db8:acad:1 :
:/64 con una dirección IP de pila dual de .10 y: :10. PC2 está conectado al conmutador 2 (S2)
en la red 10.0.2.0/24 y 2001:db8:acad:2: :/64 con una dirección IP de pila dual de .10 y: :10.
R1 tiene una red punto a punto para R2 y las redes ISP. La conexión serie a R2 es S0/1/01 y
S0/1/0. La conexión ISP es S0/1/1. La red R1 a R2 es la red 10.0.3.0/22 y 2001:db8:acad:3 :
:/64. La red R2 es 209.165.200.224/30 y 2001:db8:feed:224: :/64 para el ISP. R2 tiene dos
conexiones gigabit a los conmutadores 3 (S3) y a los conmutadores (S4) G0/0/0 y G/0/0/1.
S3 es la red 10.0.4.0/24 y 2001:db8:acad:4: :/64 conectada a la interfaz R2 G0/0/0. S4 es la
red 10.0.5.0/24 y 2001:db8:acad:5: :/64 conectada a la interfaz R2 G0/0/1. PC3 se conecta a
S3 con una dirección de.10 y: :10. PC4 se conecta a S4 con una dirección de.10 y: :10. Las
direcciones de puerta de enlace R1 y R2 terminan con .1 y: :1. La interfaz serie entre R1 y
R2 tiene direcciones de R1 .1 ans: :1 y R2 .2 y: :2. La conexión R2 a ISP es .225 y .1 a ISP
.226 y: :2. Los routers R1 y R2 están compartiendo cualquier cambio en la red mediante el
protocolo de enrutamiento dinámico con cuadros resaltados de R1 indicando que compartiré
con R2 todas las redes que conozco y le diré a R2 cuando haya cambios. Lo mismo se aplica
a R2 que informa a R1.
P á g i n a | 700
14.4.8
Rutas dinámicas en la tabla de

enrutamiento IP
En un ejemplo anterior se usaban rutas estáticas a las redes 10.0.4.0/24 y 2001:db8:acad:4 :
:/64. Estas rutas estáticas ya no están configuradas y ahora OSPF se utiliza para aprender
dinámicamente todas las redes conectadas a R1 y R2. Los siguientes ejemplos muestran las
entradas de enrutamiento OSPF IPv4 e IPv6 en R1 que pueden llegar a estas redes en R2.
Observe que ambas entradas de enrutamiento utilizan el código de estado de O para indicar
que la ruta fue aprendida por el protocolo de enrutamiento OSPF. Ambas entradas también
incluyen la dirección IP del router de salto siguiente, a través de ip-address.
Nota: Los protocolos de enrutamiento IPv6 utilizan la dirección de vínculo local del router
de siguiente salto.
Nota: La configuración de enrutamiento OSPF para IPv4 e IPv6 está fuera del alcance de
este curso.
14.4.9
Ruta predeterminada
Las rutas predeterminadas son similares a un gateway predeterminado en un host. La ruta
predeterminada especifica un enrutador de salto siguiente que se utilizará cuando la tabla de
enrutamiento no contiene una ruta específica que coincida con la dirección IP de destino.
P á g i n a | 701
Una ruta predeterminada puede ser una ruta estática o aprenderse automáticamente de un
protocolo de enrutamiento dinámico. Una ruta predeterminada tiene una entrada de ruta IPv4
de 0.0.0.0/0 o una entrada de ruta IPv6 de: :/0. Esto significa que cero o ningún bit deben
coincidir entre la dirección IP de destino y la ruta predeterminada.
La mayoría de los routers empresariales tienen una ruta predeterminada en su tabla de

enrutamiento. Esto es para reducir el número de rutas en una tabla de enrutamiento.
Un router, como un router doméstico o de oficina pequeña que solo tiene una LAN, puede
llegar a todas sus redes remotas a través de una ruta predeterminada. Esto es útil cuando el
router solo tiene redes conectadas directamente y un punto de salida a un enrutador proveedor
de servicios.
En la figura, los routers R1 y R2 utilizan OSPF para compartir información de enrutamie nto
sobre sus propias redes (10.0.x.x/24 y 2001:db8:acad:x: :/64 redes). R2 tiene una ruta estática
predeterminada al router ISP. R2 reenviará al router ISP cualquier paquete con una dirección
IP de destino que no coincida específicamente con una de las redes de su tabla de
enrutamiento. Esto incluiría todos los paquetes destinados a Internet.
1. R2 tiene una ruta estática predeterminada al enrutador ISP.

2. R2 a R1 anuncia la ruta predeterminada mediante el protocolo de enrutamiento dinámico OSPF.

S3 y S4. R1 se conecta a los switches S1 y S2 mediante dos conexiones gigabit G/0/0 y
G0/0/1. PC1 está conectado al switch 1 (S1) en la red 10.0.1.0/24 y 2001:db8:acad:1: :/64
con una dirección IP de pila dual de .10 y: :10. PC2 está conectado al switch2 (S2) en la red
10.0.2.0/24 y 2001:db8:acad:2: :/64 con una dirección IP de pila dual de .10 y: :10. R1 tiene
una red punto a punto para R2 y las redes ISP. La conexión serie a R2 es S0/1/01 y S0/1/0.
P á g i n a | 702
La conexión ISP es S0/1/1. La red R1 a R2 es la red 10.0.3.0/22 y 2001:db8:acad:3: :/64. La

red R2 es 209.165.200.224/30 y 2001:db8:feed:224: :/64 para el ISP. R2 tiene dos conexiones
gigabit a los switches 3 (S3) y al swich (S4) G0/0/0 y G/0/0/1. S3 es la red 10.0.4.0/24 y
2001:db8:acad:4: :/64 conectada a la interfaz R2 G0/0/0. S4 es la red 10.0.5.0/24 y
2001:db8:acad:5: :/64 conectada a la interfaz R2 G0/0/1. PC3 se conecta a S3 con una
dirección de.10 y: :10. PC4 se conecta a S4 con una dirección de.10 y: :10. Las direcciones
de puerta de enlace R1 y R2 terminan con .1 y: :1. La interfaz serie entre R1 y R2 tiene
direcciones de R1 .1 ans: :1 y R2 .2 y: :2. La conexión R2 a ISP es .225 y .1 a ISP .226 y: :2.
El diagrama muestra que R2 tiene una ruta estática predeterminada al router ISP. R2 a R1
anuncia la ruta predeterminada mediante el protocolo de enrutamiento dinámico OSPF. Hay
una flecha que muestra la ruta al ISP.
R2 ha compartido su ruta predeterminada con R1 usando OSPF. R1 ahora tendrá una ruta
predeterminada en su tabla de enrutamiento que aprendió dinámicamente de OSPF. R1
también reenviará a R2 cualquier paquete con una dirección IP de destino que no coincida
específicamente con una de las redes de su tabla de enrutamiento.
Los ejemplos siguientes muestran las entradas de la tabla de enrutamiento IPv4 e IPv6 para
las rutas estáticas predeterminadas configuradas en R2.
14.4.10
Estructura de una tabla de enrutamiento

IPv4
IPv4 se estandarizó a principios de la década de 1980 utilizando la arquitectura de
direccionamiento de clase ahora obsoleta. La tabla de enrutamiento IPv4 se organiza
utilizando esta misma estructura de clase. En la salida show ip route , observe que algunas
entradas de ruta se dejan justificadas mientras que otras están sangradas. Esto se basa en la
forma en que el proceso de enrutamiento busca en la tabla de enrutamiento IPv4 la
coincidencia más larga. Todo esto fue debido a un discurso de clase. Aunque el proceso de
P á g i n a | 703
búsqueda ya no utiliza clases, la estructura de la tabla de enrutamiento IPv4 sigue

conservándose en este formato.
Nota: La tabla de enrutamiento IPv4 del ejemplo no procede de ningún router de la topología
utilizada en este módulo.
Aunque los detalles de la estructura están fuera del alcance de este módulo, es útil reconocer
la estructura de la tabla. Una entrada sangría se conoce como ruta secundaria. Una entrada
de ruta se sangra si es la subred de una dirección con clase (red de clase A, B o C). Las redes
conectadas directamente siempre tendrán sangría (rutas secundarias) porque la dirección
local de la interfaz siempre se introduce en la tabla de enrutamiento como /32. La ruta
secundaria incluirá el origen de la ruta y toda la información de reenvío, como la dirección
de salto siguiente. La dirección de red con clase de esta subred se mostrará encima de la
entrada de ruta, con menos sangría y sin código fuente. Esto se conoce como “ruta principa l”.
Nota: Esto es solo una breve introducción a la estructura de una tabla de enrutamiento IPv4
y no cubre detalles ni detalles específicos de esta arquitectura.
El siguiente ejemplo muestra la tabla de enrutamiento IPv4 de R1 en la topología. Observe

que todas las redes de la topología son subredes, que son rutas secundarias, de la red de clase
A y de la ruta principal10.0.0.0/8.
P á g i n a | 704
14.4.11
Estructura de una tabla de enrutamiento

IPv6
El concepto de direccionamiento con clase nunca formaba parte de IPv6, por lo que la
estructura de una tabla de enrutamiento con IPv6 es muy simple. Cada entrada de ruta IPv6
está formateada y alineada de la misma manera.
14.4.12
Distancia administrativa
Una entrada de ruta para una dirección de red específica (longitud de prefijo y prefijo) sólo
puede aparecer una vez en la tabla de enrutamiento. Sin embargo, es posible que la tabla de
enrutamiento aprenda acerca de la misma dirección de red desde más de un origen de
enrutamiento.
Excepto por circunstancias muy específicas, sólo se debe implementar un protocolo de

enrutamiento dinámico en un router. Sin embargo, es posible configurar tanto OSPF como
EIGRP en un router, y ambos protocolos de routing pueden descubrir la misma red de destino.
P á g i n a | 705
Sin embargo, cada protocolo de routing puede decidir tomar una ruta diferente para llegar al
destino según las métricas de ese protocolo de routing.
Esto plantea algunas preguntas, como las siguientes:
 ¿Cómo sabe el router qué fuente usar?

 ¿Qué ruta instalará el router en la tabla de routing? ¿La ruta aprendida de OSPF o la ruta aprendida
de EIGRP?
El IOS de Cisco utiliza lo que se conoce como “distancia administrativa” (AD) para
determinar la ruta que se debe instalar en la tabla de routing de IP. La AD representa la
"confiabilidad" de la ruta. Cuanto menor es la AD, mayor es la confiabilidad de la ruta. Dado
que EIGRP tiene un AD de 90 y OSPF tiene un AD de 110, la entrada de ruta EIGRP se
instalaría en la tabla de enrutamiento.
Nota: AD no representa necesariamente qué protocolo de enrutamiento dinámico es el mejor

.
Un ejemplo más común es un router que aprende la misma dirección de red de una ruta
estática y un protocolo de enrutamiento dinámico, como OSPF. Por ejemplo, la AD de una
ruta estática es 1, mientras que la AD de una ruta descubierta por OSPF es 110. El router
elige la ruta con la AD más baja entre dos rutas diferentes al mismo destino. Cuando un router
puede elegir entre una ruta estática y una ruta de OSPF, la ruta estática tiene prioridad.
Las redes conectadasNota: directamente tienen el AD más bajo de 0. Sólo una red conectada
directamente puede tener un AD de 0.
En la ilustración, se muestran diferentes protocolos de routing y sus AD asociadas.

P á g i n a | 706
14.4.13
Compruebe su comprensión - Tabla de

enrutamiento IP
Verifique su comprensión de tablas de enrutamiento IP eligiendo la MEJOR respuesta a las
P á g i n a | 707
P á g i n a | 708
P á g i n a | 709
Conceptos de enrutamiento / Enrutamiento estático y dinámico
Enrutamiento estático y dinámico

14.5.1
¿Estático o dinámico?
En el tema anterior se discutieron las formas en que un router crea su tabla de enrutamie nto.
Por lo tanto, ahora sabe que el enrutamiento, como el direccionamiento IP, puede ser estático
o dinámico. ¿Debería usar enrutamiento estático o dinámico? ¡La respuesta es ambas cosas!
El routing estático y el routing dinámico no son mutuamente excluyentes. En cambio, la
mayoría de las redes utilizan una combinación de protocolos de routing dinámico y rutas
estáticas.
Rutas Estáticas
Las rutas estáticas se utilizan comúnmente en los siguientes escenarios:
 Como ruta predeterminada de reenvío de paquetes a un proveedor de servicios

