Está en la página 1de 646

Modelos, dispositivos y

componentes de red

Temas del examen CCNA 200-301


■ Explicar el papel y la función de los componentes de la red

■ Describir las características de las arquitecturas de topología de red

■ Comparar los tipos de interfaz física y de cableado

■ Identificar los problemas de la interfaz y del cable (colisiones, errores, desajuste de dúplex y/o velocidad

■ Comparar TCP con UDP

Puntos clave
Los modelos de red de Interconexión de Sistemas Abiertos (OSI) y del Protocolo de Control de
Transmisión/Protocolo de Internet (TCP/IP) son marcos conceptuales importantes para entender
las redes. Hoy repasaremos las capas y funciones de cada modelo, junto con el proceso de flujo de datos
desde el origen hasta el destino. También dedicaremos algún tiempo al Protocolo de Control de
Transmisión (TCP) y al Protocolo de Datagramas de Usuario (UDP). A continuación, concluiremos el
día con un vistazo a los dispositivos utilizados en las redes actuales, los medios utilizados para
interconectar esos dispositivos y los diferentes tipos de topologías de red.

NOTA: Este día puede parecer un poco largo. Sin embargo, debes estar muy
familiarizado con todo este contenido. Analice el día, centrándose en las áreas en las
que se sienta menos seguro de sus conocimientos.

Los modelos OSI y TCP/IP


Para entender cómo se produce la comunicación a través de la red, se pueden utilizar modelos
por capas como marco para representar y explicar los conceptos y tecnologías de red. Capas
como los modelos TCP/IP y OSI, soportan la interoperabilidad entre las líneas de productos de
proveedores que compiten entre sí.
El modelo OSI sirve principalmente como herramienta para explicar los conceptos de las redes y la
resolución de problemas. Sin embargo, los protocolos del conjunto TCP/IP son las reglas por las que
funcionan las redes en la actualidad. Debido a que ambos modelos son importantes, usted debe estar
bien versado en cada una de las capas del modelo y saber cómo los modelos se relacionan entre sí.
La Figura 31-1 resume los dos modelos.

De la Biblioteca de javad mokhtari


2 31 días antes de su examen CCNA

Figura 31-1 Modelos OSI y TCP/IP


Modelo OSIModelo TCP/IP

7Aplicación

6Presentación

Aplicación
5 Sesión

Transporte
4 Transporte

Internet
3 Red

2 Enlace de datos
Acceso a la red
1 Físico

El uso de dos modelos puede ser confuso; sin embargo, estas sencillas pautas pueden ayudar:

■ Cuando se habla de las capas de un modelo, se suele hacer referencia al modelo OSI.

■ Cuando se habla de protocolos, se suele hacer referencia al modelo TCP/IP.

Las siguientes secciones repasan rápidamente las capas OSI y los protocolos TCP/IP.

Capas OSI
La Tabla 31-1 resume las capas del modelo OSI y proporciona una breve descripción funcional.

Tabla 31-1 Capas y funciones del modelo


OSI CapaDescripción funcional
Aplicación (7) Se refiere a las interfaces entre la red y el software de aplicación. También incluye los
servicios de autenticación.
Presentación (6) Define el formato y la organización de los datos. Incluye la codificación.
Sesión (5) Establece y mantiene flujos bidireccionales de extremo a extremo entre puntos finales.
Incluye la gestión de los flujos de transacciones.
Transporte (4) Proporciona una variedad de servicios entre dos ordenadores centrales, incluyendo el
establecimiento y la terminación de la conexión, el control de flujo, la recuperación de errores
y la segmentación de grandes bloques de datos en partes más pequeñas para su
transmisión.
Red (3) Se refiere al direccionamiento lógico, el enrutamiento y la determinación de la ruta.
Enlace de datos (2) Formatea los datos en tramas apropiadas para su transmisión en algún medio físico. Define
las reglas sobre cuándo se puede utilizar el medio. Define los medios para reconocer los
errores de transmisión.
Físico (1) Define los detalles eléctricos, ópticos, de cableado, conectores y procedimientos
necesarios para la transmisión de bits, representados como una forma de energía que pasa
por un medio físico.
Día 31 3

La siguiente frase mnemotécnica, en la que la primera letra representa la capa (la A significa
), puede ayudar a memorizar el nombre y el orden de las capas de arriba a abajo:
Todas las personas parecen necesitar el procesamiento de datos

Capas y protocolos TCP/IP


El modelo TCP/IP define cuatro categorías de funciones que deben ocurrir para que las
comunicaciones tengan éxito. La mayoría de los modelos de protocolo describen pilas de protocolos
específicas de cada proveedor. Sin embargo, como el modelo TCP/IP es un estándar abierto, una
empresa no controla la definición del modelo.
La Tabla 31-2 resume las capas TCP/IP, sus funciones y los protocolos más comunes.

Tabla 31-2 Funciones de la capa TCP/IP


Capa Función Ejemplos de protocolos
TCP/IP
Aplicación Representa los datos para el usuario y controla el DNS, Telnet, SMTP, POP3,
diálogo IMAP, DHCP, HTTP, FTP,
SNMP
Transporte Admite la comunicación entre diversos TCP, UDP
dispositivos a través de diversas redes
Internet Determina la mejor ruta a través de la red IP, ARP, ICMP
Acceso a la red Controla los dispositivos de hardware y los Ethernet, inalámbrico
medios que componen la red

En los próximos días, revisaremos estos protocolos con más detalle. De momento, a continuación se
describen brevemente los principales protocolos TCP/IP:

■ Sistema de nombres de dominio (DNS): Proporciona la dirección IP de un sitio web o


nombre de dominio para que un host pueda conectarse a él

■ Telnet: Permite a los administradores iniciar sesión en un host desde una ubicación remota

■ Protocolo Simple de Transferencia de Correo (SMTP), Protocolo de Oficina Postal


(POP3) y Protocolo de Acceso a Mensajes de Internet (IMAP): Facilitan el envío de
mensajes de correo electrónico entre clientes y servidores

■ Protocolo de configuración dinámica de host (DHCP): Asigna direcciones IP a los


clientes que lo solicitan

■ Protocolo de transferencia de hipertexto (HTTP): Transfiere información entre clientes


web y servidores web

■ Protocolo de transferencia de archivos (FTP): Facilita la descarga y carga de archivos


entre un cliente FTP y un servidor FTP

■ Protocolo simple de gestión de redes (SNMP): Permite a los sistemas de gestión de red
supervisar los dispositivos conectados a la red

■ Protocolo de Control de Transmisión (TCP): Soporta conexiones virtuales entre hosts en la


red para proporcionar una entrega fiable de datos
4 31 días antes de su examen CCNA

■ Protocolo de Datagramas de Usuario (UDP): Admite una entrega más rápida y poco
fiable de datos ligeros o sensibles al tiempo

■ Protocolo de Internet (IP): Proporciona una dirección global única a los ordenadores para
comunicarse a través de la red

■ Protocolo de resolución de direcciones (ARP): Encuentra la dirección de hardware


de un host cuando sólo se conoce la dirección IP

■ Protocolo de mensajes de control de Internet (ICMP): Envía mensajes de error y control,


incluyendo la posibilidad de llegar a otro host y la disponibilidad de los servicios

■ Ethernet: Sirve como el estándar LAN más popular para enmarcar y preparar los
datos para su transmisión en los medios de comunicación

■ Inalámbrico: Incluye tanto los estándares IEEE 802.11 para redes de área local inalámbricas
(WLAN) como las opciones de acceso celular.

Unidades de datos de protocolo y encapsulación


A medida que los datos de la aplicación descienden por la pila de protocolos en su camino para
ser transmitidos a través de los medios de la red, varios protocolos le añaden información en cada
nivel. Esto se conoce comúnmente como el proceso de encapsulación. La estructura de datos en
cualquier capa dada se llama unidad de datos de protocolo (PDU). La Tabla 31-3 enumera las PDU en
cada capa del modelo OSI.

Tabla 31-3 PDUs en cada capa del modelo OSI


Capa OSIPDU
Datos de la aplicación
PresentaciónDatos
Datos de la sesión
Segmento de transporte
Paquete de red
Enlace de datosFrame
PhysicalBits

Los siguientes pasos resumen el proceso de comunicación desde cualquier origen a cualquier destino:

Paso 1. Los datos se crean en la capa de aplicación del dispositivo de origen.

Paso 2. A medida que los datos descienden por la pila de protocolos en el dispositivo de
origen, se segmentan y encapsulan.
Paso 3. Los datos se generan en el soporte en la capa de acceso a la red de la pila.

Paso 4. Los datos se transportan a través de la red interna, que está formada por los medios de
comunicación y cualquier dispositivo intermedio.
Paso 5. El dispositivo de destino recibe los datos en la capa de acceso a la red.
Día 31 5

Paso 6. A medida que los datos suben por la pila en el dispositivo de destino, se
desencapsulan y se vuelven a ensamblar.
Paso 7. Los datos se pasan a la aplicación de destino en la capa de aplicación del
dispositivo de destino.

La capa de aplicación TCP/IP


La capa de aplicación del modelo TCP/IP proporciona una interfaz entre programas informáticos como
un navegador web y la propia red. El proceso de solicitud y recepción de una página web funciona así:
Paso 1. Se envía una petición HTTP, que incluye una instrucción para "obtener" un
archivo (que suele ser la página de inicio de un sitio web).
Paso 2. El servidor web envía una respuesta HTTP con un código en la cabecera, que suele ser 200
(la solicitud se ha realizado correctamente y se devuelve información en la respuesta) o
404 (página no encontrada).
La solicitud HTTP y la respuesta HTTP se encapsulan en cabeceras. El contenido de las
cabeceras permite que las capas de aplicación de cada dispositivo final se comuniquen.
Independientemente de
el protocolo de la capa de aplicación (HTTP, FTP, DNS, etc.), todas las cabeceras utilizan el mismo
proceso general para comunicarse entre las capas de aplicación en los dispositivos finales.

La capa de transporte TCP/IP


La capa de transporte, a través de TCP, proporciona un mecanismo para garantizar la entrega de datos a
través de la red. TCP soporta la recuperación de errores a la capa de aplicación mediante el uso de una
lógica básica de reconocimiento. Añadiendo al proceso de solicitud de una página web, el
funcionamiento de TCP funciona así:
Paso 1. El cliente web envía una solicitud HTTP para un servidor web específico hasta la capa
de transporte.
Paso 2. TCP encapsula la petición HTTP con una cabecera TCP e incluye el número de puerto
de destino para HTTP.
Paso 3. Las capas inferiores procesan y envían la solicitud al servidor web.
Paso 4. El servidor web recibe las peticiones HTTP y envía un acuse de recibo TCP al cliente web
solicitante.
Paso 5. El servidor web envía la respuesta HTTP a la capa de transporte.

Paso 6. TCP encapsula los datos HTTP con una cabecera TCP.

Paso 7.Las capas inferiores procesan y envían la respuesta al cliente web solicitante.

Paso 8. El cliente web solicitante envía un acuse de recibo al servidor web.

Si los datos se pierden en algún momento de este proceso, TCP debe recuperarlos. HTTP en la capa de
aplicación no se involucra en la recuperación de errores.
6 31 días antes de su examen CCNA

Además de proporcionar TCP, la capa de transporte proporciona UDP, un protocolo sin conexión y poco
fiable para el envío de datos que no requiere ni necesita recuperación de errores. La Tabla 31-4 enumera
las principales funciones que soportan los protocolos de transporte. Tanto TCP como UDP soportan
la primera función; sólo TCP soporta el resto.

Tabla 31-4 Funciones de la capa de


transporte TCP/IP

FunciónDescripción
Multiplexación mediante puertosFunciónque permite a los hosts receptores elegir la
aplicación correcta para
al que se destinan los datos, en función del número de puerto de destino.
Recuperación de errores (fiabilidad)Proceso de numeración y acuse de recibo de los datos
con los campos de cabecera Sequence y Acknowledgment.
Control de flujo
Proceso que implica un tamaño de ventana deslizante que los dos dispositivos
mediante ventanas
finales acuerdan dinámicamente en varios puntos durante la conexión virtual. El
tamaño de la ventana, representado en bytes, es la cantidad máxima de datos que el
origen enviará antes de recibir un acuse de recibo del destino.
Establecimiento y
Proceso utilizado para inicializar los números de puerto y los campos de
finalización de la
secuencia y acuse de recibo.
conexión
Un flujo continuo de bytes de un proceso de capa superior que se "segmenta"
Transferencia de
para su transmisión y se entrega a los procesos de capa superior en el
datos ordenada y
dispositivo receptor, con los bytes en el mismo orden.
segmentación de
datos

Cabecera TCP
TCP proporciona recuperación de errores, pero para ello consume más ancho de banda y utiliza más
ciclos de procesamiento que UDP. TCP y UDP se basan en IP para la entrega de extremo a extremo.
TCP se ocupa de proporcionar servicios a las aplicaciones de los ordenadores emisores y receptores.
Para proporcionar todos estos servicios, TCP utiliza una serie de campos en su cabecera (ver Figura
31-2).

Figura 31-2 Cabecera TCP


Bit 0 Bit Bit Bit
15 16 31

Puerto de origen (16) Puerto de destino (16)

Número de secuencia (32)

20
Número de acuse de recibo (32)
Bytes
Longi
tud de Reservado Bits de Ventana (16)
la (6) código (6)
cabec
era (4)

Suma de comprobación Urgente (16)


(16)
Opciones (0 o 32 si hay)
Día 31 7

Números de puerto
Los dos primeros campos de la cabecera TCP -los puertos de origen y destino- también forman parte de
la cabecera UDP (mostrada más adelante, en la Figura 31-7). Los números de puerto proporcionan a
TCP (y a UDP) una forma de multiplicidad de aplicaciones en el mismo ordenador. Los navegadores
web ahora soportan múltiples pestañas o páginas. Cada vez que se abre una nueva pestaña y se solicita
otra página web, TCP asigna un número de puerto de origen diferente y a veces múltiples números de
puerto. Por ejemplo, puedes tener cinco páginas web abiertas. TCP casi siempre asigna el puerto de
destino 80 para las cinco sesiones. Sin embargo, el puerto de origen de cada una es diferente. Así es
como TCP (y UDP) multiplexan la conversación para que el navegador web sepa en qué pestaña
mostrar los datos.
TCP y UDP suelen asignar dinámicamente los puertos de origen, empezando por 1024 hasta un
máximo de 65535. Los números de puerto por debajo de 1024 están reservados para aplicaciones
conocidas. La Tabla 31-5 enumera varias aplicaciones populares y sus números de puerto bien
conocidos.

Tabla 31-5 Aplicaciones populares y sus números de puerto conocidos


Número de puerto Protocolo Aplicación
20 TCP Datos FTP
21 TCP Control FTP
22 TCP SSH
23 TCP Telnet
25 TCP SMTP
53 UDP, TCP DNS
67, 68 UDP DHCP
69 UDP TFTP
80 TCP HTTP (WWW)
110 TCP POP3
161 UDP SNMP
443 TCP HTTPS (SSL)
16384–32767 UDP Voz (VoIP) y vídeo basados en
RTP

Recuperación de errores
TCP proporciona recuperación de errores, también conocida como fiabilidad, durante las sesiones de
transferencia de datos entre dos dispositivos finales que han establecido una conexión. Los campos de
secuencia y acuse de recibo de la cabecera de TCP hacen un seguimiento de cada byte de la
transferencia de datos y garantizan la retransmisión de los bytes que faltan.
En la Figura 31-3, el campo de acuse de recibo enviado por el cliente web (4000) implica el
siguiente byte a recibir; esto se llama acuse de recibo positivo.
8 31 días antes de su examen CCNA

Figura 31-3 Reconocimiento TCP sin errores

Servid
or web Naveg
ador web

1000 Bytes de Datos, Secuencia = 1000

1000 Bytes de Datos, Secuencia = 2000


1000 Bytes de Datos, Secuencia = 3000 Sin Tengo los 3000 Bytes. ¡Envía ACK!
Datos, Reconocimiento = 4000

La Figura 31-4 muestra el mismo escenario, excepto que ahora con algunos errores. El segundo
segmento TCP se perdió en la transmisión. Por lo tanto, el cliente web responde con un campo ACK
establecido en 2000. Esto se llama un acuse de recibo positivo con retransmisión (PAR) porque el
cliente web está solicitando que algunos de los datos sean retransmitidos. El servidor web vuelve a
enviar los datos a partir del segmento 2000. De este modo, se recuperan los datos perdidos.

Figura 31-4 Confirmación TCP con errores

Servid Naveg
or web ador web

1000 Bytes of Data, Sequence = 1000

Nunca recibió el segmento Nunca he recibido el segmento 2000. ACK el que falta!
1000 Bytes de Datos, Secuencia = 2000
con número de secuencia =
2000, vuelva a enviarlo. 1000 Bytes de Datos, Secuencia = 3000
Sin Datos, Confirmación = 2000
1000 Bytes de Datos, Secuencia = 2000

Sin Datos, Confirmación = 4000


Acabo de recibir 2000-2999,
y ya tenía 3000-3999. Pregunte por
4000 siguientes.

Aunque no se muestra, el servidor web también establece un temporizador de retransmisión y espera el


acuse de recibo, por si se pierde el acuse de recibo o se pierden todos los segmentos transmitidos. Si ese
temporizador expira, el servidor web vuelve a enviar todos los segmentos.

Control de flujo
TCP gestiona el control de flujo mediante un proceso denominado "windowing". Los dos dispositivos
finales negocian el tamaño de la ventana al establecer inicialmente la conexión; luego renegocian
dinámicamente el tamaño de la ventana durante la vida de la conexión, aumentando su tamaño hasta
que se alcanza el tamaño máximo de la ventana de 65.535 bytes o hasta que se producen errores. El
tamaño de la ventana se especifica en el campo Window de la cabecera TCP. Después de enviar la
cantidad de datos especificada en el tamaño de ventana, el origen debe recibir un acuse de recibo
antes de enviar el siguiente tamaño de ventana de datos.
Día 31 9

Establecimiento y terminación de la conexión


El establecimiento de la conexión es el proceso de inicialización de los campos de secuencia y acuse de
recibo y el acuerdo sobre los números de puerto y el tamaño de la ventana. La fase de establecimiento
de la conexión de tres vías que se muestra en la Figura 31-5 debe ocurrir antes de que se pueda
proceder a la transferencia de datos.

Figura 31-5 Establecimiento de la conexión TCP


SEQ=200
SYN, DPORT=80, SPORT=1027

SEQ=1450, ACK=201
SYN, ACK, DPORT=1027, SPORT=80
Naveg Servid
ador web SEQ=201, ACK=1451 or web
ACK, DPORT=80, SPORT=1027

En la figura, DPORT y SPORT son los puertos de destino y origen. SEQ es el número de
secuencia. En negrita están SYN y ACK, cada uno de los cuales representa una bandera de 1 bit en la
cabecera TCP utilizada para señalar el establecimiento de la conexión. TCP inicializa los campos
Número de Secuencia y Número de Confirmación con cualquier número que quepa en los campos de 4
bytes. El número de secuencia inicial es un número aleatorio
Número de 32 bits que se genera con cada nueva transmisión. El número de acuse de recibo se recibe
de vuelta y aumenta el número de secuencia del remitente en 1.
Cuando se completa la transferencia de datos, se produce una secuencia de terminación de cuatro vías.
Esta secuencia utiliza un indicador adicional, denominado bit FIN (véase la Figura 31-6).

Figura 31-6 Terminación de la conexión TCP

PCPC

UDP
TCP establece y termina las conexiones entre puntos finales, mientras que UDP no lo hace. Por lo tanto,
El UDP es un protocolo sin conexión. No proporciona fiabilidad, ni ventanas, ni reordenación de los datos.
Sin embargo, UDP proporciona transferencia de datos y multiplexación utilizando números de puerto,
y
lo hace con menos bytes de sobrecarga y menos procesamiento que TCP. Las aplicaciones que utilizan
UDP, como la VoIP, cambian la posibilidad de una cierta pérdida de datos por un menor retraso. La
Figura 31-7 compara las dos cabeceras.
10 31 días antes de su examen CCNA

Figura 31-7 Cabeceras TCP y UDP


22444 bits6 bits6 bits22231
Fue D Número Ac Tama
Des Reserva Ba Suma de Urg Opci PA
nt e de k. plaz do nd ño comprob ente ones D
e st secuen Núm ami era de ación
Pu in cia ero ento s la
ert o. ven
o P tan
u a
er
to
Cabecera TCP

2222
Fue D Longit Suma de
nte e ud comprob
Pu st ación
ert in
o o.
P
u
er
to
Cabecera UDP

A menos que se especifique, las longitudes


indicadas son números de bytes

La capa de Internet TCP/IP


La capa de Internet del modelo TCP/IP y su Protocolo de Internet (IP) definen las direcciones para que
cada ordenador pueda tener una dirección IP diferente. Además, la capa de Internet define el proceso de
enrutamiento para que los routers puedan determinar la mejor ruta para enviar los paquetes al destino.
Siguiendo con el ejemplo de la página web, el IP dirige los datos cuando pasan de la capa de transporte a
la capa de Internet:
Paso 1. El cliente web envía una petición HTTP.

Paso 2. TCP encapsula la petición HTTP.

Paso 3. IP encapsula el segmento de transporte en un paquete, añadiendo las direcciones de


origen y destino.
Paso 4. Las capas inferiores procesan y envían la solicitud al servidor web.

Paso 5. El servidor web recibe las peticiones HTTP y envía un acuse de recibo TCP al cliente web
solicitante.
Paso 6. El servidor web envía la respuesta HTTP a la capa de transporte.

Paso 7. TCP encapsula los datos HTTP.

Paso 8. IP encapsula el segmento de transporte en un paquete, añadiendo las direcciones de origen y destino.

Paso 9.Las capas inferiores procesan y envían la respuesta al cliente web solicitante.

Paso 10. El cliente web solicitante envía un acuse de recibo al servidor web.
El funcionamiento de IP no sólo incluye el direccionamiento, sino también el proceso de
enrutamiento de los datos desde el origen hasta el destino. En los próximos días se analizará y
revisará el IP.

La capa de acceso a la red TCP/IP


IP depende de la capa de acceso a la red para entregar paquetes IP a través de una red física. Por lo
tanto, la capa de acceso a la red define los protocolos y el hardware necesarios para entregar los
datos a través de alguna red física, especificando exactamente cómo conectar físicamente un
dispositivo en red a los medios físicos por los que se pueden transmitir los datos.
Día 31 11

La capa de acceso a la red incluye muchos protocolos para tratar los diferentes tipos de medios que
los datos pueden cruzar en su camino desde el dispositivo de origen al de destino. Por ejemplo, es
posible que los datos tengan que viajar primero por un enlace Ethernet y luego cruzar un enlace
Punto a Punto (PPP), luego un enlace Frame Relay, luego un enlace Multiprotocol Label Switching
(MPLS) y finalmente un enlace Ethernet para llegar al
destino. En cada transición de un tipo de medio a otro, la capa de acceso a la red proporciona los
protocolos, los estándares de cableado, las cabeceras y los remolques para enviar los datos a través de la
red física.
Muchas veces se necesita una dirección de enlace local para transferir datos de un salto a otro. Por
ejemplo, en una LAN Ethernet, se utilizan direcciones de control de acceso al medio (MAC) entre el
dispositivo emisor y su router pasarela local. En el router pasarela (dependiendo de las necesidades de la
interfaz de salida), la cabecera Ethernet puede ser sustituida por una etiqueta MPLS. La etiqueta tiene el
mismo propósito que las direcciones MAC en Ethernet: hacer que los datos atraviesen el enlace de
un salto a otro para que puedan continuar su viaje hasta el destino. Algunos protocolos, como el PPP,
no necesitan una dirección de enlace porque sólo otro dispositivo en el enlace puede recibir los
datos.
Con la capa de acceso a la red, ya podemos finalizar nuestro ejemplo de página web. Lo siguiente
simplifica y resume en gran medida el proceso de solicitud y envío de una página web:
Paso 1. El cliente web envía una petición HTTP.

Paso 2. TCP encapsula la petición HTTP.

Paso 3. IP encapsula el segmento de transporte en un paquete, añadiendo las direcciones de


origen y destino.
Paso 4. La capa de acceso a la red encapsula el paquete en una trama, direccionándolo para
el enlace local.
Paso 5. La capa de acceso a la red envía la trama en forma de bits en el soporte.

Paso 6. Los dispositivos intermedios procesan los bits en las capas de acceso a la red e Internet
y luego reenvían los datos hacia el destino.
Paso 7. El servidor web recibe los bits en la interfaz física y los envía a través de las capas
de acceso a la red e Internet.
Paso 8. El servidor web envía un acuse de recibo TCP al cliente web solicitante.

Paso 9. El servidor web envía la respuesta HTTP a la capa de transporte.

Paso 10. TCP encapsula los datos HTTP.

Paso 11. IP encapsula el segmento de transporte en un paquete, añadiendo las direcciones de origen
y destino.
Paso 12. La capa de acceso a la red encapsula el paquete en una trama, direccionándolo para el
enlace local.
Paso 13. La capa de acceso a la red envía la trama en forma de bits en el medio.

Paso 14. Las capas inferiores procesan y envían la respuesta al cliente web solicitante.

Paso 15. La respuesta viaja de vuelta a la fuente a través de múltiples enlaces de datos.
Paso 16. El cliente web solicitante recibe la respuesta en la interfaz física y envía los datos a
través de las capas de acceso a la red e Internet.
12 31 días antes de su examen CCNA

Paso 17. El cliente web solicitante envía un acuse de recibo TCP al servidor web.

Paso 18. La página web se muestra en el navegador del dispositivo solicitante.

Resumen de la encapsulación de datos


Cada capa del modelo TCP/IP añade su propia información de cabecera. A medida que los datos
descienden por las capas, se encapsulan con una nueva cabecera. En la capa de acceso a la red, también
se añade un tráiler. Este proceso de encapsulación se describe en cinco pasos:
Paso 1. Crear y encapsular los datos de la aplicación con las cabeceras de la capa de aplicación
que sean necesarias. Por ejemplo, el mensaje HTTP OK puede ser devuelto en una
cabecera HTTP, seguido de parte del contenido de una página web.
Paso 2. Encapsular los datos suministrados por la capa de aplicación dentro de una cabecera de la capa
de transporte. Para las aplicaciones de usuario final, se suele utilizar una cabecera TCP o
UDP.
Paso 3. Encapsular los datos suministrados por la capa de transporte dentro de una cabecera de la capa de
Internet (IP).
IP es el único protocolo disponible en el modelo de red TCP/IP en la capa de Internet.

Paso 4. Encapsular los datos suministrados por la capa de Internet dentro de una cabecera y
un tráiler de la capa de acceso a la red. Esta es la única capa que utiliza tanto una
cabecera como un tráiler.
Paso 5. Transmitir los bits. La capa física codifica una señal en el medio para transmitir la trama.
Los números de la Figura 31-8 corresponden a los cinco pasos de la lista, mostrando gráficamente el mismo
proceso de encapsulación.

Figura 31-8 Cinco pasos de la encapsulación de datos

Datos
1. Aplicación

TCP Datos
2. Transporte

3. I T Da Internet
P C tos
Red
4. L I T Da L Acceda a
H P C tos T
Bits de transmisión
5.

NOTA: Las letras LH y LT significan cabecera de enlace y remolque de enlace,


respectivamente, y se refieren a la cabecera y al remolque de la capa de enlace de datos.
Día 31 13

Iconos de red
Para interpretar los diagramas o topologías de red, debe entender los símbolos o iconos utilizados
para representar los diferentes dispositivos y medios de red. Los iconos de la Figura 31-9 son los
símbolos de red más comunes en los estudios CCNA.

Figura 31-9 Iconos de red

Punto de
accesoPortátilServidorTeléfono IP

RouterSwitch Conmutador de HubBridge


capa 3

Cable (Varios)
Línea de Circuito WAN Ethernet Inalámbrico
serie virtual

SDN ASA Cortafuegos


IPS

ControllervSwitch

Nube de red Módem por DSLAM


cable

Disposi
tivos
En las redes cableadas actuales, los conmutadores se utilizan casi exclusivamente para conectar
dispositivos finales a una única LAN. Ocasionalmente, se puede ver un concentrador que conecte
dispositivos finales, pero los concentradores son realmente dispositivos heredados. A continuación se
exponen las diferencias entre un concentrador y un conmutador:
■ Los hubs solían elegirse como dispositivos intermedios dentro de redes LAN muy pequeñas, en
las que el uso del ancho de banda no era un problema o las limitaciones de coste eran un factor.
En las redes actuales, los conmutadores han sustituido a los hubs.

■ Los conmutadores sustituyeron a los concentradores como dispositivos intermediarios de las


redes de área local (LAN) porque un conmutador puede segmentar los dominios de colisión y
proporcionar una mayor seguridad.
14 31 días antes de su examen CCNA

Interruptores
A la hora de elegir un interruptor, estos son los principales factores a tener en cuenta:

■ Coste: El coste viene determinado por el número y el tipo de puertos, las capacidades de
gestión de la red, las tecnologías de seguridad integradas y las tecnologías de conmutación
avanzadas opcionales.

■ Características de la interfaz: El número de puertos debe ser suficiente tanto para el momento
actual como para futuras ampliaciones. Otras características son las velocidades de enlace
ascendente, una mezcla de UTP y fibra, y la modularidad.

■ Capa de red jerárquica: Los conmutadores de la capa de acceso tienen requisitos


diferentes a los de las capas de distribución o núcleo.

Conmutadores de la capa de acceso


Los conmutadores de capa de acceso facilitan la conexión de los dispositivos finales a la red. Las
características de los conmutadores de la capa de acceso son las siguientes:

■ Seguridad portuaria

■ VLANs

■ Fast Ethernet/Gigabit Ethernet

■ Alimentación a través de Ethernet (PoE)

■ Agregación de enlaces

■ Calidad de servicio (QoS)

Conmutadores de la capa de distribución


Los switches de la capa de distribución reciben los datos de los switches de la capa de acceso y los
reenvían a los switches de la capa central. Las características de los conmutadores de la capa de
distribución son las siguientes:

■ Soporte de capa 3

■ Alta tasa de reenvío

■ Gigabit Ethernet/10 Gigabit Ethernet

■ Componentes redundantes

■ Políticas de seguridad/listas de control de acceso

■ Agregación de enlaces

■ QoS

Conmutadores de la capa central


Los conmutadores de capa central conforman la red troncal y son los responsables de gestionar la
mayor parte de los datos de una LAN conmutada. Las características de los conmutadores de la capa
central son las siguientes:

■ Soporte de capa 3

■ Tasa de reenvío muy alta

■ Gigabit Ethernet/10 Gigabit Ethernet


Día 31 15

■ Componentes redundantes

■ Agregación de enlaces

■ QoS

Routers
Los routers son los principales dispositivos que se utilizan para interconectar las redes (LAN, WAN y
WLAN). A la hora de elegir un router, los principales factores a tener en cuenta son los siguientes:

■ Capacidad de ampliación: Proporciona flexibilidad para añadir nuevos módulos a medida que
cambian las necesidades.

■ Medios: Determina el tipo de interfaces que debe soportar el router para las distintas
conexiones de red.

■ Características del sistema operativo: Determina la versión de IOS cargada en el router.


Diferentes versiones de IOS soportan diferentes conjuntos de características. Las características a
tener en cuenta son la seguridad, la QoS, la VoIP y la complejidad del enrutamiento, entre otras.
La Figura 31-10 muestra un router Cisco 4321, que proporciona las siguientes conexiones:

■ Puertos de consola: Dos puertos de consola para la configuración inicial, utilizando un puerto RJ-
45 normal y un conector USB Tipo-B (mini-B USB).

■ Puerto AUX: Un puerto RJ-45 para el acceso a la gestión remota.

■ Interfaces LAN: Dos interfaces Gigabit Ethernet para el acceso a la LAN (G0/0/0 y
G0/0/1). Si se utiliza el puerto RJ-45 G0/0/0, no se puede utilizar el puerto de factor de
forma pequeño (SFP). Los servicios WAN se proporcionarían entonces a través de una tarjeta
de expansión en las ranuras del módulo de interfaz de red (NIM).

■ Ethernet WAN: El otro puerto físico G0/0/0, un puerto SFP que soportaría varias
conexiones Ethernet WAN, normalmente de fibra. Si se utiliza, el puerto RJ-45 Gi0/0 se
desactiva.

■ Ranuras NIM: Dos ranuras que admiten diferentes tipos de módulos de interfaz, incluidos los de
serie (mostrados en la Figura 31-10), de línea de abonado digital (DSL), de puerto de
conmutación e inalámbricos.

Figura 31-10 Placa base del router de servicios integrados (ISR) Cisco 4321

Activado/desactivado Aux
Ranuras NIM
G0/0/12

USB RS-45
Consola
G0/0/0
(RJ-45 o SFP)

NIM serie de 2 puertos


16 31 días antes de su examen CCNA

Dispositivos especiales
Los conmutadores y routers constituyen la columna vertebral de una red. Además, muchas redes
integran diversos dispositivos de red especializados.

Cortafuegos
Un cortafuegos es un dispositivo de red, basado en hardware o software, que controla el acceso a la red
de la organización. Este acceso controlado está diseñado para proteger los datos y los recursos de las
amenazas externas.
Las organizaciones implementan cortafuegos de software a través de un sistema operativo de
red (NOS), como los servidores Linux/UNIX, Windows y macOS. El cortafuegos se configura en
el servidor para permitir o bloquear determinados tipos de tráfico de red. Los cortafuegos de
hardware suelen ser dispositivos de red dedicados que pueden implementarse con poca
configuración.
La Figura 31-11 muestra un firewall stateful básico.

Figura 31-11 La función de un cortafuegos

Solicitud inicial

Internet
PC Cambia Router Cortafuegos

Respuesta

Bloque Solicitud inicial

Internet
PC Cambia Router Cortafuegos

Un cortafuegos de estado permite que el tráfico se origine en una red interna de confianza y salga a una
red no fiable, como Internet. El cortafuegos permite el tráfico de retorno desde la red no fiable a la red
fiable. Sin embargo, el cortafuegos bloquea el tráfico que se origina en una red no fiable.
Día 31 17

IDS e IPS
Tanto los sistemas de detección de intrusos (IDS) como los sistemas de prevención de intrusos
(IPS) pueden reconocer los ataques a la red; se diferencian principalmente en su ubicación en la red.
Un dispositivo IDS recibe una copia del tráfico a analizar. Un dispositivo IPS se coloca en línea con el
tráfico, como muestra la Figura 31-12.

Figura 31-12 Comparación de IPS e IDS

Atacante

Despliegue de IPS activo

Internet Red de campus

RouterFirewallIPS SensorSwitch

Atacante

Despliegue de IDS pasivos


Cambia
Red de campus
Internet

RouterFirewall

Sensor IDS

Un IDS es un sistema de detección pasiva. Puede detectar la presencia de un ataque, registrar la


información y enviar una alerta.
Un IPS tiene la misma funcionalidad que un IDS, pero además, un IPS es un dispositivo activo que
escanea continuamente la red, buscando actividad inapropiada. Puede cerrar cualquier amenaza
potencial. El IPS busca cualquier firma conocida de ataques comunes e intenta automáticamente
prevenir esos ataques.

Cortafuegos de nueva generación


Aunque el término de próxima generación en relación con los cortafuegos ha existido al menos
desde principios de la década de 2010, puede ser engañoso. Los cortafuegos de nueva generación
(NGFW) o los IPS de nueva generación (NGIPS) son en realidad lo que Cisco vende actualmente en
sus líneas de productos Cisco Adaptative Security Appliance (ASA) y Firepower. No deje de visitar
www.cisco.com/go/firewalls para obtener más información sobre las ofertas actuales de
cortafuegos de Cisco.
18 31 días antes de su examen CCNA

Un NGFW suele tener las siguientes características:

■ Cortafuegos tradicional: Un NGFW realiza funciones de cortafuegos tradicionales, como


el filtrado de cortafuegos con estado, NAT/PAT y la terminación de VPN.

■ Visibilidad y control de aplicaciones (AVC): AVC hace posible mirar en profundidad los
datos de la capa de aplicación para identificar la aplicación y así defenderse de los ataques
que utilizan números de puerto aleatorios.

■ Protección avanzada contra el malware (AMP): AMP puede bloquear las


transferencias de archivos que instalarían malware y guardar copias de los archivos para
su posterior análisis.

■ Filtrado de localizadores uniformes de recursos (URL): El filtrado de URLs examina las


URLs en cada solicitud web, categoriza las URLs, y filtra o limita la tasa de tráfico basado en
reglas. El grupo de seguridad Cisco Talos supervisa y crea puntuaciones de reputación para cada
dominio conocido en Internet, y el filtrado de URL puede utilizar esas puntuaciones en sus
decisiones para categorizar, filtrar o limitar la tasa.

■ NGIPS: Los productos NGFW de Cisco también pueden ejecutar su función NGIPS junto con el
cortafuegos, como se muestra en la Figura 31-13.

Figura 31-13 NGFW con módulo NPIPS

Talos

Internet

NGIPS Y NGFW

Puntos de acceso y controladores de LAN inalámbrica


Las redes LAN inalámbricas (WLAN) se utilizan habitualmente en las redes. Los usuarios esperan poder
conectarse sin problemas cuando se desplazan de un lugar a otro dentro de una casa, una pequeña
empresa o una red de campus empresarial. Para permitir esta conectividad, los administradores de red
gestionan una colección de puntos de acceso inalámbricos (AP) y controladores de LAN inalámbrica
(WLC).
En las redes pequeñas, los AP se suelen utilizar cuando un router ya proporciona servicios de capa 3,
como en la Figura 31-14.
Día 31 19

Figura 31-14 Red pequeña con un AP


PortátilSmartphone

Punto de acceso inalámbrico

DSL
Módem
Proveedor de servicios de Internet
Cambia
Router

PC

Un AP tiene un puerto Ethernet que le permite conectarse a un puerto de conmutación. En una


red doméstica o de pequeña oficina, un AP puede ser otro router inalámbrico con todos los
servicios de capa 3 desactivados: basta con conectar uno de los puertos de conmutación del AP a
uno de los puertos de conmutación del router inalámbrico.
Los AP también se utilizan cuando es necesario ampliar el área de cobertura de una WLAN
existente. En redes más grandes, se suele utilizar un controlador de LAN inalámbrica (WLC) para
gestionar varios AP, como en la Figura 31-15.

Figura 31-15 Ejemplo de implementación de un controlador de LAN inalámbrica


Controlador de LAN
inalámbrica

Punto de acceso ligero Punto de acceso ligero

Punto de acceso ligero

Punto de Punto de
acceso ligero acceso ligero
20 31 días antes de su examen CCNA

Los WLC pueden utilizar el antiguo Protocolo de Puntos de Acceso Ligeros (LWAPP) o el más
actual Control y Aprovisionamiento de Puntos de Acceso Inalámbricos (CAPWAP). Con un WLC, se
puede utilizar la agrupación de VLAN para asignar direcciones IP a los clientes inalámbricos a partir de
un conjunto de subredes IP y sus VLAN asociadas.

Capa física
Antes de que pueda producirse cualquier comunicación de red, debe establecerse una conexión física
por cable o inalámbrica. El tipo de conexión física depende de la configuración de la red. En las redes
más grandes, los conmutadores y los puntos de acceso suelen ser dos dispositivos separados y
dedicados. En una empresa muy pequeña (tres o cuatro empleados) o en una red doméstica, las
conexiones inalámbricas y por cable se combinan en un solo dispositivo e incluyen un método de
banda ancha para conectarse a Internet. Estos routers inalámbricos de banda ancha ofrecen un
componente de conmutación con múltiples puertos y un AP, que permite que los dispositivos
inalámbricos también se conecten. La Figura 31-16 muestra el panel posterior de un router de banda
ancha inalámbrico Cisco WRP500.

Figura 31-16 Router VPN Cisco RV160W Wireless-AC

Formularios y normas de los medios de comunicación en red


Existen tres formas básicas de medios de red:

■ Cable de cobre: Las señales son patrones de pulsos eléctricos.

■ Cable de fibra óptica: Las señales son patrones de luz.

■ Inalámbrico: Las señales son patrones de transmisiones de microondas.

Los mensajes se codifican y luego se colocan en el soporte. La codificación es el proceso de convertir


los datos en patrones de energía eléctrica, luminosa o electromagnética para que puedan ser
transportados en el soporte.
La Tabla 31-6 resume los tres medios de red más comunes en uso hoy en día.
Día 31 21

Tabla 31-6 Medios de


comunicación en red Técnica de codificación de tramasMétodos
de señalización
Medios físicos
Componentes
Cable de
Codificación Manchester Cambios en el campo
cobreUTP electromagnético.
Técnicas de no retorno a cero
Conectores (NRZ) Intensidad del campo
electromagnético.
coaxiales Códigos 4B/5B utilizados con la
señalización de nivel de transición Fase de la onda
NIC multinivel 3 (MLT-3) electromagnética.
Puertos 8B/10B
Interfaces PAM5 Un pulso es
Cable de fibra óptica Fibra
monomodal Pulsos de luz igual a 1. Sin

Fibra Multiplexación de longitudes pulso es 0.


de onda utilizando diferentes
multimodo colores
Conectores NIC
Interfaces

Láseres y LEDs
Fotorreceptores
Puntos de acceso inalámbrico Ondas de radio.
Espectro ensanchado de
NICs
secuencia directa (DSSS)
Antenas
Multiplexación por división de
de radio frecuencia ortogonal (OFDM)

Cada tipo de soporte tiene ventajas y desventajas. A la hora de elegir el medio, hay que tener en cuenta
cada uno de los siguientes aspectos:

■ Longitud del cable: ¿Es necesario que el cable atraviese una habitación o vaya de un edificio a
otro?

■ El coste: ¿El presupuesto permite utilizar un tipo de soporte más caro?

■ Ancho de banda: ¿La tecnología utilizada con los medios de comunicación proporciona un ancho
de banda adecuado?

■ Facilidad de instalación: ¿Tiene el equipo de implantación la capacidad de instalar el cable o es


necesario recurrir a un proveedor?

■ Susceptible a EMI/RFI: ¿Interferirá el entorno local con la señal?

La Tabla 31-7 resume los estándares de medios para el cableado de las redes LAN.
22 31 días antes de su examen CCNA

Tabla 31-7 Estándar de medios, longitud de cable y ancho de banda


Tipo de Ancho de Tipo de cable Distancia
Ethernet banda máxima
10BASE-T 10 Mbps Cat3/Cat5 UTP 100 m
100BASE-TX 100 Mbps Cat5 UTP 100 m
100BASE-TX 200 Mbps Cat5 UTP 100 m
100BASE-FX 100 Mbps Fibra multimodo 400 m
100BASE-FX 200 Mbps Fibra multimodo 2 km
1000BASE-T 1 Gbps Cat5e UTP 100 m
1000BASE-TX 1 Gbps Cat6 UTP 100 m
1000BASE-SX 1 Gbps Fibra multimodo 550 m
1000BASE-LX 1 Gbps Fibra monomodo 2 km
10GBASE-T 10 Gbps Cat6a/Cat7 UTP 100 m
10GBASE-SX4 10 Gbps Fibra multimodo 550 m
10GBASE-LX4 10 Gbps Fibra monomodo 2 km

Pautas de conexión de dispositivos LAN


Los dispositivos finales son equipos que son la fuente original o el destino final de un mensaje.
Los dispositivos intermedios conectan los dispositivos finales a la red para ayudar a llevar un mensaje
desde el dispositivo final de origen hasta el dispositivo final de destino.
La conexión de dispositivos en una LAN suele realizarse con cableado de par trenzado no apantallado
(UTP). Aunque muchos dispositivos nuevos disponen de una función de cruce automático que
permite conectar un cable directo o cruzado, es necesario conocer las siguientes reglas básicas:
Utilice cables rectos para las siguientes conexiones:

■ Conmutar al puerto Ethernet del router

■ Ordenador para cambiar

■ Ordenador al centro

Utilice cables cruzados para las siguientes conexiones:

■ Cambiar por cambiar

■ Cambiar a hub

■ De centro a centro

■ De router a router (puertos Ethernet)

■ De ordenador a ordenador

■ Puerto Ethernet del ordenador al router


Día 31 23

Redes LAN y WAN


Una red de área local (LAN) es una red de ordenadores y otros componentes situados relativamente
cerca en un área limitada. El tamaño de las LAN puede variar mucho, desde un ordenador conectado a
un router en una oficina doméstica hasta cientos de ordenadores en una oficina corporativa. Sin
embargo, en general, una LAN abarca un área geográfica limitada. Los componentes fundamentales de
una LAN son los siguientes:

■ Ordenadores

■ Interconexiones (NICs y los medios de comunicación)

■ Dispositivos de red (hubs, switches y routers)

■ Protocolos (Ethernet, IP, ARP, DHCP, DNS, etc.)

Una red de área amplia (WAN) suele conectar LANs que están separadas geográficamente. Un conjunto
de LANs conectadas por una o más WANs se denomina red interna; así tenemos Internet. El término
intranet se utiliza a menudo para referirse a una conexión privada de LANs y WANs.
Dependiendo del tipo de servicio, la conexión a la WAN funciona normalmente de una de las siguientes
maneras:

■ Conexión en serie de 60 pines a una CSU/DSU (heredada)

■ Conexión del controlador RJ-45 T1 a una CSU/DSU (heredada)

■ Conexión RJ-11 a un módem telefónico o DSL

■ Conexión coaxial por cable a un módem por cable

■ Conexión de fibra Ethernet al conmutador del proveedor de servicios

Pequeña oficina/oficina en casa (SOHO)


Con el creciente número de trabajadores remotos, las empresas tienen una necesidad cada vez mayor de
formas seguras, fiables y rentables de conectar a las personas que trabajan en pequeñas oficinas u
oficinas domésticas (SOHO) o en otras ubicaciones remotas con los recursos de los sitios corporativos.
En el caso de los trabajadores SOHO, esto se suele hacer a través de una conexión por cable o DSL,
como se muestra en la Figura 31-17.

Figura 31-17 Conexiones SOHO a Internet

Cable Ethernet CATV


Cable

Internet

Inalámbrico DSL
24 31 días antes de su examen CCNA

Entre las tecnologías de conexión remota para apoyar a los teletrabajadores se encuentran las siguientes:

■ Tecnologías WAN privadas tradicionales, como Frame Relay, ATM y líneas alquiladas, aunque
estas tecnologías se consideran ahora heredadas

■ Acceso remoto y seguro a la red privada virtual (VPN) mediante una conexión de banda ancha
a través de la Internet pública
Los componentes necesarios para la conectividad del teletrabajador son los siguientes

■ Componentes de la oficina en casa: Ordenador, acceso de banda ancha (cable o DSL) y un


router VPN o un software cliente VPN instalado en el ordenador

■ Componentes corporativos: Enrutadores con capacidad VPN, concentradores VPN,


dispositivos de seguridad multifunción, autenticación y dispositivos de gestión central para la
agregación y terminación resistente de las conexiones VPN

Routers SOHO
La puerta de entrada a Internet para una SOHO suele ser un router multifunción integrado. Los
routers SOHO tienen las siguientes características:

■ Utilizan Internet y la tecnología VPN para sus conexiones WAN para enviar datos de ida y vuelta
al resto de la empresa.

■ Utilice un dispositivo multifunción que gestione el enrutamiento, la conmutación LAN, la


VPN, la conexión inalámbrica y otras funciones, como se muestra en la Figura 31-18.

Figura 31-18 Funciones internas de un router SOHO

Funciones
internas del
router SOHO

Punto de acceso

UTP
CATV
Cable
ISP/Internet
UTP R1UTP
UTP RouterMódem por cable
Cambia

En realidad, el punto de acceso y el conmutador están integrados en el router.

Topologías físicas y lógicas


Los diagramas de red suelen denominarse topologías. Una topología muestra gráficamente los métodos de
interconexión utilizados entre los dispositivos.
Las topologías físicas se refieren a la disposición física de los dispositivos y a la forma en que están
cableados. Existen siete topologías físicas básicas (véase la Figura 31-19).
Día 31 25

Figura 31-19 Topologías físicas

Anillo

Point-to-PointMesh

Estrella

Malla BusParcial

Estrella extendida

Las topologías lógicas se refieren a la forma en que una señal viaja de un punto a otro de la red y
están determinadas en gran medida por el método de acceso: determinista o no determinista. Ethernet
es un método de acceso no determinista. Lógicamente, Ethernet funciona como una topología de bus.
Sin embargo, las redes Ethernet están casi siempre diseñadas físicamente como topologías de
estrella o estrella extendida.
Otros métodos de acceso utilizan un método de acceso determinista. Token Ring y Fiber Distributed
Data Interface (FDDI) funcionan lógicamente como topologías de anillo, pasando los datos de una
estación a la siguiente. Aunque estas redes pueden diseñarse como anillos físicos, como Ethernet, a
menudo se diseñan como topologías de estrella o estrella extendida. Sin embargo, lógicamente funcionan
como topologías de anillo.

Diseños de campus jerárquicos


El diseño jerárquico del campus implica la división de la red en capas discretas. Cada capa proporciona
funciones específicas que definen su papel dentro de la red global. Al separar las distintas funciones que
existen en una red, el diseño de ésta se vuelve modular, lo que facilita la escalabilidad y el rendimiento.
El modelo de diseño jerárquico se divide en tres capas:

■ Capa de acceso: Proporciona acceso local y remoto a los usuarios

■ Capa de distribución: Controla el flujo de datos entre las capas de acceso y núcleo

■ Capa central: Actúa como la red troncal redundante de alta velocidad

La Figura 31-20 muestra un ejemplo de diseño de red de campus jerárquico de tres niveles.
26 31 días antes de su examen CCNA

Figura 31-20 Diseño de campus de tres niveles


Edificio 1Edificio2

A11 A21

D11 Núcleo1 D21


A12A22

A13 A23
D12Core2D22

A14 A24

D31 D32

A31 A32 A33 A34

Edificio 3

En las redes más pequeñas, el núcleo se suele colapsar en la capa de distribución para un diseño de dos
niveles, como en la Figura 31-21.

Figura 31-21 Diseño de campus de dos niveles

A la WAN

R1 R2

2 x 10 GbE
Capa de
2 interruptores de distribución
distribución
D1 D1
Enlaces ascendentes
GigE GigE

Capa
40 Interruptores de acceso de
A1 A2 ..... A39 A40
acceso

10/100/1000 10/100/1000 10/100/1000 10/100/1000 ≈ 1000 PCs


Día 31 27

Un diseño de dos niveles resuelve dos grandes necesidades de diseño:

■ Proporciona un lugar para conectar los dispositivos de los usuarios finales (la capa de acceso, con
conmutadores de acceso)

■ Conecta los conmutadores con un número razonable de cables y puertos de conmutación


conectando los 40 conmutadores de acceso a dos conmutadores de distribución
En el caso de las redes muy pequeñas y las redes domésticas, los tres niveles pueden verse en un solo
dispositivo, como el router de banda ancha inalámbrica mostrado anteriormente en la Figura 31-16.

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.

Recursos Módulo o capítulo


Introducción a las redes v7 1
3
4
Guía oficial del CCNA 200-301, volumen 1 1
2
3
5
15
26
Guía oficial del CCNA 200-301, volumen 2 5
13
Guía del mando portátil 6
Esta página se ha dejado intencionadamente en blanco
Conmutación Ethernet

Temas del examen CCNA 200-301


■ Explicar el papel y la función de los componentes de la red

■ Describir los conceptos de conmutación

Temas clave
Hoy repasamos los conceptos en los que se basa la conmutación de Ethernet, incluyendo la historia
del desarrollo de la conmutación, cómo funciona realmente la conmutación y la variedad de
características de los conmutadores. También repasaremos los detalles del funcionamiento de
Ethernet.

Evolución a la conmutación
Las redes LAN actuales utilizan casi exclusivamente conmutadores para interconectar los dispositivos
finales; sin embargo, no siempre fue así. Al principio, los dispositivos se conectaban a un bus físico, un
largo tramo de cableado troncal coaxial. Con la introducción de 10BASE-T y el cableado UTP, el hub
ganó popularidad como una forma más barata y sencilla de conectar dispositivos. Pero incluso 10BASE-
T con hubs tenía las siguientes limitaciones:

■ Una trama enviada desde un dispositivo puede colisionar con una trama enviada por otro
dispositivo conectado a ese segmento LAN. Los dispositivos estaban en el mismo dominio de
colisión compartiendo el ancho de banda.

■ Las emisiones enviadas por un dispositivo eran escuchadas y procesadas por todos los
demás dispositivos de la LAN. Los dispositivos estaban en el mismo dominio de difusión. Al
igual que los concentradores, los conmutadores reenvían las tramas de difusión por todos los
puertos excepto por el puerto entrante.
Pronto se desarrollaron los puentes Ethernet para resolver algunos de los problemas inherentes
a una LAN compartida. Un puente básicamente segmentaba una LAN en dos dominios de colisión,
lo que reducía el número de colisiones en un segmento de la LAN. Esto aumentó el rendimiento de
la red al disminuir el tráfico innecesario de otro segmento.
Cuando los conmutadores llegaron a la escena, estos dispositivos ofrecían las mismas ventajas que los
puentes, además de las siguientes:

■ Un mayor número de interfaces para dividir el dominio de colisión en más segmentos

■ Conmutación basada en hardware en lugar de utilizar software para tomar la decisión

En una LAN en la que todos los nodos están conectados directamente al conmutador, el rendimiento de
la red aumenta de forma espectacular. Con cada ordenador conectado a un puerto independiente del
conmutador, cada uno se encuentra en un dominio de colisión independiente y tiene su propio
segmento dedicado:

■ Ancho de banda dedicado a cada puerto

■ Entorno sin colisiones

■ Funcionamiento full-duplex
30 31 días antes de su examen CCNA

Lógica de conmutación
Los conmutadores Ethernet reenvían selectivamente tramas individuales desde un puerto de
recepción al puerto donde está conectado el nodo de destino. Durante este instante, el conmutador
crea una conexión lógica punto a punto de ancho de banda completo entre los dos nodos.
Los conmutadores crean esta conexión lógica basándose en las direcciones de control de acceso al medio
(MAC) de origen y destino de la cabecera Ethernet. Específicamente, el trabajo principal de un
conmutador LAN es recibir tramas Ethernet y luego tomar la decisión de reenviar la trama o ignorarla.
Para lograr esto, el switch realiza tres acciones:
Paso 1. Decide cuándo reenviar una trama o cuándo filtrar (no reenviar) una trama, basándose en
la dirección MAC de destino
Paso 2. Aprende las direcciones MAC examinando la dirección MAC de origen de cada trama
que recibe el switch
Paso 3. Crea un entorno libre de bucles (capa 2) con otros conmutadores mediante el protocolo
de árbol de expansión (STP)
Para tomar la decisión de reenviar o filtrar, el conmutador utiliza una tabla de direcciones MAC
construida dinámicamente y almacenada en la memoria RAM. Comparando la dirección MAC de
destino de la trama con los campos de la tabla, el conmutador decide cómo reenviar y/o filtrar la
trama.
Por ejemplo, en la Figura 30-1, el switch recibe una trama del Host A con la dirección MAC de
destino OC. El conmutador busca en su tabla MAC, encuentra una entrada para la dirección MAC y
reenvía la trama por el puerto 6. El conmutador también filtra la trama al no reenviarla por ningún
otro puerto, incluyendo el puerto en el que se recibió la trama.

Figura 30-1 Reenvío de conmutadores basado en la dirección MAC

1 6

Dirección PU
A C MAC ER
TO
OA 1
B D OB 3
O 6
C
OD 9

Preámbul Dirección de Dirección de Tip Da Pad CR


Marco o destino la fuente o tos C
OC OA

Además de reenviar y filtrar las tramas, el conmutador actualiza la marca de tiempo de la dirección
MAC de origen de la trama. En la Figura 30-1, la dirección MAC del Host A, OA, ya está en la tabla
MAC, por lo que el switch actualiza la entrada. Las entradas que no se actualizan eventualmente se
eliminan (después de los 300 segundos por defecto en Cisco IOS).
Día 30 31

Continuando con el ejemplo de la Figura 30-1, suponga que otro dispositivo, el Host E, está conectado al
puerto 10. El Host B envía una trama al nuevo Host E. El switch no sabe todavía dónde está el Host E,
por lo que reenvía la trama a todos los puertos activos (en un proceso conocido como flooding). El
anfitrión B envía una trama al nuevo anfitrión E. El conmutador aún no sabe dónde se encuentra el
anfitrión E, por lo que reenvía la trama a todos los puertos activos (en un proceso conocido como
inundación) excepto al puerto en el que se recibió la trama. El nuevo Host E recibe la trama. Cuando
responde al Host B, el switch aprende la dirección MAC y el puerto del Host E por primera vez y lo
almacena en la tabla de direcciones MAC. Las siguientes tramas destinadas al host E se envían sólo por
el puerto 10.
Por último, los conmutadores LAN deben disponer de un método para crear una ruta libre de bucles
para las tramas dentro de la LAN. El STP permite evitar los bucles en las redes Ethernet en las que
existen enlaces físicos redundantes.

Dominios de colisión y difusión


Un dominio de colisión es el conjunto de interfaces LAN cuyas tramas podrían colisionar entre sí.
Todos los entornos de medios compartidos, como los creados por el uso de concentradores, son
dominios de colisión. Cuando un host se conecta a un puerto de conmutación, el conmutador crea una
conexión dedicada, eliminando así la posibilidad de colisión. Los conmutadores reducen las
colisiones y mejoran el uso del ancho de banda en los segmentos de la red porque proporcionan un
ancho de banda dedicado y full-duplex a cada segmento de la red.
Sin embargo, un conmutador no puede aliviar el tráfico de difusión. Un conjunto de conmutadores
conectados forma un gran dominio de difusión. Si una trama con la dirección de destino FFFF.
FFFF.FFFF atraviesa un puerto de un conmutador, ese conmutador debe inundar la trama hacia todos
los demás puertos activos. Cada dispositivo conectado debe entonces procesar la trama de difusión al
menos hasta la capa de red. Los routers y las VLAN se utilizan para segmentar los dominios de
difusión. El día 26, "Conceptos y configuraciones de VLAN y Trunking", revisa el uso de las VLAN
para segmentar los dominios de broadcast.

Reenvío de tramas
Los conmutadores funcionan de varias maneras para reenviar las tramas. Pueden diferir en los métodos
de reenvío, las velocidades de los puertos, el almacenamiento en memoria y las capas OSI utilizadas
para tomar la decisión de reenvío. En las siguientes secciones se discuten estos conceptos con mayor
detalle.

Métodos de reenvío de conmutación


Los conmutadores utilizan uno de los siguientes métodos de reenvío para conmutar los datos entre los puertos
de la red:

■ Conmutación de almacenamiento y reenvío: el conmutador almacena las tramas recibidas en


sus búferes, analiza cada trama para obtener información sobre el destino y evalúa la integridad de
los datos mediante la comprobación de redundancia cíclica (CRC) en el tráiler de la trama. Se
almacena toda la trama y se calcula el CRC antes de reenviar cualquier parte de la trama. Si el
CRC es correcto, la trama se reenvía al destino.
■ Conmutación de paso: el conmutador almacena en la memoria intermedia lo suficiente de la
trama para leer la dirección MAC de destino y así poder determinar a qué puerto reenviar los
datos. Cuando el conmutador determina una coincidencia entre la dirección MAC de destino y
una entrada de la tabla de direcciones MAC, la trama se reenvía al puerto o puertos adecuados.
Esto ocurre mientras se sigue recibiendo el resto de la trama inicial. El conmutador no realiza
ninguna comprobación de errores en la trama.
32 31 días antes de su examen CCNA

■ Modo sin fragmentos: El switch espera a que pase la ventana de colisión (64 bytes) antes de
reenviar la trama. Esto significa que cada trama se comprueba en el campo de datos para
asegurarse de que no se ha producido ninguna fragmentación. El modo libre de fragmentos
proporciona una mejor comprobación de errores que el cut-through, sin aumentar
prácticamente la latencia.

Conmutación simétrica y asimétrica


La conmutación simétrica proporciona conexiones conmutadas entre puertos con el mismo ancho
de banda, como todos los puertos de 100 Mbps o todos los puertos de 1000 Mbps. Un conmutador
LAN asimétrico proporciona conexiones conmutadas
conexiones entre puertos de diferente ancho de banda, como una combinación de puertos de 10-Mbps,
100-Mbps y 1000-Mbps.

Buffering de memoria
Los conmutadores almacenan las tramas durante un breve periodo de tiempo en una memoria intermedia. Existen
dos métodos de almacenamiento en memoria intermedia:

■ Memoria basada en puertos: Las tramas se almacenan en colas vinculadas a puertos de entrada
específicos.

■ Memoria compartida: Las tramas se depositan en un buffer de memoria común que


comparten todos los puertos del switch.

Conmutación de nivel 2 y 3
Un conmutador LAN de capa 2 realiza la conmutación y el filtrado basándose únicamente en las
direcciones MAC. Un conmutador de capa 2 es completamente transparente para los protocolos de red
y las aplicaciones de usuario. Un conmutador de Capa 3 funciona de forma similar a un conmutador de
Capa 2. Pero en lugar de utilizar sólo la información de la dirección MAC de Capa 2 para las decisiones
de reenvío, el conmutador de Capa 3 se basa en las direcciones MAC. Pero en lugar de utilizar sólo la
información de la dirección MAC de capa 2 para las decisiones de reenvío, un conmutador de capa 3
también puede utilizar la información de la dirección IP. Los conmutadores de Capa 3 también son
capaces de realizar funciones de enrutamiento de Capa 3, reduciendo la necesidad de routers dedicados
en una LAN. Dado que los conmutadores de capa 3 cuentan con un hardware de conmutación
especializado, normalmente pueden enrutar los datos con la misma rapidez con la que los conmutan.

Visión general de Ethernet


802.3 es el estándar IEEE para Ethernet, y los dos términos se suelen utilizar indistintamente. Los
términos Ethernet y 802.3 se refieren a una familia de estándares que definen conjuntamente las
capas física y de enlace de datos de la tecnología LAN definitiva. La Figura 30-2 muestra una
comparación de los estándares Ethernet con el modelo OSI.
Ethernet separa las funciones de la capa de enlace de datos en dos subcapas distintas:

■ Subcapa de Control de Enlace Lógico (LLC): Definida en el estándar 802.2

■ Subcapa de control de acceso al medio (MAC): Definida en el estándar 802.3


Día 30 33

Figura 30-2 Estándares de Ethernet y el modelo OSI

LLC
Subcap IEEE 802.2

Capa de enlace de datos a

(FastEthernet) IEEE 802.3u

(GigabitEthernet sobre cobre)IEEE 802.3ab


(GigabitEthernet)IEEE 802.3z

Token Ring/iEEE 802.6


MAC
Subcap
a

Capa física (Ethernet)IEEE 802.3

FDDI
Capa
físic
a

Especificación OSI LayersLAN

La subcapa LLC se encarga de la comunicación entre la capa de red y la subcapa MAC. En general,
LLC proporciona una forma de identificar el protocolo que se pasa de la capa de enlace de datos a la
capa de red. De este modo, los campos de la subcapa MAC no se rellenan con información sobre el
tipo de protocolo, como ocurría en anteriores implementaciones de Ethernet.
La subcapa MAC tiene dos responsabilidades principales:

■ Encapsulación de datos: Aquí se incluye el ensamblaje de tramas antes de la transmisión, el


análisis sintáctico de tramas tras la recepción de una trama, el direccionamiento MAC de la capa
de enlace de datos y la detección de errores.

■ Control de acceso al medio: Dado que Ethernet es un medio compartido y todos los
dispositivos pueden transmitir en cualquier momento, el acceso al medio se controla
mediante un método denominado Acceso Múltiple con Sentido de la Portadora/Detección
de Colisiones (CSMA/CD) cuando se opera en modo semidúplex.
En la capa física, Ethernet especifica e implementa esquemas de codificación y decodificación que
permiten transportar los bits de las tramas como señales a través de cables de cobre de par trenzado
no apantallado (UTP) y cables de fibra óptica. En las primeras implementaciones, Ethernet utilizaba
cableado coaxial.

Tecnologías Ethernet heredadas


La mejor manera de entender Ethernet es considerar primero las dos primeras especificaciones de
Ethernet, 10BASE-5 y 10BASE-2. Con estas dos especificaciones, el ingeniero de redes instala una
serie de cables coaxiales que conectan cada dispositivo de la red Ethernet, como en la Figura 30-3.
La serie de cables crea un circuito eléctrico, llamado bus, que se comparte entre todos los dispositivos
de la Ethernet. Cuando un ordenador quiere enviar algunos bits a otro ordenador del bus, envía una
señal eléctrica, y la electricidad se propaga a todos los dispositivos de la Ethernet.
34 31 días antes de su examen CCNA

Figura 30-3 Topología de bus físico y lógico de Ethernet

Topología
Física: Bus
Lógica: Bus

Con el cambio de medio a UTP y la introducción de los primeros hubs, las topologías
físicas de Ethernet migraron a una estrella, como se muestra en la Figura 30-4.

Figura 30-4 Topología de estrella física y bus lógico de Ethernet

Topología
Física: Estrella
Lógica: Bus

Hub

Independientemente del cambio en la topología física de un bus a una estrella, los hubs funcionan
lógicamente de forma similar a una topología de bus tradicional y requieren el uso de CSMA/CD.

CSMA/CD
Dado que Ethernet es un medio compartido en el que todos los dispositivos tienen derecho a enviar en
cualquier momento, también define una especificación para garantizar que sólo un dispositivo envíe
tráfico a la vez. El algoritmo CSMA/CD define cómo se accede al bus lógico de Ethernet.
La lógica CSMA/CD ayuda a evitar las colisiones y también define cómo actuar cuando se
produce una colisión. El algoritmo CSMA/CD funciona así:
Paso 1. Un dispositivo con una trama para enviar escucha hasta que la Ethernet
no esté ocupada. Paso 2. Cuando la Ethernet no está ocupada, el/los emisor/es
comienza/n a enviar la trama. Paso 3. El emisor o emisores escuchan para
asegurarse de que no se produce ninguna colisión.
Día 30 35

Paso 4. Si se produce una colisión, los dispositivos que estaban enviando una trama envían cada
uno una señal de interferencia para asegurarse de que todas las estaciones reconocen la
colisión.
Paso 5. Cuando la interferencia se ha completado, cada emisor aleatoriza un temporizador y
espera hasta que el temporizador expire antes de intentar reenviar la trama
colisionada.
Paso 6. Cuando cada temporizador aleatorio expira, el proceso comienza de nuevo desde el principio.

Cuando CSMA/CD está en funcionamiento, la tarjeta de interfaz de red (NIC) de un dispositivo


funciona en modo semidúplex, ya sea enviando o recibiendo tramas. CSMA/CD se desactiva cuando
una NIC detecta automáticamente que puede funcionar en modo full-duplex o se configura
manualmente para hacerlo. En modo full-duplex, una NIC puede enviar y recibir simultáneamente.

Resumen de la Ethernet heredada


Los concentradores LAN aparecen ocasionalmente, pero generalmente se utilizan conmutadores en
lugar de concentradores. Tenga en cuenta los siguientes puntos clave sobre la historia de Ethernet:

■ Las LAN Ethernet originales creaban un bus eléctrico al que se conectaban todos los dispositivos.

■ Los repetidores 10BASE-2 y 10BASE-5 ampliaron la longitud de las redes LAN limpiando la
señal eléctrica y repitiéndola (una función de capa 1), pero sin interpretar el significado de la
señal eléctrica.

■ Los hubs son repetidores que proporcionan un punto de conexión centralizado para el
cableado UTP, pero siguen creando un único bus eléctrico que comparten los distintos
dispositivos, al igual que con 10BASE-5 y 10BASE-2.

■ Dado que las colisiones pueden producirse en cualquiera de estos casos, Ethernet define el
algoritmo CSMA/CD, que indica a los dispositivos cómo evitar las colisiones y actuar cuando
éstas se producen.