 Para rutas fuera del dominio de enrutamiento y no aprendidas por el protocolo de enrutamiento
dinámico
 Cuando el administrador de red desea definir explícitamente la ruta de acceso para una red
específica
 Para el enrutamiento entre redes de código auxiliar
Las rutas estáticas son útiles para redes más pequeñas con solo una ruta hacia una red externa.
También proporcionan seguridad en una red más grande para ciertos tipos de tráfico o enlaces
a otras redes que necesitan más control.
P á g i n a | 710
Protocolos de enrutamiento dinámico
Los protocolos de enrutamiento dinámico ayudan al administrador de red a administrar el

proceso riguroso y lento de configuración y mantenimiento de rutas estáticas. Los protocolos
de enrutamiento dinámico se implementan en cualquier tipo de red que consta de más de
unos pocos enrutadores. Los protocolos de enrutamiento dinámico son escalables y
determinan automáticamente las mejores rutas si se produce un cambio en la topología.
Los protocolos de enrutamiento dinámico se utilizan comúnmente en los siguie ntes

escenarios:
 En redes que consisten en más de unos pocos routers

 Cuando un cambio en la topología de red requiere que la red determine automáticamente otra ruta
 Escalabilidad A medida que la red crece, el protocolo de enrutamiento dinámico aprende
automáticamente sobre cualquier red nueva.
La tabla muestra una comparación de algunas de las diferencias entre el enrutamie nto
dinámico y estático.
14.5.2
Evolución del protocolo de routing

dinámico
Los protocolos de enrutamiento dinámico se utilizan en el ámbito de las redes desde finales
de la década de los ochenta. Uno de los primeros protocolos de enrutamiento fue RIP. RIPv1
P á g i n a | 711
se lanzó en 1988, pero ya en 1969 se utilizaban algunos de los algoritmos básicos en dicho
protocolo en la Advanced Research Projects Agency Network (ARPANET).
A medida que las redes evolucionaron y se volvieron más complejas, surgieron nuevos
protocolos de enrutamiento. El protocolo RIP se actualizó a RIPv2 para hacer lugar al
crecimiento en el entorno de red. Sin embargo, RIPv2 aún no se escala a las
implementaciones de red de mayor tamaño de la actualidad. Con el objetivo de satisfacer las
necesidades de las redes más grandes, se desarrollaron dos protocolos de enrutamiento: el
protocolo OSPF (abrir primero la ruta más corta) y sistema intermedio a sistema intermed io
(IS-IS). Cisco desarrolló el protocolo de enrutamiento de gateway interior (IGRP) e IGRP
mejorado (EIGRP), que también tiene buena escalabilidad en implementaciones de redes más
grandes.
Asimismo, surgió la necesidad de conectar distintos dominios de enrutamiento de diferentes

organizacions y proporcionar enrutamiento entre ellas. En la actualidad, se utiliza el
protocolo de gateway fronterizo (BGP) entre proveedores de servicios de Internet (ISP). El
protocolo BGP también se utiliza entre los ISP y sus clientes privados más grandes para
intercambiar información de enrutamiento.
En la figura se muestra la línea cronológica de la introducción de los diversos protocolos.
En la figura se muestra la línea cronológica de la introducción de los diversos protocolos. A

partir de 1982 EGP, 1985 IGRP, 1988 RIPv1, 1990 IS-IS, 1991 OSPFv2, 1992 EIGRP, 1994
RIPv2, 1995 BGP, 1997 RIPng, 1998 BGP-MP, 1999 OSPFv3, 2000 ISv6.
A fin de admitir la comunicación basada en IPv6, se desarrollaron versiones más nuevas de

los protocolos de routing IP, como se muestra en la fila de IPv6 en la Figura 2.
La tabla clasifica los protocolos de enrutamiento actuales. Los protocolos de puerta de enlace
interior (IGP) son protocolos de enrutamiento utilizados para intercambiar información de
enrutamiento dentro de un dominio de enrutamiento administrado por una sola organizac ió n.
Sólo hay un EGP y es BGP. BGP se utiliza para intercambiar información de enrutamie nto
P á g i n a | 712
entre diferentes organizaciones, conocidos como sistemas autónomos (AS). Los ISP utiliza n
BGP para enrutar paquetes a través de Internet. Los protocolos de enrutamiento vectorial de
distancia, estado de vínculo y vector de ruta se refieren al tipo de algoritmo de enrutamie nto
utilizado para determinar la mejor ruta.
14.5.3
Conceptos de Protocolos de routing

dinámico
Un protocolo de routing es un conjunto de procesos, algoritmos y mensajes que se usan para
intercambiar información de routing y completar la tabla de routing con la elección de los
mejores caminos que realiza el protocolo. El objetivo de los protocolos de routing dinámico
incluye lo siguiente:
 Detectar redes remotas

 Mantener la información de routing actualizada
 Elección de la mejor ruta hacia las redes de destino
 Poder encontrar un mejor camino nuevo si la ruta actual deja de estar disponible
Los componentes principales de los protocolos de routing dinámico incluyen los siguientes:
 Estructuras de datos - por lo general, los protocolos de routing utilizan tablas o bases de datos para
sus operaciones. Esta información se guarda en la RAM.
 Mensajes del protocolo de routing - los protocolos de routing usan varios tipos de mensajes para
descubrir routers vecinos, intercambiar información de routing y realizar otras tareas para descubrir
la red y conservar información precisa acerca de ella.
 Algoritmo - un algoritmo es una lista finita de pasos que se usan para llevar a cabo una tarea. Los
protocolos de routing usan algoritmos para facilitar información de routing y para determinar el
mejor camino.
Estos protocolos permiten a los routers compartir información en forma dinámica sobre redes
remotas y ofrecer esta información automáticamente en sus propias tablas de routing. Haga
clic en Reproducir para ver una animación sobre este proceso.
P á g i n a | 713
La figura es una animación con tres routers R1, R2 y R3 conectados en un patrón de

triángulo. La animación ilustra que cuando se produce una actualización en cualquier
router, se envía a los demás.
Los protocolos de routing determinan la mejor ruta hacia cada red y, a continuación, esa ruta
se ofrece a la tabla de routing. La ruta se instalará en la tabla de routing si no hay otro origen
de routing con una distancia administrativa menor. Uno de los beneficios principales de los
protocolos de routing dinámico es que los routers intercambian información de routing
cuando se produce un cambio en la topología. Este intercambio permite a los routers obtener
automáticamente información sobre nuevas redes y también encontrar rutas alternativas
cuando se produce una falla de enlace en la red actual.
14.5.4
El mejor camino
Antes de ofrecer una ruta a una red remota a la tabla de enrutamiento, el protocolo de
enrutamiento dinámico debe determinar la mejor ruta a esa red. La determinación de la mejor
ruta implica la evaluación de varias rutas hacia la misma red de destino y la selección de la
ruta óptima o la más corta para llegar a esa red. Cuando existen varias rutas hacia la misma
red, cada ruta utiliza una interfaz de salida diferente en el router para llegar a esa red.
El mejor camino es elegido por un protocolo de enrutamiento en función del valor o la métrica
que usa para determinar la distancia para llegar a esa red. Una métrica es un valor cuantitativo
que se utiliza para medir la distancia que existe hasta una red determinada. El mejor camino
a una red es la ruta con la métrica más baja.
Los protocolos de enrutamiento dinámico generalmente usan sus propias reglas y métricas
para construir y actualizar las tablas de enrutamiento. El algoritmo de enrutamiento genera
un valor, o una métrica, para cada ruta a través de la red. Las métricas se pueden calcular
sobre la base de una sola característica o de varias características de una ruta. Algunos
P á g i n a | 714
protocolos de enrutamiento pueden basar la elección de la ruta en varias métricas,

combinándolas en un único valor métrico.
En la siguiente tabla se enumeran los protocolos dinámicos comunes y sus métricas.
Protocolo de enrutamiento Métrica
 La métrica es «recuento de saltos».

Protocolo de información de  Cada router a lo largo de una ruta agrega un
enrutamiento (RIP, Routing salto al recuento de saltos.
Information Protocol)  Se permite un máximo de 15 saltos.
 La métrica es «costo», que es la basada en la

Basado en el ancho de banda acumulado de
origen a destino
Abrir primero la ruta más corta
 A los enlaces más rápidos se les asignan costos
(OSPF, Open Shortest Path First)
más bajos en comparación con los más lentos
(mayor costo).
 Calcula una métrica basada en el ancho de

Protocolo de routing de gateway banda más lento y el retardo anormales.
interno mejorado (EIGRP, Enhanced  También podría incluir carga y fiabilidad en la
Interior Gateway Routing Protocol) métrica cálculo.
En la animación de la ilustración, se destaca cómo la ruta puede ser diferente según la métrica
que se utiliza. Si falla la mejor ruta, el protocolo de enrutamiento dinámico seleccionará
automáticamente una nueva mejor ruta si existe.
La figura es una animación con una PC etiquetada PC1 conectada a un router R1. R1 está
conectado a R2 con una conexión de 1Gbps y R2 se conecta a R3 con una conexión de 1Gbps.
R3 está conectado a R1 con una conexión de 100Mbps. Los enrutadores se conectan de forma
P á g i n a | 715
similar a un triángulo rectángulo. Otro PC etiquetado PC2 está conectado a R3. La animació n
se ejecuta representando decisiones de enrutamiento basadas en el recuento de saltos o el
ancho de banda.
14.5.5
Balance de carga
¿Qué sucede si una tabla de routing tiene dos o más rutas con métricas idénticas hacia la
misma red de destino?
Cuando un router tiene dos o más rutas hacia un destino con métrica del mismo costo, el
router reenvía los paquetes usando ambas rutas por igual. Esto se denomina “balanceo de
carga de mismo costo”. La tabla de routing contiene la única red de destino pero tiene varias
interfaces de salida, una para cada ruta de mismo costo. El router reenvía los paquetes
utilizando las distintas interfaces de salida que se indican en la tabla de routing.
Si está configurado correctamente, el balanceo de carga puede aumentar la efectividad y el

rendimiento de la red.
Equilibrio de carga de igual costo se implementa automáticamente mediante protocolos de

enrutamiento dinámico. Se habilita con rutas estáticas cuando hay varias rutas estáticas a la
misma red de destino utilizando diferentes enrutadores de siguiente salto.
Nota: Solo EIGRP admite el balanceo de carga con distinto costo.
En la animación de la ilustración, se proporciona un ejemplo de balanceo de carga de mismo

costo.
La figura es una animación con cuatro routers R1, R2, R3 y R4 interconectados entre sí con
conexiones de 52Mbps. Un PC etiquetado PC1 está conectado a R1 y otro PC etiquetado a
P á g i n a | 716
PC2 está conectado a R3. Cuando la animación ejecuta paquetes desde PC1 toma varias rutas
a través de los routers a PC2 que ilustran el equilibrio de carga de costes igual, ya que todos
los routers tienen velocidades de conexión iguales.
14.5.6
Compruebe su comprensión -
Enrutamiento dinámico y estático
Verifique su comprensión de rutas estáticas y dinámicas eligiendo la MEJOR respuesta a las
P á g i n a | 717
P á g i n a | 718
Conceptos de enrutamiento / Práctica del módulo y cuestionario

14.6.1

Determinar Ruta (path)
Las funciones principales de un router son determinar la mejor ruta para reenviar paquetes
basándose en la información de su tabla de enrutamiento, y reenviar paquetes hacia su
destino. La mejor ruta de la tabla de enrutamiento también se conoce como la coincidenc ia
más larga. La mejor coincidencia es la ruta de la tabla de routing que contiene la mayor
cantidad de bits del extremo izquierdo coincidentes con la dirección IPv4 de destino del
paquete. Las redes conectadas directamente son redes que están configuradas en las interfaces
activas de un router. Una red conectada directamente se agrega a la tabla de enrutamie nto
cuando una interfaz se configura con una dirección IP y una máscara de subred (longitud de
prefijo) y está activa (arriba y arriba). Los routers aprenden acerca de las redes remotas de
dos maneras: las rutas estáticas se agregan a la tabla de enrutamiento cuando una ruta se
configura manualmente y con protocolos de enrutamiento dinámicos. Mediante protocolos
de enrutamiento dinámico como EIGRP y OSPF, las rutas se agregan a la tabla de
enrutamiento cuando los protocolos de enrutamiento aprenden dinámicamente acerca de la
red remota.
Después de que un router determina la ruta correcta, puede reenviar el paquete en una red
conectada directamente, puede reenviar el paquete a un enrutador de siguiente salto o puede
soltar el paquete. Una responsabilidad principal de la función de switching es la de encapsular
los paquetes en el tipo de marco de enlace de datos correcto para el enlace de datos de salida.
Los routers admiten tres mecanismos de reenvío de paquetes: conmutación de procesos,
conmutación rápida y CEF. Los siguientes pasos describen el proceso de reenvío de paquetes:
1. El marco de enlace de datos con un paquete IP encapsulado llega a la interfaz de entrada.

2. El router examina la dirección IP de destino en el encabezado del paquete y consulta su tabla de
enrutamiento IP.
3. El router encuentra el prefijo coincidente más largo en la tabla de enrutamiento.
4. El router encapsula el paquete en un marco de enlace de datos y lo reenvía por la interfaz de salida.
El destino podría ser un dispositivo conectado a la red o un router de siguiente salto.
5. Sin embargo, si no hay ninguna entrada de ruta coincidente, el paquete se elimina.
Revisión de configuración básica del router

P á g i n a | 719
Hay varios comandos de configuración y verificación para enrutadores, incluyendo show ip

route, show ip interface, show ip interface brief y show running-config. Para reducir la
cantidad de salida de comandos, utilice un filtro. Los comandos de filtrado se pueden utilizar
para mostrar secciones específicas de los resultados. Para habilitar el comando de filtrado,
ingrese una barra vertical partida (|) después del comando show y luego ingrese un parámetro
de filtrado y una expresión de filtrado. Los parámetros de filtrado que se pueden configurar
después de la barra vertical incluyen lo siguiente:
 section - muestra la sección completa que comienza con la expresión de filtrado.

 include -incluye todas las líneas de resultados que coinciden con la expresión de filtrado.
 exclude - excluye todas las líneas de resultados que coinciden con la expresión de filtrado.
 begin - muestra todas las líneas de resultados desde determinado punto, comenzando por la línea
que coincide con la expresión de filtrado.
Tabla de enrutamiento IP
Una tabla de enrutamiento contiene una lista de rutas redes conocidas (prefijos y longitudes
de prefijo). El origen de esta información se deriva de redes conectadas directamente, rutas
estáticas y protocolos de enrutamiento dinámico. Los códigos de tabla de enrutamie nto
comunes incluyen:
 L - identifica la dirección asignada a la interfaz de un router. Esto permite que el router determine
de forma eficaz si recibe un paquete para la interfaz o para reenviar.
 C - identifica una red conectada directamente.
 S - identifica una ruta estática creada para llegar a una red específica.
 O - indica una red que se descubre de forma dinámica de otro router con el protocolo de routing
OSPF.
 * - la ruta es candidata para una ruta predeterminada.
Cada router toma su decisión por sí solo, basándose en la información que tiene en su propia
tabla de enrutamiento. La información de una tabla de enrutamiento de un router no coincide
necesariamente con la tabla de enrutamiento de otro router. La información de enrutamie nto
sobre una ruta no proporciona información de enrutamiento de retorno. Las entradas de la
tabla de enrutamiento incluyen el origen de ruta, la red de destino, AD, la métrica, el salto
siguiente, la marca de tiempo de ruta y la interfaz de salida. Para obtener información acerca
de las redes remotas, un router debe tener al menos una interfaz activa configurada con una
dirección IP y una máscara de subred (longitud de prefijo), denominada red conectada
directamente. Las rutas estáticas se configuran manualmente y definen una ruta explíc ita
entre dos dispositivos de red. Los protocolos de enrutamiento dinámico pueden detectar una
red, mantener tablas de enrutamiento, seleccionar una mejor ruta y descubrir
automáticamente una nueva mejor ruta si cambia la topología. Una ruta predeterminada
específica un router de salto siguiente que se utilizará cuando la tabla de enrutamiento no
contiene una ruta específica que coincida con la dirección IP de destino. Una ruta
predeterminada puede ser una ruta estática o aprenderse automáticamente de un protocolo de
enrutamiento dinámico. Una ruta predeterminada tiene una entrada de ruta IPv4 de 0.0.0.0/0
o una entrada de ruta IPv6 de: :/0. Las tablas de enrutamiento IPv4 todavía tienen una
estructura basada en direcciones de clase representadas por niveles de sangría. Las tablas de
P á g i n a | 720
enrutamiento IPv6 no utilizan la estructura de la tabla de enrutamiento IPv4. El IOS de Cisco

utiliza lo que se conoce como “distancia administrativa” (AD) para determinar la ruta que se
debe instalar en la tabla de routing de IP. La AD representa la "confiabilidad" de la ruta.
Cuanto menor es la AD, mayor es la confiabilidad de la ruta.
Enrutamiento estático y dinámico
Las rutas estáticas se utilizan comúnmente:
 Como ruta predeterminada de reenvío de paquetes a un proveedor de servicios.

 Para rutas fuera del dominio de enrutamiento y no aprendidas por el protocolo de enrutamiento
dinámico.
 Cuando el administrador de red desea definir explícitamente la ruta de acceso para una red
específica.
 Para el enrutamiento entre redes de código auxiliar.
El protocolo de enrutamiento dinámico se utiliza comúnmente:
 En redes que consisten en más de unos pocos routers

 Cuando un cambio en la topología de red requiere que la red determine automáticamente otra ruta
 Escalabilidad A medida que la red crece, el protocolo de enrutamiento dinámico aprende
automáticamente sobre cualquier red nueva.
Los protocolos de enrutamiento actuales incluyen IGP y EGP. Los IGP intercamb ia n
información de enrutamiento dentro de un dominio de enrutamiento administrado por una
sola organización. El único EGP es BGP. BGP intercambia información de enrutamie nto
entre diferentes organizaciones. Los ISP utilizan BGP para enrutar paquetes a través de
Internet. Los protocolos de enrutamiento vectorial de distancia, estado de vínculo y vector de
ruta se refieren al tipo de algoritmo de enrutamiento utilizado para determinar la mejor ruta.
Los principales componentes de los protocolos de enrutamiento dinámico son estructuras de
datos, mensajes de protocolo de enrutamiento y algoritmos. El mejor camino es elegido por
un protocolo de enrutamiento en función del valor o la métrica que usa para determinar la
distancia para llegar a esa red. Una métrica es un valor cuantitativo que se utiliza para medir
la distancia que existe hasta una red determinada. El mejor camino a una red es la ruta con la
métrica más baja. Cuando un router tiene dos o más rutas hacia un destino con métrica del
mismo costo, el router reenvía los paquetes usando ambas rutas por igual. Esto se denomina
“balanceo de carga de mismo costo”.
P á g i n a | 721
14.6.2
Prueba del módulo: conceptos de Routers

P á g i n a | 722
P á g i n a | 723
P á g i n a | 724
P á g i n a | 725
P á g i n a | 726
P á g i n a | 727
P á g i n a | 728
P á g i n a | 729
P á g i n a | 730
P á g i n a | 731
Capítulo 15_Rutas IP estáticas

Introducción
15.0.1

¡Bienvenido a IP Static Routing!
P á g i n a | 732
Hay tantas maneras diferentes de enrutar dinámicamente un paquete que podría preguntarse,
por qué alguien se tomaría el tiempo para configurar manualmente una ruta estática. Es como
lavar a mano toda su ropa cuando tiene una lavadora perfectamente buena. Pero sabe que
algunos artículos de ropa no pueden entrar en la lavadora. Algunos artículos se benefician de
ser lavados a mano. Hay una similitud con el networking. De tal manera que hay muchas
situaciones en las que una ruta estática configurada manualmente es su mejor opción.
Hay diferentes tipos de rutas estáticas, y cada una es perfecta para resolver (o evitar) un tipo
específico de problema de red. Muchas redes utilizan enrutamiento dinámico y estático, por
lo que los administradores de red necesitan saber cómo configurar, verificar y solucionar
problemas de rutas estáticas. Está realizando este curso porque desea convertirse en
administrador de red o desea mejorar sus habilidades de administrador de red existentes. ¡Se
alegrará de haber tomado este módulo, porque usará estas habilidades con frecuencia! ¡Y
debido a que este módulo trata de configurar rutas estáticas, hay varias actividades de
Verificación de sintaxis, seguido por un Packet Tracer y un Lab donde puede perfeccionar
sus habilidades!
15.0.2

Título del módulo: Rutas IP estáticas
Objetivos del módulo: Configure las rutas estáticas IPv4 e IPv6.
Rutas estáticas Describe la sintaxis del comando para rutas estáticas.
Configuración de rutas estáticas IP Configure las rutas estáticas IPv4 e IPv6.
Configuración de rutas estáticas Configure las rutas estáticas predeterminadas IPv4 e

predeterminadas IP IPv6.
Configuración de rutas estáticas Configure una ruta estática flotante para

flotantes proporcionar una conexión de respaldo.
Configuración de rutas de host Configure rutas de hosts estáticas IPv4 e IPv6 que
estáticas dirijan el tráfico hacia un host específico.
P á g i n a | 733
Rutas IP estáticas / Rutas estáticas
Rutas estáticas
15.1.1
Tipos de rutas estáticas

Las rutas estáticas se implementan comúnmente en una red. Esto es cierto incluso cuando
hay un protocolo de enrutamiento dinámico configurado. Por ejemplo, una organizac ió n
podría configurar una ruta estática predeterminada para el proveedor de servicios y anunciar
esta ruta a otros routers corporativos mediante el protocolo de enrutamiento dinámico.
Las rutas estáticas se pueden configurar para IPv4 e IPv6. Ambos protocolos admiten los
siguientes tipos de rutas estáticas:
 Ruta estática estándar

 Ruta estática predeterminada
 Ruta estática flotante
 Ruta estática resumida
Las rutas estáticas se configuran con el comando ip route y el de ipv6 route configurac ió n
global.
15.1.2
Opciones de siguiente salto

El siguiente salto se puede identificar mediante una dirección IP, una interfaz de salida, o
ambas cuando se está configurando una ruta estática. El modo en que se especifica el
destino genera uno de los siguientes tres tipos de ruta:
 Ruta del siguiente salto - Solo se especifica la dirección IP del siguiente salto
 Ruta estática conectada directamente - Solo se especifica la interfaz de salida del router
 Ruta estática totalmente especificada - Se especifican la dirección IP del siguiente salto y la
interfaz de salida
P á g i n a | 734
15.1.3
Comando de ruta estática IPv4

Las rutas estáticas IPv4 se configuran con el siguiente comando global:
Nota: Se deben configurar los parámetros ip-address, exit-intf, o ip-address y exit-intf .
La tabla describe los ip route parámetros para el comando.
network-address
Identifica la dirección de red IPv4 de destino de la red
remota para agregar a la tabla de enrutamiento.
 Identifica la máscara de subred de la red remota.

 La máscara de subred puede modificarse para resumir un
subnet-mask
grupo de redes y crear una ruta estática resumida.
 Identifica la dirección IPv4 del router de siguiente salto.

 Normalmente se utiliza con redes de difusión (es decir,
Ethernet).
ip-address  Podría crear una ruta estática recursiva donde el router
realice una búsqueda adicional para encontrar la interfaz
de salida.
 Identifica la interfaz de salida para reenviar paquetes.

 Crea una ruta estática conectada directamente.
exit-intf  Suele utilizarse para conectarse en una configuración
punto a punto.
Crea una ruta estática completamente especificada porque

exit-intf ip-address especifica la interfaz de salida y la dirección IPv4 de salto
siguiente.
 Comando opcional que se puede utilizar para asignar un

valor administrativo de distancia entre 1 y 255.
 Suele utilizarse para configurar una ruta estática flotante
distance
al establecer una distancia administrativa mayor a la de
una ruta dinámica predeterminada.
P á g i n a | 735
15.1.4
Comando de ruta estática IPv6

Las rutas estáticas IPv6 se configuran con el siguiente comando global:
La mayoría de los parámetros son idénticos a la versión IPv4 del comando.
La tabla muestra los distintos parámetros de ipv6 route comando y sus descripciones.
Identifica la dirección de la red IPv6 de destino de la

ipv6-prefix
red remota para agregar a la tabla de enrutamiento.
/prefix-length Identifica la longitud del prefijo de la red remota.
 Identifica la dirección IPv6 del router de siguiente salto.

 Normalmente se utiliza con redes de difusión (por
ejemplo, Ethernet)
ipv6-address  Podría crear una ruta estática recursiva donde el router
realice una búsqueda adicional para encontrar la
interfaz de salida.
 Identifica la interfaz de salida para reenviar paquetes.

 Crea una ruta estática conectada directamente.
exit-intf  Suele utilizarse para conectarse en una configuración
punto a punto.
Crea una ruta estática completamente especificada

exit-intf ipv6-address porque especifica la salida y dirección IPv6 de salto
siguiente.
 Comando opcional que se puede utilizar para asignar

un valor administrativo de distancia entre 1 y 255.
 Suele utilizarse para configurar una ruta estática
distance
flotante al establecer una distancia administrativa
mayor que una ruta dinámica predeterminada.
Nota: El comando de configuración global ipv6 unicast-routing, debe configurarse para que
habilite al router para que reenvíe paquetes IPv6.
P á g i n a | 736
15.1.5
Topología Dual-Stack
En la figura, se ve una topología de red dual-stack. Actualmente, no hay rutas estáticas
configuradas para IPv4 o IPv6.
El gráfico muestra una red de tres routers. La topología que tiene R1 está en la parte infer ior
izquierda, R2 está en la parte media superior y R3 está en la parte inferior derecha. Hay un
cable serie desde la interfaz R1s S0/1/0 a la interfaz R2s S0/1/0 y otro cable serie desde la
interfaz R2s S0/1/1 a la interfaz R3s S0/1/1. Las tres LAN utilizan la interfaz G0/0/0 de su
router. Hay un switch conectado al router y una PC conectada al switch. PC1 está en la LAN
para R1, PC2 está en la LAN para R2 y PC3 está en la LAN para R3. Las interfaces del router
tendrán una dirección.1 para todas las interfaces LAN y WAN, excepto para ambas interfaces
seriales (WAN) en R2. Estas interfaces en R2 se asignan a .2 ya que .1 toma el enlace WAN.
A ninguno de los switches o los PC se les asignaron direcciones IP. El direccionamiento en
la LAN en R1 tiene la dirección IPv4 172.16.3.0/24 y el direccionamiento IPv6 de
2001:db8:acad:3: :/64. La WAN entre R1 y R2 tiene la dirección IPv4 172.16.2.0/24 y la
dirección IPv6 de 2001:db8:acad:2: :/64. El direccionamiento en la LAN en R2 tiene la
dirección IPv4 172.16.1.0/24 y la dirección IPv6 de 2001:db8:acad:1: :/64. La WAN entre
R2 y R3 tiene la dirección IPv4 192.168.1.0/24 y la dirección IPv6 de 2001:db8:cafe:1: :/64.
El direccionamiento en la LAN en R3 tiene la dirección IPv4 192.168.2.0/24 y el
direccionamiento IPv6 de 2001:db8:cafe:2: :/64.
P á g i n a | 737
15.1.6
Iniciando tablas de enrutamiento IPv4
Tabla de routing IPv4 del R1
R1 IPv4 Routing Table
Tabla de Routing IPv4 del R2
Tabla de Routing IPv4 del R3
R1 puede hacerle ping a R2

P á g i n a | 738
R1 Can Ping R2
Ninguno de los routers tiene conocimiento de las redes que están fuera de las interfaces
conectadas directamente. Esto significa que cada router solo puede llegar a redes conectadas
directamente, como se demuestra en las siguientes pruebas de ping.
Un ping de R1 a la interfaz serial 0/1/0 de R2 debe tener éxito porque es una red conectada
directamente.
R1 no puede hacer ping a LAN R3
R1 Cannot Ping R3 LAN
Sin embargo, un ping del R1 a la LAN del R3 debe fallar porque R1 no tiene una entrada en
su tabla de routing para la red LAN del R3.
15.1.7
Inicio de tablas de enrutamiento de IPv6
Tabla de enrutamiento IPv6 del R1

P á g i n a | 739

P á g i n a | 740
Ninguno de los routers tiene conocimiento de las redes que están fuera de las interfaces
conectadas directamente.
Un ping de R1 a la interfaz serial 0/1/0 en R2 debería tener éxito.
R1 no puede hacer ping a LAN R3
R1 no puede hacerle ping a LAN R3
Sin embargo, a ping a la LAN R3 no tiene éxito. Esto se debe a que el R1 no tiene una entrada
en su tabla de routing para esa red.
15.1.8
Compruebe su comprensión - Rutas

estáticas
Verifique su comprensión de rutas estáticas eligiendo la MEJOR respuesta a las siguientes
preguntas.
P á g i n a | 741
P á g i n a | 742
Rutas IP estáticas / Configuración de rutas estáticas IP
Configuración de rutas estáticas IP