Tecnologías Ethernet actuales


Consulte la Tabla 30-1 y observe los diferentes estándares 802.3. Cada nuevo estándar de capa física del
IEEE requiere muchas diferencias en la capa física. Sin embargo, cada uno de estos estándares de capa
física utiliza la misma cabecera 802.3, y cada uno utiliza también la subcapa superior LLC. La Tabla 30-
1 enumera los estándares de capa física de Ethernet del IEEE más utilizados en la actualidad.

Tabla 30-1 Tipos de Ethernet más comunes en la actualidad


Nomb Veloci Nombre Nombre de Tipo de cable,
re dad alternati la norma longitud
comú vo IEEE máxima
n
Ethernet 10 Mbps 10BASE-T 802.3 Cobre, 100 m
Ethernet rápida 100 100BASE- 802.3u Cobre, 100 m
Mbps TX
Gigabit Ethernet 1000 1000BASE- 802.3z Fibra, 550 m
Mbps LX
Gigabit Ethernet 1000 1000BASE- 802.3ab Cobre, 100 m
Mbps T
10GigE (Gigabit 10 Gbps 10GBASE-T 802.3an Cobre, 100 m
Ethernet)
10GigE (Gigabit 10 Gbps 10GBASE-S 802.3ae Fibra, 400 m
Ethernet)
36 31 días antes de su examen CCNA

Cableado UTP
Los tres estándares de Ethernet más utilizados en la actualidad -10BASE-T (Ethernet),
100BASE-TX (Fast Ethernet o FE) y 1000BASE-T (Gigabit Ethernet o GE)- utilizan cableado UTP.
Existen algunas diferencias clave, sobre todo en cuanto al número de pares de hilos necesarios en cada
caso y al tipo (categoría) de cableado.
El cableado UTP de los estándares Ethernet más conocidos incluye dos o cuatro pares de hilos. Los
extremos del cable suelen utilizar un conector RJ-45. El conector RJ-45 tiene ocho ubicaciones físicas
específicas en las que se pueden insertar los ocho hilos del cable; se denominan posiciones de pines o,
simplemente, pines.
La Asociación de la Industria de las Telecomunicaciones (TIA) y la Alianza de la Industria Electrónica
(EIA) definen los estándares para el cableado UTP, con la codificación de colores para los hilos y los
pinouts estándar en los cables. La Figura 30-5 muestra dos estándares de pines de la TIA/EIA, con la
codificación de colores y los números de pares enumerados.

Figura 30-5 Cableado Ethernet estándar TIA/EIA


Pareja 2Pareja 3

Pareja 3 Pareja 1 Pareja 4


Pareja 2 Pareja 1 Pareja 4
Pinouts
1 = G/W Pinouts 1
2 = Verde = O/W
3 = O/W 2 = Naranja
4 = Azul 3 = G/W
5 = Azul/W 4 = Azul
12 34 5 678 5 = Azul/W
6 = Naranja 12345678
7= 6 = Verde
Marrón/W 7 = Marrón/W
8 = Marrón 8 = Marrón
T568A T568B

Para el examen, debes estar bien preparado para elegir qué tipo de cable (recto o cruzado) se
necesita en cada parte de la red. En resumen, los dispositivos situados en los extremos opuestos de un
cable que utilizan el mismo par de patillas para transmitir necesitan un cable cruzado. Los dispositivos
que utilizan un par de pines opuestos para transmitir necesitan un cable directo. La Tabla 30-2 enumera
los dispositivos típicos y los pares de pines que utilizan, asumiendo que usan 10BASE-T y
100BASE-TX.

Tabla 30-2 Pares de pines 10BASE-T y 100BASE-TX utilizados


Dispositivos que transmiten en
Dispositivos que transmiten en 3,6 y
1,2 y reciben en 3,6
reciben en 1,2
PC NICsHubs
RoutersInterruptores
Puntos de acceso inalámbricos (interfaces Ethernet)-
Impresoras en red (impresoras que se conectan

directamente a la LAN)
1000BASE-T requiere cuatro pares de cables porque Gigabit Ethernet transmite y recibe en cada
uno de los cuatro pares de cables simultáneamente.
Día 30 37

Sin embargo, Gigabit Ethernet tiene un concepto de cables directos y cruzados, con una pequeña
diferencia en los cables cruzados. La disposición de las clavijas de un cable recto es la misma: la
clavija 1 con la clavija 1, la clavija 2 con la clavija 2, y así sucesivamente.
Un cable cruzado tiene la norma 568A en un extremo y la norma 568B en el otro. Esto cruza los pares
en los pines 1,2 y 3,6.

Ventajas del uso de interruptores


Un dominio de colisión es un conjunto de dispositivos cuyas tramas pueden colisionar. Todos los
dispositivos de una red 10BASE-2, 10BASE-5 o de otra red que utilice un concentrador corren el
riesgo de que se produzcan colisiones entre las tramas que envían. Así, los dispositivos de uno de
estos tipos de redes Ethernet están en el mismo dominio de colisión y utilizan CSMA/CD para
detectar y resolver las colisiones.
Los conmutadores LAN reducen significativamente, o incluso eliminan, el número de colisiones en
una LAN. A diferencia de un concentrador, un conmutador no crea un único bus compartido. En
cambio, un conmutador hace lo siguiente:

■ Interpreta los bits de la trama recibida para poder enviar normalmente la trama por el puerto
requerido en lugar de por todos los demás puertos.

■ Si un conmutador necesita reenviar varias tramas por el mismo puerto, el conmutador almacena las
tramas en la memoria, enviándolas de una en una y evitando así las colisiones.
Además, los conmutadores con un solo dispositivo cableado a cada puerto del conmutador permiten el uso de
funcionamiento full-duplex. El funcionamiento full-duplex significa que la NIC puede enviar y
recibir simultáneamente, lo que duplica el ancho de banda de un enlace de 100 Mbps a 200 Mbps:
100 Mbps para enviar y 100 Mbps para recibir.
Estas características aparentemente sencillas de los conmutadores proporcionan importantes
mejoras de rendimiento en comparación con el uso de concentradores. En particular, considere
estos puntos:

■ Si sólo hay un dispositivo conectado a cada puerto de un conmutador, no pueden producirse colisiones.

■ Los dispositivos conectados a un puerto del switch no comparten su ancho de banda con los
dispositivos conectados a otro puerto del switch. Cada uno tiene su propio ancho de banda, lo
que significa que un switch con
Los puertos de 100 Mbps tienen 100 Mbps de ancho de banda por puerto.

Direccionamiento Ethernet
El IEEE define el formato y la asignación de las direcciones LAN. Para garantizar una dirección MAC
única, la primera mitad de la dirección identifica al fabricante de la tarjeta. Este código se denomina
identificador único de la organización (OUI). Cada fabricante asigna una dirección MAC con su propio
OUI como primera mitad de la dirección. La segunda mitad de la dirección es asignada por el fabricante
y nunca se utiliza en otra tarjeta o interfaz de red con el mismo OUI. La Figura 30-6 muestra la
estructura de una dirección Ethernet unicast.
38 31 días antes de su examen CCNA

Figura 30-6 Estructura de una dirección Ethernet Unicast

Identificador único de la organización


Proveedor
(OUI)
asignado (tarjetas NIC, interfaces)

Tamaño, en bits 24 Bits 24 Bits

Tamaño, en 6 dígitos hexadecimales 6 dígitos hexadecimales

dígitos 00 60 2F 3A 07 BC

hexadecimales

Ejemplo

Ethernet también tiene direcciones de grupo, que identifican más de una NIC o interfaz de red. El IEEE
define dos categorías generales de direcciones de grupo para Ethernet:

■ Direcciones de difusión: Una dirección de difusión implica que todos los dispositivos de la LAN
deben procesar la trama y tiene el valor FFFF.FFFF.FFFF.

■ Direcciones de multidifusión: Una dirección de multidifusión permite que un subconjunto


de dispositivos de una LAN se comunique. Cuando IP hace multidifusión en una red Ethernet,
las direcciones MAC de multidifusión que utiliza IP siguen este formato: 0100.5exx.xxxx. La
parte xx.xxxx se divide entre la multidifusión IPv4 (00:0000-7F.FFFF) y la multidifusión MPLS
(80:0000-8F:FFFF). La conmutación de etiquetas multiprotocolo (MPLS) es un tema del
CCNP.

Encuadre Ethernet
La capa física ayuda a llevar una cadena de bits de un dispositivo a otro. El encuadre de los bits permite
al dispositivo receptor interpretar los bits. El término "framing" se refiere a la definición del
campos que se supone que están en los datos que se reciben. El encuadre define el significado de los bits
transmitidos y recibidos a través de una red.
El marco utilizado para Ethernet ha cambiado un par de veces a lo largo de los años. La Figura 30-7
muestra cada iteración de Ethernet, con la versión actual mostrada en la parte inferior.

Figura 30-7 Formatos de trama Ethernet


DIX
Preám Destino 6 Fuen Ti Datos y Pad F
bu te p 46 - 1500 C
lo 6 o S
8
2 4

IEEE 802.3 (original)


Preám S Destino 6 Fuen Lon Datos y Pad F
bu F te g 46 - 1500 C
lo D 6 it S
7 u
1 d 4
2

IEEE 802.3 (revisado en 1997)


Preám S Destino 6 Fuen Long Datos y Pad F
Bytes bu F te itud/ 46 - 1500 C
lo D 6 Tipo S
Día 30 39

La Tabla 30-3 explica con más detalle los campos de la última versión mostrada en la Figura 30-7.

Tabla 30-3 Descripciones de campos de Ethernet IEEE 802.3


Campo Longitud Descripción
del
campo, en
bytes
Preámbulo 7 Sincronización
Delimitador de inicio de 1 Significa que el siguiente byte comienza el
trama (SFD) campo MAC de destino
Dirección MAC de destino 6 Identifica al destinatario de esta trama
Dirección MAC de origen 6 Identifica el remitente de esta trama
Longitud 2 Define la longitud del campo de datos de la
trama (puede estar presente la longitud o el
tipo, pero no ambos)
Tipo 2 Define el tipo de protocolo que aparece dentro
de la trama (puede estar presente la longitud o
el tipo, pero no ambos)
Datos y Pad 46–1500 Contiene datos de una capa superior,
normalmente una PDU de capa 3 (genérica) y a
menudo un paquete IP
Secuencia de comprobación 4 Proporciona un método para que la NIC receptora
de tramas (FCS) determine si la trama experimentó errores de
transmisión

El papel de la capa física


Ya hemos hablado del cableado más popular utilizado en las redes LAN: UTP. Para entender bien el
funcionamiento de la red, hay que conocer algunos conceptos básicos adicionales de la capa física.
La capa física OSI acepta una trama completa de la capa de enlace de datos y la codifica como
una serie de señales que se transmiten al medio local.
La entrega de tramas a través del medio local requiere los siguientes elementos de la capa física:

■ Los soportes físicos y los conectores asociados

■ Una representación de bits en el soporte

■ Codificación de datos e información de control

■ Circuitos transmisores y receptores en los dispositivos de la red

Los datos se representan en tres formas básicas de soportes de red:

■ Cable de cobre

■ Fibra

■ Inalámbrico (IEEE 802.11)


40 31 días antes de su examen CCNA

Los bits se representan en el soporte cambiando una o varias de las siguientes características de
una señal:

■ Amplitud

■ Frecuencia

■ Fase

La naturaleza de las señales reales que representan los bits en el soporte depende del método de
señalización utilizado. Algunos métodos utilizan un atributo de una señal para representar un único 0 y
utilizan otro atributo de una señal para representar un único 1. El método de señalización real y su
funcionamiento detallado no son importantes para la preparación del examen CCNA.

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.

Recursos Módulo o capítulo


Introducción a las redes v7 4
6
7
Guía oficial del CCNA 200-301, volumen 1 5
8
Fundamentos de la configuración de
los conmutadores

Temas del examen CCNA 200-301


■ Identificar los problemas de la interfaz y del cable (colisiones, errores, dúplex y/o velocidad
inadecuados)

■ Configurar y verificar el direccionamiento y la subred IPv4

Temas clave
Hoy revisamos los fundamentos de Cisco IOS y los comandos necesarios para realizar una
configuración inicial básica de un switch. Aunque no se menciona explícitamente en los temas del
examen, puedes esperar ver preguntas que asumen que tienes esta habilidad. Revisamos las técnicas de
verificación como los comandos ping, traceroute y show. Y repasamos los problemas de la interfaz y
los cables.

Acceso y navegación por el IOS de Cisco


A estas alturas, ya está muy familiarizado con la conexión a los dispositivos Cisco y la configuración de
los mismos mediante la interfaz de línea de comandos (CLI). Aquí repasamos rápidamente los métodos
para acceder y navegar por la CLI.

Conexión a dispositivos Cisco


Puede acceder a un dispositivo directamente o desde una ubicación remota. En la Figura 29-1 se
muestran las múltiples formas de conectarse a los dispositivos Cisco.
Las dos formas de configurar los dispositivos Cisco son las siguientes:

■ Terminal de consola: Utilice un cable de rollover RJ-45 a RJ-45 y un ordenador con el


software de comunicaciones de terminal (como HyperTerminal o Tera Term) para establecer
una conexión directa. Opcionalmente, puede conectar un cable mini-USB al puerto de
consola mini-USB, si está disponible.

■ Terminal remoto: Utilice un módem externo conectado al puerto auxiliar (sólo routers) para
configurar el dispositivo de forma remota.
Una vez configurado un dispositivo, se puede acceder a él mediante tres métodos adicionales:

■ Establezca una sesión de terminal (vty) utilizando Telnet.

■ Configure el dispositivo a través de la conexión actual (consola o auxiliar) o descargue un


archivo de configuración de inicio previamente escrito desde un servidor de protocolo de
transferencia de archivos triviales (TFTP) en la red.

■ Descargue un archivo de configuración utilizando una aplicación de software de gestión de red.


42 31 días antes de su examen CCNA

Figura 29-1 Fuentes para la configuración de dispositivos Cisco

Telnet
Interfaces

Puerto de la consola Terminal virtual

TFTP
Puerto auxiliar (sólo router)
PC o servidor UNIX

Servidor de gestión web o de red

Sesiones CLI EXEC


Cisco IOS separa la sesión EXEC en dos niveles básicos de acceso:

■ Modo EXEC de usuario: Acceso sólo a un número limitado de comandos básicos de


supervisión y solución de problemas, como show y ping

■ Modo EXEC Privilegiado: Acceso completo a todos los comandos del dispositivo,
incluyendo la configuración y la gestión

Uso del servicio de ayuda


Cisco IOS cuenta con amplias facilidades de ayuda en la línea de comandos, incluyendo la ayuda
sensible al contexto. Hay dos tipos de ayuda disponibles:

■ Ayuda de Word: Introduzca una secuencia de caracteres de un comando incompleto


seguida inmediatamente de un signo de interrogación (por ejemplo, sh? ) para obtener una
lista de comandos disponibles que comienzan con la secuencia de caracteres.

■ Ayuda sobre la sintaxis de los comandos: Introduzca el comando ? para obtener ayuda
sobre la sintaxis de los comandos y ver todos los argumentos disponibles para completar un
comando (por ejemplo, show ? ). Cisco IOS muestra entonces una lista de argumentos
disponibles.
Como parte del servicio de ayuda, Cisco IOS muestra mensajes de error en la consola cuando se
introduce una sintaxis de comando incorrecta. La Tabla 29-1 muestra ejemplos de mensajes de error, su
significado y cómo obtener ayuda.
Día 29 43

Tabla 29-1 Mensajes de error de la consola


Ejemplo de
SignificadoCómo obtener ayuda
mensaje de
error
switch# cl %
Comando ambiguo: No has introducido Vuelva a introducir el comando, seguido de un
"cl" suficientes caracteres para signo de interrogación (?), sin espacio entre el
que tu dispositivo reconozca comando y el signo de interrogación. Aparecen las
el comando. posibles palabras clave que puede introducir con
switch# clock % el comando.
Comando incompleto.
No ha introducido todas las Vuelva a introducir el comando, seguido de un
palabras clave o valores signo de interrogación (?), con un espacio entre el
switch# clock ste ^ % requeridos por este comando y el signo de interrogación.
Entrada inválida comando.
detectada en el Introduzca un signo de interrogación (?)
marcador '^'. Ha introducido el comando para mostrar todos los comandos o
de forma incorrecta. El signo parámetros disponibles.
de interrogación (^) marca el
punto del error.

Accesos directos de navegación y edición de la CLI


La Tabla 29-2 resume los accesos directos para navegar y editar comandos en la CLI. Aunque no se
evalúan específicamente en el examen CCNA, estos accesos directos pueden ahorrarle tiempo cuando
utilice el simulador durante el examen.

Tabla 29-2 Teclas de acceso rápido y


atajos Comando de tecladoQué sucede
Secuencias de teclas de navegación
Flecha arriba o Ctrl+PDMuestra el último comando utilizado. Si pulsa la secuencia
de nuevo, aparecerá el siguiente comando más reciente, hasta que se agote
el búfer del historial. (La P significa anterior).
Flecha hacia abajo o Ctrl+NAvanza a los comandos introducidos más recientemente, en caso de que tenga
se ha ido demasiado lejos en el buffer de la historia. (La N significa siguiente).
Flecha izquierda o Ctrl+B Mueveel cursor hacia atrás en el comando que se muestra actualmente sin
borrando caracteres. (La B significa "atrás").
Flecha derecha o Ctrl+FMueveel cursor hacia adelante en el comando que se muestra actualmente sin
borrando caracteres. (La F significa adelante).
TabCompletauna entrada parcial del nombre del comando.
RetrocesoMueve el cursor hacia atrás en el comando que se muestra actualmente, borrando
caracteres.
Ctrl+AM Desplaza el cursor directamente al primer carácter del
comando que se está visualizando.
Ctrl+EM Mueve el cursor directamente al final del comando que se está visualizando.
Ctrl+RRedmuestra la línea de comandos con todos los caracteres. Este comando es útil cuando
los mensajes saturan la pantalla.
Ctrl+DD Elimina un solo carácter.
Esc+BRetrocede una palabra.
Esc+FAvanza una palabra.
44 31 días antes de su examen CCNA

Comando del tecladoQué ocurre


En el --Más Prompt
Tecla EnterMuestra la siguiente línea.
Barra espaciadoraMuestra la siguiente pantalla.
Cualquier otra tecla alfanuméricaVuelve al prompt EXEC.
Claves de ruptura
Ctrl+CCuando está en cualquier modo de configuración, termina el
modo de configuración y vuelve al modo EXEC privilegiado. Cuando
se encuentra en el modo de configuración, vuelve a la línea de
comandos.
Ctrl+ZCuando está en cualquier modo de configuración, termina el modo de
configuración y vuelve al modo EXEC privilegiado. Cuando está en
modo usuario o EXEC privilegiado, cierra la sesión del router.
Ctrl+Mayús+6Actúa como una secuencia de interrupción multiuso. Se utiliza para abortar
las búsquedas de DNS, los tracerouts y los pings.

Historial de comandos
Por defecto, el Cisco IOS almacena en un buffer de historial los 10 comandos que has introducido
más recientemente. Esto le ofrece una forma rápida de retroceder y avanzar en el historial de
comandos, elegir uno y editarlo antes de volver a emitir el comando. Para ver o configurar el buffer del
historial de comandos, utilice los comandos de la Tabla 29-3. Aunque esta tabla muestra el prompt del
switch, estos comandos también son apropiados para un router.

Tabla 29-3 Comandos de la memoria intermedia


del historial Comando SintaxisDescripción

switch# show historyMuestra los comandos actualmente almacenados en el buffer de historia.


switch# terminal historyHabilita el historial de la terminal. Este comando puede ser ejecutado desde
usuario o modo EXEC privilegiado.
switch# terminal history
tamaño 50 Configura el tamaño del historial del terminal. El historial del
terminal puede mantener de 0 a 256 líneas de comandos.
switch# terminal no history
size Restablece el tamaño del historial de la terminal al valor por
defecto de 20 líneas de comando en Cisco IOS 15.
switch# terminal no historyDesactiva el historial del terminal.

Comandos de examen del IOS


Para verificar y solucionar el funcionamiento de la red, se utilizan los comandos show. La Figura
29-2 delinea los diferentes comandos show, como sigue:

■ Comandos aplicables a Cisco IOS (almacenados en la RAM)

■ Comandos que se aplican al archivo de configuración de respaldo almacenado en la NVRAM


■ Comandos que se aplican a Flash o a interfaces específicas
Día 29 45

Figura 29-2 Comandos típicos de show y la información proporcionada

Router# show version Router# show flash Router# show interface

RAM NVRAM
Flash
Sistema operativo de la red
Copia de Sistem Interfaces
seguridad as
del archivo operati
de vos
configuraci
ón

Programas Archivo de Tabla


configuraci s y topes
ón activo

outer# show processes CPU Router#


Router# show
show protocols
memory Router# show stacks Router# show buffers

Router# show running-config Router# show startup-config

Modos de subconfiguración
Para entrar en el modo de configuración global, introduzca el comando configure terminal.
Desde el modo de configuración global, Cisco IOS proporciona una multitud de modos de
subconfiguración. La Tabla 29-4 resume los modos de subconfiguración más comunes
pertinentes para el examen CCNA.

Tabla 29-4 Modos de subconfiguración de los dispositivos Cisco


Prompt Nombre del Ejemplos de comandos
modo utilizados para llegar a
este modo
hostname(config)# Global Configurar el terminal
hostname(config-line)# Línea línea consola 0 línea vty 0 15
hostname(config-if)# Interfaz interfaz fastethernet 0/0
nombre de host(config- Router router rip router eigrp 100
router)#

Comandos básicos de configuración del


conmutador
La Tabla 29-5 revisa los comandos básicos de configuración del switch.

Tabla 29-5 Comandos básicos de configuración del conmutador


Descripción del comandoSintaxis del
comando
Entre en el modo de configuración global. Switch# configure

terminal
Configure un nombre para el dispositivo. Switch(config)# hostname S1

Entre en el modo de configuración de la


S1(config)# interfaz vlan 1
interfaz de la VLAN 1.
Configure la dirección IP de la interfaz. S1(config-if)# dirección ip
172.17.99.11 255.255.255.0
46 31 días antes de su examen CCNA

Descripción del comandoSintaxis del


comando
Habilite la interfaz. S1(config-if)# no shutdown

Vuelve al modo de configuración global. S1(config-if)# exit

Introduzca la interfaz para asignar la VLAN. S1 (config)# interface fastethernet 0/6

Definir el modo de pertenencia a la VLAN para el puerto. S1( config-if)# switchport mode access
Asigne el puerto a una VLAN. S1( config-if)# switchport access
vlan 123

Configure el modo dúplex de la interfaz para


S1(config-if)# duplex auto
habilitar la configuración dúplex AUTO.
Configure la velocidad de la interfaz y active la
S1(config-if)# speed auto
configuración de velocidad AUTO.
Habilite el auto-MDIX en la interfaz. S1(config-if)# mdix auto

Vuelve al modo de configuración global. S1(config-if)# exit


Configure la puerta de enlace por defecto en el conmutador. S1(config)# ip default-gateway
172.17.50.1

Configure el servidor HTTP para la


S1(config)# ip http authentication
autenticación utilizando la contraseña de
enable
habilitación, que es el método predeterminado
de autenticación de usuarios del servidor
HTTP.
Habilite el servidor HTTP. S1(config)# ip http server

Pasar del modo de configuración global al


S1(config)# línea consola 0
modo de configuración de línea para la
consola 0.
S1(config-line)# contraseña cisco
Establezca cisco como contraseña para la línea
de la consola 0 del conmutador.
S1(config-line)# login
Configure la línea de la consola para requerir la
introducción de la contraseña antes de conceder
el acceso.
Vuelve al modo de configuración global. S1(config-if)# exit

Pasar del modo de configuración global al


S1(config)# línea vty 0 15
modo de configuración de línea para los
terminales vty 0-15.
S1(config-line)# contraseña cisco
Establezca cisco como contraseña para
las líneas vty del switch.
S1(config-line)# login
Configure la línea vty para que se
requiera la introducción de la contraseña
antes de conceder el acceso.
Vuelve al modo de configuración global. S1(config-line)# exit

Configure cisco como la contraseña de de habilitación.


habilitación para entrar en el modo EXEC
Cifrar todas las contraseñas del sistema que se
privilegiado.
almacenan en texto plano.
Configure la clase como la contraseña secreta
Configurar un banner de inicio de sesión. El carácter #
de habilitación para entrar en el modo EXEC
delimita el principio y el final del banner.
privilegiado. Esta contraseña anula la contraseña
S1(config)# enable contraseña cisco S1(config)# service password-encryption

S1(config)# habilitar clase secreta S1 (config)# banner login #¡Sólo personal


autorizado!
Día 29 47

Descripción del comandoSintaxis del


comando
Configurar un banner de acceso al mensaje del día
S1(config)# banner motd #El
(MOTD). El carácter # delimita el principio y el final
mantenimiento del dispositivo se
del banner. realizará el viernes

Vuelva al modo EXEC privilegiado. S1(config)# end

Guarde la configuración en ejecución en la


S1# copy running-config startup-config
configuración de inicio del conmutador.

Para configurar varios puertos con el mismo comando, utilice el comando de rango de interfaz.
Por ejemplo, para configurar los puertos 6-10 como puertos de acceso pertenecientes a la VLAN 10, se
introduce lo siguiente:
Switch(config)# rango de interfaz FastEthernet 0/6 -
10 Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10

Medio dúplex, dúplex completo y velocidad


del puerto
La comunicación semidúplex es un flujo de datos unidireccional en el que un dispositivo puede
enviar o recibir en una LAN Ethernet, pero no ambas cosas a la vez. Los dispositivos de red LAN
actuales y las tarjetas de interfaz de red (NIC) de los dispositivos finales funcionan en dúplex
completo siempre que el dispositivo esté conectado a otro dispositivo capaz de comunicarse en
dúplex completo. La comunicación full-duplex aumenta el ancho de banda efectivo al permitir que
ambos extremos de una conexión transmitan y reciban datos simultáneamente; esto se conoce como
bidireccional. Esta LAN microsegmentada está libre de colisiones. Gigabit Ethernet
y las NIC de 10 Gbps requieren conexiones full-duplex para funcionar. La velocidad del puerto es
simplemente la clasificación del ancho de banda del puerto. Las velocidades más comunes hoy en
día son 100 Mbps, 1 Gbps y 10 Gbps.
Aunque la configuración predeterminada de dúplex y velocidad para los conmutadores Cisco
Catalyst 2960 y 3560 es automática, puede configurar manualmente la velocidad con los

comandos de velocidad y dúplex.


NOTA: La configuración del modo dúplex y de la velocidad de los puertos del
conmutador puede causar problemas si uno de los extremos está desajustado o
configurado en autonegociación. Además, todos los puertos de fibra óptica, como los
puertos 100BASE-FX, funcionan sólo a una velocidad preestablecida y son siempre
full dúplex.

Cruce automático de interfaces dependientes del


medio (auto-MDIX)
En el pasado, las conexiones de conmutador a conmutador o de conmutador a enrutador
requerían el uso de diferentes cables Ethernet (cruzados o directos). El uso de la función de cruce
automático de interfaz dependiente del medio (auto-MDIX) en una interfaz elimina este problema.
Cuando la función auto-MDIX está activada, la interfaz detecta automáticamente el tipo de
conexión de cable necesario (recto o cruzado) y configura la conexión adecuadamente.
La función auto-MDIX está activada por defecto en los conmutadores Catalyst 2960 y Catalyst 3560.
El estándar Gigabit Ethernet requiere auto-MDIX, por lo que cualquier puerto de 1000-Mbps tiene
esta capacidad. Cuando se utiliza auto-MDIX en una interfaz, la velocidad de la interfaz y el
dúplex deben establecerse en automático para que la función funcione correctamente.
48 31 días antes de su examen CCNA

Verificación de la conectividad de la red


Utilizar e interpretar la salida de varias herramientas de prueba es a menudo el primer paso para
aislar la causa de un problema de conectividad de la red. El comando ping puede probar
sistemáticamente la conectividad buscando respuestas a las siguientes preguntas, en este orden:
Paso 1. ¿Puede un dispositivo final hacer ping a sí mismo?

Paso 2. ¿Puede un dispositivo final hacer ping a su puerta de enlace por defecto?

Paso 3. ¿Puede un dispositivo final hacer ping al destino?

Si utiliza el comando ping en esta secuencia ordenada, podrá aislar los problemas más rápidamente.
Si la conectividad local no es un problema -en otras palabras, si el dispositivo final puede hacer ping a
su puerta de enlace predeterminada-, el uso de la utilidad traceroute puede ayudar a aislar el
punto en la ruta desde el origen hasta el destino donde se detiene el tráfico.
Como primer paso en la secuencia de pruebas, verifique el funcionamiento de la pila TCP/IP en el host
local haciendo ping a la dirección de bucle invertido, 127.0.0.1, como demuestra el Ejemplo 29-1.

Ejemplo 29-1 Prueba de la pila TCP/IP en un PC con Windows

C:\> ping 1 2 7 .0.0.1

Haciendo ping a 127.0.0.1 con 32 bytes de datos:

Respuesta desde 127.0.0.1: bytes=32


tiempo<1ms TTL=64 Respuesta desde 127.0.0.1 :
bytes=32 tiempo<1ms TTL=64 Respuesta desde
127. 0 . 0.1: bytes=32 tiempo<1ms TTL=64

Estadísticas de ping para 127.0.0.1:


Paquetes: Enviados = 4, Recibidos = 4, Perdidos = 0 (0%
de pérdida), Tiempos aproximados de ida y vuelta en
milisegundos:
Mínimo = 0ms, Máximo = 0ms, Media = 0ms

Esta prueba debería tener éxito independientemente de si el host está conectado a la red, por lo que
un fallo indica un problema de software o hardware en el propio host. O bien la interfaz de red no
está funcionando correctamente o se ha eliminado inadvertidamente el soporte para la pila
TCP/IP del sistema operativo.
A continuación, verifique la conectividad con la pasarela por defecto. Determine la dirección de la puerta de enlace
por defecto utilizando
ipconfig y luego intentar hacer ping, como en el Ejemplo 29-2.

Ejemplo 29-2 Comprobación de la conectividad con la puerta de enlace predeterminada en


un PC con Windows
C:\> ipconfig

Configuración de la IP de Windows
Día 29 49

Adaptador Ethernet Conexión de área local:

Sufijo DNS específico de la conexión . : cisco.com


Dirección IP. . . . . . . . . . . .: 192.168.1.25
Máscara de subred: 255.255.255.0
Puerta de enlace por defecto... : 192.168.1.1

C:\> ping 1 9 2 .168.1.1

Haciendo ping a 192.168.1.1 con 32 bytes de datos:

Respuesta desde 192.168.1.1: bytes=32 tiempo=162ms


TTL=255 Respuesta desde 192.168.1.1: bytes=32
tiempo=69ms TTL=255 Respuesta desde 192.168.1.1:
bytes=32 tiempo=82ms TTL=255

Estadísticas de ping para 192.168.1.1:


Paquetes: Enviados = 4, Recibidos = 4, Perdidos = 0
(0% de pérdida), Tiempos aproximados de ida y vuelta en
milisegundos:
Mínimo = 69ms, Máximo = 162ms, Media = 96ms

Un fallo en este punto puede indicar varios problemas, que deben comprobarse en una secuencia
sistemática. Un posible orden podría ser el siguiente:
Paso 1. ¿Es correcto el cableado del PC al conmutador? ¿Están encendidas las luces de enlace?

Paso 2. ¿Es correcta la configuración en el PC según el mapa lógico de la red?

Paso 3. ¿Son las interfaces afectadas en el conmutador la causa del problema? ¿Hay un
desajuste de dúplex, velocidad o auto-MDIX? ¿Hay una mala configuración de la
VLAN?
Paso 4. ¿Es correcto el cableado del switch al router? ¿Están encendidas las luces de enlace?

Paso 5. ¿Es correcta la configuración en la interfaz del router según el mapa lógico de la red?
¿Está activa la interfaz?
Por último, verifique la conectividad con el destino haciendo un ping. Suponga que está tratando de
alcanzar un servidor en 192.168.3.100. El ejemplo 29-3 muestra una prueba de ping exitosa al
destino.

Ejemplo 29-3 Prueba de conectividad con el destino en un PC con Windows


PC> ping 1 9 2 .168.3.100

Haciendo ping a 192.168.3.100 con 32 bytes de datos:

Respuesta desde 192.168.3.100: bytes=32 tiempo=200ms


TTL=126 Respuesta desde 192.168.3.100: bytes=32
tiempo=185ms TTL=126
50 31 días antes de su examen CCNA

Respuesta de 192.168.3.100: bytes=32 time=200ms TTL=126

Estadísticas de ping para 192.168.3.100:


Paquetes: Enviados = 4, Recibidos = 4, Perdidos = 0 (0% de
pérdida), Tiempos aproximados de ida y vuelta en milisegundos:
Mínimo = 185ms, Máximo = 200ms, Media = 192ms

El fallo aquí indica un fallo en la ruta más allá de la interfaz de la puerta de enlace por defecto
porque ya ha probado con éxito la conectividad a la puerta de enlace por defecto. Desde un PC con
Windows, la mejor herramienta para encontrar la ruptura de la ruta es el comando tracert (ver

Ejemplo 29-4).
NOTA: Tanto macOS como Linux utilizan el comando traceroute en lugar de tracert.

Ejemplo 29-4 Seguimiento de la ruta desde un PC con Windows

C:\> t r a c e r t 1 9 2 .168.3.100

Rastreando la ruta a 192.168.3.100 en un máximo de 30 saltos:

1 97 ms75 ms72 ms 192.168.1.1


2 104 ms 119 ms 117 ms 192.168.2.2
3 ***Solicitud agotada.
4 ***Solicitud agotada.
5 ***Solicitud agotada.
6 ^C
C:\>

NOTA: El fallo en los saltos 3, 4 y 5 del Ejemplo 29-4 podría indicar que estos routers
están configurados para no enviar mensajes ICMP de vuelta al origen.