15.2.1
Ruta estática IPv4 de siguiente salto

Los comandos para configurar rutas estáticas estándar varían ligeramente entre IPv4 e IPv6.
En este tema se muestra cómo configurar rutas estáticas estándar de siguiente salto,
conectadas directamente y completas especificadas para IPv4 e IPv6.
En una ruta estática de siguiente salto, solo se especifica la dirección IP del siguiente salto. La
interfaz de salida se deriva del próximo salto. Por ejemplo, se configuran tres rutas estáticas de
siguiente salto en el R1 con la dirección IP del siguiente salto, el R2.
El gráfico muestra una red de tres routers. La topología que tiene R1 está en la parte inferior
interfaz R2s S0/1/1 a la interfaz R3s S0/1/1. Las tres LAN utilizan la interfaz G0/0/0 de su router.
Hay un switch conectado al router y una PC conectada al switch. PC1 está en la LAN para R1,
PC2 está en la LAN para R2 y PC3 está en la LAN para R3. Las interfaces del router tendrán
una dirección.1 para todas las interfaces LAN y WAN, excepto para ambas interfaces seriales
(WAN) en R2. Estas interfaces en R2 se asignan a .2 ya que .1 toma el enlace WAN. A ninguno
de los switches o los PC se les asignaron direcciones IP. El direccionamiento en la LAN en R1
tiene la dirección IPv4 172.16.3.0/24 y el direccionamiento IPv6 de 2001:db8:acad:3: :/64. La
WAN entre R1 y R2 tiene la dirección IPv4 172.16.2.0/24 y la dirección IPv6 de 2001:db8:ac ad:2:
P á g i n a | 743
:/64. El direccionamiento en la LAN en R2 tiene la dirección IPv4 172.16.1.0/24 y la dirección

IPv6 de 2001:db8:acad:1: :/64. La WAN entre R2 y R3 tiene la dirección IPv4 192.168.1.0/24 y
la dirección IPv6 de 2001:db8:cafe:1: :/64. El direccionamiento en la LAN en R3 tiene la dirección
IPv4 192.168.2.0/24 y el direccionamiento IPv6 de 2001:db8:cafe:2: :/64.
Los comandos para configurar R1 con las rutas estáticas IPv4 a las tres redes remotas son los
siguientes:
La tabla de enrutamiento para R1 ahora tiene rutas a las tres redes IPv4 remotas.
15.2.2
Ruta estática IPv6 de siguiente salto

Los comandos para configurar R1 con las rutas estáticas IPv6 a las tres redes remotas son los
siguientes:
La tabla de enrutamiento para R1 ahora tiene rutas a las tres redes IPv6 remotas.
P á g i n a | 744
15.2.3
Ruta Estática IPv4 Conectada

Directamente
Al configurar una ruta estática, otra opción es utilizar la interfaz de salida para especificar la
dirección del siguiente salto. La figura muestra de nuevo la topología.
P á g i n a | 745
(WAN) en R2. Estas interfaces en R2 se asignan a .2 ya que .1 toma el enlace WAN. A ninguno
WAN entre R1 y R2 tiene la dirección IPv4 172.16.2.0/24 y la dirección IPv6 de 2001:db8:ac ad:2:
Se configuran tres rutas estáticas conectadas directamente en el R1 mediante la interfaz de

salida.
La tabla de routing para el R1 muestra que cuando un paquete está destinado a la red
192.168.2.0/24, el R1 busca una coincidencia en la tabla de routing y encuentra que puede
reenviar el paquete desde su interfaz serial 0/0/0.
Nota: Generalmente se recomienda utilizar una dirección de salto siguient e. Las rutas estáticas
conectadas directamente solo deben usarse con interfaces seriales punto a punto, como en este
ejemplo.
P á g i n a | 746
15.2.4
Ruta Estática IPv6 Conectada

Directamente
En el ejemplo, se configuran tres rutas estáticas conectadas directamente en el R1 mediante la
interfaz de salida.
La tabla de routing IPv6 para el R1 en el ejemplo muestra que cuando un paquete está destinado
a la red 2001:db8:cafe:2::/64, el R1 busca una coincidencia en la tabla de routing y encuentra
que puede reenviar el paquete desde su interfaz serial 0/0/0.
Nota: Generalmente se recomienda utilizar una dirección de salto siguiente. Solo se deben
utilizar rutas estáticas conectadas directamente con interfaces seriales de punto a punto, como
se muestra en este ejemplo.
15.2.5
P á g i n a | 747
Ruta estática completamente especificada

IPv4
Una ruta estática completamente especificada tiene determinadas tanto la interfaz de salida
como la dirección IP del siguiente salto. Esta forma de ruta estática se utiliza cuando la interfaz
de salida es una interfaz de acceso múltiple y se debe identificar explícitamente el siguiente
salto. El siguiente salto debe estar conectado directamente a la interfaz de salida especificada.
El uso de una interfaz de salida es opcional, sin embargo, es necesario ut ilizar una dirección de
salto siguiente.
Suponga que el enlace de red entre el R1 y el R2 es un enlace Ethernet y que la interfaz

GigabitEthernet 0/0/1 del R1 está conectada a dicha red, como se muestra en la figura 1.
cable Ethernet cruzado de interfaz R1s G0/0/1 a interfaz R2s G0/0/1 y un cable serie de interfaz
R2s S0/1/1 a interfaz R3s S0/1/1. Las tres LAN utilizan la interfaz G0/0/0 de su router. Hay un
switch conectado al router y una PC conectada al switch. PC1 está en la LAN para R1, PC2
está en la LAN para R2 y PC3 está en la LAN para R3. Las interfaces del rout er tendrán una
dirección .1 para todas las interfaces LAN y WAN, excepto para ambas conexiones en interfaces
R2s que se conectan a los otros routers. Estas interfaces en R2 se dan .2 ya que .1 se toma el
enlace. A ninguno de los switches o los PC se les asignaron direcciones IP. R1 tiene una
dirección local de enlace de FE80: :1 en las interfaces y R2 tiene FE80: :2 en las interfaces. El
direccionamiento en la LAN en R1 tiene la dirección IPv4 172.16.3.0/24 y el direccionamiento
IPv6 de 2001:db8:acad:3: :/64. La Ethernet entre R1 y R2 tiene la dirección IPv4 172.16.2.0/24
y la dirección IPv6 de 2001:db8:acad:2: :/64. El direccionamiento en la LAN en R2 tiene la
P á g i n a | 748
dirección IPv4 172.16.1.0/24 y la dirección IPv6 de 2001:db8:acad:1: :/64. La WAN entre R2 y

R3 tiene la dirección IPv4 192.168.1.0/24 y la dirección IPv6 de 2001:db8:cafe:1: :/64. El
IPv6 de 2001:db8:cafe:2: :/64.
La diferencia entre una red Ethernet de accesos múltiples y una red serial punto a punto es que
esta última solo tiene un dispositivo más en esa red, el router que se encuentra en el otro
extremo del enlace. Con las redes Ethernet, es posible que existan muchos dispositivos
diferentes que comparten la misma red de accesos múltiples, incluyendo hosts y hasta routers
múltiples.
Cuando la interfaz de salida sea una red Ethernet, se recomienda utilizar una ruta estática que
incluya una dirección del siguiente salto. También puede usar una ruta estática co mpletamente
especificada que incluye la interfaz de salida y la dirección de siguiente salto.
Al reenviar paquetes al R2, la interfaz de salida es GigabitEthernet 0/0/1 y la dirección IPv4 del
siguiente salto es 172.16.2.2. como se muestra en el show ip route resultado de R1.
15.2.6
Ruta estática completamente especificada

IPv6
En una ruta estática IPv6 completamente especificada, se especifican tanto la interfaz de salida
como la dirección IPv6 del siguiente salto. Hay una situación en IPv6 que se d a cuando se debe
utilizar una ruta estática completamente especificada. Si la ruta estática IPv6 usa una dirección
IPv6 link-local como la dirección del siguiente salto, debe utilizarse una ruta estática
completamente especificada. La figura muestra un ejemplo de una ruta estática IPv6
completamente especificada que utiliza una dirección IPv6 link-local como la dirección del
siguiente salto.
P á g i n a | 749
El gráfico muestra una red simple con dos routers, R1 a la izquierda y R2 a la derecha. Los
routers están conectados junto con un cable serie; ambos utilizan la interfaz S0/1/0. Cada router
tiene una LAN que no muestra el equipo específico. La LAN en R1 tiene la dirección IPv6
2001:db8:acad:3: :/64 y la LAN en R2 tiene la dirección IPv6 2001:db8:acad:1: :/64. El enlace
serial tiene la dirección 2001:db8:acad:2: :/64, con R1 usando: :1 y FE80: :1 y R2 usa: :2 y FE80:
:2. Debajo del enlace serie hay un campo naranja con la instrucción IPv6 Link -Local Addresses
dentro de él. Hay dos flechas anaranjadas en cada extremo del campo que apuntan hacia el
direccionamiento local del vínculo en la interfaz serie de ambos routers.
En el ejemplo, se configura una ruta estática completamente especificada con la dirección link -
local del R2 como dirección del siguiente salto. Observe que el IOS requiere que se especifique
una interfaz de salida.
La razón por la cual se debe utilizar una ruta estática completamente especificada es que las
direcciones IPv6 link-local no están incluidas en la tabla de routing IPv6. Las direcciones link -
local solo son exclusivas en una red o un enlace dados. La dirección link-local del siguiente salto
puede ser una dirección válida en varias redes conectadas al router. Por lo tanto, es necesario
que la interfaz de salida se incluya.
El siguiente ejemplo muestra la entrada de la tabla de routing IPv6 para esta ruta. Observe que
la dirección link-local del siguiente salto y la interfaz de salida están incluidas.
P á g i n a | 750
15.2.7
Verificación de una ruta estática

Junto con show ip route , show ipv6 route , ping y traceroute, otros comandos útiles para
verificar las rutas estáticas son los siguientes:
 show ip route static

 show ip route network
 show running-config | section ip route
Reemplace ip con ipv6 para las versiones IPv6 del comando.
Haga referencia a la figura al revisar los ejemplos de comandos.
(WAN) en R2. Estas interfaces en R2 se asignan a .2 ya que .1 toma el enla ce WAN. A ninguno
WAN entre R1 y R2 tiene la dirección IPv4 172.16.2.0/24 y la dirección IPv6 de 2001:db8:acad:2:
P á g i n a | 751

Mostrar sólo rutas estáticas IPv4
Esta salida muestra sólo las rutas estáticas IPv4 en la tabla de enrutamiento. También tenga en
cuenta dónde el filtro comienza la salida, excluyendo todos los códigos.
Mostrar una red IPv4 específica
Este comando mostrará la salida sólo para la red especificada en la tabla de enrutamiento.
Mostrar la configuración de la ruta estática IPv4
Este comando filtra la configuración en ejecución sólo para rutas estáticas IPv4.
Mostrar sólo rutas estáticas IPv6
Este resultado muestra sólo las rutas estáticas IPv6 en la tabla de enrutamiento. También tenga
en cuenta dónde el filtro comienza la salida, excluyendo todos los códigos.
P á g i n a | 752
Mostrar una red IPv6 específica
Este comando mostrará la salida de la red especificada en la tabla de routing únicamente.
Mostrar la configuración de la ruta estática IPv6
Este comando filtra la configuración en ejecución sólo para rutas estáticas IPv6.
P á g i n a | 753
15.2.8
Verificador de sintaxis- Configurar rutas

estáticas
Configurar rutas estáticas en función de los requisitos especificados.
cable Ethernet cruzado de interfaz R1s G0/0/1 a interfaz R2s G0/0/1 y un cable serie de interfaz
R2s S0/1/1 a interfaz R3s S0/1/1. Las tres LAN utilizan la interfaz G0/0/0 de su router. Hay un
switch conectado al router y una PC conectada al switch. PC1 está en la LAN para R1, PC2
está en la LAN para R2 y PC3 está en la LAN para R3. Las interfaces del router tendrán una
dirección .1 para todas las interfaces LAN y WAN, excepto para ambas conexiones en interfaces
R2s que se conectan a los otros routers. Estas interfaces en R2 se dan .2 ya que .1 se toma el
enlace. A ninguno de los switches o los PC se les asignaron direcciones IP. R1 tiene una
dirección local de enlace de FE80: :1 en las interfaces y R2 tiene FE80: :2 en las interfaces. El
IPv6 de 2001:db8:acad:3: :/64. La Ethernet entre R1 y R2 tiene la dirección IPv4 172.16.2.0/24
y la dirección IPv6 de 2001:db8:acad:2: :/64. El direccionamiento en la LAN en R2 tiene la
IPv6 de 2001:db8:cafe:2: :/64.
Configure una ruta estática IPv4 del siguiente salto en R2 a la red 192.168.20/24 usando la
dirección del siguiente salto 192.168.1.1.
P á g i n a | 754
R2(config)#ip route 192.168.2.0 255.255.255.0 192.168.1.1
Configure a fully specified IPv4 static route on R2 to the 172.16.3.0/24 network using the exit
interface/next-hop pair: g0/0/1 172.16.2.1
R2(config)#ip route 172.16.3.0 255.255.255.0 g0/0/1 172.16.2.1
Configure an IPv6 next-hop static route on R2 to the 2001:db8:cafe:2::/64 network using the
next-hop address 2001:db8:cafe:1::1.
R2(config)#ipv6 route 2001:db8:cafe:2::/64 2001:db8:cafe:1::1
Configure a fully specified IPv6 static route on R2 to the 2001:db8:acad:3::/64 network using
the exit interface/next-hop pair: g0/0/1 / fe80::1
R2(config)#ipv6 route 2001:db8:acad:3::/64 g0/0/1 fe80::1
Exit configuration mode and issue the command to display only the IPv4 static routes in the
routing table of R2.
R2(config)#exit
*Sep 18 21:44:32.910: %SYS-5-CONFIG_I: Configured from console by console
R2#show ip route static
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS
level-2
ia - IS-IS inter area, * - candidate default, U - per-user static
route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from
PfR
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 5 subnets, 2 masks
S 172.16.3.0/24 [1/0] via 172.16.2.1, GigabitEthernet0/0/1
S 192.168.2.0/24 [1/0] via 192.168.1.1
Issue the command to display only the IPv6 static routes in the routing table of R2.
R2#show ipv6 route static

IPv6 Routing Table - default - 9 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, R - RIP, H - NHRP, I1 - ISIS L1
I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D - EIGRP
EX - EIGRP external, ND - ND Default, NDp - ND Prefix, DCE -
Destination
NDr - Redirect, RL - RPL, O - OSPF Intra, OI - OSPF Inter
OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
ON2 - OSPF NSSA ext 2, a - Application
S 2001:DB8:ACAD:3::/64 [1/0]
P á g i n a | 755
via FE80::1, GigabitEthernet0/0/1

S 2001:DB8:CAFE:2::/64 [1/0]
via 2001:DB8:CAFE:1::1
==============================================================
You are now logged into R3:
Configure a directly connected IPv4 static route on R3 to the 172.16.3.0/24 network using exit
interface S0/1/1.
R3(config)#ip route 172.16.3.0 255.255.255.0 s0/1/1
Configure a directly connected IPv4 static route on R3 to the 172.16.1. 0/24 network using exit
interface S0/1/1.
Configure a directly connected IPv4 static route on R3 to the 172.16.2.0/24 network using exit
interface S0/1/1.
Configure a directly connected IPv6 static route on R3 to the 2001:db8:acad:1::/64 network

using exit interface S0/1/1.
R3(config)#ipv6 route 2001:db8:acad:1::/64 s0/1/1


Exit configuration mode and issue the command to display only the IPv4 static routes in the
routing table of R3.
R3(config)#exit
Sep 18 21:47:57.894: %SYS-5-CONFIG_I: Configured from console by console
level-2
route
P á g i n a | 756

PfR
172.16.0.0/24 is subnetted, 3 subnets
S 172.16.1.0 is directly connected, Serial0/1/1
Issue the command to display only the IPv6 static routes in the routing table of R3.

Destination
S 2001:DB8:ACAD:1::/64 [1/0]
via Serial0/1/1, directly connected
S 2001:DB8:ACAD:2::/64 [1/0]
S 2001:DB8:ACAD:3::/64 [1/0]
You have successfully configured and verified IPv4 and IPv6 static
routes.
P á g i n a | 757
Rutas IP estáticas / Configuración de rutas estáticas predeterminadas IP
Configuración de rutas estáticas

predeterminadas IP
15.3.1
Ruta estática por defecto

En este tema le enseña cómo configurar una ruta predeterminada para IPv4 e IPv6.
También explica las situaciones en las que una ruta predeterminada es una buena opción.
Una ruta predeterminada es una ruta estática que coincide con todos los paquetes. En lugar
de almacenar rutas para todas las redes en Internet, los routers pueden almacenar una única
ruta predeterminada que represente cualquier red que no esté en la tabla de routing.
Los routers suelen utilizar rutas predeterminadas configuradas de forma local, o bien,
descubiertas por otro router, mediante un protocolo de routing dinámico. Una ruta
predeterminada no requiere de ningún bit para que coincida entre la ruta predeterminada y
la dirección IP destino. Una ruta predeterminada se utiliza cuando ninguna otra ruta de la
tabla de routing coincide con la dirección IP de destino del paquete. Es decir, si no existe
una coincidencia más específica, entonces se utiliza la ruta predeterminada como el
gateway de último recurso.
Las rutas estáticas predeterminadas se utilizan comúnmente al conectar un router perimetral

a una red de proveedor de servicios, o un router stub (un router con solo un router vecino
ascendente).
La figura muestra un escenario de ruta estática predeterminado típico.
R1 solo necesita saber

sobre redes conectadas
directamente. Para todas
las demás redes, puede
utilizar una ruta estática
predeterminada al R2.
P á g i n a | 758
El gráfico muestra dos routers, R1 está en la parte inferior izquierda y hay una conexión serial
a R2 en la parte superior derecha. Ambos routers están utilizando la interfaz S0/1/0. R2 está
conectado a una nube que dice Red en su centro. R1 está conectado a una LAN que tiene un
switch, S1 y PC etiquetado PC1 conectado a S1. R1 está usando G0/0/0 para la LAN; que
tiene una dirección IPv4 de 172.16.3.0/24. El enlace serie tiene la dirección IPv4 de
172.16.2.0/24. Hay un campo amarillo alrededor de la LAN. Encima del campo LAN están
las palabras: Stub Network en naranja y apunta con una flecha a la LAN. Debajo de la LAN
están las palabras: Stub Router en otro campo naranja y apunta a R1. Debajo del diagrama
está la declaración: R1 solo necesita saber acerca de las redes conectadas directamente. Para
todas las demás redes, puede utilizar una ruta estática predeterminada al R2.
IPv4 Default Static Route
La sintaxis del comando para una ruta estática predeterminada IPv4 es similar a cualquier
otra ruta estática, con la excepción de que la dirección de red es 0.0.0.0 y la máscara de subred
es 0.0.0.0. 0.0.0.0 0.0.0.0 en la ruta coincidirá con cualquier dirección de red.
Nota: Una ruta estática predeterminada IPv4 suele llamarse “ruta de cuádruple cero”.
La sintaxis del comando básico de una ruta estática predeterminada IPv4 es la siguiente:
IPv6 Default Static Route
La sintaxis del comando para una ruta estática predeterminada IPv4 es similar a la sintaxis
del comando de cualquier otra ruta estática, excepto que ipv6-prefix/prefix- length es ::/0,
que coincide con todas las rutas.
La sintaxis del comando básico de una ruta estática predeterminada IPv6 es la siguiente:
15.3.2
Configuración de una ruta estática

predeterminada
En la figura, R1 puede configurarse con tres rutas estáticas para alcanzar todas las redes
remotas en la topología de ejemplo. Sin embargo, el R1 es un router de rutas internas, ya
P á g i n a | 759
que está conectado únicamente al R2. Por lo tanto, sería más eficaz configurar una sola ruta
estática predeterminada.
El ejemplo muestra una ruta estática predeterminada IPv4 configurada en R1. Con la
configuración del ejemplo, cualquier paquete que no coincida con entradas más específicas
de la ruta se reenvía a 172.16.2.2.
Una ruta estática predeterminada IPv6 se configura de manera similar. Con esta
configuración, cualquier paquete que no coincida con entradas más específicas de la ruta
IPv6 se reenvía a R2 al 2001:db8:acad:2::2
P á g i n a | 760
15.3.3
Verificar una ruta estática

predeterminada
El gráfico muestra una red de tres routers. La topología que tiene R1 está en la parte infer io r
tendrán una dirección .1 para todas las interfaces LAN y WAN, excepto para ambas
interfaces seriales (WAN) en R2. Estas interfaces en R2 se asignan a .2 ya que .1 toma el
enlace WAN. A ninguno de los switches o los PC se les asignaron direcciones IP. El
direccionamiento en la LAN en R1 tiene la dirección IPv4 172.16.3.0/24 y el
direccionamiento IPv6 de 2001:db8:acad:3: :/64. La WAN entre R1 y R2 tiene la dirección
IPv4 172.16.2.0/24 y la dirección IPv6 de 2001:db8:acad:2: :/64. El direccionamiento en la
LAN en R2 tiene la dirección IPv4 172.16.1.0/24 y la dirección IPv6 de 2001:db8:acad:1 :
:/64. La WAN entre R2 y R3 tiene la dirección IPv4 192.168.1.0/24 y la dirección IPv6 de
2001:db8:cafe:1: :/64. El direccionamiento en la LAN en R3 tiene la dirección IPv4
192.168.2.0/24 y el direccionamiento IPv6 de 2001:db8:cafe:2: :/64.
P á g i n a | 761
Verificar Ruta estática predeterminada IPv4
La salida del comando show ip route static de R1 muestra el contenido de las rutas estáticas
en la tabla de routing. Vea el asterisco (*) Al lado de la ruta con el código "S". Como se
muestra en la tabla de códigos en la salida del comando show ip route, el asterisco indica
que la ruta estática es una ruta predeterminada candidata, razón por la cual se selecciona
como gateway de último recurso.
Verificar Ruta estática predeterminada IPv6
Este ejemplo muestra el resultado del comando show ipv6 route static para mostrar el
contenido de la tabla de routing.
Observe que la configuración de ruta estática predeterminada utiliza la máscara /0 para las
rutas predeterminadas IPv4 y el prefijo: :/0 para las rutas predeterminadas IPv6. Recuerde
que la longitud de la máscara subnet IPv4 y el prefijo de IPv6 en una tabla de routing
determina cuántos bits deben coincidir entre la dirección IP de destino del paquete y la ruta
en la tabla de routing. Un prefijo /0 mask or ::/0 indica que no se requiere que ninguno de los
P á g i n a | 762
bits coincida. Mientras no exista una coincidencia más específica, la ruta estática
predeterminada coincide con todos los paquetes.
15.3.4

estáticas
Configure y verifique rutas estáticas predeterminadas en función de los requisitos
especificados.
P á g i n a | 763

Configure una ruta estática predeterminada IPv4 en R3 para llegar a todas las redes remotas.
Utilice la dirección IPv4 del siguiente salto como argumento.
R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
Configure an IPv6 default static route on R3 to reach all remote networks. Use the next -hop
IPv6 address argument.
R3(config)#ipv6 route ::/0 2001:db8:cafe:1::2
Exit configuration mode and display only the static routes in the IPv4 routing table.
R3(config)#exit
*Sep 16 10:11:43.767: %SYS-5-CONFIG\_I: Configured from console by
console
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
+ - replicated route, % - next hop override
Display only the static routes in the IPv6 routing table.

EX - EIGRP external, RL - RPL, O - OSPF Intra, OI - OSPF Inter
ON2 - OSPF NSSA ext 2, a – Application
You have successfully configured and verified default static routes.

P á g i n a | 764
Rutas IP estáticas / Configuración de rutas estáticas flotantes
Configuración de rutas estáticas

flotantes
15.4.1
Rutas estáticas flotantes

Al igual que con los otros temas de este módulo, aprenderá a configurar rutas estáticas flotantes
IPv4 e IPv6 y cuándo utilizarlas.
Otro tipo de ruta estática es una ruta estática flotante. Las rutas estáticas flotantes son rutas
estáticas que se utilizan para proporcionar una ruta de respaldo a una ruta estática o dinámica
principal, en el caso de una falla del enlace. La ruta estática flotante se utiliza únicamente
cuando la ruta principal no está disponible.
Para lograrlo, la ruta estática flotante se configura con una distancia administrativa mayor que
la ruta principal. La distancia administrativa representa la confiabilidad de una ruta. Si existen
varias rutas al destino, el router elegirá la que tenga una menor distanc ia administrativa.
Por ejemplo, suponga que un administrador desea crear una ruta estática flotante como
respaldo de una ruta descubierta por EIGRP. La ruta estática flotante se debe configurar con
una distancia administrativa mayor que el EIGRP. El EIGRP tiene una distancia administrativa
de 90. Si la ruta estática flotante se configura con una distancia administrativa de 95, se prefiere
la ruta dinámica descubierta por el EIGRP a la ruta estática flotante. Si se pierde la ruta
descubierta por el EIGRP, en su lugar se utiliza la ruta estática flotante.
En la imagen, el router de la sucursal generalmente reenvía todo el tráfico al router de la oficina

central (HQ) mediante el enlace WAN privado. En este ejemplo, los routers intercambian
información de la ruta utilizando el EIGRP. Una ruta estática flotante, con una distancia
administrativa de 91 o superior, se puede configurar para que funcione como ruta de respaldo.
Si el enlace WAN privado falla y la ruta EIGRP desaparece de la tabla de routing, el router
selecciona la ruta estática flotante como la mejor ruta para alcanzar la LAN de la oficina central.
P á g i n a | 765
1. Se prefiere una ruta aprendida a través del enrutamiento dinámico.