Como se muestra en el Ejemplo 29-4, el último salto exitoso en el camino al destino fue 192.168.2.2. Si
tiene derechos de administrador en 192.168.2.2, puede continuar su investigación accediendo
remotamente a la línea de comandos en 192.168.2.2 e investigando por qué el tráfico no va más allá.
Además, otros dispositivos entre 192.168.2.2 y 192.168.3.100 podrían ser el origen del problema. El
punto es que quieres usar tus pruebas de ping y tracert, así como tu documentación de red, para
proceder en una secuencia lógica desde el origen hasta el destino.
Independientemente de lo sencilla o compleja que sea su red, el uso de ping y tracert desde el
origen hasta el destino es una forma sencilla pero potente de verificar sistemáticamente la conectividad
de extremo a extremo, así como de localizar las interrupciones en una ruta de un origen a un destino.

Solucionar problemas de interfaz y de cables


La capa física es a menudo la razón por la que existe un problema de red: cortes de energía, cables
desconectados, dispositivos apagados, fallos de hardware, etc. En esta sección se examinan algunas
herramientas para la resolución de problemas,
Día 29 51

además del enfoque de acercarse realmente al armario de cableado o al dispositivo de red y


comprobar "físicamente" la capa 1.

Asuntos relacionados con los medios de comunicación


Además de los fallos del hardware, los problemas más comunes de la capa física se dan en los medios de
comunicación. Veamos algunos ejemplos:

■ Se instalan nuevos equipos que introducen fuentes de interferencia electromagnética (EMI) en


el entorno.

■ El cable pasa demasiado cerca de motores potentes, como un ascensor.

■ Una mala gestión de los cables pone en tensión algunos conectores RJ-45,
provocando la rotura de uno o varios cables.

■ Las nuevas aplicaciones cambian los patrones de tráfico.

■ Cuando se conectan nuevos equipos a un conmutador, la conexión funciona en modo


semidúplex o se produce un desajuste dúplex, lo que puede provocar un número excesivo de
colisiones.
La Figura 29-3 muestra un excelente diagrama de flujo de solución de problemas que puede
utilizar para solucionar los problemas de medios del conmutador.

Figura 29-3 Solución de problemas de medios de conmutación

mostrar interfaz mostrar interfaz mostrar interfaz

VerifyOperational
Compruebe si hay ruidoCompruebe
No
excesivo si hay un exceso de colisiones
No
No hay conexión o es mala Conexión exitosa
estado de la interfaz

Abajo Sí Sí

Repare el cableado y los conectores para que no


Eliminar
sufran la
daños
fuente de ruido
Verificar y fijar la configuración dúplex
Compruebe la longitud del cable

A continuación, examine la salida de los comandos show interface y show interface status,
como se describe en la siguiente sección.

Estado de la interfaz y configuración del conmutador


Como hoy nos centramos en la resolución de problemas de los conmutadores, veremos los comandos
show que ayudan a resolver la configuración básica.

Códigos de estado de la interfaz


En general, las interfaces están "arriba" o "abajo". Sin embargo, cuando una interfaz está "abajo"
y no sabe por qué, el código del comando show interfaces proporciona más información para
ayudarle a determinar la razón. La Tabla 29-6 enumera las combinaciones de códigos y algunas
posibles causas para cada estado.
52 31 días antes de su examen CCNA

Tabla 29-6 Códigos de estado de la interfaz del conmutador LAN


Estado de la Estad Estad Causa típica de origen
línea o del o de
proto la
colo interfa
z
Administrativa Abajo discapacita La interfaz está configurada con la opción
mente dos de apagado
abajo comando.
Abajo Abajo no conectar No existe cable, el cable es malo, cable
incorrecto
se utilizan pinouts, los dos dispositivos
conectados
tienen velocidades desiguales, o el dispositivo
en el
el otro extremo del cable está apagado o el
la otra interfaz está apagada.
Arriba Abajo no conectar No se espera un estado de subida/bajada de
la interfaz en
Interfaces de conmutación LAN. Esto indica
una capa 2
problema en los dispositivos de capa 3.
Abajo Abajo err-disabled La seguridad del puerto ha desactivado la
interfaz. La página web
(err- El administrador de la red debe volver a
desactivado) habilitar manualmente
la interfaz.
Arriba Arriba conectar La interfaz funciona.

Dúplex y desajustes de velocidad


Uno de los problemas más comunes son los problemas de desajuste de velocidad y/o dúplex. En los
conmutadores y enrutadores, el subcomando de interfaz {10 | 100 | 1000} y el subcomando de
interfaz dúplex {medio | completo} establecen estos valores. Tenga en cuenta que al configurar
tanto la velocidad como el dúplex en una interfaz de conmutador se desactiva el proceso de
autonegociación del estándar IEEE en esa interfaz.
Los comandos show interfaces status y show interfaces listan la configuración de
velocidad y dúplex de una interfaz, como muestra el Ejemplo 29-5.

Ejemplo 29-5 Comandos para verificar la configuración de velocidad y dúplex

S1# show interface status

Nombre del puerto Estado Vlan Dúplex Velocidad Tipo


Fa0/1 conectado trunk full 100 10/100BaseTX Fa0/2
conectado 1 half 100 10/100BaseTX Fa0/3 conectado 1
a-full a-100 10/100BaseTX Fa0/4 desactivado 1 auto
10/100BaseTX Fa0/5 desactivado 1 auto 10/100BaseTX
Fa0/6 notconnect 1 auto 10/100BaseTX

S1# show interface fa0/3


FastEthernet0/1 está levantada, el protocolo de línea está levantado (conectado)
El hardware es Fast Ethernet, la dirección es 001b.5302.4e81 (bia
001b.5302.4e81) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
fiabilidad 255/255, txload 1/255, rxload 1/255
Encapsulación ARPA, loopback no configurado
Día 29 53

Juego de Keepalive (10 seg.)


Full-duplex, 100Mb/s, el tipo de medio es 10/100BaseTX
El control de flujo de entrada está desactivado, el control
de flujo de salida no es compatible Tipo de ARP: ARPA, ARP
Timeout 04:00:00
Última entrada nunca, salida 00:00:00, salida colgada
nunca Última limpieza de los contadores de "show
interface" nunca
Cola de entrada: 0/75/0/0 (tamaño/máximo/caídas/descargas); Total de caídas
de salida: 0 Estrategia de colas: fifo
Cola de salida: 0/40 (tamaño/máximo)
Velocidad de entrada de 5 minutos 1000 bits/seg, 1 paquete/seg
Tasa de salida de 5 minutos 0 bits/seg, 0
paquetes/seg 2745 paquetes de entrada,
330885 bytes, 0 sin búfer Recibidas 1386
difusiones (0 multidifusión)
0 runts, 0 giants, 0 throttles
0 errores de entrada, 0 CRC, 0 trama, 0 rebasamiento, 0 ignorado
0 watchdog, 425 multicast, 0 pause input
0 paquetes de entrada con condición de regateo
detectados 56989 paquetes de salida, 4125809
bytes, 0 underruns 0 errores de salida, 0
colisiones, 1 reinicio de interfaz 0 balbuceos,
0 colisiones tardías, 0 diferidos
0 pérdida de portadora, 0 sin portadora, 0 salida de PAUSA
0 fallos en el búfer de salida, 0 búferes de salida intercambiados

Observe que ambos comandos muestran la configuración dúplex y de velocidad de la interfaz. Sin
embargo, el comando show interface status es preferible para solucionar problemas de desajuste
de dúplex o velocidad porque muestra exactamente cómo el conmutador determinó el dúplex y la
velocidad de la interfaz. En la columna dúplex, a-full significa que el conmutador autonegoció dúplex
completo. La configuración completa o media significa que el conmutador se configuró con esa
configuración dúplex. La autonegociación se ha desactivado. En la columna de velocidad, a-100
significa que el conmutador autonegoció 100 Mbps como velocidad. El ajuste 10 o 100 significa que
el conmutador se configuró con ese ajuste de velocidad.
Encontrar un desajuste de dúplex puede ser mucho más difícil que encontrar un desajuste de
velocidad, ya que si los ajustes de dúplex no coinciden en los extremos de un segmento
Ethernet, la interfaz del conmutador seguirá estando en estado de conexión (up/up). En este
caso, la interfaz funciona, pero la red puede funcionar mal, con hosts que experimentan un
rendimiento pobre y problemas de comunicación intermitentes. Para identificar los problemas de
desajuste dúplex, compruebe la configuración dúplex en cada extremo del enlace y observe el
incremento de los contadores de colisión y colisión tardía, como se destaca en la salida al final del
Ejemplo 29-5.

Problemas comunes de la capa 1 en las interfaces "ascendentes"


Cuando una interfaz de conmutación está "conectada", no significa necesariamente que la interfaz esté
funcionando en un estado óptimo. Por esta razón, Cisco IOS rastrea ciertos contadores para ayudar a
identificar problemas que pueden ocurrir aunque la interfaz esté en estado de conexión. La salida del
Ejemplo 29-5 destaca estos contadores. La Tabla 29-7 resume tres tipos generales de problemas de la
interfaz de capa 1 que pueden ocurrir mientras una interfaz está en el estado "up", conectado.
54 31 días antes de su examen CCNA

Tabla 29-7 Indicadores de problemas comunes de la capa 1 de la LAN


Tipo Valores del contador Causas comunes de origen
de que indican este
probl problema
ema
Ruido excesivo Muchos errores de entrada, pocas Categoría de cable incorrecta (Cat5,
colisiones Cat5E, Cat6), cables dañados, EMI
Colisiones Más del 0,1% de todas las tramas Desajuste dúplex (visto en el lado
son colisiones semidúplex), jabber, ataque DoS
Colisiones Aumento de las colisiones tardías Dominio de colisión o cable único
tardías demasiado largo, desajuste dúplex

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.

Recursos Módulo o capítulo


Introducción a las redes v7 2
17
Guía oficial del CCNA 200-301, volumen 1 2
4
6
7
Guía del mando portátil 8
Direccionamiento IPv4

Temas del examen CCNA 200-301


■ Configurar y verificar el direccionamiento y la subred IPv4

■ Describir la necesidad del direccionamiento IPv4 privado

Temas clave
Hoy nos centramos en repasar la estructura de una dirección IPv4, las clases y las direcciones IPv4
privadas y públicas. A continuación, nos centraremos en la creación de subredes IPv4.
A estas alturas, deberías ser capaz de hacer una subred rápidamente. Por ejemplo, debería ser capaz de
responder rápidamente a una pregunta como la siguiente: Si te dan una red /16, ¿qué máscara de subred
utilizarías para maximizar el número total de subredes y al mismo tiempo proporcionar suficientes
direcciones para la subred más grande con 500 hosts? La respuesta es 255.255.254.0, o / 2 3 . Esto le
da 128 subredes con 510 hosts utilizables por subred.Debería ser capaz de calcular rápidamente esta
información.
El examen CCNA promete contener muchas preguntas relacionadas con la creación de subredes. Por lo
tanto, dedicaremos algo de tiempo a esta habilidad necesaria y también veremos el diseño de
esquemas de direccionamiento utilizando máscaras de subred de longitud variable (VLSM).

Direccionamiento IPv4
Aunque el IPv6 está penetrando rápidamente en las redes del mundo, la mayoría de las redes siguen
teniendo grandes implementaciones de IPv4. Especialmente en las redes privadas, la migración fuera
de IPv4 tardará años en completarse. Está claro que el IPv4 y tu habilidad en su uso siguen siendo
demandados.

Formato de la cabecera
La Figura 28-1 muestra la disposición de la cabecera IPv4.
Tenga en cuenta que cada paquete IP lleva esta cabecera, que incluye una dirección IP de origen y
una dirección IP de destino.
Una dirección IP consta de dos partes:

■ ID de red: Los bits de orden superior, o más a la izquierda, especifican el componente de


dirección de red de la dirección.

■ ID de host: Los bits de orden inferior, o más a la derecha, especifican el componente de dirección del
host de la dirección.
56 31 días antes de su examen CCNA

Figura 28-1 Formato de cabecera IPv4


Bit 0
Bit 15 Bit 16 Bit 31
Longi Prioridad y
Versión tud de tipo de Longitud total (16)
(4) la servicio (8)
cabece
ra (4)
Ba
Identificación (16) n Desplazamiento de
d20 fragmentos (13)
Bytes
e
r
a
s
(
3
)
Tiempo de vivir Protocolo (8) Suma de comprobación de la

Clases de direcciones
Desde el principio, IPv4 se diseñó con una estructura de clases: Clases A, B, C, D y E. La clase D se
utiliza para las direcciones de multidifusión y la clase E se reserva para la experimentación. Las
clases A, B y C se asignan a los hosts de la red. Para proporcionar una estructura jerárquica, estas
clases se dividen en partes de red y de host, como muestra la Figura 28-2. Los bits de alto orden
especifican el ID de la red, y los bits de bajo orden especifican el ID del host.

Figura 28-2 Límite de red/host para cada clase de dirección IPv4


8 Bits 8 Bits 8 Bits 8 Bits
Clase A: Red Anfitri Anfitri A
ón ón nf
Clase B: itr

n
Clase C:
Red Red Anfitri A
Clase D: Multidifusión

Clase E: Investigación

En un esquema de direccionamiento de clase, los dispositivos que operan en la Capa 3 pueden


determinar la clase de dirección de una dirección IP a partir del formato de los primeros bits del primer
octeto. Inicialmente, esto era importante para que un dispositivo de red pudiera aplicar la máscara de
subred por defecto para la dirección y determinar la dirección del host. La Tabla 28-1 resume cómo
se dividen las direcciones en clases, la máscara de subred por defecto, el número de redes por clase y
el número de hosts por dirección de red de clase.
Día 28 57

Tabla 28-1 Clases de direcciones IPv4


Direc Primer Primero Red (N) Subred por Número de
ción octeto defecto
Clase Gama Bits de y Anfitrión Máscara Posible
octeto (H) (decimal)
(Decima (Resaltad Partes de y binario) Redes
l) o
Los bits Direccion y Hosts por
no es
Cambio) Red
A 1–127 00000000– N.H.H.H 255.0.0.0 27
, o 128,
01111111 redes
224-2
11111111.000000 , o 16.777.214,
00.
00000000.000000 hosts por red
00
B 128–191 10000000– N.N.H.H 255.255.0.0 214
, o 16.384,
10111111 redes
216-2
11111111.111111 , o 65.534,
11.
00000000.000000 hosts por red
00
C 192–223 11000000– N.N.N.H 255.255.255.0 221
, o 2.097.152,
11011111 redes
28-2
11111111.111111 , o 254, hosts
11.
11111111.000000 por red
00
D 224–239 11100000– No se
11101111 utiliza para
el
direcciona
miento del
host
E 240–255 11110000– No se
11111111 utiliza para
el
direcciona
miento del
host

En la última columna de la Tabla 28-1, la -2 para hosts por red da cuenta de las direcciones de red
y broadcast reservadas para cada red. Estas dos direcciones no se pueden asignar a los hosts.

NOTA: No revisamos el proceso de conversión entre binario y decimal. En este punto de tus
estudios, deberías sentirte cómodo moviéndote entre los dos sistemas de numeración. Si no es
así, tómate un tiempo para practicar esta habilidad necesaria. Puedes buscar en Internet
trucos, consejos y juegos de conversión binaria para practicar. La Red de Aprendizaje de Cisco
tiene un divertido juego al que puedes jugar, en
https://learningnetwork.cisco.com/docs/DOC-1803.

Propósito de la máscara de subred


Las máscaras de subred son siempre una serie de 1 bits seguida de una serie de 0 bits. El límite donde
la serie cambia de 1s a 0s es el límite entre la red y el host. Así es como un dispositivo que opera en
la Capa 3 determina la dirección de red para un paquete: encontrando el límite de bits donde la serie
de 1 bits termina y la serie de 0 bits comienza. El límite de bits para las máscaras de subred por
defecto se rompe en el límite del octeto. Determinar la dirección de red para una dirección IP que
utiliza una máscara por defecto es fácil.
Digamos que un router recibe un paquete destinado a 192.168.1.51. Al sumar la dirección IP y la
máscara de subred, el router determina la dirección de red del paquete. Por las reglas de ANDing, un 1
Y un 1 es igual a 1. Todas las otras posibilidades son iguales a 0. Todas las demás posibilidades son
iguales a 0. La Tabla 28-2 muestra los resultados de la operación ANDing. Observe que los bits del
host en el último octeto son ignorados.
58 31 días antes de su examen CCNA

Tabla 28-2 Cómo sumar una dirección IP y una máscara de subred para encontrar la
dirección de red

Dirección de destino 192.168.1.51 11000000.10101000.00000001.00110011


Máscara de subred 255.255.255.0 11111111.11111111.11111111.00000000
Dirección de la red 192.168.1.0 11000000.10101000.00000001.00000000

El límite de bits ahora puede ocurrir en casi cualquier lugar de los 32 bits. La Tabla 28-3 resume los
valores del último octeto no nulo de una máscara de subred.

Tabla 28-3 Valores binarios de la máscara de subred


Máscara Máscara Bits de red Bits de acogida
(Decimal) (binaria)
0 00000000 0 8
128 10000000 1 7
192 11000000 2 6
224 11100000 3 5
240 11110000 4 4
248 11111000 5 3
252 11111100 6 2
254 11111110 7 1
255 11111111 8 0

Direccionamiento IP privado y público


El RFC 1918, "Address Allocation for Private Internets", alivió la demanda de direcciones IP
reservando las siguientes direcciones para su uso en redes internas privadas:

■ Clase A: 10.0.0.0/8 (10.0.0.0-10.255.255.255)

■ Clase B: 172.16.0.0/12 (172.16.0.0-172.31.255.255)

■ Clase C: 192.168.0.0/16 (192.168.0.0-192.168.255.255)

Si te diriges a una intranet no pública, estas direcciones privadas se utilizan normalmente en lugar de las
direcciones públicas únicas globales. Esto proporciona flexibilidad en el diseño del direccionamiento.
Cualquier organización puede aprovechar al máximo una dirección completa de Clase A (10.0.0.0/8). El
reenvío de tráfico a la Internet pública requiere la traducción a una dirección pública utilizando la
Traducción de Direcciones de Red (NAT). Pero al sobrecargar una dirección enrutable en Internet con
muchas direcciones privadas, una empresa sólo necesita un puñado de direcciones públicas. El día 8,
"NAT", revisa el funcionamiento y la configuración de NAT con más detalle.

La creación de subredes en cuatro pasos


Todo el mundo tiene un método preferido para la creación de subredes. Cada profesor utiliza una
estrategia ligeramente diferente para ayudar a los estudiantes a dominar esta habilidad crucial, y cada
uno de los recursos de estudio sugeridos tiene una forma ligeramente diferente de abordar este tema.
Día 28 59

El método que prefiero consta de cuatro pasos:

Paso 1. Determinar cuántos bits se van a pedir prestados, en función de los requisitos del host.

Paso 2. Determine la nueva máscara de subred.

Paso 3. Determinar el multiplicador de subred.


Paso 4. Enumere las subredes, incluyendo la dirección de subred, el rango de hosts y la dirección de difusión.

La mejor manera de demostrar este método es utilizar un ejemplo. Supongamos que se le da la


dirección de red 192.168.1.0 con la máscara de subred por defecto 255.255.255.0. La dirección de red
y la máscara de subred puede escribirse como 192.168.1.0/24. El / 2 4 representa la máscara de subred
en una notación más corta y significa que los primeros 24 bits son bits de red.
Supongamos además que se necesitan 30 hosts por red y que se quieren crear tantas subredes para
el espacio de direcciones dado como sea posible. Con estos requisitos de red, ahora puedes crear una
subred en el espacio de direcciones.

Determine cuántos bits debe pedir prestados


Para determinar el número de bits que puedes tomar prestados, primero debes saber cuántos bits de
host tienes para empezar. Como los primeros 24 bits son de red en este ejemplo, los 8 bits restantes son
de host.
Dado que nuestro requisito especifica 30 direcciones de host por subred, tenemos que determinar
primero el número mínimo de bits de host que hay que dejar. Los bits restantes se pueden tomar
prestados:
Bits del anfitrión = Bits prestados + Bits restantes

Para proporcionar suficiente espacio de direcciones para 30 hosts, necesitamos dejar 5 bits. Utilice la
siguiente fórmula: 2BL - 2 = número de direcciones de host
El exponente BL son los bits que quedan en la parte del host.

Recuerde que el -2 contabiliza las direcciones de red y de difusión que no se pueden asignar a los
hosts.
En este ejemplo, dejar 5 bits en la parte del host proporciona el número correcto de direcciones de
host: 25 - 2 = 30
Como nos quedan 3 bits en la parte original del host, tomamos prestados todos estos bits para satisfacer
el requisito de "crear tantas subredes como sea posible". Para determinar cuántas subredes podemos
crear, utiliza la siguiente fórmula:
2BB = número de subredes

El exponente BB son bits prestados de la porción del host.

En este ejemplo, al tomar prestados 3 bits de la parte del host se crean ocho subredes: 23 = 8.

Como muestra la Tabla 28-4, los 3 bits se toman prestados de los bits más a la izquierda de la parte
del host. Los bits resaltados en la tabla muestran todas las posibles combinaciones de
manipulación de los 8 bits prestados para crear las subredes.
60 31 días antes de su examen CCNA

Tabla 28-4 Valor binario y decimal del octeto de subred


Número de Último octeto valor Último octeto Valor
subred binario decimal
0 00000000 .0
1 00100000 .32
2 01000000 .64
3 01100000 .96
4 10000000 .128
5 10100000 .160
6 11000000 .192
7 11100000 .224

Determinar la nueva máscara de subred


Observe en la Tabla 28-4 que los bits de red incluyen ahora los 3 bits de host prestados en el último
octeto. Agregue estos 3 bits a los 24 bits de la máscara de subred original, y tendrá una nueva
máscara de subred, /27. En formato decimal, se activan los 128, 64 y 32 bits del último octeto, para un
valor de 224. La nueva máscara de subred es, pues, 255.255.255.224.

Determinar el multiplicador de subred


Observe en la Tabla 28-4 que el valor decimal del último octeto se incrementa en 32 con cada número
de subred. El número 32 es el multiplicador de subred. Puede encontrar rápidamente el
multiplicador de subred utilizando uno de los dos métodos:

■ Método 1: Reste a 256 el último octeto no nulo de la máscara de subred. En este ejemplo, el
último octeto no nulo es 224. Por tanto, el multiplicador de subred es 256 - 224 = 32.

■ Método 2: El valor decimal del último bit prestado es el multiplicador de subred. En este ejemplo,
hemos tomado prestados los 128 bits, los 64 bits y los 32 bits. El de 32 bits es el último que
tomamos prestado y es, por tanto, el multiplicador de subred.
Al utilizar el multiplicador de subred, ya no es necesario convertir los bits binarios de la subred en decimales.

Lista de subredes, rangos de hosts y direcciones de difusión


La lista de subredes, rangos de hosts y direcciones de difusión le ayuda a ver el flujo de direcciones
dentro de un espacio de direcciones. La Tabla 28-5 documenta nuestro esquema de direcciones de
subred para el espacio de direcciones 192.168.1.0/24.

Tabla 28-5 Esquema de direccionamiento de subred para 192.168.1.0/24: 30 hosts por subred
Número de Dirección de Alcance de los Dirección de
subred subred anfitriones difusión
0 192.168.1.0 192.168.1.1–192.168.1.30 192.168.1.31
1 192.168.1.32 192.168.1.33–192.168.1.62 192.168.1.63
2 192.168.1.64 192.168.1.65–192.168.1.94 192.168.1.95
Día 28 61

Número de Dirección de Alcance de los Dirección de


subred subred anfitriones difusión
3 192.168.1.96 192.168.1.97–192.168.1.126 192.168.1.127
4 192.168.1.128 192.168.1.129– 192.168.1.159
192.168.1.158
5 192.168.1.160 192.168.1.161– 192.168.1.191
192.168.1.190
6 192.168.1.192 192.168.1.193– 192.168.1.223
192.168.1.222
7 192.168.1.224 192.168.1.225– 192.168.1.255
192.168.1.254

A continuación se presentan tres ejemplos que utilizan los cuatro pasos de subred. Por razones de
brevedad, el paso 4 sólo enumera las tres primeras subredes.

Ejemplo de subred 1
Subreduzca el espacio de direcciones 172.16.0.0/16 para proporcionar al menos 80
direcciones de host por subred y crear tantas subredes como sea posible.
Paso 1. Hay 16 bits de host. Deja 7 bits para las direcciones de host ( 27 - 2 = 126 direcciones
de host por subred). Toma prestados los primeros 9 bits de host para crear tantas
subredes como sea posible
(29 = 512 subredes).

Paso 2. La máscara de subred original es /16, o 255.255.0.0. Active los siguientes 9 bits a partir del
segundo octeto, para obtener una nueva máscara de subred de /25 o 255.255.255.128.
Paso 3. El multiplicador de la subred es 128, que se puede encontrar como 256 - 128 = 128,
o porque el bit 128 es el último bit prestado.
Para el paso 4, la Tabla 28-6 enumera las tres primeras subredes, rangos de hosts y direcciones de difusión.

Tabla 28-6 Esquema de direccionamiento de subred para el ejemplo 1


Número de Dirección de Alcance de los Direcci
subred subred anfitriones ón de
difusió
n
0 172.16.0.0 172.16.0.1–172.16.0.126 172.16.0.127
1 172.16.0.128 172.16.0.129– 172.16.0.255
172.16.0.254
2 172.16.1.0 172.16.1.1–172.16.1.126 172.16.1.127

Ejemplo de subred 2
Subnet el espacio de direcciones 172.16.0.0/16 para proporcionar al menos 80 direcciones de subred.

Paso 1. Hay 16 bits de host. Toma prestados los 7 primeros bits de host para crear al menos 80 subredes
(27 = 128 subredes). Esto deja 9 bits para las direcciones de host, o 29 - 2 = 510 direcciones
de host por subred.
Paso 2. La máscara de subred original es /16, o 255.255.0.0. Active los siguientes 7 bits a partir del
segundo octeto, para obtener una nueva máscara de subred de /23, o 255.255.254.0.
Paso 3. El multiplicador de subred es 2, que se puede encontrar como 256 - 254 = 2, o porque
el bit 2 es el último bit prestado.
62 31 días antes de su examen CCNA

Para el paso 4, la Tabla 28-7 enumera las tres primeras subredes, rangos de hosts y direcciones de difusión.

Tabla 28-7 Esquema de direccionamiento de subred para el ejemplo 2


Número de Dirección de Alcance de los Dirección de
subred subred anfitriones difusión
0 172.16.0.0 172.16.0.1– 172.16.1.255
172.16.1.254
1 172.16.2.0 172.16.2.1– 172.16.3.255
172.16.3.254
2 172.16.4.0 172.16.4.1– 172.16.5.255
172.16.5.254

Ejemplo de subred 3
Subreduzca el espacio de direcciones 172.16.10.0/23 para proporcionar al menos 60
direcciones de host por subred y cree tantas subredes como sea posible.
Paso 1. Hay 9 bits de host. Deja 6 bits para las direcciones de host ( 26 - 2 = 62 direcciones de host
por subred). Toma prestados los 3 primeros bits de host para crear tantas subredes como sea
posible (23 = 8 subredes).
Paso 2. La máscara de subred original es / 2 3 , o 255.255.254.0. Enciende los siguientes 3 bits
empezando por el último bit del segundo octeto, para una nueva máscara de subred de /
26, o 255.255.255.192.
Paso 3. El multiplicador de la subred es 64, que se puede encontrar como 256 - 192 = 64,
o porque el 64 es el último bit prestado.
Para el paso 4, la Tabla 28-8 enumera las tres primeras subredes, rangos de hosts y direcciones de difusión.

Tabla 28-8 Esquema de direccionamiento de subred para el ejemplo 3


Número de Dirección de Alcance de los Dirección de
subred subred anfitriones difusión
0 172.16.10.0 172.16.10.1–172.16.10.62 172.16.10.63
1 172.16.10.64 172.16.10.65– 172.16.10.127
172.16.10.126
2 172.16.10.128 172.16.10.129– 172.16.10.191
172.16.10.190

VLSM
Probablemente haya notado que el espacio de direcciones inicial en el Ejemplo de
Subnetting 3 no es una dirección completa de clase. De hecho, es la subred 5 del Ejemplo de
Subnetting 2. En el Ejemplo de Subnetting 3, por lo tanto, "subneteamos una subred". En pocas
palabras, VLSM es subnetting una subred.
Con VLSM, puedes personalizar las subredes para adaptarlas a tu red. La creación de subredes funciona
de la misma manera, sólo que hay que hacerlo más de una vez para completar el esquema de
direccionamiento. Para evitar el solapamiento de los espacios de direcciones, comience con su mayor
requisito de host, cree una subred para él y luego continúe con el siguiente requisito de host más
grande.
Considere un pequeño ejemplo. Dado el espacio de direcciones 172.30.4.0/22 y los requerimientos de
la red en la Figura 28-3, aplique un esquema de direccionamiento que conserve la mayor cantidad de
direcciones para el crecimiento futuro.
Necesitamos cinco subredes: cuatro subredes LAN y una subred WAN. Empezando por el mayor
requisito de host en la LAN 3, comience a subredar el espacio de direcciones.
Día 28 63

Figura 28-3 Ejemplo de topología


VLSM
LAN 3
LAN 1
Espacio de direcciones 172.30.4.0/22 250
60 anfitriones
anfitriones

10 100
Anfitrione anfitriones
s LAN 4
LAN 2
Para satisfacer el requisito de 250 hosts, dejamos 8 bits de host ( 28 - 2 = 254 hosts por subred). Como
tenemos 10 bits de host en total, tomamos prestados 2 bits para crear la primera ronda de subredes (22
= 4 subredes). La máscara de subred inicial es / 2 2 , o 255.255.252.0. Activamos los siguientes 2 bits de
la máscara de subred para obtener /24, o 255.255.255.0. El multiplicador es 1. Las cuatro subredes
son las siguientes

■ Subred 0: 172.30.4.0/24

■ Subred 1: 172.30.5.0/24

■ Subred 2: 172.30.6.0/24

■ Subred 3: 172.30.7.0/24

Asignando la subred 0 a la LAN 3, nos quedan tres subredes /24. Siguiendo con la siguiente
necesidad de host en la LAN 4, seguimos con la subred 1, 172.30.5.0/24.
Para satisfacer el requisito de 100 hosts, dejamos 7 bits ( 27 - 2 = 128 hosts por subred). Como tenemos 8
bits de host en total, podemos tomar prestado sólo 1 bit para crear las subredes ( 21 = 2 subredes). La
máscara de subred inicial es /24, o 255.255.255.0. Activamos el siguiente bit de la máscara de
subred para obtener /25, o 255.255.255.128. El multiplicador es 128. Las dos subredes son las
siguientes:

■ Subred 0: 172.30.5.0/25

■ Subred 1: 172.30.5.128/25

Asignando la subred 0 a la LAN 4, nos queda una subred /25 y dos subredes /24. Continuando con
la siguiente necesidad de host en la LAN 1, seguimos con la subred 1, 172.30.5.128/25.
Para satisfacer el requisito de 60 hosts, dejamos 6 bits ( 26 - 2 = 62 hosts por subred). Como tenemos
7 bits de host en total, tomamos prestado 1 bit para crear las subredes ( 21 = 2 subredes). La máscara
de subred inicial es /25, es decir, 255.255.255.128. Activamos el siguiente bit de la máscara de
subred para obtener /26, o 255.255.255.192. El multiplicador es 64. Las dos subredes son las
siguientes:
■ Subred 0: 172.30.5.128/26

■ Subred 1: 172.30.5.192/26

Asignando la subred 0 a la LAN 1, nos queda una subred /26 y dos subredes /24. Terminando
nuestra subred LAN con la LAN 2, seguimos con la subred 1, 172.30.5.192/26.
64 31 días antes de su examen CCNA

Para satisfacer el requisito de 10 hosts, dejamos 4 bits ( 24 - 2 = 14 hosts por subred). Como tenemos 6
bits de host en total, tomamos prestados 2 bits para crear las subredes ( 22 = 4 subredes). La máscara
de subred inicial es /26, es decir, 255.255.255.192. Activamos los siguientes 2 bits de la máscara
de subred para obtener /28, o 255.255.255.240. El multiplicador es 16. Las cuatro subredes son
las siguientes

■ Subred 0: 172.30.5.192/28

■ Subred 1: 172.30.5.208/28

■ Subred 2: 172.30.5.224/28

■ Subred 3: 172.30.5.240/28

Asignando la subred 0 a la LAN 2, nos quedan tres subredes / 2 8 y dos subredes / 2 4 . Para finalizar
nuestro esquema de direccionamiento, necesitamos crear una subred para el enlace WAN, que sólo
necesita dos direcciones de host. Seguimos con la subred 1, 172.30.5.208/28.
Para satisfacer el requisito de dos hosts, dejamos 2 bits ( 22 - 2 = 2 hosts por subred). Como tenemos 4
bits de host en total, tomamos prestados 2 bits para crear las subredes ( 22 = 4 subredes). La máscara
de subred inicial es /28, es decir, 255.255.255.240. Activamos los siguientes 2 bits de la máscara
de subred para obtener /30, o 255.255.255.252. El multiplicador es 4. El multiplicador es 4. Las
cuatro subredes son las siguientes

■ Subred 0: 172.30.5.208/30

■ Subred 1: 172.30.5.212/30

■ Subred 2: 172.30.5.216/30

■ Subred 3: 172.30.5.220/30

Asignamos la subred 0 al enlace WAN. Nos quedan tres subredes /30, dos subredes /28 y dos
subredes /24.

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.

Recursos Módulo o capítulo


Academia de Redes Cisco: CCNA1 11
Guía oficial del CCNA 200-301, volumen 1 11
12
13
14
Guía oficial del CCNA 200-301, volumen 2 7
Guía del mando portátil 1
2
3
4
Direccionamiento IPv6

Temas del examen CCNA 200-301


■ Configurar y verificar el direccionamiento y el prefijo IPv6

■ Comparar los tipos de direcciones IPv6

Temas clave
A principios de los años 90, el Grupo de Trabajo de Ingeniería de Internet (IETF) se preocupó por el
agotamiento de las direcciones de red IPv4 y comenzó a buscar un sustituto para este protocolo. Esta
actividad condujo al desarrollo de lo que hoy se conoce como IPv6. La revisión de hoy se centra en el
protocolo IPv6 y en los tipos de direcciones IPv6. También repasaremos las distintas formas de
implementar el direccionamiento IPv6, incluyendo la creación de subredes, la autoconfiguración de
hosts y la ejecución de IPv6 e IPv4 en una configuración de doble pila. La configuración de IPv6 en

routers se revisará en el día 18, "Configuración básica de routers".


NOTA: Si todavía no has comprado una copia de IPv6 Fundamentals de Rick Graziani
para añadirla a tu biblioteca de herramientas de estudio, ahora es el momento de
hacerlo. Su libro es mi fuente definitiva para todo lo relacionado con IPv6.

Visión general y ventajas de IPv6


La ampliación de las redes actuales requiere un suministro ilimitado de direcciones IP y una
movilidad mejorada que el direccionamiento privado y el NAT por sí solos no pueden satisfacer. IPv6
satisface los requisitos cada vez más complejos del direccionamiento jerárquico que IPv4 no
proporciona. Las principales ventajas y características de IPv6 son las siguientes

■ Espacio de direcciones ampliado: Un espacio de direcciones de 128 bits representa unos 340
trillones de trillones de direcciones.

■ Autoconfiguración de direcciones sin estado: IPv6 proporciona a los dispositivos host un


método para generar sus propias direcciones IPv6 enrutables. IPv6 también admite la
configuración con estado mediante DHCPv6.

■ Elimina la necesidad de NAT/PAT: NAT/PAT se concibió como parte de la solución al


agotamiento de las direcciones IPv4. Con IPv6, el agotamiento de las direcciones ya no es un
problema. Sin embargo, NAT64 desempeña un papel importante al proporcionar
compatibilidad con IPv4.

■ Cabecera más sencilla: Una cabecera más sencilla ofrece varias ventajas respecto a IPv4:

■ Mayor eficiencia de enrutamiento para el rendimiento y la escalabilidad de la tasa de reenvío


■ No hay emisiones y, por tanto, no hay amenaza potencial de tormentas de emisión
66 31 días antes de su examen CCNA

■ No es necesario procesar las sumas de comprobación

■ Mecanismos de cabecera de extensión más sencillos y eficaces

■ Movilidad y seguridad: La movilidad y la seguridad ayudan a garantizar el cumplimiento


de los estándares de IP móvil e IPsec:

■ IPv4 no permite automáticamente que los dispositivos móviles se desplacen sin


interrumpir las conexiones de red establecidas.

■ En IPv6, la movilidad está incorporada, lo que significa que cualquier nodo IPv6
puede utilizar la movilidad cuando sea necesario.

■ IPsec está habilitado en todos los nodos IPv6 y está disponible para su uso, haciendo que
la Internet IPv6 sea más segura.

■ Estrategias de transición: Puede incorporar las capacidades existentes de IPv4 con las
características añadidas de IPv6 de varias maneras:

■ Puede implementar un método de doble pila, con IPv4 e IPv6 configurado en la


interfaz de un dispositivo de red.

■ Se puede utilizar la tunelización, que será más importante a medida que crezca la adopción de IPv6.

El protocolo IPv6
La Tabla 27-1 compara las representaciones binaria y alfanumérica de las direcciones IPv4 e IPv6.

Tabla 27-1 Comparación de direcciones IPv4 e IPv6


IPv4 (4 octetos) IPv6 (16 octetos)
Representación 11000000.101010 10100101.00100100.01110010.11010011.00101
binaria 10
00.00001010. 01100101 0.10000000.11011101.00000010.00000000.00101
0
01.11101100.01111010.00000000.00101011.1110
1
010.01110011
Represent 192.168.10.101 2001:0DB8:2C80:DD02:0029:EC7A:002B:EA7
ación 3
alfanuméri
ca
Total de direcciones 4.294.967.296, o sea 232 3,4 1038, o 2128
IP

La Figura 27-1 compara la cabecera de IPv4 con la cabecera principal de IPv6. Observa que la cabecera
IPv6 se representa en palabras de 64 bits en lugar de las palabras de 32 bits utilizadas por IPv4.

NOTA: Consulte el RFC 2460 y la sección "Recursos de estudio" para conocer la


especificación completa de IPv6.
Día 27 67

Figura 27-1 Formato de


cabecera IPv6
Cabecera
IPv4
Bit 31
Bit 0
Bit 15 Bit 16
Longi Prioridad y
Versión tud de tipo de Longitud total (16)
(4) la servicio (8)
cabece
ra (4)
Ba
Identificación (16) n Desplazamiento de
20 d fragmentos (13)
Bytes e
r
a
s
(
3
)
Tiempo de vivir Protocolo (8) Suma de comprobación de la

Cabecera IPv6

0481216202428323640444852566063
Ver Clase de Etiquet Longitud de la Siguiente Límite
sió tráfico a de carga útil cabecera de salto
n flujo

Dirección de la
fuente

Dirección de
destino

Tipos de direcciones IPv6


IPv4 tiene tres tipos de direcciones: unicast, multicast y broadcast. IPv6 no utiliza direcciones de
difusión. En su lugar, IPv6 utiliza direcciones unicast, multicast y anycast. La Figura 27-2 ilustra estos
tres tipos de direcciones IPv6.

Figura 27-2 Tipos de direcciones IPv6


Direccionamiento IPv6

Unicast Multidifusión Anycast

Nodo asignadoSolicitado
FF00::/8FF02::1:FF00:0000/104

Global UnicastLink-Local Loopback Dirección no especificadaLocal único IPv4 integrado

2000::/3 FE80::/10 ::1/128 ::/128 FC00::/ 7 ::/80


68 31 días antes de su examen CCNA

Unicast
La primera clasificación de los tipos de direcciones IPv6 que se muestra en la Figura 27-2 es la
dirección unicast. Una dirección unicast identifica de forma única una interfaz en un dispositivo IPv6.
Un paquete enviado a una dirección unicast es recibido por la interfaz que está asignada a esa dirección.
Al igual que en IPv4, las direcciones IPv6 de origen deben ser direcciones unicast. Debido a que el
direccionamiento unicast -a diferencia del direccionamiento multicast y anycast- es el enfoque principal
para un candidato a CCNA, dedicamos algún tiempo a revisar la rama Unicast en la Figura 27-2.

Dirección global de unicast


IPv6 tiene un formato de dirección que permite la agregación hacia arriba, eventualmente hacia el
ISP. Una dirección unicast global IPv6 es única a nivel mundial. Al igual que una dirección IPv4
pública, puede ser enrutada en Internet sin modificaciones. Una dirección unicast global IPv6 está
formada por un prefijo de enrutamiento global de 48 bits, un ID de subred de 16 bits y un ID de
interfaz de 64 bits. Utilice el método de Rick Graziani para desglosar la dirección IPv6 con la regla 3-
1-4 (también conocida como la regla pi, por 3,14), que se muestra en la Figura 27-3.

Figura 27-3 Regla 3-1-4 de Graziani para recordar la estructura global de


direcciones Unicast
/48/64

16 16 16 16 16 16 16 16
bits bits bits bits bits bits bits bits

Prefijo de enrutamiento globalIdentificación de subred

314

2001
: 0DB8 :AAAA : 1111 : 0000 : 0000 : 0000 :0100

Cada número se refiere al número de hextetos, o segmentos de 16 bits, de esa parte de la dirección:

■ 3: Tres hextetos para el prefijo de enrutamiento global

■ 1: Un hexteto para el ID de la subred

■ 4: Cuatro hextetos para el ID de la interfaz

Las direcciones de unidifusión global asignadas actualmente por la Autoridad de Asignación de


Números de Internet (IANA) utilizan el rango de direcciones que comienza con el valor binario 001
(2000::/3). Este rango representa un octavo del espacio total de direcciones IPv6 y es el bloque más
grande de direcciones asignadas. La Figura 27-4 muestra cómo el espacio de direcciones IPv6 está
dividido en un pastel de ocho piezas basado en el valor del
los 3 primeros bits.
Día 27 69

Figura 27-4 Asignación del espacio de direcciones IPv6


Multidifu No especificado, Loopback, IPv4 integrado
Unicast local de
sión
enlace Unicast local único

000
111

110 Unicast global


001

101
010

100 011

Utilizando el trozo de pastel 2000::/3, la IANA asigna bloques de direcciones / 2 3 o más cortos a los
cinco Registros Regionales de Internet (RIR). A partir de ahí, a los ISP se les asignan bloques de
direcciones /23 o más cortos. A continuación, los ISP asignan a cada sitio -es decir, a cada cliente- un
bloque de direcciones /48 o más corto. La Figura 27-5 muestra el desglose de los prefijos de
enrutamiento global.

Figura 27-5 Clasificación de los tamaños de los prefijos de enrutamiento global


Prefijo de enrutamientoglobalIdentificación desubred

/23 /32/48 /56/64

*RIR
*Prefijo ISP
*Prefijo del sitio
Posible prefijo del sitio de origen Prefijo de la subred

*Esta es una asignación mínima. La longitud del prefijo puede ser menor si se
puede justificar.
70 31 días antes de su examen CCNA

En IPv6, una interfaz puede ser configurada con múltiples direcciones unicast globales, que pueden
estar en la misma o en diferentes subredes. Además, una interfaz no tiene que estar configurada con una
dirección unicast global, pero debe tener al menos una dirección link-local.
Una dirección global unicast puede clasificarse a su vez en las distintas opciones de configuración
disponibles, como muestra la Figura 27-6.

Figura 27-6 Opciones de configuración de la dirección unicast global

Unicast global

Manual Dinámica

IPv6 Autoconfiguración sin estado


Dirección IPv6 DHCPv6
Sin numerar

Estática EUI-64 EUI-64 Al azar

Revisaremos EUI-64 y la autoconfiguración de direcciones sin estado con más detalle más adelante
en este día. En los próximos días, revisaremos el resto de las opciones de configuración de la Figura
27-6 con más detalle. Por ahora, la Tabla 27-2 las resume.

Tabla 27-2 Resumen de las opciones de configuración global de


unicast Opción de configuración global de unicast
Descripción
ManualStaticAl igual que en IPv4, la dirección y el prefijo IPv6 se
configuran estáticamente en la interfaz.
EUI-64El prefijo se configura manualmente. El proceso EUI-64
utiliza la dirección MAC para generar el ID de interfaz
de 64 bits.
IPv6 no numeradoAl igual que con IPv4, una interfaz puede configurarse para utilizar
la dirección IPv6 de otra interfaz en el mismo dispositivo.
DinámicaAutoconfiguración de
direcciones sin SLAAC determina el prefijo y la longitud del prefijo a
estado partir de los mensajes de publicidad del router de
descubrimiento de vecinos y luego crea el ID de la
interfaz utilizando el método EUI-64.
DHCPv6Al igual que con IPv4, un dispositivo puede recibir parte o todo
su direccionamiento de un servidor DHCPv6.
Día 27 71

Enlace-dirección local
Como muestra la Figura 27-2, las direcciones link-local son un tipo de dirección unicast. Las direcciones
link-local están confinadas a un solo enlace. Tienen que ser únicas para ese enlace porque los paquetes
con una dirección de origen o destino de enlace local no son enrutables fuera del enlace.
Las direcciones link-local se configuran de una de estas tres maneras:

■ Dinámicamente, utilizando EUI-64

■ Utilizar un ID de interfaz generado aleatoriamente

■ De forma estática, introduciendo manualmente la dirección link-local

Las direcciones link-local ofrecen una ventaja única en IPv6. Un dispositivo puede crear su dirección
link-local completamente por sí mismo. Las direcciones link-local unicast están en el rango FE80::/10 a
FEBF::/10, como muestra la Tabla 27-3.

Tabla 27-3 Rango de direcciones Unicast Link-Local


Dirección Unicast de enlace Rango del primer hexteto Rango del primer hexteto en binario
FE80::/10FE801111 1110 10 00 0000
FEBF1111 1110 10 11 1111

La Figura 27-7 muestra el formato de una dirección unicast de enlace local.

Figura 27-7 Dirección Unicast de Enlace-Local


10 bits
Los 54 bits /64 64 bits
restantes

1111 1110 ID de la
10 interfaz

FE80::/10EUI-64, configuración aleatoria o manual

Dirección de bucle invertido


La dirección loopback para IPv6 es una dirección todo-0 excepto el último bit, que se pone a 1. Al igual
que en IPv4, un dispositivo final utiliza la dirección de bucle invertido IPv6 para enviar un paquete
IPv6 a sí mismo para probar la pila TCP/IP. La dirección loopback no puede ser asignada a una interfaz
y no es enrutable fuera del dispositivo.

Dirección no especificada
La dirección unicast no especificada es la dirección all-0s, representada como ::. No se puede asignar a
una interfaz, sino que se reserva para las comunicaciones cuando el dispositivo emisor no tiene
todavía una dirección IPv6 válida. Por ejemplo, un dispositivo utiliza :: como dirección de origen
cuando utiliza el proceso de detección de direcciones duplicadas (DAD). El proceso DAD garantiza una
dirección local de enlace única. Antes de que un dispositivo pueda empezar a utilizar su dirección local
de enlace recién creada, envía una multidifusión de todos los nodos a todos los dispositivos del enlace,
con su nueva dirección como destino. Si el dispositivo recibe una respuesta, sabe que la dirección local
de enlace está en uso y, por lo tanto, necesita crear otra dirección local de enlace.
72 31 días antes de su examen CCNA

Dirección local única


Las direcciones locales únicas (ULA) se definen en el RFC 4193, "Unique Local IPv6 Unicast
Addresses". La figura 27-8 muestra el formato de las ULA.

Figura 27-8 Dirección local única


7 bits1 bit
40 bits 16 bits 64 bits

1111 x Identificación ID de ID de la
110 global subred interfaz

FC00::/7 Algoritmo EUI-64, configuración aleatoria o manual


L bit pseudoaleatori
o

Se trata de direcciones privadas. Sin embargo, a diferencia de IPv4, las ULAs de IPv6 son
globalmente únicas. Esto es posible debido a la cantidad relativamente grande de espacio de
direcciones en la parte de ID global que se muestra en la Figura 27-8: 40 bits, o más de 1 billón de
ID globales únicas. Siempre que un sitio utilice el algoritmo de ID global pseudo-aleatorio, tendrá una
probabilidad muy alta de generar un ID global único.
Las direcciones locales únicas tienen las siguientes características:

■ Poseer un prefijo único a nivel mundial o al menos tener una probabilidad muy alta de ser único

■ Permitir que los sitios se combinen o se interconecten de forma privada sin conflictos de
dirección o renumeración de direcciones

■ Son independientes de cualquier proveedor de servicios de Internet y pueden utilizarse en


un sitio sin tener conexión a Internet

■ Si se filtran accidentalmente fuera de un sitio, ya sea por enrutamiento o por el Sistema de


Nombres de Dominio (DNS), no causan un conflicto con ninguna otra dirección

■ Puede utilizarse como una dirección global de unicast

Dirección IPv4 incorporada


Los paquetes IPv4 e IPv6 no son compatibles. Para traducir entre las dos familias de direcciones se
necesitan funciones como NAT-PT (ahora obsoleta) y NAT64. Las direcciones IPv6 mapeadas en IPv4
son utilizadas por los mecanismos de transición en hosts y routers para crear túneles IPv4 que
entreguen paquetes IPv6 sobre redes IPv4.

NOTA: NAT64 está fuera del alcance de los temas del examen CCNA.

Para crear una dirección IPv4 mapeada en IPv6, la dirección IPv4 se incrusta dentro del orden inferior
32 bits de IPv6. Básicamente, IPv6 sólo pone una dirección IPv4 al final, añade 16 bits todo-1 y
rellena el resto de la dirección. La dirección no tiene que ser globalmente única. La Figura 27-9 ilustra
esta estructura de dirección IPv6 mapeada en IPv4.
Día 27 73

Figura 27-9 Dirección IPv6 mapeada en


IPv4
16 bits32bits
80 bits

0000 ................................................................. 0000 FFF w.x.


F y.z

Dirección IPv4
en decimal
punteado

Dirección IPv4 de 32 bits 192.168.10.10

80 bits16bits32bits

0000 0000 0000 0000 0000 FFFF 192.168.10.10

Formato comprimido IPv6 ::FFFF.192.168.10.10

Multidifu
sión
La segunda gran clasificación de los tipos de direcciones IPv6 en la Figura 27-2 es la multidifusión. La
multidifusión es una técnica mediante la cual un dispositivo envía un único paquete a varios destinos
simultáneamente. Una dirección de multidifusión IPv6 define un grupo de dispositivos conocido
como grupo de multidifusión y es equivalente a IPv4 224.0.0.0/4. Las direcciones de multidifusión
IPv6 tienen el prefijo FF00::/8.
Se utilizan dos tipos de direcciones de multidifusión IPv6:

■ Multidifusión asignada

■ Multidifusión de nodo solicitado

Multidifusión asignada
Las direcciones de multidifusión asignadas se utilizan en contexto con
protocolos específicos. Dos grupos comunes de multidifusión asignada
de IPv6 son los siguientes:

■ FF02::1 Grupo de multidifusión de todos los nodos: Se trata de un grupo de multidifusión al


que se unen todos los dispositivos habilitados para IPv6. Al igual que con una difusión en IPv4,
todas las interfaces IPv6 en el enlace procesan los paquetes enviados a esta dirección. Por
ejemplo, un router que envía un Anuncio de Enrutamiento (RA) ICMPv6 utiliza la dirección
FF02::1 de todos los nodos. Los dispositivos habilitados para IPv6 pueden entonces utilizar la
información del RA para aprender la información de la dirección del enlace, como el prefijo, la
longitud del prefijo y la puerta de enlace predeterminada.

■ FF02::2 Grupo de multidifusión de todos los routers: Este es un grupo de multidifusión al que
se unen todos los routers IPv6. Un router se convierte en miembro de este grupo cuando se
habilita como router IPv6 con el comando de configuración global ipv6 unicast-routing. Un
paquete enviado a este grupo es recibido y
74 31 días antes de su examen CCNA

procesado por todos los routers IPv6 en el enlace o red. Por ejemplo, los dispositivos habilitados
para IPv6 envían mensajes ICMPv6 de solicitud de enrutamiento (RS) a la dirección multicast
de todos los enrutadores solicitando un mensaje RA.

Multidifusión de nodos solicitados


Además de cada dirección unicast asignada a una interfaz, un dispositivo tiene una dirección multicast
especial conocida como dirección multicast de nodo solicitado (consulte la Figura 27-2). Estas
direcciones multicast se crean automáticamente utilizando un mapeo especial de la dirección unicast
del dispositivo con el prefijo multicast del nodo solicitado FF02:0:0:0:0:1:FF00::/104.
Como muestra la Figura 27-10, las direcciones multicast de nodo solicitado se utilizan para dos
mecanismos esenciales de IPv6, ambos parte del Protocolo de Descubrimiento de Vecinos (NDP):

Figura 27-10 Usos de Multicasts de nodos solicitados


Address Resolution
NDP Mensaje de Solicitud de Vecinos Destino: Multidifusión del nodo solicitado
"Quien tenga la dirección IPv6 2001:0DB8:AAAA:0001::0500, por favor envíeme su dirección MAC Ethernet"

PC-A

PC-B

Detección de direcciones duplicadas (DAD)


NDP Mensaje de Solicitud de Vecinos
Destino: Multidifusión del nodo
solicitado
"Antes de utilizar esta dirección, ¿hay alguien más en este
enlace que utilice esta dirección local de enlace
FE80::50A5:8A35:A5BB:66E1?"

■ Resolución de direcciones: En este mecanismo, que es equivalente a ARP en IPv4, un


dispositivo IPv6 envía un mensaje NS a una dirección multicast de nodo solicitado para
conocer la dirección de capa de enlace de un dispositivo en el mismo enlace. El dispositivo
reconoce la dirección IPv6 del destino en ese enlace pero necesita conocer su dirección de
enlace de datos.

■ Detección de direcciones duplicadas (DAD): Como se ha mencionado anteriormente,


DAD permite a un dispositivo verificar que su dirección unicast es única en el enlace. Se envía
un mensaje NS a la propia dirección de multidifusión del nodo solicitado del dispositivo para
determinar si alguien más tiene esta misma dirección.
Día 27 75

Como muestra la Figura 27-11, la dirección multicast del nodo solicitado consta de dos partes:

Figura 27-11 Estructura de la dirección multicast del nodo solicitado


Dirección Unicast/Anycast

104 bits24bits

ID
Prefijo de enrutamiento ID de la
global de interfaz
su
br
ed

Copiar
Dirección de multidifusión del nodo solicitado

FF02 0000 0000 000 0000 0001 F


0 F

104 bits24bits

FF02:0:0:0:0:1:FF00::/104

■ Prefijo de multidifusión FF02:0:0:0:0:FF00::/104: Son los primeros 104 bits de la dirección


multicast de todos los nodos solicitados.

■ Los 24 bits menos significativos: Estos bits se copian de los 24 bits de la extrema derecha
de la dirección global unicast o link-local unicast del dispositivo.

Anycast
La última clasificación importante de los tipos de direcciones IPv6 en la Figura 27-2 es la dirección
anycast. Una dirección anycast puede ser asignada a más de un dispositivo o interfaz. Un paquete
enviado a una dirección anycast es enrutado al dispositivo "más cercano" que esté configurado con la
dirección anycast, como muestra la Figura 27-12.

Figura 27-12 Ejemplo de direccionamiento Anycast

El coste de 10 es mi
mejor camino hacia
2001:db8:abcd:1:1. Servidor
Coste para el servidor A
= 50
A 2001:db8:abcd:1:1

Destino:
2001:db8:abcd:1:1. Coste para el servidor B Servidor
= 75
B 2001:db8:abcd:1:1

Coste para el servidor C = 10 Servidor


C
2001:db8:abcd:1:1
76 31 días antes de su examen CCNA

Representación de la dirección IPv6


Una dirección IPv6 puede parecer bastante intimidante para alguien que esté acostumbrado al
direccionamiento IPv4. Sin embargo, una dirección IPv6 puede ser más fácil de leer y es mucho más
sencilla de subredes que la IPv4.

Convenciones para escribir direcciones IPv6


Las convenciones de IPv6 utilizan 32 números hexadecimales, organizados en ocho hextetos de cuatro
dígitos hexadecimales separados por dos puntos, para representar una dirección IPv6 de 128 bits.
Por ejemplo:
2340:1111:AAAA:0001:1234:5678:9ABC

Para facilitar un poco las cosas, dos reglas permiten acortar lo que debe configurarse para una
dirección IPv6:

■ Regla 1: Omitir los 0 iniciales en cualquier hexteto.

■ Regla 2: Omita los hextetos de todos los 0s. Represente uno o más hextetos consecutivos de
todos los 0s hexadecimales con dos puntos dobles (::), pero sólo para una ocurrencia de este
tipo en una dirección dada.
Por ejemplo, en la siguiente dirección, los dígitos hexadecimales resaltados representan la parte de la
dirección que se puede abreviar:
FE00:0000:0000:0001:0000:0000:0000:0056

Esta dirección tiene dos ubicaciones en las que uno o más hextetos tienen cuatro 0s hexadecimales, por
lo que dos opciones principales funcionan para abreviar esta dirección con la abreviatura :: en una de las
ubicaciones. Las dos opciones siguientes muestran las dos abreviaturas válidas más breves:

■ FE00::1:0:0:0:56

■ FE00:0:0:1::56

En el primer ejemplo, los hextetos segundo y tercero que preceden a 0001 se han sustituido por ::. En
el segundo ejemplo, los hextetos quinto, sexto y séptimo se han sustituido por ::. En particular, hay
que tener en cuenta que la abreviatura ::, que significa "uno o más hextetos de todos los 0", no puede
utilizarse dos veces porque sería ambiguo. Por lo tanto, la abreviatura FE00::1::56 no sería válida.

Convenciones para escribir prefijos IPv6


Un prefijo IPv6 representa un rango o bloque de direcciones IPv6 consecutivas. El número que
representa el rango de direcciones, llamado prefijo, suele verse en las tablas de enrutamiento IP, al
igual que se ven los números de subred IP en las tablas de enrutamiento IPv4.
Al igual que en IPv4, cuando se escribe o teclea un prefijo en IPv6, los bits que pasan al final de la
longitud del prefijo son todos 0 binarios. La siguiente dirección IPv6 es un ejemplo de una dirección
asignada a un host:
2000:1234:5678:9ABC:1234:5678:9ABC:1111/64

El prefijo en el que reside esta dirección es el


siguiente
2000:1234:5678:9ABC:0000:0000:0000:0000/64
Cuando se abrevia, es:
2000:1234:5678:9ABC::/64
Día 27 77

Si la longitud del prefijo no cae en un límite de hexteto (es decir, no es un múltiplo de 16), el valor
del prefijo debe enumerar todos los valores del último hexteto. Por ejemplo, supongamos que la
longitud del prefijo en el ejemplo anterior es /56. Por convención, el resto del cuarto hexteto se
escribe, después de ser puesto en 0 binario, como sigue:
2000:1234:5678:9A00::/56
La siguiente lista resume algunos puntos clave sobre cómo escribir prefijos IPv6:

■ El prefijo tiene el mismo valor que las direcciones IP del grupo para el primer número de bits,
definido por la longitud del prefijo.

■ Los bits posteriores al número de bits de la longitud del prefijo son 0s binarios.

■ El prefijo puede ser abreviado con las mismas reglas que para las direcciones IPv6.

■ Si la longitud del prefijo no está en el límite de un hexteto, anote el valor para todo el hexteto.

La Tabla 27-4 muestra varios ejemplos de prefijos, sus formatos y una breve explicación.

Tabla 27- Ejemplo de prefijos IPv6 y su significado


4
Prefijo Explicación Alternativa incorrecta
2000::/3 Todas las direcciones cuyos 3 primeros 2000/3 (omite ::) 2::/3 (omite
bits son iguales a los 3 primeros bits del el resto del primer hexteto)
número hexadecimal 2000 (los bits son
001)
2340:1140: Todas las direcciones cuyos primeros 2340:114::/26 (omite la última
:/26 26 bits coinciden con el número cifra del segundo hexteto)
hexadecimal indicado
2340:1111: Todas las direcciones cuyos primeros 2340:1111/32 (omite ::)
:/32 32 bits coinciden con el número
hexadecimal indicado

Subredes IPv6
En muchos sentidos, la creación de redes de direcciones IPv6 es mucho más sencilla que la creación
de redes de direcciones IPv4. A un sitio típico se le asigna un espacio de direcciones IPv6 con una
longitud de prefijo de /48. Debido a que los bits menos significativos se utilizan para el ID de la
interfaz, eso deja 16 bits para el ID de la subred y una longitud de prefijo de subred de /64, como
muestra la Figura 27-13.

Figura 27-13 Prefijo de


subred /64
/64
/48
16 bits64bits
48 bits

Prefijo de
ID de ID de la
enrutamiento
subred interfaz
global (asignado
por el ISP)
Prefijo de subred
/64
Para nuestros ejemplos de subredes, utilizamos 2001:0DB8:000A::/48, o simplemente
2001:DB8:A::/48, que incluye las subredes 2001:DB8:A::/64 hasta 2001:DB8:A:FFFF::/64. Son 216, o
65.536 subredes, cada una con 264, o 18 quintillones, de direcciones de interfaz.
78 31 días antes de su examen CCNA

Subnetting el ID de la subred
Para crear una subred en una pequeña o mediana empresa, basta con incrementar los bits menos
significativos del ID de subred (como en el ejemplo 27-1) y asignar subredes /64 a sus redes.

Ejemplo 27-1 Subnetting el ID de subred

2001:DB8:A:0001::/64
2001:DB8:A:0002::/64
2001:DB8:A:0003::/64
2001:DB8:A:0004::/64
2001:DB8:A:0005::/64

Por supuesto, si está administrando una implementación más grande, puede utilizar los cuatro dígitos
hexadecimales del ID de subred para diseñar una jerarquía de cuatro niveles rápida y sencilla. La
mayoría de las redes empresariales grandes tienen mucho espacio para diseñar un esquema de
direcciones lógicas que agregue direcciones para una configuración de enrutamiento óptima. Además,
solicitar y recibir otra dirección /48 no es difícil.

Subredes en el ID de la interfaz
Si extiendes tu subred a la parte del ID de la interfaz de la dirección, es una buena práctica hacer la
subred en el límite del nibble. Un nibble son 4 bits, o un dígito hexadecimal. Por ejemplo
tomar prestados los 4 primeros bits de la parte del ID de interfaz de la dirección de red
2001:DB8:A:1::/64. Esto significa que la red 2001:DB8:A:1::/64 tendría ahora 24, o 16,
subredes desde 2001:DB8:A:1:0000::/68 hasta 2001:DB8:A:1:F000::/68. Enumerar las subredes es
fácil, ya que
El ejemplo 27-2 lo muestra.

Ejemplo 27-2 Subredes en el ID de interfaz

2001:DB8:A:1:0000::/68
2001:DB8:A:1:1000::/68
2001:DB8:A:1:2000::/68
2001:DB8:A:1:3000::/68
a través de
2001:DB8:A:1:F000::/68

Concepto EUI-64
El día 18 revisa el direccionamiento IPv6 estático, incluyendo cómo configurar un router para usar
el direccionamiento EUI-64 (EUI significa Extended Unique Identifier). Hoy revisamos el concepto que
hay detrás de la configuración EUI-64.
Recuerda de la Figura 27-13 que la segunda mitad de la dirección IPv6 se llama ID de interfaz. El
valor de la porción del ID de interfaz de una dirección unicast global puede ser establecido a
cualquier valor, siempre y cuando ningún otro host en la misma subred intente usar el mismo valor.
Sin embargo, el tamaño del ID de la interfaz se eligió para permitir una fácil autoconfiguración de
las direcciones IP introduciendo la dirección MAC de una tarjeta de red en el campo del ID de la
interfaz en una dirección IPv6.
Día 27 79

Las direcciones MAC tienen 6 bytes (48 bits) de longitud. Para completar el ID de interfaz de 64
bits, IPv6 rellena 2 bytes más separando la dirección MAC en dos mitades de 3 bytes. Luego inserta
el hexágono FFFE entre las mitades y pone el séptimo bit del primer byte en 1 binario para
formar el campo de ID de interfaz. La Figura 27-14 muestra este formato, llamado formato
EUI-64.
Por ejemplo, las dos líneas siguientes enumeran la dirección MAC de un host y el correspondiente ID
de interfaz en formato EUI-64, asumiendo el uso de una opción de configuración de direcciones que
utiliza el formato EUI-64:

■ Dirección MAC: 0034:5678:9ABC

■ ID de interfaz EUI-64: 0234:56FF:FE78:9ABC

Figura 27-14 Formato de dirección IPv6 con ID de interfaz y EUI-64


Prefijo de subred

48 Bits 16 Bits 64 bits

Prefijo (asignado por el ISP) Subred ID de la interfaz

Formato EUI-64
Prefijo del sitio
1ª 2ª mitad
mita FFFE de
d de MAC
Voltear el 7º bit
(lectura de izquierda a
derecha) del primer
byte a un 1 binario

NOTA: Para cambiar el séptimo bit (leyendo de izquierda a derecha) en el ejemplo,


convierta el hexágono 00 a binario 00000000, cambie el séptimo bit a 1 (00000010), y luego
vuelva a convertirlo a hexágono, para que el hexágono 02 sea los dos primeros dígitos.

Autoconfiguración de direcciones sin estado


IPv6 admite dos métodos de configuración dinámica de direcciones IPv6:

■ Autoconfiguración de direcciones sin estado (SLAAC): Un host aprende dinámicamente la


dirección /64
prefijo a través del Protocolo de Descubrimiento de Vecinos (NDP) IPv6 y luego calcula el
resto de su dirección utilizando el método EUI-64.

■ DHCPv6: Funciona conceptualmente igual que DHCP en IPv4. Revisamos DHCPv6 en


el día 23, "DHCP y DNS".
Al utilizar el proceso EUI-64 y el Protocolo de Descubrimiento de Vecinos (NDP), SLAAC permite
que un dispositivo determine su dirección unicast global completa sin ninguna configuración
manual y sin un
servidor DHCPv6. La Figura 27-15 ilustra el proceso SLAAC entre un host y un router configurado con
el comando ipv6 unicast-routing, lo que significa que enviará y recibirá mensajes NDP.
80 31 días antes de su examen CCNA

Figura 27-15 Descubrimiento de vecinos y proceso SLAAC

ipv6 unicast-routing
RouterA

1
Solicitud de router NDP
"Necesito información del router"
MAC:00-19-D2-8C-E0-4C
2
Anuncio del enrutador NDP PC-B
Prefijo: 2001:DB8:AAAA:1::
Longitud del prefijo: /64

3
Prefijo: 2001:DB8:AAAA:1::
ID de interfaz EUI-64: 02-19-D2-FF-FE-8C-E0-4C
Dirección Global Unicast: 2001:DB8:AAAA:1:0219:D2FF:FE8C:E04C Prefix-length: /64

4
Mensaje de solicitud de vecinos NDP - DAD
"¿Hay alguien más en este enlace que utilice la dirección:
Dirección IPv6 de destino: 2001:DB8:AAAA:1:0219:D2FF:FE8C:E04C"

Migración a IPv6
Actualmente se utilizan dos grandes estrategias de transición para migrar a IPv6:

■ Dual-stacking: En este método de integración, un nodo tiene implementación y


conectividad tanto a una red IPv4 como a una red IPv6. Esta es la opción recomendada y
consiste en ejecutar IPv4 e IPv6 al mismo tiempo.