2. Si una ruta dinámica se pierde, la ruta estática flotante se utilizará.
El gráfico muestra dos enrutadores que tienen dos conexiones seriales cada uno a dos nubes
diferentes que permitirán la comunicación entre los routers. A la izquierda, el primer router se
llama Branch y el segundo router se llama HQ y está a la derecha. Ambos routers util izan S0/1/0
para conectarse a la nube en la parte superior de la topología. Esta nube tiene las palabras
WAN privada en el centro de la misma con la dirección 172.16.1.0/30. Ambos routers utilizan
S0/1/1 para conectarse a la nube inferior. Esta nube tiene un router llamado ISP. La nube tiene
la palabra Internet en ella. La conexión del router Branch al ISP es 209.165.200.240/29 con .242
en el lado Branch y .241 en el lado ISP. La conexión del router HQ al ISP es 209.165.200.224/29
con .226 en el lado HQ y .225 en el lado ISP. Hay una línea curva púrpura que se extiende
desde el router Branch a través de la nube WAN privada y apunta al router HQ. Hay el número
1 en un círculo en el lado de la rama. En una caja morada al lado del router Branch dice: Yo
prefiero alcanzar el router HQ usando un link WAN privado. En la parte inferior hay otra línea
curva que es gris y va desde el router Branch debajo de la nube de Internet y apunta al router
HQ. El número 2 está en un círculo en el lado del Branch. En una caja Gris al lado del router
Branch dice: Sin embargo, si ese link falla, puedo utiizar una ruta estática flotante que se conecta
al internet como respaldo. En la parte inferior del diagrama de topología hay dos instrucciones
numeradas: 1. Se prefiere una ruta aprendida a través del enrutamiento dinámico. y 2. Si se
pierde una ruta dinámica, se utilizará la ruta estática flotante.
De manera predeterminada, las rutas estáticas tienen una distancia administrativa de 1, lo que
las hace preferibles a las rutas descubiertas mediante protocolos de routing dinámico. Por
ejemplo, las distancias administrativas de algunos protocolos de routing dinámico comunes son
las siguientes:
 EIGRP = 90
 OSPF = 110
 IS-IS = 115
P á g i n a | 766
La distancia administrativa de una ruta estática se puede aumentar para hacer que la ruta sea
menos deseable que la ruta de otra ruta estática o una ruta descubierta mediante un protocolo
de routing dinámico. De esta manera, la ruta estática “flota” y no se utiliza cuando está activa la
ruta con la mejor distancia administrativa. Sin embargo, si se pierde la ruta de preferencia, la
ruta estática flotante puede tomar el control, y se puede enviar el tráfico a través de esta ruta
alternativa.
15.4.2
Configure las Rutas Estáticas Flotantes

IPv4 y IPv6
Las rutas estáticas flotantes IP se configuran mediante el distance argumento para especificar
una distancia administrativa. Si no se configura ninguna distancia administrativa, se utiliza el
valor predeterminado (1).
Consulte la topología en la figura y los comandos ip route y ipv6 route emitidos en R1. En esta
situación, la ruta predeterminada preferida desde R1 es a R2. La conexión al R3 se debe utilizar
solo para respaldo.
El gráfico muestra una red de tres routers. La topología R1 está en la parte inferior izquierda,
R2 está en la parte media superior y R3 está en la parte inferior derecha. Hay un cable serie
desde la interfaz R1s S0/1/0 a la interfaz R2s S0/1/0 y otro cable serie desde la interfaz R2s
S0/1/1 a la interfaz R3s S0/1/1. El es ahora un tercer enlace serial entre la interfaz R1s S0/1/1
con una dirección de .1 y la interfaz R3s S0/1/0 con una dirección de .2. Este enlace tiene la
dirección IPv4 10.10.0/24 y la dirección IPv6 2001:db8:feed:10: :/64. Las tres LAN utilizan la
interfaz G0/0/0 de su router. Hay un switch conectado al router y una PC conectada al switch.
P á g i n a | 767
PC1 está en la LAN para R1, PC2 está en la LAN para R2 y PC3 está en la LAN para R3. Las
interfaces del router tendrán una dirección .1 para todas las interfaces LAN y WAN, excepto
para ambas interfaces seriales (WAN) en R2. Estas interfaces en R2 se asignan a .2 ya que .1
toma el enlace WAN. A ninguno de los switches o los PC se les asignaron direcciones IP. El
la dirección IPv6 de 2001:db8:acad:2: :/64. El direccionamiento en la LAN en R2 tiene la
IPv6 de 2001:db8:cafe:2: :/64.
El R1 se configura con las rutas estáticas predeterminadas IPv4 e IPv6 apuntando al R2. Debido
a que no está configurada ninguna distancia administrativa, se utiliza el valor predeterminado
(1) para esta ruta estática. El R1 también se configura con las rutas estáticas flotantes
predeterminadas IPv6 que apuntan al R3 con una distancia administrativa de 5. Este valor es
mayor que el valor predeterminado de 1 y, por lo tanto, esta ruta flota y no está presente en la
tabla de routing, a menos que falle la ruta preferida.
show ip route y show ipv6 route verifican que la ruta predeterminada al R2 esté instalada en
la tabla de routing. Observe que la ruta estática flotante de IPv4 a R3 no está presente en la
tabla de routing.
Utilice el comando show run, para comprobar que las rutas estáticas flotantes están en la
configuración. Por ejemplo, el siguiente comando verifica que ambas rutas estáticas
predeterminadas IPv6 estén en la configuración en ejecución.
P á g i n a | 768
15.4.3
Pruebe la ruta estática flotante

En la imagen, ¿qué ocurriría si el R2 falla?
PC1 está en la LAN para R1, PC2 está en la LAN para R2 y PC3 está en la LAN p ara R3. Las
interfaces del router tendrán una dirección .1 para todas las interfaces LAN y WAN, excepto
IPv6 de 2001:db8:acad:3: :/64. La WAN entre R1 y R2 tiene la dirección IPv4 172.16.2.0/24 y la
dirección IPv6 de 2001:db8:acad:2: :/64. El direccionamiento en la LAN en R2 tiene la dirección
IPv4 172.16.1.0/24 y la dirección IPv6 de 2001:db8:acad:1: :/64. La WAN entre R2 y R3 tiene la
dirección IPv4 192.168.1.0/24 y la dirección IPv6 de 2001:db8:cafe:1: :/64. El direccionamiento
en la LAN en R3 tiene la dirección IPv4 192.168.2.0/24 y el direccionamiento IPv6 de
2001:db8:cafe:2: :/64.
Para simular esta falla, se desactivan ambas interfaces seriales del R2, como se muestra en la
configuración.
P á g i n a | 769
Observe que R1 genera mensajes automáticamente indicando que la interfaz serial a R2 está
caída.
Una mirada a las tablas de enrutamiento IP de R1 verifica que las rutas estáticas flotantes
predeterminadas están ahora instaladas como rutas predeterminadas y apuntan a R3 como
enrutador de salto siguiente.
15.4.4
Verificador de sintaxis - Configurar rutas

estáticas flotantes
Configure y verifique rutas estáticas flotantes en función de los requisitos especificados.
P á g i n a | 770
PC1 está en la LAN para R1, PC2 está en la LAN para R2 y PC3 está en la LAN para R3. Las
interfaces del router tendrán una dirección .1 para todas las interfaces LAN y WAN, exce pto
direccionamiento en la LAN en R1 tiene la dirección IPv4 172.16.3.0/ 24 y el direccionamiento
IPv6 de 2001:db8:acad:3: :/64. La WAN entre R1 y R2 tiene la dirección IPv4 172.16.2.0/24 y la
dirección IPv6 de 2001:db8:acad:2: :/64. El direccionamiento en la LAN en R2 tiene la dirección
IPv4 172.16.1.0/24 y la dirección IPv6 de 2001:db8:acad:1: :/64. La WAN entre R2 y R3 tiene la
dirección IPv4 192.168.1.0/24 y la dirección IPv6 de 2001:db8:cafe:1: :/64. El direccionamiento
en la LAN en R3 tiene la dirección IPv4 192.168.2.0/24 y el direccionamiento IPv6 de
2001:db8:cafe:2: :/64.
Configure una ruta predeterminada estática IPv4 en R3 utilizando la dirección del siguiente
salto 192.168.1.2.
R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
Configure an IPv4 default static route on R3 using the next-hop address 10.10.10.1 with an
administrative distance of 5.
R3(config)#ip route 0.0.0.0 0.0.0.0 10.10.10.1 5
Configure an IPv6 default static route on R3 using the next-hop address 2001:db8:cafe:1::2
R3(config)#ipv6 route ::/0 2001:db8:cafe:1::2

P á g i n a | 771
Configure an IPv6 default route on R3 using the next-hop address 2001:db8:feed:10::1 with an
administrative distance of 5.
R3(config)#ipv6 route ::/0 2001:db8:feed:10::1 5
Exit configuration mode and display the IPv4 routing table.
R3(config)#exit
R3#show ip route
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
+ - replicated route, % - next hop override
Gateway of last resort is 192.168.1.2 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 192.168.1.2

C 10.10.10.0/24 is directly connected, Serial0/1/0
L 10.10.10.2/32 is directly connected, Serial0/1/0
C 192.168.2.0/24 is directly connected, GigabitEthernet0/0/0
L 192.168.2.1/32 is directly connected, GigabitEthernet0/0/0
Display the IPv6 routing table.
R3#show ipv6 route

Destination
S ::/0 [1/0]
via 2001:DB8:CAFE:1::2
C 2001:DB8:CAFE:1::/64 [0/0]
L 2001:DB8:CAFE:1::1/128 [0/0]
via Serial0/1/1, receive
C 2001:DB8:CAFE:2::/64 [0/0]
via GigabitEthernet0/0/0, directly connected
L 2001:DB8:CAFE:2::1/128 [0/0]
via GigabitEthernet0/0/0, receive
P á g i n a | 772
C 2001:DB8:FEED:10::/64 [0/0]
L 2001:DB8:FEED:10::2/128 [0/0]
L FF00::/8 [0/0]
via Null0, receive
You have successfully configured and verified floating static routes.
Rutas IP estáticas / Configuración de rutas de host estáticas
Configuración de rutas de host

estáticas
15.5.1
Rutas del host

En este tema se muestra cómo configurar una ruta de host estática IPv4 e IPv6 y cuándo
utilizarlas.
Una ruta de host es una dirección IPv4 con una máscara de 32 bits o una dirección IPv6 con
una máscara de 128 bits. A continuación se muestra tres maneras de agregar una ruta de host
a una tabla de routing:
 Se instala automáticamente cuando se configura una dirección IP en el router (como se muestra en

las figuras)
 Configurarla como una ruta de host estático
 Obtener la ruta de host automáticamente a través de otros métodos (se analiza en cursos
posteriores).
15.5.2
Rutas de host instaladas automáticamente

El IOS de Cisco instala automáticamente una ruta de host, también conocida como ruta de
host local, cuando se configura una dirección de interfaz en el router. Una ruta host permite
un proceso más eficiente para los paquetes que se dirigen al router mismo, en lugar del envío
P á g i n a | 773
de paquetes. Esto es una suma a la ruta conectada, designada con una C en la tabla de routing
para la dirección de red de la interfaz.
Cuando una interfaz activa en un router se configura con una dirección IP, se agrega
automáticamente una ruta de host local a la tabla de routing. Las rutas locales se marcan
con L en el resultado de la tabla de routing.
Consulte la topología de referencia en la ilustración.
El gráfico muestra una topología de dos routers. A la izquierda está el router ISP conectado
por un cable serie al router Branch de la derecha. El ISP tiene una conexión a un dispositivo
llamado Servidor en el lado izquierdo. El servidor tiene una dirección IPv4 de
209.165.200.238/27 y una dirección IPv6 de 2001:db8:acad:2: :238/64. El enlace serie entre
los dos routers tiene una dirección IPv6 de 2001:db8:acad:1: :/64 y una dirección IPv4 de
198.51.100.0/30. El router ISP tiene las direcciones IP de .2,: :2 y fe80: :2 asignadas a su
interfaz. El router Branch tiene asignadas las direcciones IP de .1,: :1 y fe80: :1.
Las direcciones IP asignadas a la interfaz Branch Serial0/1/0 son 198.51.100.1/30 y

2001:db8:acad:1::1/64. Las rutas locales para la interfaz son instaladas por el IOS en la tabla
de routing del IPv4 e IPv6, como se muestra en el ejemplo.
P á g i n a | 774
15.5.3
Ruta estática de host

Una ruta de host puede ser una ruta estática configurada manualmente para dirigir el tráfico
a un dispositivo de destino específico, como un servidor de autenticación. La ruta estática
utiliza una dirección IP de destino y una máscara 255.255.255.255 (/32) para las rutas de host
IPv4 y una longitud de prefijo /128 para las rutas de host IPv6.
por un cable serie al enrutador Branch de la derecha. El ISP tiene una conexión a un
dispositivo llamado Servidor en el lado izquierdo. El servidor tiene una dirección IPv4 de
15.5.4
Configuración de rutas de host estáticas

El ejemplo muestra la configuración de la ruta de host estática IPv4 e IPv6 en el router Branch
para acceder al servidor.
P á g i n a | 775
15.5.5
Verificar rutas de host estáticas

Una revisión de las tablas de rutas IPv4 e IPv6 verifica que las rutas estén activas.
15.5.6
Configurar rutas de host estáticas IPV6

con Link-Local de siguiente salto
Para rutas estáticas IPv6, la dirección del siguiente salto puede ser la dirección link-local del
router adyacente. Sin embargo, debe especificar un tipo de interfaz y un número de interfaz
cuando usa una dirección link-local como siguiente salto, como se muestra en el ejemplo. En
primer lugar, se elimina la ruta de host estática IPv6 original y, a continuación, se configura
una ruta completamente especificada con la dirección IPv6 del servidor y la dirección local
del vínculo IPv6 del router ISP.
P á g i n a | 776
15.5.7

estáticas
Configurar y verificar rutas de host estáticas en función de los requisitos especificados.
por un cable serie al router Branch de la derecha. El ISP tiene una conexión a un dispositivo
llamado Servidor en el lado izquierdo. El servidor tiene una dirección IPv4 de
Muestre las tablas de routing en el router BRANCH.
 Emita el comando para ver la tabla de routing IPv4.