■ Tunneling: El tunneling es un método para transportar paquetes IPv6 a través de redes sólo IPv4
encapsulando el paquete IPv6 dentro de IPv4. Existen varias técnicas de tunneling.
Debido a la simplicidad de ejecutar el apilamiento dual, lo más probable es que sea la estrategia
preferida a medida que empiecen a desaparecer las redes sólo IPv4. Sin embargo, es probable que pasen
décadas antes de que veamos redes empresariales que funcionen exclusivamente con IPv6. La figura 27-
16 ilustra una forma de pensar de Wendell Odom sobre la transición a IPv6: "Pero ¿quién sabe cuánto
tiempo llevará?"
Recuerda este consejo: "Haz una pila doble donde puedas; haz un túnel donde debas". Estos dos
métodos son las técnicas más comunes para la transición de IPv4 a IPv6. El apilamiento dual es bastante
fácil: Basta con configurar todos los dispositivos para que utilicen tanto el direccionamiento IPv4 como
el IPv6. El tunelado es más complejo y va más allá del alcance de los temas del examen CCNA.
Día 27 81

Figura 27-16 Transición a IPv6 mediante el apilamiento dual

TCP/IP TCP/IP
IPv4 IPv4

TCP/IP
IPv6

TCP/IP TCP/IP
IPv6 IPv6

2010s2020s ???2030s ???

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.

Recursos Módulo o capítulo


Academia de Redes Cisco: CCNA 1 4
6
7
Guía oficial del CCNA 200-301, volumen 1 5
8
Guía del mando portátil 5
Esta página se ha dejado intencionadamente en blanco
Conceptos y configuraciones de
VLAN y Trunking

Temas del examen CCNA 200-301


■ Configurar y verificar las VLAN (rango normal) que abarcan varios conmutadores

■ Configurar y verificar la conectividad entre conmutadores

Puntos clave
Hoy en día, la mayoría de las grandes redes implementan redes de área local virtuales (VLAN). Sin VLANs,
un conmutador considera que todos los puertos están en el mismo dominio de difusión. Con las VLANs,
los puertos del switch pueden agruparse en diferentes VLANs, esencialmente segmentando el dominio
de difusión. Hoy repasaremos los conceptos de VLAN, consideraremos los tipos de tráfico, discutiremos
los tipos de VLAN y revisaremos el concepto de trunking, incluyendo el Protocolo de Trunking
Dinámico (DTP). Luego revisaremos los comandos para configurar y verificar las VLAN, el trunking y
el enrutamiento entre VLAN.

Conceptos de VLAN
Aunque un conmutador sale de la caja con una sola VLAN, normalmente un conmutador se configura
para tener dos o más VLAN. Con un conmutador de este tipo, se pueden crear múltiples dominios de
difusión poniendo algunas interfaces en una VLAN y otras interfaces en otras VLAN.
Tenga en cuenta estas razones para utilizar las VLAN:

■ Agrupar a los usuarios por departamento en lugar de por ubicación física

■ Segmentar los dispositivos en LANs más pequeñas para reducir la sobrecarga de procesamiento de
todos los dispositivos de la LAN

■ Reducción de la carga de trabajo del STP limitando una VLAN a un único switch de acceso

■ Mejora de la seguridad mediante el aislamiento de los datos sensibles en redes virtuales separadas

■ Separar el tráfico de voz IP del tráfico de datos

■ Ayudar a la resolución de problemas reduciendo el tamaño del dominio de fallo (es decir, el
número de dispositivos que pueden causar un fallo o que pueden ser afectados por uno)
Las ventajas de utilizar las VLAN son las siguientes:

■ Seguridad: Los datos sensibles pueden aislarse en una VLAN, separada del resto de la red.
■ Reducción de costes: La reducción de la necesidad de costosas actualizaciones de la red
y el uso más eficiente del ancho de banda y los enlaces ascendentes existentes conducen a
un ahorro de costes.

■ Mayor rendimiento: La división de las redes planas de capa 2 en múltiples dominios lógicos
de difusión reduce el tráfico innecesario en la red y aumenta el rendimiento.
84 31 días antes de su examen CCNA

■ Mitigación de las tormentas de difusión: La segmentación de la VLAN evita que las tormentas
de difusión se propaguen por toda la red.

■ Facilidad de gestión y resolución de problemas: Un esquema de direccionamiento


jerárquico agrupa las direcciones de red de forma contigua. Dado que un esquema de
direccionamiento IP jerárquico hace que los componentes problemáticos sean más fáciles de
localizar, la gestión de la red y la resolución de problemas son más eficientes.

Tipos de tráfico
La clave para el éxito de la implantación de una VLAN es entender los patrones de tráfico y los distintos
tipos de tráfico de la organización. La Tabla 26-1 enumera los tipos comunes de tráfico de red que hay
que evaluar antes de colocar los dispositivos y configurar las VLAN.

Tabla 26-1 Tipos de tráfico


Tipo de tráficoDescripción
Gestión de la redEn la red puede haber muchos tipos de tráfico de gestión de la red. Para
facilitar la resolución de problemas de la red, algunos diseñadores asignan una VLAN
separada para transportar ciertos tipos de tráfico de gestión de red.
Telefonía IPExisten dos tipos de tráfico de telefonía IP: la información de señalización entre
los dispositivos finales y los paquetes de datos de la conversación de voz. Los
diseñadores suelen configurar los datos hacia y desde los teléfonos IP en una VLAN
separada designada para el tráfico de voz, de modo que puedan aplicar medidas de
calidad de servicio para dar alta prioridad al tráfico de voz.
Multidifusión IPEl tráfico de multidifusión puede producir una gran cantidad de
datos que circulan por la red. Los conmutadores deben estar configurados para
evitar que este tráfico inunde los dispositivos que no lo han solicitado, y los routers
deben estar configurados para garantizar que el tráfico multicast se reenvía a las
zonas de la red donde se solicita.
Datos normalesEl tráfico de datosnormales el típico tráfico de aplicaciones
relacionado con los servicios de archivo e impresión, el correo electrónico, la
navegación por Internet, el acceso a bases de datos y otras aplicaciones de red
compartidas.
Clase ScavengerLa clase Scavenger incluye todo el tráfico con protocolos o patrones que exceden sus
flujos de datos normales. Las aplicaciones asignadas a esta clase contribuyen poco o
nada a los objetivos organizativos de la empresa y suelen estar orientadas al
entretenimiento.

Tipos de VLAN
Algunos tipos de VLAN se definen por el tipo de tráfico que soportan; otros se definen por las
funciones específicas que realizan. A continuación, los principales tipos de VLAN y sus descripciones:

■ VLAN de datos: configurada para transportar sólo el tráfico generado por el usuario,
asegurando que el tráfico de voz y de gestión esté separado del tráfico de datos.

■ VLAN por defecto: todos los puertos de un conmutador son miembros de la VLAN por defecto
cuando el conmutador se restablece a los valores de fábrica. La VLAN por defecto de los
conmutadores Cisco es la VLAN 1. La VLAN 1 tiene todas las características de cualquier VLAN,
excepto que no se le puede cambiar el nombre y no se puede eliminar. Es una buena práctica de
seguridad restringir la VLAN 1 para que sirva de conducto sólo para el tráfico de control de capa 2
(por ejemplo, CDP) y no admita ningún otro tipo de tráfico.

■ VLAN de agujero negro: Una buena práctica de seguridad es definir una VLAN de agujero
negro para que sea una VLAN ficticia distinta de todas las demás VLAN definidas en la LAN
conmutada. Todos los puertos de conmutación no utilizados
Día 26 85

se asignan a la VLAN de agujero negro para que cualquier dispositivo no autorizado que se
conecte a un puerto de switch no utilizado no pueda comunicarse más allá del switch al que está
conectado.

■ VLAN nativa: Este tipo de VLAN sirve como identificador común en los extremos opuestos de
un enlace troncal. Una buena práctica de seguridad es definir una VLAN nativa para que sea una
VLAN ficticia distinta de todas las demás VLAN definidas en la LAN conmutada. La VLAN
nativa no se utiliza para ningún tráfico en la red conmutada, a menos que haya dispositivos de
puente heredados en la red o que exista una interconexión multiacceso entre conmutadores
unidos por un concentrador.

■ VLAN de gestión: El administrador de la red define esta VLAN como medio para acceder a las
capacidades de gestión de un conmutador. Por defecto, la VLAN 1 es la VLAN de gestión. Una de
las mejores prácticas de seguridad es definir la VLAN de gestión como una VLAN distinta de todas
las demás VLAN definidas en la LAN conmutada.

■ VLAN de voz: Una VLAN de voz permite a los puertos del conmutador transportar el tráfico de
voz IP de un teléfono IP. El administrador de la red configura una VLAN de voz y la asigna a los
puertos de acceso. A continuación, cuando un teléfono IP se conecta al puerto del conmutador,
el conmutador envía mensajes CDP que indican al teléfono IP conectado que envíe tráfico de
voz etiquetado con el ID de la VLAN de voz.

Ejemplo de VLAN de voz


La figura 26-1 muestra un ejemplo de uso de un puerto de un switch para conectar el teléfono IP y el
PC de un usuario.El puerto del switch está configurado para transportar tráfico de datos en la VLAN 20
y tráfico de voz en la VLAN 150.El teléfono IP de Cisco contiene un switch 10/100 de tres puertos
integrado para proporcionar las siguientes conexiones dedicadas:

■ El puerto 1 se conecta al conmutador o a otro dispositivo VoIP.

■ El puerto 2 es una interfaz interna 10/100 que lleva el tráfico del teléfono IP.

■ El puerto 3 (puerto de acceso) se conecta a un PC u otro dispositivo.

Figura 26-1 Conmutación de tráfico de voz y datos del teléfono IP de Cisco


Un teléfono IP de Cisco es un conmutador.
Puerto del conmutador configurado para soportar el tráfico de voz:
Teléfono IP 7960 de Cisco
ndica al teléfono que etiquete las tramas de voz con la VLAN 150.
Prioriza las tramas de voz.
Reenvía tramas de datos en la VLAN 20. Configurado para etiquetar las tramas de tráfico de voz con la VLAN 150.
Teléfono ASIC

Tráfico de datos no etiquetado

P2

F0/18 P1 P3 PC5
Conmutador de 3 Puerto
puertosde acceso
S2

este puerto se envían y reciben tramas de voz etiquetadas y de datos no etiquetadas.


IP
El tráfico del PC5 conectado al teléfono IP pasa a través del teléfono IP sin etiquetar. El enlace entre S2
y el teléfono IP actúa como una troncal modificada para transportar tanto el tráfico de voz
etiquetado como el tráfico de datos no etiquetado.
86 31 días antes de su examen CCNA

Trunking VLANs
Un tronco VLAN es un enlace Ethernet punto a punto entre una interfaz de conmutación Ethernet
y una interfaz Ethernet de otro dispositivo de red, como un router o un conmutador, que transporta el
tráfico de varias VLAN a través de un único enlace. Un tronco VLAN permite extender las VLANs a
toda una red. Un tronco VLAN no pertenece a una VLAN específica; en cambio, sirve como conducto
para las VLAN entre los conmutadores. La Figura 26-2 muestra una pequeña red conmutada con un
enlace troncal entre S1 y S2 que transporta tráfico de varias VLAN.

Figura 26-2 Ejemplo de una VLAN Trunk

VLAN 1 - Tráfico de control - 172.17.1.0/24


VLAN 10 - Facultad/Personal -
172.17.10.0/24 VLAN 20 - Estudiantes -
172.17.20.0/24
VLAN 30 - Invitado (por defecto) - 172.17.30.0/24

Facultad
VLAN 10 - PC1 S1
172.17.10.21 1 puerto de conmutación
5 VLANs: 1, 10, 20, 30, 99

Estudiante
VLAN 20 - PC2
172.17.20.22 S2

VLAN de
invitados PC3
30 -
172.17.30.23

Cuando se coloca una trama en un enlace troncal, se debe añadir a la trama información sobre la VLAN
a la que pertenece. Esto se consigue utilizando el etiquetado de tramas IEEE 802.1Q. Cuando un
conmutador recibe una trama en un puerto configurado en modo de acceso y destinada a un
dispositivo remoto a través de un enlace troncal, el conmutador desmonta la trama e inserta una
etiqueta VLAN, recalcula la secuencia de comprobación de trama (FCS) y envía la trama etiquetada
por el puerto troncal. La Figura 26-3 muestra la etiqueta 802.1Q insertada en una trama Ethernet.

Figura 26-3 Campos de la etiqueta 802.1Q dentro de una trama Ethernet


Destino.
Destino. Dirección Dirección
Dirección defuente
de la la Etiq
Len./Tipo Len./Tip
Datos D
FCS F
Dirección fuente ueta o at C
os S

(Nuevo)

Tipo (16 Bits, 0×8100) Prioridad (3 Bandera ID de VLAN (12


Bits) (1 Bit) bits)
Día 26 87

El campo de la etiqueta VLAN consta de un campo de tipo de 16 bits denominado EtherType y un


campo de información de control de la etiqueta. El campo EtherType se establece con el valor
hexadecimal 0x8100. Este valor se denomina valor de ID de protocolo de etiqueta (TPID). Con el
campo EtherType configurado con el valor TPID, el switch que recibe la trama sabe que debe buscar
información en el campo Tag control information. El campo de información de control de etiqueta
contiene lo siguiente:

■ 3 bits de prioridad de usuario: Proporciona una transmisión acelerada de las tramas de capa
2, como el tráfico de voz

■ 1 bit de identificador de formato canónico (CFI): Permite que las tramas Token Ring
se transporten fácilmente a través de los enlaces Ethernet

■ 12 bits de ID de VLAN (VID): Proporciona los números de identificación de la VLAN

NOTA: Aunque 802.1Q es el método recomendado para el etiquetado de tramas, debe


conocer el protocolo de trunking propietario de Cisco llamado Inter-Switch Link (ISL).

Protocolo de enlace dinámico


El Protocolo de Troncalidad Dinámica (DTP) es un protocolo propietario de Cisco que negocia tanto
el estado de los puertos troncales como la encapsulación de los mismos. El DTP gestiona la
negociación troncal sólo si el puerto del otro conmutador está configurado en un modo troncal que
admita DTP. Un puerto de un switch Cisco Catalyst admite varios modos troncales. El modo de
troncalización define cómo el
El puerto negocia mediante DTP para establecer un enlace troncal con su puerto homólogo. A
continuación se describe brevemente cada modo de enlace troncal:

■ Si el conmutador está configurado con el comando switchport mode trunk, el puerto del
conmutador envía periódicamente mensajes DTP al puerto remoto, anunciando que está en un
estado de trunking incondicional.

■ Si el conmutador está configurado con el comando switchport mode trunk dynamic auto,
el puerto local del conmutador anuncia al puerto remoto del conmutador que puede hacer
trunk pero no solicita pasar al estado de trunking. Después de una negociación DTP, el puerto
local termina en el estado
estado de trunking sólo si el modo de trunking del puerto remoto se ha configurado para que
el estado sea on o desirable. Si ambos puertos de los conmutadores están configurados en
automático, no negocian para estar en estado de trunking. Negocian para estar en el estado
de modo de acceso.

■ Si el conmutador está configurado con el comando switchport mode dynamic desirable, el


puerto local del conmutador anuncia al puerto remoto del conmutador que puede hacer trunk
y pide al puerto remoto del conmutador que pase al estado trunking. Si el puerto local detecta
que el puerto remoto ha sido configurado en modo on, desirable o auto, el puerto local
termina en el estado de trunking. Si el puerto de conmutación remoto está en modo no
negociado, el puerto de conmutación local permanece como puerto no troncal.

■ Si el conmutador está configurado con el comando switchport nonegotiate, se considera que


el puerto local está en un estado de trunking incondicional. Utilice esta función cuando
necesite configurar un tronco con un conmutador de otro proveedor.
88 31 días antes de su examen CCNA

La Tabla 26-2 resume los resultados de las negociaciones DTP basados en los diferentes
comandos de configuración DTP en los puertos locales y remotos.

Tabla 26-2 Resultados de la negociación de enlaces entre un puerto local y un puerto


remoto
Auto Dinámic Tronco Acceda a
dinámico a
deseable
Auto dinámico Acceda a Tronco Tronco Acceda a
Dinámica Tronco Tronco Tronco Acceda a
deseable
Tronco Tronco Tronco Tronco No se
recomienda
Acceda a Acceda a Acceda a No se Acceda a
recomienda

Configuración y verificación de la VLAN


Consulte la topología de la Figura 26-4 mientras revisa los comandos de esta sección para
configurar, verificar y solucionar problemas de VLAN y trunking. La actividad de rastreo de paquetes
más adelante utiliza esta misma topología.

Figura 26-4 Topología de muestra del Día 26

Puertos
G0/1-2 son interfaces troncales
VLAN 1 - Tráfico de control - 172.17.1.0/24 802.1Q con VLAN nativa 99
VLAN 10 - Facultad/Personal - 172.17.10.0/24
VLAN 20 - Estudiantes - 172.17.20.0/24 F0/11-17 están en la
VLAN 30 - Invitado (por defecto) - 172.17.30.0/24 VLAN 15 F0/18-24 están
VLAN 99 - Gestión y nativa - 172.17.99.0/24 en la VLAN 25 F0/6-10
están en la VLAN 35

PC1 172.17.10.21 S1 PC4 172.17.10.24


G0/1 G0/2
VLAN 10 VLAN 10
F0/11 F0/11
G0/1G0/2

F0/18S2 S3F0/18
F0/6 F0/6
PC2 172.17.20.22 PC5 172.17.20.25
VLAN 20 VLAN 20

PC3 PC6
172.17.30.23 172.17.30.26
VLAN 30 VLAN 30

La configuración por defecto de un conmutador Cisco es poner todas las interfaces en la VLAN 1.
Puede verificar esto con el comando show vlan brief, como se demuestra para S2 en el Ejemplo
26-1.
Día 26 89

Ejemplo 26-1 Configuración de la VLAN por defecto

S2# show vlan brief

Nombre de la VLAN Estado Puertos

1defaultactiveFa0/1, Fa0/2,
Fa0/3, Fa0/4 Fa0/5, Fa0/6,
Fa0/7, Fa0/8 Fa0/9, Fa0/10,
Fa0/11, Fa0/12 Fa0/13,
Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19,
Fa0/20 Fa0/21, Fa0/22,
Fa0/23, Fa0/24 Gig0/1,
Gig0/2
1002 fddi-defaultactive
1003 token-ring-default activo
1004 fddinet-defaultactive
1005

trnet-defaultactive S2#

Una VLAN se crea de dos maneras: en el modo de configuración global o directamente en la interfaz.
La ventaja de configurar en modo de configuración global es que se puede asignar un nombre con el
comando name vlan-name. La ventaja de configurar la VLAN en modo de configuración de interfaz
es que se asigna la VLAN a la interfaz y se crea la VLAN con un solo comando. Sin embargo, para
asignar un nombre a la VLAN, hay que volver a la configuración global
método. El ejemplo 26-2 muestra la creación de las VLANs 10 y 20 utilizando estos dos métodos.Se
nombra la VLAN 20 y se crean las restantes VLANs en el modo de configuración global.

Ejemplo 26-2 Creación de VLANs

S2# config t
Introduzca los comandos de configuración, uno por línea.
Termine con CNTL/Z. S2(config)# vlan 10
S2(config-vlan)# nombre
Facultad/Personal S2(config-vlan)#
interfaz fa0/18 S2(config-if)#
switchport access vlan 20
% La VLAN de acceso no existe. Crear vlan 20
S2(config-if)# vlan 20
S2(config-vlan)# nombre Estudiantes
S2(config-vlan)# vlan 30
S2(config-vlan)# nombre Guest(por defecto)
S2(config-vlan)# vlan 99
S2(config-vlan)# nombre Gestión&Nativa
S2(config-vlan)# end
%SYS-5-CONFIG_I: Configurado desde la consola por
la consola S2#
90 31 días antes de su examen CCNA

Observe en el Ejemplo 26-3 que se han creado todas las VLANs, pero sólo la VLAN 20 está asignada a
una interfaz.

Ejemplo 26-3 Verificación de la creación de la VLAN

S2# show vlan brief

Nombre de la VLANEstadoPuertos

1 defaultactiveFa0/1, Fa0/2,
Fa0/3, Fa0/4 Fa0/5, Fa0/6,
Fa0/7, Fa0/8 Fa0/9, Fa0/10,
Fa0/11, Fa0/12 Fa0/13,
Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/19, Fa0/20,
Fa0/21 Fa0/22, Fa0/23,
Fa0/24, Gig1/1 Gig1/2
10 Facultad/Personal Activo
20 AlumnosactivosFa0/18
30 Invitado (por defecto) activo
99 Management&Native activo
1002 fddi-default activo 1003
token-ring-default activo
1004 fddinet-default activo
1005 trnet-default activo S2#

Para asignar las interfaces restantes a las VLANs especificadas en la Figura 26-4, se puede configurar
una interfaz a la vez o se puede utilizar el comando range para configurar todas las interfaces
que pertenecen a una VLAN con un solo comando, como se muestra en el Ejemplo 26-4.

Ejemplo 26-4 Asignación de VLANs a interfaces

S2# config t
Introduzca los comandos de configuración, uno por línea.
Termine con CNTL/Z. S2(config)# interfaz rango fa 0/11 - 17
S2(config-if-range)# switchport access vlan 10
S2(config-if-range)# interface range fa 0/18 -
24 S2(config-if-range)# switchport access vlan
20 S2(config-if-range)# interface range fa 0/6 -
10 S2(config-if-range)# switchport access vlan
30 S2(config-if-range)# end
%SYS-5-CONFIG_I: Configurado desde la consola por la consola
S2#
Día 26 91

El comando show vlan brief del Ejemplo 26-5 verifica que todas las interfaces especificadas en la
Figura 26-4 han sido asignadas a la VLAN apropiada. Observe que las interfaces no asignadas siguen
perteneciendo a la VLAN 1 por defecto.

Ejemplo 26-5 Verificación de las asignaciones de VLAN a las interfaces

S2# show vlan brief

Nombre de la VLAN Estado Puertos

1 defaultactivo Fa0/1, Fa0/2,


Fa0/3, Fa0/4 Fa0/5, Gig0/1, Gig0/2
10 Facultad/Personal activo Fa0/11,
Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17
20 Estudiantes inactivos Fa0/18,
Fa0/19, Fa0/20, Fa0/21
Fa0/22, Fa0/23, Fa0/24
30 Guest(Default)active Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10
99 Gestión&Actividad nativa
1002 fddi-defaultactive
1003 token-ring-defaultactive
1004 fddinet-defaultactive
1005

trnet-defaultactive S2#

También puede verificar la asignación de la VLAN de una interfaz específica con el número de tipo de interfaces
show
switchport, como se muestra para FastEthernet 0/11 en el Ejemplo 26-6.

Ejemplo 26-6 Verificación de la asignación de la VLAN de una interfaz

S2# show interfaces fastethernet 0/11 switchport


Nombre: Fa0/11
Switchport: Enabled
Modo administrativo: dinámico automático
Modo operativo: acceso estático
Encapsulación de Trunking administrativo:
dot1q Encapsulación de Trunking operativo:
nativo Negociación de Trunking: En
Modo de acceso VLAN: 10
(Facultad/Personal) Modo Trunking
Nativo VLAN: 1 (por defecto) VLAN de
voz: ninguna
Vlan privada administrativa Asociación de host: ninguna
Mapeo administrativo de vlan privada: ninguno
92 31 días antes de su examen CCNA

VLAN nativa del tronco privado administrativo: ninguna


Encapsulación del tronco privado administrativo: dot1q VLAN
normal del tronco privado administrativo: ninguna VLAN
privada del tronco privado administrativo: ninguna VLAN
privada operativa: ninguna
Trunking VLANs Habilitado: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Captura de VLANs Permitidas:
TODOS Protegido: falso
Confianza en el aparato: ninguna
S2#

Para la topología de ejemplo mostrada en la Figura 26-4, también se configurarían las VLANs en S1 y
S3, pero sólo S3 necesita VLANs asignadas a interfaces.

Configuración y verificación de troncales


Siguiendo las mejores prácticas de seguridad, estamos configurando una VLAN diferente para la
VLAN de gestión y la VLAN por defecto. En una red de producción, sería conveniente utilizar una
diferente para cada una: una para la VLAN de gestión y otra para la VLAN nativa. Por conveniencia
aquí, estamos usando la VLAN 99 para ambas.
Primero definimos una nueva interfaz de gestión para la VLAN 99, como en el Ejemplo 26-7.

Ejemplo 26-7 Definición de una nueva interfaz de gestión

S1# config t
Introduzca los comandos de configuración, uno por línea.
Termine con CNTL/Z. S1(config)# interfaz vlan 99
%LINK-5-CHANGED: Interfaz Vlan99, ha cambiado el
estado a up S1(config-if)# dirección ip 172.17.99.31
255.255.255.0 S1(config-if)# end
%SYS-5-CONFIG_I: Configurado desde la consola por la consola
S1#

Luego repetimos la configuración en S2 y S3. La dirección IP se utiliza para probar la conectividad con
el conmutador, al igual que la dirección IP que el administrador de la red utiliza para el acceso remoto
(Telnet, SSH, SDM, HTTP, etc.).
Dependiendo del modelo de conmutador y de la versión de Cisco IOS, es posible que la DTP ya
haya establecido la conexión troncal entre dos conmutadores que están conectados directamente.
Por ejemplo, la configuración troncal por defecto de los switches 2950 es dinámica deseable. Por lo
tanto, un 2950 inicia las negociaciones troncales. Para nuestros propósitos, supongamos que los switches
son todos 2960. La configuración troncal por defecto del 2960 es dinámica automática, y en esta
configuración, la interfaz no inicia las negociaciones troncales.
Día 26 93

En el Ejemplo 26-8, las primeras cinco interfaces en S1 están configuradas para trunking. Observe
también que la VLAN nativa se ha cambiado a la VLAN 99.

Ejemplo 26-8 Configuración de troncales y asignación de VLAN nativa

S1# config t
Introduzca los comandos de configuración, uno por línea.
Termine con CNTL/Z. S1(config)# rango de interfaz g0/1 - 2
S1(config-if-range)# switchport mode trunk
S1(config-if-range)# switchport trunk native vlan 99
S1(config-if-range)# end
%SYS-5-CONFIG_I: Configurado desde la consola por
la consola S1#
%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/1
(99), with S2 FastEthernet0/1 (1).
%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/3
(99), con S3 FastEthernet0/3 (1).

Si espera la siguiente ronda de mensajes CDP, debería obtener el mensaje de error que se muestra
en el Ejemplo 26-8. Aunque el trunk está funcionando entre S1 y S2 y entre S1 y S3, los switches no
están de acuerdo con la VLAN nativa. Repita los comandos de trunking en S2 y S3 para corregir el
desajuste de la VLAN nativa.

NOTA: El tipo de encapsulación -dot1q o isl- puede necesitar ser configurado,


dependiendo del modelo de switch. La sintaxis para configurar el tipo de encapsulación
es la siguiente:
Switch(config-if)# switchport trunk encapsulation { dot1q | isl | negotiate }

La serie 2960 sólo soporta 802.1Q, por lo que este comando no está disponible.

Para verificar que el trunking está operativo, utilice los comandos del Ejemplo 26-9.

Ejemplo 26-9 Verificación de la configuración del tronco

S1# show interfaces trunk


PortModeEncapsulation
StatusNative vlan Gig0/1
on802.1qtrunking 99
Gig0/2 on802.1qtrunking 99

PortVlans permitidos
en el tronco Gig0/1 1-1005
Gig0/2 1-1005
PortVlans permitidos y activos en el
dominio de gestión Gig0/1 1,10,20,30,99
Gig0/2 1,10,20,30,99
94 31 días antes de su examen CCNA

PortVlans en estado de reenvío del árbol de expansión


y no podados Gig0/1 1,10,20,30,99
Gig0/2 1,10,20,30,99

S1# show interface g0/1 switchport


Nombre: Gig0/1
Switchport: Enabled
Modo administrativo: tronco
Modo operativo: tronco
Trunking administrativo Encapsulación: dot1q
Trunking operativo Encapsulación: dot1q
Negociación de Trunking: En
Modo de acceso VLAN: 1 (por defecto)
Trunking VLAN en modo nativo: 99 (gestión y
nativo) VLAN de voz: ninguna
Asociación de host de private-vlan administrativa:
ninguna Asignación de private-vlan administrativa:
ninguna VLAN nativa de private-vlan administrativa:
ninguna Encapsulación de private-vlan
administrativa: dot1q VLAN normal de private-vlan
administrativa: ninguna VLAN privada de private-vlan
administrativa: ninguna VLAN privada operativa:
ninguna
Trunking VLANs Habilitado: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Captura de VLANs Permitidas:
TODOS Protegido: falso
Confianza en el aparato: ninguna
S1#

Recuerde que los hosts de la misma VLAN deben estar configurados con una dirección IP y una
máscara de subred en la misma subred. La prueba definitiva de su configuración, entonces, es verificar
que los dispositivos finales en la misma VLAN ahora pueden hacer ping entre sí. Si no pueden, utilice
los comandos de verificación para localizar sistemáticamente el problema de su configuración.

Solución de problemas de VLAN


Si surgen problemas de conectividad entre VLANs y ya se han resuelto los posibles problemas de
direccionamiento IP, se puede utilizar el diagrama de flujo de la Figura 26-5 para rastrear
metódicamente cualquier problema relacionado con errores de configuración de VLAN.
Día 26 95

Figura 26-5 Diagrama de flujo de resolución de problemas de la VLAN

mostrar vlan
mostrar vlan mostrar interfaces
mostrar tabla de direcciones mac mostrar interfaces switchport

Verificar la conexión entre dispositivos en la misma VLAN.


VLAN
ay conexión entre dispositivos en¿Está
la misma VLAN.
el puerto Sí
en la VLAN correcta? presente en la VLAN Sí
¿base de datos?

No No

Crear VLAN en la base de datos de VLAN.

Asigne el puerto a la VLAN correcta.

El diagrama de flujo de la Figura 26-5 funciona de esta manera:

Paso 1. Utilice el comando show vlan para comprobar si el puerto pertenece a la VLAN
esperada. Si el puerto está asignado a una VLAN incorrecta, utilice el comando
switchport access vlan para corregir la pertenencia a la VLAN. Paso 2. Utilice el
comando show mac address-table para comprobar qué direcciones se han
aprendido en un puerto concreto del switch y ver la VLAN a la que está asignado
ese puerto.
Paso 2. Si la VLAN a la que está asignado el puerto se borra, el puerto pasa a estar inactivo. Utilice
el comando show vlan o show interfaces switchport para descubrir los problemas de
las VLANs borradas. Si el puerto está inactivo, no será funcional hasta que se cree la
VLAN que falta mediante el comando vlan vlan_id.
La Tabla 26-3 resume estos comandos, que pueden ser especialmente útiles para solucionar problemas
de VLAN.

Tabla 26-3 Comandos de resolución de


problemas de la VLAN EXEC
ComandoDescripción
mostrar vlan Enumera cada VLAN y todas las interfaces asignadas a esa
show vlan brief VLAN (pero no incluye las troncales operativas)
show vlan id numLista los puertos de acceso y troncales en la VLAN
show interfaces switchport
Identifica la VLAN de acceso y la VLAN de voz de la interfaz, el
show interfaces type number modo configurado y operativo (acceso o troncal) y el estado del
switchport puerto (activado o desactivado)
show mac address-tableLista las entradas de la tabla MAC, incluyendo la VLAN asociada
show interface statusResume el listado de estado de todas las interfaces (conectadas, no con-
nect, err-disabled), la VLAN, el dúplex, la velocidad y el tipo de puerto
96 31 días antes de su examen CCNA

VLANs deshabilitadas
Las VLANs pueden ser deshabilitadas manualmente.Se puede verificar que las VLANs están activas
usando el comando show vlan. Como muestra el Ejemplo 26-10, las VLANs pueden estar en uno de
dos estados: activo o act/lshut. El segundo de estos estados significa que la VLAN está apagada.

Ejemplo 26-10 Activación y desactivación de VLANs en un switch

S1# show vlan brief


Nombre de la VLANEstadoPuertos

1 defaultactiveFa0/1, Fa0/2,
Fa0/3, Fa0/4 Fa0/5, Fa0/6,
Fa0/7, Fa0/8 Fa0/9, Fa0/10,
Fa0/11, Fa0/12 Fa0/14,
Fa0/15, Fa0/16, Fa0/17
Fa0/18, Fa0/19, Fa0/20,
Fa0/21 Fa0/22, Fa0/23,
Fa0/24, Gi0/1
10 VLAN0010act/lshutFa0/13
20 VLAN0020activa
30 VLAN0030act/lshut
40

VLAN0040active S1# configure


terminal
Introduzca los comandos de configuración, uno por línea.
Termine con CNTL/Z. S1(config)# no shutdown vlan 10
S1(config)# vlan 30
S1(config-vlan)# no shutdown
S1(config-vlan)#

Los comandos resaltados en el Ejemplo 26-10 muestran los dos métodos de configuración que se
pueden utilizar para habilitar una VLAN que había sido apagada.

Solución de problemas de Trunking


Para resumir los problemas con las VLAN y el trunking, hay que comprobar cuatro posibles problemas,
en este orden:
Paso 1. Identifique todas las interfaces de acceso y sus VLAN de acceso asignadas y reasígnelas a
las VLAN correctas, según sea necesario.
Paso 2. Determine si las VLAN existen y están activas en cada conmutador. Si es necesario,
configure y active las VLAN para resolver los problemas.
Paso 3. Compruebe las listas de VLAN permitidas en los conmutadores de ambos extremos del
tronco y asegúrese de que las listas de VLAN permitidas son las mismas.
Paso 4. Asegúrese de que, para cualquier enlace que deba usar trunking, un switch no crea
que es trunking, mientras que el otro switch no crea que es trunking.
En la sección anterior se revisaron los pasos 1 y 2. A continuación, repasamos los pasos 3 y 4.
Día 26 97

Compruebe los dos extremos de un tronco


Para el examen CCNA, deberías estar preparado para notar un par de rarezas que ocurren con
algunas opciones de configuración desafortunadas en los troncos.
Es posible configurar una lista de VLAN permitida diferente en los extremos opuestos de un tronco
VLAN. Como muestra la Figura 26-6, cuando las listas de VLAN no coinciden, el tronco no puede pasar
tráfico para esa VLAN.

Figura 26-6 Listas de VLAN permitidas no coincidentes en una troncal

1
Eth. Marco
2 Marco de descarte
VLAN 10

Gi0/1 Gi0/2
S1 Lista de permitidos: 1–10 Lista de permitidos: 1–9 S2

switchport trunk allowed vlan remove 10

Puede aislar este problema sólo comparando las listas permitidas en ambos extremos del
tronco. El ejemplo 26-9 muestra la salida del comando show interfaces trunk en S2.
Para comparar las VLANs permitidas en cada conmutador, necesita mirar la segunda de las tres listas
de VLANs listadas por el comando show interfaces trunk. Vea la salida en el Ejemplo 26-11.

Ejemplo 26-11 Verificación de las VLANs permitidas en S2

S2# show interfaces trunk


PortModeEncapsulation StatusNative vlan
Gi0/2desirable 802.1qtrunking 1

PortVlans permitidos
en la troncal Gi0/21-4094

PortVlans permitidos y activos en el dominio


de gestión Gi0/21-9

PortVlans en estado de reenvío del árbol de expansión


y no podados Gi0/21-9

Para añadir la VLAN 10 al tronco de S2, introduzca los siguientes comandos:


S2(config)# interfaz g0/2
S2(config-if)# switchport trunk allowed vlan add 10

La palabra clave add proporciona la capacidad de añadir una o más VLANs al tronco sin tener que
especificar de nuevo todas las VLANs existentes que ya están permitidas.
98 31 días antes de su examen CCNA

Comprobar los estados de funcionamiento del Trunking


Los troncales pueden estar mal configurados. En algunos casos, ambos conmutadores llegan a la
conclusión de que sus interfaces no son troncales. En otros casos, uno de los conmutadores cree que
su interfaz está troncalizando correctamente, mientras que el otro conmutador no.
La configuración incorrecta más común-que resulta en que ambos switches no hagan trunking-es
una configuración que usa el comando switchport mode dynamic auto en ambos switches en el
enlace. La palabra clave auto no significa que el trunking ocurra automáticamente. En su lugar, ambos
conmutadores esperan pasivamente a que el otro dispositivo del enlace comience las
negociaciones.
Con esta configuración incorrecta en particular, el comando show interfaces switchport en
ambos switches confirma tanto el estado administrativo (auto) como el hecho de que ambos
switches operan como puertos de acceso estático. El ejemplo 26-12 destaca esas partes de la salida
para S2.

Ejemplo 26-12 Verificación del estado del tronco para una interfaz específica

SW2# show interfaces gigabit0/2 switchport


Nombre: Gi0/2
Switchport: Enabled
Modo administrativo: dinámico automático
Modo operativo: acceso estático
Encapsulación de enlace administrativo:
dot1q Encapsulación de enlace operativo:
nativo
Líneas omitidas por razones de brevedad

Compruebe siempre el estado operativo del tronco en ambos lados del mismo. Los mejores
comandos para comprobar los hechos relacionados con el tronco son show interfaces trunk y
show interfaces switchport.

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.

Recursos Módulo o capítulo


Academia de Redes Cisco: CCNA 2 3
Guía oficial del CCNA 200-301, volumen 1 8
Guía del mando portátil 9
10
STP

Temas del examen CCNA 200-125


■ Configurar, verificar y solucionar los problemas de los protocolos STP

■ Configurar, verificar y solucionar problemas de las características opcionales relacionadas con el STP

■ Describir las ventajas del apilamiento de conmutadores y la agregación de chasis

Temas clave
La revisión de hoy cubre el funcionamiento y la configuración del Protocolo de Árbol de expansión
(STP). El estándar original de STP IEEE 802.1D permitía la ejecución de una sola instancia de STP
para toda una red conmutada. Los administradores de redes actuales pueden implementar el árbol de
expansión por VLAN (PVST) y el STP rápido (RSTP), que mejoran el estándar original.

Conceptos y funcionamiento del STP


Una característica clave de una red de comunicaciones bien construida es su capacidad de recuperación.
Una red resistente es capaz de hacer frente a un fallo de dispositivo o de enlace mediante la redundancia.
Una topología redundante puede eliminar un único punto de fallo utilizando múltiples enlaces, múltiples
dispositivos o ambos. El STP ayuda a prevenir los bucles en una red conmutada redundante. La Figura
25-1 muestra un ejemplo de topología de tres capas (núcleo, distribución, acceso) con enlaces
redundantes.
Sin STP, la redundancia en una red conmutada puede introducir los siguientes problemas:

■ Tormentas de difusión: Cada conmutador inunda las emisiones sin cesar.

■ Transmisión de múltiples tramas: Se entregan múltiples copias de tramas de


unidifusión al destino, lo que provoca errores irrecuperables.

■ Inestabilidad de la base de datos MAC: La inestabilidad en el contenido de la tabla de


direcciones MAC es el resultado de que diferentes puertos del conmutador reciban
copias de la misma trama.
100 31 días antes de su examen CCNA

Figura 25-1 Topología conmutada redundante

Acceda a

Distribución

Núcleo

Distribución

Acceda a
Centro de datos
WAN Internet

Algoritmo STP
El STP es un estándar del Comité IEEE definido como 802.1D. El STP coloca ciertos puertos en estado
de bloqueo para que no escuchen, reenvíen o inunden tramas de datos. STP crea un árbol que asegura
que sólo existe una ruta para cada segmento de la red en cualquier momento. Si algún segmento
experimenta una interrupción en la conectividad, STP reconstruye un nuevo árbol activando la ruta
previamente inactiva pero redundante.
El algoritmo que utiliza STP elige las interfaces que deben pasar a estado de reenvío. En el caso de las
interfaces no elegidas para estar en estado de reenvío, el STP las coloca en estado de bloqueo.
Los switches intercambian mensajes de configuración del STP cada 2 segundos, por defecto, utilizando una
multidifusión
La trama llamada unidad de datos de protocolo de puente (BPDU). Los puertos bloqueados escuchan
estas BPDU para detectar si el otro lado del enlace está caído, lo que requiere un recálculo del STP.
Una de las informaciones incluidas en la BPDU es el ID del puente (BID).
Como muestra la Figura 25-2, el BID es único para cada switch. Consta de un valor de prioridad (2
bytes) y la dirección MAC del puente (6 bytes).

Figura 25-2 ID del puente


ID del puente = 8 Bytes

Prioridad del puente


Dirección
MAC

2 Bytes 6 Bytes
Día 25 101

La prioridad por defecto es de 32.768. El puente raíz es el puente con el BID más bajo. Por lo tanto, si
no se cambia el valor de la prioridad por defecto, el switch con la dirección MAC más baja se convierte
en la raíz.

Convergencia STP
La convergencia STP es el proceso por el cual los switches se dan cuenta colectivamente de que
algo ha cambiado en la topología de la LAN. Los switches determinan si necesitan cambiar qué
puertos bloquean y
qué puertos reenviar. Los siguientes pasos resumen el algoritmo STP utilizado para lograr la convergencia:

Paso 1. Elegir un puente raíz (es decir, el switch con el BID más bajo). Sólo puede existir un
puente raíz por red. Todos los puertos del puente raíz son puertos de reenvío.
Paso 2. Elija un puerto raíz para cada switch no raíz, basándose en el menor coste de la ruta
raíz. Cada conmutador no raíz tiene un puerto raíz. El puerto raíz es el puerto a través
del cual el puente no raíz tiene su mejor camino hacia el puente raíz.
Paso 3. Elegir un puerto designado para cada segmento, basándose en el menor coste de la ruta
raíz. Cada enlace tiene un puerto designado.
Paso 4. Los puertos raíz y los puertos designados pasan al estado de reenvío, y los demás
puertos permanecen en el estado de bloqueo.
La Tabla 25-1 resume las razones por las que el STP coloca un puerto en estado de reenvío o de bloqueo.

Tabla 25-1 STP: Motivos de reenvío o bloqueo


Caracterización del Estado Descripción
puerto del STP
Todos los puertos del switch Reenvío El switch raíz es siempre el switch designado en
raíz todos los segmentos conectados.
El puerto raíz de cada Reenvío Es el puerto a través del cual el switch tiene el
conmutador no raíz menor coste para llegar al switch raíz.
Cada puerto designado de la Reenvío El conmutador que reenvía la BPDU de menor
LAN coste al segmento es el conmutador designado para
ese segmento.
Todos los demás puertos de Bloqueo El puerto no se utiliza para el reenvío de tramas, ni
trabajo se consideran las tramas recibidas en estas
interfaces para su reenvío. Las BPDUs se siguen
recibiendo.

El ancho de banda del puerto se utiliza para determinar el coste para alcanzar el puente raíz. La Tabla
25-2 enumera los costes de puerto por defecto definidos por el IEEE; éstos tuvieron que ser
revisados con la llegada de los puertos de 10 Gbps.

Tabla 25-2 Costes por defecto de los puertos IEEE


Velocidad Coste original del Coste IEEE revisado
Ethernet IEEE
10 Mbps 100 100
100 Mbps 10 19
1 Gbps 1 4
10 Gbps 1 2
102 31 días antes de su examen CCNA

El STP utiliza los cuatro estados de la Figura 25-3 como transiciones de puertos de bloqueo a reenvío.

Figura 25-3 Estados de los puertos del árbol de expansión

Bloqueo
(Pérdida de BPDU
detectada) (Edad máxima =
20 seg.)

Bloqueo (se
mueve a la escucha
Escucha (retardo Después de
Aparece el enlace
de avance = 15 segundos) decidir si es un
puerto raíz o un
Puerto designado)

Aprendizaje
(retardo de avance = 15
segundos)

Reenvío

Un quinto estado, desactivado, se produce cuando un administrador de red desactiva manualmente el


puerto o cuando una violación de seguridad desactiva el puerto.

Variedades de STP
Tras el IEEE 802.1D original surgieron varias variedades de STP:

■ STP: La especificación original de STP, definida en 802.1D, proporciona una topología sin bucles
en una red con enlaces redundantes. El STP se denomina a veces árbol de expansión común (CST)
porque asume una instancia de árbol de expansión para toda la red puenteada, independientemente
del número de VLAN.

■ PVST+: Per-VLAN Spanning Tree Plus (PVST+) es una mejora de Cisco de STP que
proporciona una instancia de árbol de expansión 802.1D independiente para cada VLAN
configurada en la red.

■ RSTP: El STP rápido (RSTP), o IEEE 802.1w, es una evolución del STP que proporciona
una convergencia más rápida que el STP. Sin embargo, el RSTP sigue proporcionando una
única instancia de STP.

■ PVST+ rápido: Rapid PVST+ es una mejora de Cisco de RSTP que utiliza PVST+. Rapid
PVST+ proporciona una instancia independiente de 802.1w por VLAN.

■ MSTP y MST: El Protocolo de Árbol de Expansión Múltiple (MSTP) es un estándar IEEE


inspirado en la anterior implementación de STP de Instancia Múltiple (MISTP), propiedad de
Cisco. MSTP asigna varias VLAN a la misma instancia del árbol de expansión. La
implementación de MSTP de Cisco
es el árbol de expansión múltiple (MST), que proporciona hasta 16 instancias de RSTP y combina
muchas VLAN con la misma topología física y lógica en una instancia RSTP común.
Día 25 103

Parte de su conjunto de habilidades de administración del switch es la capacidad de decidir qué


tipo de STP implementar. La Tabla 25-3 resume las características de los distintos tipos de STP.

Tabla 25- Características de las variedades


3 de STP
Protoco EstándarRecursos Convergen Cálculo del
lo necesarios cia árbol
STP 802.1DBajo Lento Todas las VLANs
PVST+ CiscoAlto Lento Por VLAN
RSTP 802.1wMedio Rápido Todas las VLANs
PVST+ CiscoMuy alto Rápido Por VLAN
rápido
MSTP 802.1s, CiscoMedio o alto Rápido Por ejemplo

Funcionamiento de PVST
PVST Plus (PVST+) es la configuración predeterminada en todos los conmutadores Cisco Catalyst.
En un entorno PVST+, se pueden ajustar los parámetros de spanning-tree para que la mitad de las
VLAN se reenvíen por cada enlace ascendente.
de las VLANs en la red y un segundo switch para ser elegido como puente raíz para la otra mitad de las
VLANs. En el ejemplo de la Figura 25-4, S1 es el puente raíz para la VLAN 10, y S3 es el puente raíz
para la VLAN 20.

Figura 25-4 Ejemplo de topología PVST+


Raíz para VLAN
20 Raíz para VLAN 10
Tronco
F0/4 802.1Q F0/4
S3 S1
F0/1 F0/2

F0/3 F0/2
erto de reenvío VLAN 20 Puerto de bloqueo para VLAN Puerto
10 de reenvío para la VLAN 10 Puerto de bloqueo para la VLAN 20
S2

VLAN 10
VLAN 20

Desde la perspectiva de S2, un puerto está reenviando o bloqueando dependiendo de la instancia VLAN.
Tras la convergencia, el puerto F0/2 reenviará tramas de la VLAN 10 y bloqueará tramas de la VLAN
20. El puerto F0/3 reenvía tramas de la VLAN 20 y bloquea tramas de la VLAN 10.
104 31 días antes de su examen CCNA

Las redes conmutadas que ejecutan PVST+ tienen las siguientes características:

■ La configuración de PVST por VLAN permite aprovechar al máximo los enlaces redundantes.

■ Cada instancia de árbol de expansión adicional para una VLAN añade más ciclos de CPU a
todos los conmutadores de la red.

Estados portuarios
El árbol de expansión se determina inmediatamente después de que un switch termine de arrancar. Si un
puerto del switch pasa directamente del estado de bloqueo al estado de reenvío sin información
sobre la topología completa durante la transición, el puerto puede crear temporalmente un bucle de
datos. Por esta razón, el STP introduce los cinco estados de puerto. La Tabla 25-4 describe los estados
de puerto que garantizan que no se creen bucles durante la creación del árbol de expansión lógico.

Tabla 25-4 Estados de puerto PVST


Operación permitida Bloque Escuch Apren Reenvío Disca
o ar der pacita
dos
Puede recibir y procesar Sí Sí Sí Sí No
BPDUs
Puede reenviar las tramas de No No No Sí No
datos recibidas en la interfaz
Puede reenviar tramas de No No No Sí No
datos conmutadas desde otra
interfaz
Puede aprender direcciones No No Sí Sí No
MAC

ID del sistema ampliado


PVST+ requiere una instancia separada del árbol de expansión para cada VLAN. El campo BID en la
BPDU debe llevar información de ID de VLAN (VID), como muestra la Figura 25-5.

Figura 25-5 ID de puente para PVST+ con ID de sistema extendido


ID del sistema = VLAN
ID del puente = 8 Bytes

ID de puente sin el ID
de sistema extendido Prioridad del puente Dirección MAC

2 Bytes 6 Bytes
ID del puente = 8 Bytes

ID de puente extendido
con ID de sistema = Prio ID del
Dirección MAC
VLAN rida sistema
d del ampliad
puen o
4
Bits12

Bits48Bits
Día 25 105

El BID incluye los siguientes campos:

■ Prioridad de puente: Se sigue utilizando un campo de 4 bits para transportar la prioridad del
puente. Sin embargo, la prioridad se transmite en valores discretos en incrementos de 4096 en
lugar de valores discretos en incrementos de 1, ya que sólo están disponibles los 4 primeros
bits más significativos del campo de 16 bits.

■ Extended System ID: Campo de 12 bits que contiene el VID para PVST+.

■ Dirección MAC: Un campo de 6 bytes con la dirección MAC de un único switch.

Funcionamiento rápido de PVST+


En Rapid PVST+, se ejecuta una única instancia de RSTP para cada VLAN. Por ello, Rapid PVST+
tiene una demanda muy alta de recursos del switch (ciclos de CPU y RAM).

NOTA: Rapid PVST+ es simplemente la implementación de Cisco de RSTP por VLAN. En


el resto de esta reseña se utilizan los términos RSTP y Rapid PVST+ indistintamente.

Con el RSTP, el IEEE mejoró el rendimiento de convergencia del STP de 50 segundos a menos
de 10 segundos con su definición de STP rápido (RSTP) en el estándar 802.1w. RSTP es idéntico a STP
en los siguientes aspectos:

■ Elige el conmutador raíz utilizando los mismos parámetros y desempates.

■ Elige el puerto raíz en los switches que no son raíz utilizando las mismas reglas.

■ Elige los puertos designados en cada segmento de la LAN utilizando las mismas reglas.

■ Coloca cada puerto en estado de reenvío o de descarte, aunque el RSTP llama al estado de
bloqueo el estado de descarte.

Comportamiento de la interfaz RSTP


Los principales cambios con RSTP se pueden ver cuando se producen cambios en la red.
El RSTP actúa de forma diferente en algunas interfaces en función de lo que esté
conectado a la interfaz:

■ Comportamiento de tipo borde y PortFast: El RSTP mejora la convergencia de las


conexiones de tipo borde colocando inmediatamente el puerto en estado de reenvío cuando el
enlace está físicamente activo.

■ Tipo de enlace compartido: El RSTP no hace nada diferente del STP en los enlaces
compartidos de tipo enlace. Sin embargo, como la mayoría de los enlaces entre switches hoy en
día son full dúplex, punto a punto y no compartidos, esto no importa.

■ Tipo de enlace punto a punto: El RSTP mejora la convergencia en los enlaces full-duplex
entre switches. RSTP reconoce la pérdida de la ruta al puente raíz a través del puerto raíz
en 6 segundos (basado en tres veces el valor del temporizador de hola de 2 segundos). Por lo
tanto, RSTP reconoce una ruta perdida hacia la raíz mucho más rápidamente.
El RSTP utiliza una terminología diferente para describir los estados de los puertos. La Tabla
25-5 enumera los estados de los puertos para el RSTP y el STP.
106 31 días antes de su examen CCNA

Tabla 25-5 Estados de los puertos RSTP y STP


Estado Estado Estado ¿Realiza marcos de
operativo del RSTP datos en este
STP (802.1 estado?
(802.1 w)
D)
Activado Bloqueo Descartando No
Activado Escuchar Descartando No
Activado Aprender Aprender No
Activado Reenvío Reenvío Sí
Discapacitados Discapacitado Descartando No
s

El RSTP elimina la necesidad del estado de escucha y reduce el tiempo requerido para el estado
de aprendizaje descubriendo activamente el nuevo estado de la red. El STP espera pasivamente las
nuevas BPDU y reacciona a ellas durante los estados de escucha y aprendizaje. Con el RSTP, los
switches negocian con los switches vecinos enviando mensajes RSTP. Los mensajes permiten a los
conmutadores determinar rápidamente si una interfaz puede pasar inmediatamente a un estado de
reenvío. En muchos casos, el proceso dura sólo uno o dos segundos para todo el dominio RSTP.

Funciones de los puertos RSTP


El RSTP añade tres roles de puerto más además de los roles de puerto raíz y puerto designado
definidos en el STP. La Tabla 25-6 enumera y define los roles de puerto.

Tabla 25-6 Funciones de los puertos RSTP y STP


Rol RSTP Función Definición
de STP
Puerto raíz Puerto raíz Un único puerto en cada conmutador no raíz en el que el
conmutador escucha la mejor BPDU de todas las BPDU
recibidas
Puerto Puerto De todos los puertos de los conmutadores conectados al
designado designado mismo segmento/dominio de colisión, el puerto que anuncia
la "mejor" BPDU
Puerto -— Un puerto de un switch que recibe una BPDU subóptima
alternativo
Puerto de -— Un puerto no designado en un conmutador que está
reserva conectado al mismo segmento/dominio de colisión que
otro puerto en el mismo conmutador
Discapacitado -— Un puerto que está deshabilitado administrativamente o
s que no puede funcionar por otras razones

La Figura 25-6 muestra un ejemplo de estos roles de puerto RSTP.


Día 25 107

Figura 25-6 Funciones de los puertos RSTP

Puerto raíz (F) Puerto designado (F)

F0/4 F0/4
Puente raíz
S3 S1
F0/1 F0/2

Puerto designado (F) Puerto designado (F)

F0/3 F0/2

S2

Puerto alternativo (DIS) Puerto raíz (F)

Puertos de borde
Además de los roles de puerto que acabamos de describir, el RSTP utiliza un concepto de puerto
de borde que se corresponde con la función PVST+ PortFast. Un puerto de borde se conecta
directamente a un dispositivo final. Por lo tanto, el switch asume que ningún otro switch está conectado
a él. Los puertos de borde RSTP deben pasar inmediatamente al estado de reenvío, con lo que se saltan
los estados de escucha y aprendizaje del puerto original 802.1D, que tanto tiempo consumen. La única
advertencia es que el puerto debe ser un enlace punto a punto. Si se trata de un enlace compartido, el
puerto no es un puerto de borde y no debe configurarse PortFast. ¿Por qué? Otro conmutador podría
añadirse a un enlace compartido, a propósito o sin querer. La Figura 25-7 muestra ejemplos de puertos
de borde.

Figura 25-7 Puertos de borde en RSTP

Puente raíz
S3 S1

S2 S4

PC2 PC3
PC1

Base de datos
108 31 días antes de su examen CCNA

Configuración y verificación de
variedades de STP
Por defecto, todos los switches Cisco utilizan el STP sin necesidad de que el administrador de la red lo
configure. Sin embargo, dado que el STP se ejecuta por VLAN, se pueden aprovechar varias opciones
para equilibrar la carga del tráfico en los enlaces redundantes.

Resumen de la configuración del STP


Antes de configurar o alterar el comportamiento del STP, es importante conocer la configuración
actual por defecto que aparece en la Tabla 25-7.

Tabla 25-7 Configuración STP por defecto en el Cisco Catalyst


2960 Característica
Configuración por defecto
Enable stateHabilita el STP en la VLAN 1
Modo de árbol de expansiónPVST+ (PVST+ rápido y MSTP
desactivados)
Prioridad del interruptor32768
Prioridad del puerto del árbol de expansión
(configurable por interfaz) 128

Coste del puerto del árbol de expansión


(configurable por interfaz) 1000 Mbps: 4

100 Mbps: 19

10 Mbps: 100
Prioridad del puerto VLAN del árbol de
expansión (configurable por VLAN) 128

Coste del puerto VLAN del árbol de


expansión (configurable por VLAN) 1000 Mbps: 4

100 Mbps: 19

10 Mbps: 100
Temporizadores del árbol de expansiónTiempo de saludo : 2 segundos

Tiempo de retardo: 15 segundos


Tiempo máximo de
envejecimiento: 20 segundos
Recuento de retención de
transmisión: 6 BPDUs

Configuración y verificación del BID


Independientemente del PVST que utilice, hay dos opciones de configuración principales que pueden
ayudarle a conseguir el equilibrio de carga: el ID del puente y la manipulación del coste del puerto. El
ID del puente influye en la elección del switch raíz y puede configurarse por VLAN. El coste STP de
cada interfaz (por VLAN) para alcanzar la raíz influye en la elección del puerto designado en cada
segmento LAN. Dado que PVST requiere que se ejecute una instancia separada del árbol de expansión
para cada VLAN, se requiere que el campo BID lleve información de ID de VLAN (VID). Esto se
consigue reutilizando una parte del campo Prioridad como el ID de sistema extendido para llevar un
VID.
Día 25 109

Para cambiar el ID del puente, utilice uno de los siguientes comandos:


Switch(config)# spanning-tree vlan vlan-id root {primaria | secundaria}
Switch(config)# spanning-tree vlan vlan-id priority priority

Para cambiar el coste de la interfaz, utilice el siguiente comando:


Switch(config-if)# spanning-tree vlan vlan-id coste

La Figura 25-8 muestra una topología STP simple de tres switches sin enlaces redundantes.

Figura 25-8 Topología STP

Tronco3
S3F0/1 F0/2 F0/2S1 F0/1

Tronco2 Tronco1

F0/2 F0/1

S2
F0/11 F0/13
F0/12

PC1 PC2 PC3

El administrador de la red quiere asegurarse de que S1 sea siempre el puente raíz y que S2 sea el
puente raíz de reserva. Los siguientes comandos logran este objetivo:
S1(config)# spanning-tree vlan 1 root primary
!---------
S2(config)# spanning-tree vlan 1 root secondary

La palabra clave primary establece automáticamente la prioridad a 24576 o al siguiente valor


de incremento de 4096 por debajo de la prioridad de puente más baja detectada en la red.
La palabra clave secundaria establece automáticamente la prioridad a 28672, asumiendo que
el resto de la red está configurada con la prioridad por defecto de 32768.
Como alternativa, el administrador de la red puede configurar explícitamente el valor de la prioridad en
incrementos de 4096 entre 0 y 65536 utilizando el siguiente comando:
S1(config)# spanning-tree vlan 1 priority 24576
!---------
S2(config)# spanning-tree vlan 1 priority 28672
110 31 días antes de su examen CCNA

NOTA: En este ejemplo, estos comandos cambiaron los valores de prioridad sólo para
la VLAN 1. Se deben introducir comandos adicionales para cada VLAN para aprovechar
el equilibrio de carga.

Para verificar las instancias del árbol de expansión y los puentes raíz actuales, utilice el comando show
spanning-tree
(ver Ejemplo 25-1).

Ejemplo 25-1 Verificación de las configuraciones del árbol de expansión

S1# show spanning-tree

VLAN0001
Protocolo de árbol de expansión
habilitado i e e e Root
IDPriority24577
Address001b.5302.4e80
Este puente es la raíz
Tiempo de bienvenida 2 seg. Edad máxima 20 seg. Retraso de avance 15
seg.

Bridge ID Priority24577 (priority 24576 sys-id-ext 1)


Address001b.5302.4e80
Tiempo de bienvenida 2 seg. Edad máxima 20 seg.
Retraso en la transmisión 15 seg. Tiempo de
envejecimiento 300

InterfaceRole Sts CostPrio.NbrType

Fa0/1Desg FWD 19128.1 P2p


Fa0/2Desg FWD 19128.2 P2p

Dado que se utiliza un ID de sistema ampliado en el BID, el valor de la prioridad incluye la adición del
ID de la VLAN. Por lo tanto, una prioridad de 24576 más una VLAN de 1 da como resultado una salida
de prioridad de 24577.

Configuración de PortFast y BPDU Guard


Para acelerar la convergencia de los puertos de acceso cuando se activan, puede utilizar la tecnología
PortFast, propiedad de Cisco. Una vez configurado PortFast y activado un puerto, éste pasa
inmediatamente del estado de bloqueo al de reenvío.
En una configuración válida de PortFast, nunca deben recibirse BPDU porque la recepción de una
BPDU indica que otro puente o conmutador está conectado al puerto, lo que podría provocar un bucle de
árbol de expansión. Cuando está activado, BPDU Guard pone el puerto en un estado errdisabled (error-
desactivado) al recibir una BPDU. Esto apaga el puerto de forma efectiva. La función BPDU Guard
proporciona una respuesta segura a las configuraciones no válidas, ya que debe volver a poner en
servicio la interfaz manualmente.
El ejemplo 25-2 muestra los comandos de interfaz para configurar PortFast y BPDU Guard en
S2 en la Figura 25-8.
Día 25 111

Ejemplo 25-2 Configuración de PortFast y BPDU Guard

S2# configurar terminal


Introduzca los comandos de configuración, uno por línea.
Termine con CNTL/Z. S2(config)# rango de interfaz f0/11 - f0/13
S2(config-if-range)# switchport mode access
S2(config-if-range)# spanning-tree portfast
S2(config-if-range)# spanning-tree bpduguard enable

Como alternativa, puede configurar los comandos globales spanning-tree portfast default y
spanning-tree bpduguard default, que habilitan PortFast y BPDU Guard en todos los puertos de acceso.

Configuración de Rapid PVST+


Recuerde que PVST+ es el funcionamiento por defecto de los switches Cisco. Para cambiar a Rapid
PVST+, utilice un único comando global en todos los switches: spanning-tree mode rapid-pvst.
La Tabla 25-8 resume todos los comandos relacionados con Rapid PVST+.

Tabla 25-8 Comandos para Rapid PVST+


DescripciónComando
Configurar Rapid PVST+ y el modo de árbol de Switch(config)# spanning-tree mode
expansión rapid-pvst
Especificar un tipo de enlace como punto a punto Switch(config-if)# spanning-tree
(normalmente no es necesario porque el tipo de link-type point-to-point
enlace compartido es inusual)
Switch# clear spanning-tree detected
Forzar la renegociación con los switches vecinos protocols [interface-id]
en todas las interfaces o en la interfaz especificada

Verificación del STP


Varios comandos le permiten verificar el estado de la implementación actual del STP. La Tabla 25-9
resume los comandos que probablemente aparezcan en el examen CCNA.

Tabla 25-9 Comandos de verificación de STP


DescripciónComando
Muestra la información del STPSwitch# show spanning-tree

Muestra información del STP sólo para las interfaces activasSwitch# show
spanning-tree active Muestra información abreviada para todas las instancias del STP Switch#

show spanning-tree bridge Muestra información detallada para todas las instancias
del STPSwitch# show spanning-tree

detail Muestra información del STP para la interfaz especificada Switch# show spanning-tree
interfaz interfaz-id

Muestra la información del STP para la VLANSwitch# show spanning-tree vlan vlan-id especificada

Muestra un resumen de los estados del puerto STPSwitch# show spanning-tree


summary
112 31 días antes de su examen CCNA

NOTA: Lo ideal es que revise la salida de estos comandos hoy en el equipo de


laboratorio o en un simulador. Como mínimo, consulta los ejemplos en tus
recursos de estudio.

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.

Recursos Módulo o capítulo


Academia de Redes Cisco: CCNA 1 4
6
7
Guía oficial del CCNA 200-301, volumen 1 5
8
Guía del mando portátil 11
EtherChannel y HSRP

Temas del examen CCNA 200-301


■ Configurar y verificar (Capa 2/Capa 3) EtherChannel (LACP)

■ Describa el propósito del protocolo de redundancia de primer salto

Temas clave
La tecnología EtherChannel permite agrupar varias interfaces físicas en un canal lógico para
aumentar el ancho de banda en los enlaces punto a punto. Además, EtherChannel proporciona
una forma de evitar la necesidad de convergencia del Protocolo de Árbol de Expansión (STP) cuando
se produce un solo puerto o un fallo de cable.
La mayoría de los dispositivos finales no almacenan rutas para llegar a redes remotas. En su lugar, un
dispositivo final suele estar configurado con una pasarela por defecto que se encarga del enrutamiento
del dispositivo. ¿Pero qué pasa si esa pasarela por defecto falla? Para garantizar que un dispositivo
siga teniendo acceso a las redes remotas, hay que implementar algún tipo de redundancia de pasarela
por defecto en la red. Esa es la función de los protocolos de redundancia de primer salto (FHRP).

Funcionamiento de EtherChannel
EtherChannel, una tecnología desarrollada por Cisco, puede agrupar hasta ocho enlaces de igual
velocidad entre dos conmutadores, como se puede ver entre los dos conmutadores de la capa de
distribución en la Figura 24-1.

Figura 24-1 Ejemplo de topología de EtherChannel


EtherChannel

EtherChannel EtherChannel
114 31 días antes de su examen CCNA

STP ve el conjunto de enlaces como una única interfaz. Como resultado, si al menos uno de los
enlaces está activo, la convergencia STP no tiene que producirse. De esta forma se aprovecha
mucho mejor el ancho de banda disponible y se reduce el número de veces que el STP debe
converger. Sin el uso de EtherChannel o la modificación de la configuración de STP, éste
bloquearía todos los enlaces excepto uno.

Ventajas de EtherChannel
Cuando se configura EtherChannel, la interfaz virtual resultante se denomina canal de puertos. Las
interfaces físicas se agrupan en una interfaz de canal de puertos. EtherChannel tiene las siguientes
ventajas:

■ La mayoría de las tareas de configuración pueden realizarse en la interfaz


EtherChannel en lugar de en cada puerto individual, lo que garantiza la coherencia de
la configuración en todos los enlaces.

■ EtherChannel se basa en los puertos de los conmutadores existentes para aumentar el ancho de
banda. No es necesario actualizar el hardware.

■ El equilibrio de carga es posible entre los enlaces que forman parte del mismo
EtherChannel. (La configuración del equilibrio de carga está fuera del alcance del
examen CCNA).

■ EtherChannel crea una agregación que STP reconoce como un enlace lógico.

■ EtherChannel proporciona redundancia. La pérdida de un enlace físico no crea un cambio en la


topología.

Restricciones de aplicación
Tenga en cuenta algunas limitaciones al implementar EtherChannel en los conmutadores Cisco 2960
Catalyst:

■ Los tipos de interfaz, como Fast Ethernet y Gigabit Ethernet, no pueden mezclarse dentro del
mismo EtherChannel.

■ Cada EtherChannel puede constar de hasta ocho puertos Ethernet configurados de forma
compatible.

■ El software Cisco IOS admite actualmente hasta seis EtherChannels.

■ Algunos servidores también admiten EtherChannel al conmutador para aumentar el ancho de


banda; sin embargo, el servidor necesita entonces al menos dos EtherChannels para
proporcionar redundancia, ya que sólo puede enviar tráfico a un conmutador a través del
EtherChannel.

■ La configuración de EtherChannel debe ser coherente en los dos conmutadores. La


configuración de trunking (VLAN nativa, VLANs permitidas, etc.) debe ser la misma. Además,
todos los puertos deben ser de capa 2.

■ Todos los puertos del EtherChannel deben ser de capa 2, o todos los puertos del
EtherChannel deben ser de capa 3.
NOTA: Puede configurar EtherChannels de Capa 3 en conmutadores multicapa; sin
embargo, esto está fuera del alcance del examen CCNA.
Día 24 115

Protocolos EtherChannel
Puede configurar EtherChannel como estático o incondicional; sin embargo, también puede utilizar dos
protocolos para configurar el proceso de negociación: Port Aggregation Protocol (PAgP, que es
propiedad de Cisco) y Link Aggregation Control Protocol (LACP, que es IEEE 802.3ad). Estos dos
protocolos garantizan que los dos lados del enlace tengan configuraciones compatibles: la misma
velocidad, configuración dúplex e información VLAN. Los modos de cada uno difieren ligeramente.