 Emita el comando para ver la tabla de routing IPv6.
Branch#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B -
BGP
level-2
ia - IS-IS inter area, * - candidate default, U - per-user
static route
o - ODR, P - periodic downloaded static route, H - NHRP, l -
LISP
P á g i n a | 777

PfR
Branch#show ipv6 route
Destination
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
L FF00::/8 [0/0]
via Null0, receive
Enter Global Configuration mode to configure the following:
 A static IPv4 route to a host at address 209.165.200.238 and an exit interface of s0/1/0.
 A static IPv6 route to a host at address 2001:db8:acad::2/128 and an exit interface of s0/1/0.
Note: Be sure to use s0/1/0 as the interface designation.
Branch#configure terminal
Branch(config)#ip route 209.165.200.238 255.255.255.255 s0/1/0
Branch(config)#ipv6 route 2001:db8:acad:2::238/128 s0/1/0
Exit configuration mode and display the IPv4 and IPv6 routing tables.
Branch(config)#exit
*Sep 19 19:06:47.301: %SYS-5-CONFIG_I: Configured from console by
console
Branch#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B -
BGP
level-2
ia - IS-IS inter area, * - candidate default, U - per-user
static route
o - ODR, P - periodic downloaded static route, H - NHRP, l -
LISP
PfR
P á g i n a | 778

209.165.200.0/32 is subnetted, 1 subnets
Branch#show ipv6 route
Destination
C 2001:DB8:ACAD:1::/64 [0/0]
L 2001:DB8:ACAD:1::1/128 [0/0]
S 2001:DB8:ACAD:2::238/128 [1/0]
L FF00::/8 [0/0]
via Null0, receive
You have successfully configured static host routes.
Rutas IP estáticas / Práctica del módulo y cuestionario

15.6.1
Packet Tracer: Configuración de rutas

estáticas y predeterminadas IPv4 eIPv6
En esta actividad de resumen Packet Tracer, configurará rutas estáticas, predeterminadas y
flotantes para los protocolos IPv4 e IPv6.
Configure IPv4 and IPv6 Static and Default Routes

P á g i n a | 779
15.6.2
Lab - Configure rutas estáticas y

predeterminadas IPv4 e IPv6

 Parte 2: Configurar y verificar direcciones IP e IPv6 en R1 y R2
 Parte 3: Configure y verifique el routing estático y el routing predeterminado para IPv4 en R1 y R2
 Parte 4: Configure y verifique el routing estático y el routing predeterminado para IPv6 en R1 y R2
15.6.3

Rutas Estáticas
Las rutas estáticas se pueden configurar para IPv4 e IPv6. Ambos protocolos admiten los
siguientes tipos de rutas estáticas: ruta estática estándar, ruta estática predeterminada, ruta
estática flotante y ruta estática de resumen. Las rutas estáticas se configuran con el comando
ip route e ipv6 route de configuración global. El siguiente salto se puede identificar mediante
una dirección IP, una interfaz de salida, o ambas cuando se está configurando una ruta
estática. La forma en que se especifica el destino crea uno de los tres tipos siguientes de ruta
estática: next hop, directamente conectado y completamente especificado. Las rutas estáticas
IPv4 se configuran mediante el siguiente comando de configuración global: ip
route network-address subnet-mask {ip-address | exit-intf [ip=address]} [distance]. Las
rutas estáticas IPv6 se configuran mediante el siguiente comando de configurac ió n
global: ipv6 route ipv6-prefix/prefix-length {ipv6-address | exit-intf [ipv6-
address]} [distance]. El comando para iniciar una tabla de routing IPv4 es show ip
route | begin Gateway. El comando para iniciar una tabla de routing IPv6 es show ipv6
route | begin C.
Configurar Rutas IP Estáticas
En una ruta estática de siguiente salto, solo se especifica la dirección IP del siguiente salto.
La interfaz de salida se deriva del próximo salto. Al configurar una ruta estática, otra opción
es utilizar la interfaz de salida para especificar la dirección del siguiente salto. Solo se deben
utilizar rutas estáticas conectadas directamente con interfaces seriales de punto a punto. Una
ruta estática completamente especificada tiene determinadas tanto la interfaz de salida como
P á g i n a | 780
la dirección IP del siguiente salto. Esta forma de ruta estática se utiliza cuando la interfaz de
salida es una interfaz de acceso múltiple y se debe identificar explícitamente el siguie nte
salto. El siguiente salto debe estar conectado directamente a la interfaz de salida especificada.
En una ruta estática IPv6 completamente especificada, tanto la interfaz de salida como la
dirección IPv6 del siguiente salto. Junto con show ip route**show ipv6
route, ping y traceroute, otros comandos útiles para verificar rutas estáticas
incluyen: show ip route static, show ip route network y show running-config | section ip
route**. Reemplace ip por ipv6 para las versiones IPv6 del comando.
Configurar Rutas IP Estáticas por defecto
Una ruta predeterminada es una ruta estática que coincide con todos los paquetes. Una ruta
predeterminada no requiere que ningún bit solo coincida entre la ruta predeterminada y la
dirección IP destino. Las rutas estáticas predeterminadas se utilizan comúnmente al conectar
un router perimetral a una red de proveedor de servicios y un router stub. La sintaxis del
comando para una ruta estática predeterminada IPv4 es similar a cualquier otra ruta estática
IPv4, con la excepción de que la dirección de red es 0.0.0.0 y la máscara de subred es 0.0.0.0.
0.0.0.0 0.0.0.0 en la ruta coincidirá con cualquier dirección de red. La sintaxis del comando
para una ruta estática predeterminada IPv6 es similar a la sintaxis del comando de cualquier
otra ruta estática IPv6, excepto que ipv6-prefix/prefix- length es ::/0, que coin cide con todas
las rutas. Para verificar una ruta estática predeterminada IPv4, utilice el comando show ip
route static. Para IPV6, use el comando show ipv6 route static.
Configurar Rutas Estáticas Flotantes
Las rutas estáticas flotantes son rutas estáticas que se utilizan para proporcionar una ruta de
respaldo a una ruta estática o dinámica principal, en el caso de una falla del enlace. La ruta
estática flotante se configura con una distancia administrativa mayor a la de una ruta
principal. De manera predeterminada, las rutas estáticas tienen una distancia administra tiva
de 1, lo que las hace preferibles a las rutas descubiertas mediante protocolos de routing
dinámico. Las distancias administrativas de algunos protocolos de router dinámico de puerta
de enlace interior comunes son EIGRP = 90, OSPF = 110 e IS-IS = 115. Las rutas estáticas
flotantes IP se configuran mediante el distance argumento para especificar una distancia
administrativa. Si no se configura ninguna distancia administrativa, se utiliza el valor
predeterminado (1). show ip route y show ipv6 route verifica que las rutas predeterminadas
a un router estén instaladas en la tabla de routing.
Configurar Ruta de Host Estáticas
Una ruta de host es una dirección IPv4 con una máscara de 32 bits o una dirección IPv6 con
una máscara de 128 bits. Hay tres maneras de agregar una ruta de host a la tabla de
enrutamiento: se instala automáticamente cuando se configura una dirección IP en el
enrutador, se configura como una ruta de host estática o se obtiene automáticamente a través
de otros métodos no cubiertos en este módulo. El IOS de Cisco instala automáticamente una
ruta de host, también conocida como ruta de host local, cuando se configura una dirección de
interfaz en el router. Una ruta de host puede ser una ruta estática configurada manualme nte
para dirigir el tráfico a un dispositivo de destino específico. Para las rutas estáticas IPv6, la
P á g i n a | 781
dirección de salto siguiente puede ser la dirección link-local del router adyacente; sin
embargo, debe especificar un tipo de interfaz y un número de interfaz cuando utilice una
dirección link-local como salto siguiente. Para ello, se elimina la ruta de host estática IPv6
original y, a continuación, se configura una ruta completamente especificada con la dirección
IPv6 del servidor y la dirección link-local IPv6 del router ISP.
15.6.4
Módulo Quiz - Enrutamiento estático IP

P á g i n a | 782
P á g i n a | 783
P á g i n a | 784
P á g i n a | 785
P á g i n a | 786
P á g i n a | 787
P á g i n a | 788
P á g i n a | 789
P á g i n a | 790
P á g i n a | 791
Capítulo 16_Resuelva problemas de rutas

estáticas y predeterminadas
Introducción
16.0.1

¡Bienvenido a Solucionar Problemas de rutas estáticas y predeterminadas!
¡Bien hecho! Ha llegado al módulo final del curso Switching, Routing e Wireless Essentia ls
v7.0 (SRWE). Este curso le proporcionó los conocimientos y habilidades en profundidad que
necesita para configurar conmutadores y enrutadores (incluidos los dispositivos
inalámbricos) en su red en crecimiento. ¡Realmente eres bueno en la administración de redes!
Pero, ¿qué hace que un buen administrador de red sea un gran administrador? La capacidad
de solucionar problemas de manera efectiva. La mejor manera de adquirir habilidades de
solución de problemas de red es simple: esté siempre solucionando problemas. En este
módulo, solucionará los problemas de rutas estáticas y predeterminadas. Hay un
comprobador de sintaxis, un rastreador de paquetes y un laboratorio práctico donde puede
perfeccionar sus habilidades de solución de problemas. ¡Vamos a hacerlo!
P á g i n a | 792
16.0.2

Título del módulo: Resuelva problemas de rutas estáticas y predeterminadas
Objetivos del módulo: Resuelva problemas de configuración de rutas estáticas y

predeterminadas.
Procesamiento de paquetes con Explicar cómo un router procesa los paquetes cuando
rutas estáticas una ruta estática es configurada.
Resuelva problemas de
Resolver problemas comunes de configuración de
configuración de rutas estáticas
rutas estáticas y predeterminadas.
y predeterminadas IPv4
Resuelva problemas de rutas estáticas y predeterminadas / Procesamiento de paquetes con rutas

estáticas
Procesamiento de paquetes con rutas

estáticas
16.1.1
Rutas estáticas y envío de paquetes

Antes de entrar en la sección de solución de problemas de este módulo, este tema proporciona
una breve revisión de cómo se reenvían los paquetes en rutas estáticas. Haga clic en el botón
Reproducir de la ilustración para ver una animación en la que la PC1 envía un paquete a la
PC3.
P á g i n a | 793
La figura es una animación que representa a PC2 conectado a un switch en la red

172.16.1.0/24. A continuación, el switch se conecta al router (R2) en la interfaz Gigabit
G0/0/0 con una dirección de puerta de enlace de .1. R2 tiene dos conexiones seriales S0/1/0
y S0/1/1 conectadas al router (R1) para S0/1/0 y al router (R3) en la conexión S0/1/1. La
dirección de red de R1 a R2 es 172.16.2.0/14 y para R2 a R3 es 192.181.1.0/24. Las
direcciones de conexión en serie para R2 son .2 mientras que R1 y R3 son .1. R1 está
conectado a través de la interfaz Gigabit G0/0/0 a un switch en una red con dirección
172.16.3.0/24 con PC1 conectado al switch. R3 tiene una conexión Gigabit a un switch en la
red 192.168.2.0/24 con PC3 conectado al switch.
En la siguiente animación se describe el proceso de reenvío de paquetes con rutas estáticas.
1. El paquete llega a la interfaz GigabitEthernet 0/0/0 de R1.

2. R1 no tiene una ruta específica a la red de destino, 192.168.2.0/24. Por lo tanto, R1 utiliza la ruta
3. R1 encapsula el paquete en una nueva trama. Debido a que el enlace a R2 es un enlace punto a
punto, R1 agrega una dirección de "todos 1 (unos)" para la dirección de destino de Capa 2.
4. La trama se reenvía desde la interfaz serial 0/1/0. El paquete llega a la interfaz serial 0/0/0 en R2.
5. El R2 desencapsula la trama y busca una ruta hacia el destino. R2 tiene una ruta estática a
192.168.2.0/24 fuera de la interfaz serial 0/1/1.
6. El R2 encapsula el paquete en una nueva trama. Debido a que el enlace al R3 es un enlace punto a
punto, el R2 agrega una dirección de todos unos (1) para la dirección de destino de capa 2.
7. La trama se reenvía desde la interfaz serial 0/1/1. El paquete llega a la interfaz serial 0/0/1 en el R3.
8. El R3 desencapsula la trama y busca una ruta hacia el destino. R3 tiene una ruta conectada a
192.168.2.0/24 desde la interfaz GigabitEthernet 0/0/0.
9. El R3 busca la entrada en la tabla ARP para 192.168.2.10 para encontrar la dirección de control de
acceso a los medios (MAC) de capa 2 para la PC3. Si no existe ninguna entrada, R3 envía una solicitud
de Protocolo de resolución de direcciones (ARP) desde la interfaz GigabitEthernet 0/0/0, y PC3
responde con una respuesta ARP, que incluye la dirección MAC de l a PC3.
P á g i n a | 794
10. R3 encapsula el paquete en una nueva trama con la dirección MAC de la interfaz GigabitEthernet
0/0/0 como la dirección de la capa 2 de origen, y la dirección MAC de la PC3 como la dirección MAC
de destino.
11. La trama se reenvía desde la interfaz GigabitEthernet 0/0/0. El paquete llega a la interfaz de la tarjeta
de interfaz de red (NIC) de la PC3.
16.1.2
Verifique su conocimiento: procesamiento

de paquetes con rutas estáticas
La exposición muestra PC2 conectado a un switch en la red 172.16.1.0/24. A continuación,

el switch se conecta al router (R2) en la interfaz Gigabit G0/0/0 con una dirección de puerta
de enlace de .1. R2 tiene dos conexiones seriales S0/1/0 y S0/1/1 conectadas al router (R1)
para S0/1/0 y al router (R3) en la conexión S0/1/1. La dirección de red de R1 a R2 es
172.16.2.0/14 y para R2 a R3 es 192.181.1.0/24. Las direcciones de conexión en serie para
R2 son .2 mientras que R1 y R3 son .1. R1 está conectado a través de la interfaz Gigabit
G0/0/0 a un switch en una red con dirección 172.16.3.0/24 con PC1 conectado al switch.
R3 tiene una conexión Gigabit a un switch en la red 192.168.2.0/24 con PC3 conectado al
switch.
P á g i n a | 795
P á g i n a | 796
Resuelva problemas de rutas estáticas y predeterminadas / Resuelva problemas de configuración

de rutas estáticas y predeterminadas IPv4
Resuelva problemas de
configuración de rutas estáticas y
predeterminadas IPv4
16.2.1
Cambios en la red
No importa lo bien que configure la red, tendrá que estar preparado para solucionar algún
problema. Las redes están condicionadas a situaciones que pueden provocar un cambio en su
estado con bastante frecuencia. Por ejemplo, una interfaz puede fallar o un proveedor de
P á g i n a | 797
servicios interrumpe una conexión. Los vínculos pueden sobresaturarse o un administrador

puede introducir una configuración incorrecta.
Cuando se produce un cambio en la red, es posible que se pierda la conectividad. Los

administradores de red son responsables de identificar y solucionar el problema. Para encontrar
y resolver estos problemas, un administrador de red debe conocer las herramientas que lo
ayudarán a aislar los problemas de routing de manera rápida.
16.2.2
Comandos comunes para la solución de

problemas
Entre los comandos comunes para la resolución de problemas de IOS, se encuent ran los
siguientes:
 ping
 traceroute
 show ip route
 show cdp neighbors detail
La figura muestra la topología de referencia OSPF utilizada para demostrar estos comandos.
La figura muestra PC2 conectado a un switch en la red 172.16.1.0/24. A continuación, el switch

se conecta al router (R2) en la interfaz Gigabit G0/0/0 con una dirección de puerta de enlace de
.1. R2 tiene dos conexiones seriales S0/1/0 y S0/1/1 conectadas al router (R1) para S0/1/0 y al
router (R3) en la conexión S0/1/1. La dirección de red de R1 a R2 es 172.16.2.0/14 y para R2 a
P á g i n a | 798
R3 es 192.181.1.0/24. Las direcciones de conexión en serie para R2 son .2 mientras que R1 y

R3 son .1. R1 está conectado a través de la interfaz Gigabit G0/0/0 a un switch en una red con
dirección 172.16.3.0/24 con PC1 conectado al switch. R3 tiene una conexión Gigabit a un switch
en la red 192.168.2.0/24 con PC3 conectado al switch.
Ping
El ejemplo muestra el resultado de un ping extendido desde la interfaz fuente de R1 a la

interfaz LAN de R3. Un ping extendido es una versión mejorada de la utilidad de un ping. El
ping extendido permite especificar la dirección IP de origen para los paquetes ping.
Traceroute
Este ejemplo muestra el resultado de un trazado de ruta desde R1 a la LAN R3. Teng a en
cuenta que cada ruta de salto devuelve una respuesta ICMP.
show ip route
El comando show ip route en este ejemplo muestra la tabla de ruteo de R1.
show ip interface brief

P á g i n a | 799
Se muestra un estado rápido de todas las interfaces del router mediante el comando show ip
interface brief de este ejemplo.
show cdp neighbors
El comando show cdp neighbors proporciona una lista de dispositivos Cisco conectados
directamente. Este comando valida la conectividad de la capa 2 (y, por lo tanto, la de la capa 1).
Por ejemplo, si en el resultado del comando se indica un dispositivo vecino, pero no se puede
hacer ping a este, entonces se debe investigar el direccionamiento de la capa 3.
16.2.3
Resolución de un problema de
conectividad
Encontrar una ruta faltante (o mal configurada) es un proceso relativamente sencillo si se utilizan
las herramientas adecuadas de manera metódica.
Por ejemplo, el usuario en PC1 informa que no puede acceder a los recursos en la LAN R3.
Esto se puede confirmar haciendo ping a la interfaz LAN de R3 utilizando la interfaz LAN de R1
como fuente. Una vez más, usaremos la topología de la figura para demostrar cómo solucionar
este problema de conectividad.
P á g i n a | 800
La figura muestra PC2 conectado a un switch en la red 172.16.1.0/24. A continuació n, el switch

Hacer ping al servidor remoto
El administrador de red puede probar la conectividad entre las dos LAN desde R1 en lugar de
PC1. Esto se puede hacer mediante la fuente del ping desde la interfaz G0/0/0 en R1 a la interfaz
G0/0/0 en R3, como se muestra en el ejemplo. Los resultados muestran que no hay conectividad
entre estas LAN.
Hacer ping al router de salto siguiente

P á g i n a | 801
A continuación, el un ping a la interfaz S0/1/0 en R2 es exitoso. Este ping proviene de la

interfaz S0/1/0 de R1. Por lo tanto, el problema no es la pérdida de conectividad entre R1 y
R2.
Ping LAN R3 desde S0/1/0
Un ping desde R1 a la interfaz R3 192.168.2.1 también es exitoso. Este ping proviene de la

interfaz S0/1/0 en R1. R3 tiene una ruta de regreso a la red entre R1 y R2, 172.16.2.0/24. Esto
confirma que R1 puede llegar a la LAN remota en R3. Sin embargo, los paquetes procedentes
de la LAN en R1 no pueden. Esto indica que R2 o R3 pueden tener una ruta incorrecta o faltante
a la LAN en R1.
Verifique la tabla de enrutamiento R2
El siguiente paso es investigar las tablas de enrutamiento de R2 y R3. La tabla de enrutamiento

para R2 se muestra en el ejemplo. Observe que la red 172.16.3.0/24 está configurada
incorrectamente. Se configuró una ruta estática a la red 192.168.2.0/24 con la dirección del
siguiente salto 172.16.2.1. Por lo tanto, los paquetes destinados a la red 172.16.3.0/24 se envían
de nuevo a R3 en lugar de a R1.
Hay que corregir la configuración de la ruta estática R2
A continuación, la configuración en ejecución, de hecho, revela la declaración incorrecta ip

route. Se elimina la ruta incorrecta y luego se introduce la correcta.
P á g i n a | 802
Verificar que está instalada la nueva ruta estática
La tabla de enrutamiento en R2 se comprueba una vez más para confirmar que la entrada de
ruta a la LAN en R1, 172.16.3.0, es correcta y apunta hacia R1.
Hacer ping a la LAN remota de nuevo
A continuación, se utiliza un ping de R1 procedente de G0/0/0 para verificar que R1 ahora puede
llegar a la interfaz LAN de R3. Como último paso de confirmación, el usuario de la PC1 también
debe probar la conectividad a la LAN 192.168.2.0/24.
P á g i n a | 803
16.2.4
Comprobador de sintaxis: solucionar

problemas de rutas estáticas y
predeterminadas de IPv4
Solucionar problemas de rutas estáticas y predeterminadas IPv4 en función de los requisitos
especificados.
La figura muestra PC2 conectado a un switch en la red 172.16.1.0/24. A continuac ión, el switch
Enviar un ping desde R1 a la interfaz G0/0/0 en R3.
R1#ping 192.168.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
Test the next hop gateway by sending a ping from R1 to the S0/1/0 interface of R2.
R1#ping 172.16.2.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/2/3 ms
Review the routing table on R1.
R1#show ip route
level-2
route
P á g i n a | 804

PfR
S 172.16.1.0/24 [1/0] via 172.16.2.2
S 192.168.1.0/24 [1/0] via 172.16.2.2
S 192.168.2.0/24 [1/0] via 172.16.2.2
Review the routing table on R2.
R2#show ip route
level-2
route
PfR
S 172.16.3.0/24 [1/0] via 172.16.2.1
Enter configuration mode and configure a static route on R2 to reach the R3 LAN.
R2#configure terminal
R2(config)#ip route 192.168.2.0 255.255.255.0 192.168.1.1
Exit configuration mode and review the routing table on R2.
R2(config)#exit
R2#show ip route
level-2
P á g i n a | 805

route
PfR
S 172.16.3.0/24 [1/0] via 172.16.2.1
S 192.168.2.0/24 [1/0] via 192.168.1.1
Send a ping from R1 to the G0/0/0 interface on R3.
R1#ping 192.168.2.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 3/3/4 ms
You have successfully performed troubleshooting on IPv4 static and

default routes.
Resuelva problemas de rutas estáticas y predeterminadas / Práctica del módulo y cuestionario

16.3.1
Packet Tracer - Solucionar problemas de

rutas estáticas y predeterminadas
En esta actividad, solucionará las rutas estáticas y predeterminadas y reparará los errores que
encuentre.
 Solucionar problemas de rutas estáticas IPv4.

 Solucionar problemas de rutas estáticas IPv6.
P á g i n a | 806
 Configurar rutas estáticas IPv4.

 Configurar rutas predeterminadas de IPv4.
 Configurar rutas estáticas IPv6.
Troubleshoot Static and Default Routes

16.3.2
Resuelva problemas de rutas estáticas y

predeterminadas
 Evaluar el funcionamiento de la red

 Recopilar información, crear un plan de acción e implementar correcciones
16.3.3

Procesar paquetes con Rutas Estáticas
1. El paquete llega a la interfaz de R1.

2. R1 no tiene una ruta específica hacia la red de destino 192.168.2.0/24; por lo tanto, R1 utiliza la ruta
3. R1 encapsula el paquete en una nueva trama. Debido a que el enlace a R2 es un enlace punto a
punto, R1 agrega una dirección de "todos 1 (unos)" para la dirección de destino de Capa 2.
4. La trama se reenvía desde la interfaz apropiada. El paquete llega a la interfaz en R2.
5. El R2 desencapsula la trama y busca una ruta hacia el destino. R2 tiene una ruta estática a la red de
destino fuera de una de sus interfaces.
6. El R2 encapsula el paquete en una nueva trama. Debido a que el enlace al R3 es un enlace punto a
punto, el R2 agrega una dirección de todos unos (1) para la dirección de destino de capa 2.
7. La trama se reenvía a través de la interfaz apropiada. El paquete llega a la interfaz en R3.
8. El R3 desencapsula la trama y busca una ruta hacia el destino. R3 tiene una ruta conectada a la red
de destino desde una de sus interfaces.
P á g i n a | 807
9. R3 busca la entrada de tabla ARP para la red de destino para encontrar la dirección MAC de capa 2
para PC3. Si no existe una entrada, el R3 envía una solicitud de protocolo de resolución de
direcciones (ARP) a través de una de sus interfaces y PC3 responde con una respuesta de ARP, la
cual incluye la dirección MAC de la PC3.
10. R3 encapsula el paquete en una nueva trama con la dirección MAC de la interfaz apropiada como la
dirección de la capa 2 de origen y la dirección MAC de la PC3 como la dirección MAC de destino.
11. La trama se reenvía desde la interfaz apropiada. El paquete llega a la interfaz de la tarjeta de interfaz
de red (NIC) de la PC3.
Solucionar problemas de configuración de rutas estáticas y predeterminadas
Las redes están condicionadas a situaciones que pueden provocar un cambio en su estado con
bastante frecuencia. Una interfaz puede fallar o un proveedor de servicios interrumpir una
conexión. Los vínculos pueden sobresaturarse o un administrador puede introducir una
configuración incorrecta. Entre los comandos comunes para la resolución de problemas de
IOS, se encuentran los siguientes:
 ping
 traceroute
 show ip route
 show cdp neighbors detail
16.3.4
16.3.4 – Cuestionario de módulo– Solución

de problemas de rutas estáticas y
predeterminadas
P á g i n a | 808
P á g i n a | 809
P á g i n a | 810
P á g i n a | 811
P á g i n a | 812
P á g i n a | 813
P á g i n a | 814
P á g i n a | 815
17.0
Anexo Gráfico
P á g i n a | 816
P á g i n a | 817

CCNA - Switching, Routing, y Wireless Essentials - Unlocked

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CCNA - Switching, Routing, y Wireless Essentials - Unlocked

Cargado por

Copyright:

Formatos disponibles

P ági n a |2

Un curso de formación, un examen

A quién está dirigido

Sobre este documento

Además, se solicita encarecidamente NO HACER MAL USO DE ESTE DOCUMENTO.

Verifique que SSH esté operativo........................................................................................46

Enlaces troncales de la VLAN ................................................................................................. 136

Verificar la conectividad entre PC1 y PC2 ........................................................................ 178

STP compensa una falla de red...................................................................................... 223

¿Qué aprenderé en este módulo? ...................................................................................... 273

Servidor y cliente DHCPv4 ............................................................................................... 309

Tres flags de mensaje RA.................................................................................................. 350

¿Qué aprenderé en este módulo? ...................................................................................... 400

Verifique su comprensión: Control de Acceso................................................................... 439

Mitigación de ataques por saturación de tabla de direcciones MAC ................................. 480

¿Qué aprenderé en este módulo? ...................................................................................... 511

Arquitectura MAC dividida.............................................................................................. 556

Video - Configurar el Alcance de DHCP........................................................................... 635

Topología .......................................................................................................................... 680

Tipos de rutas estáticas ..................................................................................................... 733

Verificador de sintaxis- Configurar rutas estáticas ........................................................... 776

Switching, Routing and Wireless

Switching, Enrutamiento e Wireless Essentials mejora su conocimiento del funcionamie nto

Al final de este curso podrá configurar funcionalidades avanzadas en routers y switches.

Capítulo 1_Configuración básica de

¿Por qué debería tomar este módulo?

¡Bienvenido al primer módulo en CCNA Switching, Enrutamiento y Wireless Essentials!.

¿Qué aprenderé en este módulo?

Objetivos del módulo: Configuración de los dispositivos mediante los procedimientos

Título del tema Objetivo del tema

Configuración de Parámetros Iniciales Configurar los parámetros iniciales en un switch

Configurar los puertos de un switch para cumplir con

Configurar el acceso de administración seguro en un

Configurar los ajustes básicos en un router para

Secuencia de arranque de un switch

Paso 1: Primero, el switch carga un programa de autodiagnóstico al encender (POST)

El comando boot system

En el ejemplo, la variable de entorno BOOT se establece mediante el boot system comando

La tabla define cada parte del comando boot system.

boot system El comando principal

flash: The storage device

c2960-lanbasek9-mz.150-2.SE/ La ruta al sistema de archivos

c2960-lanbasek9-mz.150-2.SE.bin El nombre del archivo IOS

Indicadores LED del switch

Redundant Power System (RPS) LED

Port Status LED

Port Duplex LED

Port Speed LED

Power over Ethernet (PoE) Mode LED

Recuperarse de un bloqueo del sistema

De manera predeterminada, el switch intenta iniciarse automáticamente mediante el uso de

Acceso a administración de switches

Switch con una conexión de

Ejemplo de Configuración de Switch SVI

Configure the Management Interface

Configure the Default Gateway

Si el switch se va a administrar de forma remota desde redes que no están conectadas

Nota: Dado que recibirá la información de la puerta de enlace predeterminada de un mensaje

Práctica de laboratorio: configuración

 Parte 1: Tender el cableado de red y verificar la configuración predeterminada del switch

Basic Switch Configuration

las configuraciones, errores comunes y cómo solucionar problemas de configuración del

La comunicación en dúplex completo aumenta el ancho de banda eficaz al permitir que