Protocolo de agregación de puertos


PAgP es un protocolo propietario de Cisco que ayuda a la creación automática de enlaces
EtherChannel. PAgP comprueba la consistencia de la configuración y gestiona las adiciones y
fallos de los enlaces entre dos conmutadores. Asegura que cuando se crea un EtherChannel, todos
los puertos tienen el mismo tipo de configuración. PAgP utiliza los siguientes modos:

■ Activado: Este modo obliga a la interfaz a canalizar sin PAgP.

■ Deseable: La interfaz inicia las negociaciones con otras interfaces enviando paquetes PAgP.

■ Auto: La interfaz responde a los paquetes PAgP que recibe pero no inicia la negociación
PAgP.
Los modos deben ser compatibles en los dos lados del EtherChannel. Por ejemplo, Sw1 y Sw2 en la
Figura 24-2 deben ser configurados con una combinación particular de ajustes, como se muestra en la
Tabla 24-1.

Figura 24-2 Topología EtherChannel de dos conmutadores

G0/1 G0/1

Sw1 G0/2 G0/2 Sw2

Tabla 24-1 Configuración del modo PAgP


Sw1 Sw2 ¿Canal
establecido?
En En Sí
Auto/Deseable Deseable Sí
Activado/Auto/Desactivad No está configurado No
o
En Deseable No
Auto/On Auto No

Protocolo de control de agregación de enlaces


El protocolo de control de agregación de enlaces (LACP) forma parte de una especificación IEEE
(802.3ad) que permite a un conmutador negociar un paquete automático enviando paquetes LACP al
peer. Realiza una función similar a PAgP con Cisco EtherChannel. Los dispositivos Cisco soportan
tanto PAgP como LACP. LACP utiliza los siguientes modos:
■ Activado: Este modo obliga a la interfaz a canalizar sin LACP.

■ Activo: La interfaz inicia las negociaciones con otras interfaces enviando paquetes LACP.
116 31 días antes de su examen CCNA

■ Pasivo: La interfaz responde a los paquetes LACP que recibe pero no inicia la negociación
LACP.
Al igual que con PAgP, los modos LACP deben ser compatibles en los dos lados del EtherChannel. Por
ejemplo, Sw1 y Sw2 en la Figura 24-2 deben ser configurados con una combinación particular de
ajustes, como se muestra en la Tabla 24-2.

Tabla 24-2 Configuración del


modo LACP
Sw1 Sw2 ¿Canal establecido?
En En Sí
Activo/Pasivo Activo Sí
Activado/Activo/Pasivo No está configurado No
En Activo No
Pasivo/Activo Pasivo No

NOTA: Para los protocolos PAgP y LACP, el modo on crea la configuración de


EtherChannel incondicionalmente, sin negociación dinámica de PAgP o LACP.
Probablemente deba memorizar las configuraciones de modo tanto para PAgP como para
LACP como preparación para el examen CCNA.

Configuración de EtherChannel
Para implementar EtherChannel, siga estos pasos:

Paso 1. Especifique las interfaces que desea agrupar en un solo enlace utilizando la opción
comando de rango de interfaces.

Paso 2. Cree un canal de puerto utilizando el comando channel-group identifier mode. el


identificador puede ser cualquier número entre 1 y 6, inclusive, y no tiene que coincidir
con el otro switch. El modo es on o uno de los modos PAgP o LACP.
Paso 3. Acceda al modo de configuración de la interfaz para el nuevo canal de puerto
con el comando interface port-channel identifier. identifier es el mismo número
utilizado con el comando channel-group.
Paso 4. Configure los ajustes de trunking y VLAN.
Utilizando la topología de la Figura 24-2, suponga que Sw1 ya está configurado para EtherChannel con
trunking G0/1 y G0/2. La VLAN nativa es la 86. Las VLANs permitidas son 1, 10, 20 y 86.
EtherChannel se activa de forma forzada. No se necesita PAgP o LACP. El ejemplo 24-1 muestra
la configuración para Sw2.
Día 24 117

Ejemplo 24-1 Configuración de EtherChannel

Sw2(config)# interfaz g0/1-2


Sw2(config-if-range)# channel-group 1 mode on
Creación de una interfaz port-channel Port-
channel 1 Sw2(config-if-range)# interface
port-channel 1 Sw2(config-if)# switchport mode
trunk
Sw2(config-if)# switchport trunk native vlan 86
Sw2(config-if)# switchport trunk allowed vlan 1,10,20,86

Al configurar PAgP o LACP, utilice la palabra clave de modo apropiada para el comando channel-
group. Sólo hay que asegurarse de que los comandos de ambos lados del canal son compatibles, según
las Tablas 24-1 y 24-2.

Verificación de EtherChannel
Si ha configurado el direccionamiento de gestión, puede verificar rápidamente ambos lados de un
paquete EtherChannel haciendo ping a través del tronco. Los dos conmutadores deberían poder hacer
ping el uno al otro. Los dispositivos configurados como miembros de las distintas VLAN también
deberían poder hacer ping entre sí.
Para verificar la configuración, utilice el comando show run (ver Ejemplo 24-2).

Ejemplo 24-2 Verificación de la configuración de EtherChannel

Sw2# show run | begin interface Puerto


interface Port-channel1
switchport trunk native vlan
86
switchport trunk allowed vlan 1,10,20,86
switchport mode trunk
!
<salida omitida>
interface GigabitEthernet0/1
switchport trunk native vlan
86
switchport trunk allowed vlan 1,10,20,86
switchport mode trunk
modo de grupo de canales 1 activado
!
interface GigabitEthernet0/2
switchport trunk native vlan
86
switchport trunk allowed vlan 1,10,20,86
switchport mode trunk
modo de grupo de canales 1 activado
Para obtener un resumen general de la configuración de EtherChannel, utilice el comando
show etherchannel summary (véase el Ejemplo 24-3).
118 31 días antes de su examen CCNA

Ejemplo 24-3 Verificación de que EtherChannel está operativo

Sw2# show etherchannel summary


Banderas: D - downP - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (sólo LACP)
R - Layer3S -
Layer2
U - en usof - fallo en la asignación del agregador

M - no está en uso, no se cumplen


los enlaces mínimos u - no apto para
la agrupación
w - en espera de ser
agregado d - puerto por
defecto

Número de grupos de canales en


uso 1 Número de agregadores:1

Grupo Puerto-Canal ProtocoloPuertos


------+-------------+-----------
+----------------------------------------------- 1Po1(SU) -Gig0/1(P)
Gig0/2(P)

Para verificar el estado operativo de una interfaz específica en el paquete EtherChannel, utilice el
comando show interface switchport (véase el Ejemplo 24-4).

Ejemplo 24-4 Verificación de la configuración del canal de puertos de una interfaz

Sw2# show interface fa0/1 switchport


Nombre: Fa0/1
Switchport: Enabled
Modo administrativo: troncal
Modo operativo: troncal (miembro del paquete
Po1) Encapsulación de Trunking Administrativo:
dot1q Encapsulación de Trunking Operativo:
dot1q Negociación de Trunking: En
Modo de acceso VLAN: 1 (por defecto)
Trunking VLAN en modo nativo: 86 (VLAN0086)
Etiquetado VLAN nativo administrativo:
activado VLAN de voz: ninguna
VLAN privada administrativa: ninguna VLAN privada
administrativa: ninguna VLAN nativa: ninguna
Administrative private-vlan trunk Native VLAN tagging:
enabled Administrative private-vlan trunk encapsulation:
dot1q Administrative private-vlan trunk normal VLANs: none
Asociaciones administrativas private-vlan trunk: ninguna
Día 24 119

Mapeos administrativos de la VLAN privada: ninguno


VLAN privada operativa: ninguno
Trunking VLANs habilitado: 1,10,20,86
Poda de VLANs Activada: 2-1001

Solución de problemas de EtherChannel


Todas las interfaces dentro de un EtherChannel deben tener la misma configuración de
velocidad para el modo dúplex, VLAN nativa y permitida en los troncales, y VLAN de acceso en
los puertos de acceso:

■ Asigne todos los puertos del EtherChannel a la misma VLAN o configúrelos como troncales.
Los puertos con diferentes VLAN nativas no pueden formar un EtherChannel.

■ Cuando configure un tronco en un EtherChannel, verifique el modo de tronco en el


EtherChannel. No se recomienda configurar el modo trunking en los puertos individuales que
componen el EtherChannel. Sin embargo, si se hace, verifique que la configuración de trunking es
la misma en todas las interfaces.

■ Un EtherChannel admite el mismo rango permitido de VLANs en todos los puertos. Si el rango
permitido de VLANs no es el mismo, los puertos no forman un EtherChannel incluso cuando
PAgP está configurado en modo automático o deseable.

■ Las opciones de negociación dinámica para PAgP y LACP deben configurarse de forma
compatible en ambos extremos del EtherChannel.
Los problemas de configuración con el comando channel-group incluyen lo siguiente:

■ Configurar la palabra clave on en un switch y desirable, auto, active o passive en el otro


switch. La palabra clave on no habilita PAgP o LACP. Ambos conmutadores deben estar
configurados en uno de los modos PAgP o LACP aceptables.

■ Configurar la palabra clave auto en ambos conmutadores. Esto habilita el PAgP, pero cada
conmutador espera al otro para iniciar las negociaciones.

■ Configurar la palabra clave pasiva en ambos conmutadores. Esto habilita el LACP, pero cada
conmutador espera al otro para iniciar las negociaciones.

■ Mezclar palabras clave de PAgP y LACP, que no son compatibles (por ejemplo, configurar
activo (LACP) en un switch y deseable o automático (PAgP) en el otro).

Conceptos de redundancia de primer bucle


Los FHRP permiten instalar varios routers en una subred para que actúen colectivamente como un
único router por defecto. Estos routers comparten una dirección IP virtual, como muestra la Figura
24-3.
120 31 días antes de su examen CCNA

Figura 24-3 Ejemplo de pasarela por defecto redundante

Núcleo

G0/0 IP virtual 10.1.1.254 G0/0


R1 R2
10.1.1.1 10.1.1.2

En la figura, las interfaces G0/0 en R1 y R2 están configuradas con las direcciones IP mostradas.
Sin embargo, ambos routers también están configurados con la dirección IP virtual. Esta dirección IP
virtual es la dirección de la pasarela por defecto configurada en los dispositivos finales. Un protocolo de
redundancia proporciona el mecanismo para determinar qué router debe tomar el papel activo en el
reenvío de tráfico. También determina cuándo un router de reserva debe asumir el papel de reenvío. La
transición de un router de reenvío a otro es transparente para los dispositivos finales. Esta capacidad de
una red para recuperarse dinámicamente del fallo de un dispositivo que actúa como pasarela por
defecto se conoce como redundancia de primer salto.
Independientemente del FHRP que se implemente, los siguientes pasos tienen lugar cuando el router activo falla:

Paso 1. El router en espera deja de ver los mensajes hello del router de reenvío.

Paso 2. El router en espera asume el papel de router de reenvío.

Paso 3. Como el nuevo router de reenvío asume tanto las direcciones IP como MAC del
router virtual, las estaciones finales no reconocen una interrupción del servicio.

FHRP
La siguiente lista define las tres opciones disponibles para los FHRP:

■ Protocolo de router en espera en caliente (HSRP): Un FHRP propietario de Cisco


diseñado para permitir la conmutación por error transparente de un dispositivo IPv4 de primer
salto. La función del router en espera HSRP es supervisar el estado operativo del grupo HSRP y
asumir rápidamente la responsabilidad del reenvío de paquetes si el router activo falla. HSRP
para IPv6 proporciona soporte para redes IPv6.

■ Protocolo de Redundancia de Enrutadores Virtuales (VRRP): Un estándar del IETF que


asigna dinámicamente la responsabilidad de uno o más routers virtuales a los routers VRRP de
una LAN IPv4. Su funcionamiento es similar al de HSRP. VRRPv3 es compatible con IPv4 e
IPv6.

■ Protocolo de equilibrio de carga de pasarela (GLBP): Un FHRP propietario de Cisco que


protege el tráfico de datos de un router o circuito fallido, como en HSRP y VRRP, a la vez que
permite el equilibrio de carga (también llamado reparto de carga) entre un grupo de routers
redundantes. GLBP para IPv6 proporciona soporte para redes IPv6.
El examen CCNA cubre el HSRP.
Día 24 121

Funcionamiento del HSRP


HSRP utiliza un modelo activo/en espera en el que un router asume activamente el papel de puerta
de enlace por defecto para los dispositivos de la subred. Uno o más routers de la misma subred
están entonces en modo de espera. El router activo HSRP implementa una dirección IP virtual y una
dirección MAC virtual correspondiente. Esta dirección IP virtual forma parte de la configuración
HSRP y pertenece a la misma subred que la dirección IP de la interfaz física, pero es una dirección
IP diferente. A continuación, el router crea automáticamente la dirección MAC virtual. Todos los
routers HSRP que cooperan conocen estas direcciones virtuales, pero sólo el router HSRP activo
utiliza estas direcciones en un momento dado.
Suponga que tiene dos routers HSRP similares a R1 y R2 en la Figura 24-3. Estos routers HSRP se
envían mensajes para negociar qué router debe estar activo. Luego continúan enviándose mensajes para
que el router en espera pueda detectar cuando el router activo falla. Si el router activo falla, el router en
espera asume automáticamente las direcciones IP y MAC virtuales y sirve como pasarela por defecto
para la LAN. El nuevo router activo envía entonces un ARP gratuito para que los switches de la
subred cambien sus tablas de direcciones MAC para reflejar el puerto correcto para alcanzar la
MAC virtual. Este proceso de conmutación por error es transparente para los dispositivos finales, que
están configurados con la dirección IP virtual como pasarela por defecto.
¿Y qué pasa con el equilibrio de carga? ¿No estamos desperdiciando la capacidad del router de
reserva y los enlaces que se conectan a él? Sí, si los routers están conectados a una sola subred. Sin
embargo, si se configuran VLANs, los routers pueden compartir la carga sirviendo cada uno como router
activo para algunas de las VLANs. Por ejemplo, en la Figura 24-3, el R1 es el enrutador activo para la
VLAN 10, y el R2 es el enrutador activo para la VLAN 20. Ambos enrutadores están configurados con
subredes de seguridad. Ambos enrutadores están configurados con subinterfaces para el enrutamiento
inter-VLAN y las dos direcciones IP virtuales para que cada uno pueda asumir el papel de enrutador
activo si el otro enrutador falla.

Versiones de HSRP
Cisco IOS utiliza por defecto la versión 1 de HSRP. La Tabla 24-3 compara la versión 1 y la versión 2 de HSRP.

Tabla 24-3 Características del HSRP versión 1 y versión 2


Función HSRP Versión 1 Versión 2
Números de 0–255 0–4095
grupo
admitidos
Autenticación Ninguno MD5
Direcciones de IPv4: 224.0.0.2 IPv4: 224.0.0.102
multidifusión
IPv6: FF02::66
Rangos de MAC 0000.0C07.AC00 a 0000.0C07.ACFF IPv4: 0000.0C9F.F000 a
virtuales 0000.0C9F.FFFF
IPv6: 0005.73A0.0000 a
0005.73A0.0FFF

NOTA: Los tres últimos dígitos hexadecimales de la dirección MAC virtual indican
el número de grupo configurado. Los números de grupo son importantes para
configuraciones HSRP más avanzadas, que están fuera del alcance del examen
CCNA.
122 31 días antes de su examen CCNA

Prioridad y preferencia de HSRP


Por defecto, el router con la dirección IPv4 numéricamente más alta es elegido como el router HSRP
activo. Para configurar un enrutador para que sea el enrutador activo, independientemente del
direccionamiento IPv4, utilice el comando de configuración de interfaz de prioridad en espera. La
prioridad por defecto es 100. El enrutador con la prioridad más alta será el enrutador HSRP activo,
asumiendo que no se ha producido ninguna elección.
Para forzar una nueva elección de HSRP, se debe habilitar el preemption con el comando de
configuración de interfaz standby preempt.

Configuración y verificación de HSRP


Veamos cómo configurar la topología de la Figura 24-3. HSRP requiere sólo un comando en
ambos routers:
Router(config-if)# grupo de espera ip dirección-ip

La interfaz debe estar en la misma subred que el otro u otros routers HSRP. El número de grupo y la
dirección IP virtual deben ser los mismos en todos los routers HSRP.
A menos que se utilice el comando de prioridad, el primer router configurado se convierte en el
router activo de HSRP. Por lo tanto, aunque en el Ejemplo 24-5 el R1 se configura primero, se incluye
una configuración de prioridad para asegurarse de que el R1 sea siempre el router activo. Además, para
asegurarse de que el R1 retome el rol de router activo después de perder la conectividad, se
configura el comando standby preempt.

Ejemplo 24-5 Configuración de HSRP

R1(config)# interfaz g0/0


R1(config-if)# dirección ip 10.1.1.1 255.255.0.0
R1(config-if)# standby 1 ip 10.1.1.254
R1(config-if)# standby 1 prioridad 200
R1(config-if)# standby 1 preempt

R2(config)# interfaz g0/0


R2(config-if)# dirección ip 10.1.1.2 255.255.0.0
R2(config-if)# standby 1 ip 10.1.1.254

Para verificar que el HSRP está en funcionamiento, utilice el comando show standby o la
versión breve del comando, como en el Ejemplo 24-6.

Ejemplo 24-6 Verificación de HSRP

R1# show standby


GigabitEthernet0/0 - El
estado del grupo 1 es
activo
2 cambios de estado, último cambio de estado
00:11:51 La dirección IP virtual es 10.1.1.254
La dirección MAC virtual activa es 0000.0c07.ac01
Día 24 123

La dirección MAC virtual local es 0000.0c07.ac01 (v1 por


defecto) Tiempo de bienvenida 3 segundos, tiempo de espera
10 segundos
Próximo hola enviado en
1.232 segs Preemption
habilitado
El router activo es local
El router en espera es 10.1.1.2, prioridad 100 (expira en 9.808
seg.) Prioridad 200 (configurado 200)
El nombre del grupo es "hsrp-Gi0/0-
1" (por defecto) R1# show standby brief
La P indica que está configurado para adelantarse.
|
InterfaceGrp Pri P StateActive
StandbyVirtual IP
Gi0/01200Active local 10.1.1.2 10.1.1.254

R2# show standby


GigabitEthernet0/0 - El
estado del grupo 1 es
Standby
1 cambio de estado, último cambio de estado
00:15:23 La dirección IP virtual es 10.1.1.254
La dirección MAC virtual activa es 0000.0c07.ac01
La dirección MAC virtual local es 0000.0c07.ac01 (v1 por
defecto) Tiempo de bienvenida 3 segundos, tiempo de espera
10 segundos
Próximo hola enviado en 1.008
segs.
El router activo es 10.1.1.1, prioridad 200 (expira en 8.624 seg) El
router en espera es local
Prioridad 100 (por defecto 100)
El nombre del grupo es "hsrp-Gi0/0-
1" (por defecto) R2# show standby brief
La P indica que está configurado para adelantarse.
|
InterfaceGrp Pri P StateActiveStandby IP
virtual Gi0/01100Standby 10.1.1.1local10.1.1.254

El comando show standby brief muestra la información más pertinente que puede necesitar en
unas pocas líneas de salida. El comando show standby, más verboso, proporciona información
adicional, como el número de cambios de estado, la dirección MAC virtual, los hellos y el nombre del
grupo.

Equilibrio de carga HSRP


Al igual que con el STP, es posible que desee que sus routers HSRP estén configurados en
estado activo/activo, con un router activo para un conjunto de VLANs y el otro router activo
para las VLANs restantes. La Figura 24-4 muestra una topología con múltiples VLANs.
124 31 días antes de su examen CCNA

Figura 24-4 Ejemplo de equilibrio de carga HSRP

Núcleo

IPs virtuales
R1 10.1.10.254 R2
Activo G0/0.10 10.1.10.1 10.1.20.254 G0/0.10 10.1.10.2 En espera
Standby G0/0.20 10.1.20.1 G0/0.20 10.1.20.2 Activo

PC1PC2

VLAN 10
VLAN 20
10.1.10.10
10.1.20.20
Para implementar el equilibrio de carga HSRP para diferentes VLANs, configure el R1 como el router
activo para la mitad de las VLANs y el R2 como el router activo para la otra mitad de las VLANs (ver
Ejemplo 24-7).

Ejemplo 24-7 Configuración del equilibrio de carga HSRP

R1# show run | begin interfaz G

interfaz GigabitEthernet0/0
no ip address
duplex
auto
velocida
d auto
!
interface GigabitEthernet0/0.10
encapsulation dot1Q 10
dirección ip 10.1.10.1 255.255.255.0
versión de espera 2
standby 1 ip 10.1.10.254
espera 1 prioridad 150
standby 1 preempt
!
interface GigabitEthernet0/0.20
encapsulation dot1Q 20
dirección ip 10.1.20.1 255.255.255.0
versión de espera 2
standby 1 ip 10.1.20.254
Día 24 125

R2# show run | begin interfaz G

interfaz GigabitEthernet0/0
no ip address
duplex
auto
velocida
d auto
!
interface GigabitEthernet0/0.10
encapsulation dot1Q 10
dirección ip 10.1.10.2 255.255.255.0
versión de espera 2
standby 1 ip 10.1.10.254
!
interface GigabitEthernet0/0.20
encapsulation dot1Q 20
dirección ip 10.1.20.2 255.255.255.0
versión de espera 2
standby 1 ip 10.1.20.254
espera 1 prioridad 150
standby 1 preempt
!

Para verificar que el HSRP con equilibrio de carga está operativo, utilice el comando show standby o el
versión breve del comando (ver Ejemplo 24-8).

Ejemplo 24-8 Verificación del equilibrio de carga HSRP

R1# show standby brief


La P indica que está configurado para adelantarse.
|
Interfaz Grp Pri P
StateActiveStandbyVirtual IP
1150Activelocal10.1. 210.1.10.254
1100Standby 10.1.20.2local10.1.20.254

R2# show standby brief


La P indica que está configurado para adelantarse.
|
InterfaceGrp Pri P
StateActiveStandbyVirtual IP
1100Standby 10.1.10.1local10.1.20.254

1150Activelocal10.1.20.110.1.20.254
126 31 días antes de su examen CCNA

Solución de problemas de HSRP


Los problemas con el HSRP son probablemente el resultado de uno o más de los siguientes:

■ El router activo que controla la dirección IP virtual para el grupo no fue elegido con éxito.

■ El router en espera no ha podido seguir el rastro del router activo.

■ No se tomó ninguna decisión sobre cuándo entregar a otro router el control de la IP virtual del
grupo.

■ Los dispositivos finales no pudieron configurar correctamente la dirección IP virtual como puerta de
enlace predeterminada.

Los problemas de configuración de HSRP más comunes son los siguientes:

■ Los routers HSRP no están conectados al mismo segmento de red.

■ Los routers HSRP no están configurados con direcciones IPv4 de la misma subred.

■ Los routers HSRP no están configurados con la misma dirección IPv4 virtual.

■ Los routers HSRP no están configurados con el mismo número de grupo HSRP.

■ Los dispositivos finales no están configurados con la dirección correcta del gateway por defecto.

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.

Recursos Módulo o capítulo


Academia de Redes Cisco: CCNA 2 6
9
Guía oficial del CCNA 200-301, volumen 1 9
10
17
Guía oficial del CCNA 200-301, volumen 2 7
Guía del mando portátil 17
DHCP y DNS

Temas del examen CCNA 200-301


■ Explicar el papel de DHCP y DNS en la red

■ Configurar y verificar el cliente y el relé DHCP

■ Verificar los parámetros IP para el sistema operativo del cliente (Windows, Mac OS, Linux)

Temas clave
Imagina que tienes que configurar manualmente la dirección IP de cada dispositivo que quieras
conectar a la red. Además, imagina que tienes que escribir la dirección IP de cada sitio web que
quieres visitar. Hoy revisamos los dos protocolos que automatizan este proceso: El protocolo de
configuración dinámica de host (DHCP) y el sistema de nombres de dominio (DNS). DHCP y DNS
facilitan la vida de los usuarios de Internet. También repasamos cómo verificar la configuración IP de
los dispositivos finales para Windows, macOS y Linux.

DHCPv4
DHCPv4 permite a un host obtener una dirección IP de forma dinámica cuando se conecta a la red. El
cliente DHCPv4 se pone en contacto con el servidor DHCPv4 enviando una solicitud de dirección IP. El
servidor DHCPv4 elige una dirección de un rango configurado de direcciones llamado pool y la
asigna al cliente host por un periodo determinado. La Figura 23-1 muestra gráficamente el proceso por
el cual un servidor DHCPv4 satisface una solicitud de un cliente DHCPv4.
Cuando un dispositivo configurado con DHCPv4 arranca o se conecta a la red, el cliente emite un
paquete DHCPDISCOVER para identificar cualquier servidor DHCPv4 disponible en la red. Un
servidor DHCPv4 responde con un DHCPOFFER, que es un mensaje de oferta de arrendamiento con
una dirección IP asignada, una máscara de subred, un servidor DNS y la información de la puerta de
enlace predeterminada, así como la duración del arrendamiento.
El cliente puede recibir varios paquetes DHCPOFFER si la red local tiene más de un servidor
DHCPv4. El cliente elige la primera oferta y emite un paquete DHCPREQUEST que identifica el
servidor explícito y la oferta de arrendamiento que está aceptando.
Suponiendo que la dirección IP sigue siendo válida, el servidor elegido devuelve un mensaje
DHCPACK (acuse de recibo), finalizando el arrendamiento. Si la oferta ya no es válida por alguna
razón, el servidor elegido responde al cliente con un mensaje DHCPNAK (acuse de recibo negativo).
Una vez arrendado, el cliente renueva antes de la expiración del arrendamiento mediante otra
DHCPREQUEST. Si el cliente se apaga o se retira de la red, la dirección se devuelve al pool para
su reutilización.
128 31 días antes de su examen CCNA

Figura 23-1 Asignación de información de direcciones IP mediante DHCPv4

ServidorCliente
DHCP

DHCPDISCOVER Transmisión
1

Unicast DHCPOFFER
2 3
Difusión de DHCPREQUEST
"He examinado su oferta y me gusta".
4 Unicast DHCPACK
"¡Estamos listos! Aquí está su configuración".

Opciones de configuración de DHCPv4


Un router Cisco puede configurarse para gestionar las solicitudes DHCP de dos maneras: como
servidor DHCP o como agente de retransmisión DHCP. Un router Cisco también puede configurarse
como cliente DHCP, solicitando una IPv4
de un servidor DHCP para una o varias de sus interfaces. Todas estas opciones pueden configurarse al
mismo tiempo en el mismo dispositivo. Por ejemplo, un router podría ser el servidor DHCP para una
LAN conectada directamente y, al mismo tiempo, reenviar las solicitudes del servidor DHCP a otro
servidor DHCP para otras LAN. Además, el router podría tener una o varias de sus interfaces
configuradas para solicitar el direccionamiento DHCP a un servidor remoto.

Configuración de un router como servidor DHCPv4


Un router Cisco que ejecute el software Cisco IOS puede configurarse para actuar como servidor
DHCPv4. El servidor DHCPv4 de Cisco IOS asigna y gestiona direcciones IPv4 de grupos de
direcciones especificados dentro del router a clientes DHCPv4.
Los pasos para configurar un router como servidor DHCPv4 son los siguientes:

Paso 1. Utilice el comando ip dhcp excluded-address low-address [high-address] para


identificar una dirección o un rango de direcciones para excluirlas del pool DHCPv4.
Por ejemplo:
R1(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.9

R1(config)# ip dhcp excluded-address 192.168.10.254

Paso 2. Cree el pool DHCPv4 utilizando el comando ip dhcp pool pool-name, que le
sitúa en el modo de configuración DHCP:
R1(config)# ip dhcp pool LAN-POOL-10

R1(dhcp-config)#

Paso 3. Configure el parámetro de direccionamiento IP que necesita asignar


automáticamente a los clientes solicitantes. La Tabla 23-1 enumera los comandos
necesarios.
Día 23 129

Tabla 23-1 Comandos de configuración DHCPv4


requeridos TareaComando
Definir el pool de direccionesnetwork network-number [mask | /prefix-length]

Definir el router o pasarela por defectodirección del router por defecto


[dirección2...dirección8]

La Tabla 23-2 enumera algunas de las tareas opcionales más comunes de DHCPv4.

Tabla 23-2 Comandos opcionales de configuración de

DHCPv4 Opcional TaskCommand


Definir un servidor DNSdns-servidor dirección [dirección2...dirección8]

Definir el dominio namedomain-name domain

Definir la duración del contrato de arrendamiento DHCPv4 {días [horas] [minutos] |

infinito} Definir la dirección del servidor WINS NetBIOSetbios-name-server

[address2...address8] La Figura 23-2 muestra un


ejemplo de topología DHCPv4.

Figura 23-2 Topología de ejemplo de DHCPv4


Router configurado
como servidor
DHCP

R1
G0/0 G0/1
192.168.10.1/24 192.168.11.1/24

S1 S2

PC1PC2

PCs configurados para obtener


automáticamente direcciones
IP

El ejemplo 23-1 muestra los comandos requeridos y opcionales de DHCPv4 para configurar R1
como servidor DHCPv4 para ambas LANs en la Figura 23-2.

Ejemplo 23-1 Ejemplo de configuración de DHCPv4

Configure las direcciones IP que desea excluir del pool de direcciones DHCPv4
R1(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.9
R1(config)# ip dhcp excluded-address 192.168.10.254
R1(config)# ip dhcp excluded-address 192.168.11.1 192.168.11.9
R1(config)# ip dhcp excluded-address 192.168.11.254
130 31 días antes de su examen CCNA

R1 necesita dos pools DHCPv4 para las dos LANs. Cada pool está configurado con
comandos obligatorios y opcionales.
R1(config)# ip dhcp pool LAN-POOL-10
R1(dhcp-config)# red 192.168.10.0 255.255.255.0
R1(dhcp-config)# default-router 192.168.10.1
R1(dhcp-config)# dns-server 192.168.50.195 209.165.202.158
R1(dhcp-config)# nombre-dominio cisco.com
R1(dhcp-config)# lease 2
R1(dhcp-config)# netbios-name-server 192.168.10.254
R1(dhcp-config)# ip dhcp pool LAN-POOL-11
R1(dhcp-config)# red 192.168.11.0 255.255.255.0
R1(dhcp-config)# default-router 192.168.11.1
R1(dhcp-config)# dns-server 192.168.50.195 209.165.202.158
R1(dhcp-config)# nombre-dominio cisco.com
R1(dhcp-config)# lease 2
R1(dhcp-config)# netbios-name-server 192.168.11.254
R1(dhcp-config)# end

El software Cisco IOS soporta el servicio DHCPv4 por defecto. Para desactivarlo, utilice el comando
global no service dhcp.
Para verificar las operaciones DHCPv4 en R1 en la Figura 23-2, utilice los comandos del Ejemplo 23-2.

Ejemplo 23-2 Verificación del funcionamiento de DHCPv4

R1# show ip dhcp binding


Enlaces de todos los grupos no asociados a VRF:
Dirección IPClient-ID/Caducidad
del contrato de arrendamientoTipo
Dirección de hardware/
Nombre de usuario
192.168.10.10 0100.1641.aea5.a7Jul 18 2008 08:17 AM
Automático
192.168.11.10 0100.e018.5bdd.35Jul 18 2008 08:17 AM
Automático

R1# show ip dhcp server statistics


Uso de la memoria26455
Dirección de las piscinas2
Agentes de la base de datos0
Fijaciones automáticas 2
Fijaciones manuales0
Fijaciones caducadas0

Mensajes malformados 0
Entradas arp seguras 0
MensajeRecibido
Día 23 131

BOOTREQUEST0
DHCPDISCOVER2
DHCPREQUEST2
DHCPDECLINE0
DHCPRELEASE0
DHCPINFORM0

MensajeEnviado
BOOTREPLY0
DHCPOFFER2
DHCPACK2
DHCPNAK0
R1#

Como PC1 y PC2 están conectados a las LANs, cada uno recibe automáticamente su información de
direccionamiento IP desde el servidor DHCPv4 del router. El ejemplo 23-3 muestra la salida del
comando ipconfig/all en PC1.

Ejemplo 23-3 Configuración del cliente DHCPv4

C:\> ipconfig/all

Configuración de la IP de Windows

Nombre del Host . . . . . . . . : ciscolab


Sufijo Dns Primario . . . . . . . :
Tipo de nodo . . . . . . . . :
Enrutamiento IP híbrido
habilitado. . . . . . : No
Proxy WINS habilitado. . . . . : No

Adaptador Ethernet Conexión de área local:

Sufijo DNS específico de la conexión . : cisco.com


Descripción . . . . . . : Intel(R) PRO/1000 PL
Dirección física. . . . . . : 00-7-41-AE-A5-A7
Dhcp Habilitado. . . . . . . : Sí Autoconfiguración
habilitada. . . . : Sí
Dirección IP. . . . . . . . . . . . : 192.168.10.11
Máscara de subred ... ... ... ... : 255.255.255.0
Puerta de enlace por defecto... : 192.168.10.1

Servidor DHCP . . . . . . . : 192.168.10.1


Servidores DNS... : 192.168.50.195 209.165.202.158
132 31 días antes de su examen CCNA

Servidor WINS primario . . . . . : 192.168.10.254


Contrato de arrendamiento obtenido. . . . . . . : Miércoles, 16 de julio
de 2008 8:16:59 AM El contrato de arrendamiento expira . . . . . . . :
viernes, 18 de julio de 2008 8:16:59 AM

C:\>

Para liberar la configuración DHCPv4 en un cliente basado en Windows, introduzca el comando


ipconfig/release
comando. Para renovar la configuración DHCPv4, introduzca el comando ipconfig/renew.

Configuración de un router para retransmitir solicitudes


DHCPv4
En una red compleja, los servidores DHCPv4 suelen estar contenidos en una granja de servidores.
Por lo tanto, los clientes no suelen estar en la misma subred que el servidor DHCPv4, como en el
ejemplo anterior. Para asegurar que los mensajes DHCPDISCOVER difundidos se envíen al
servidor DHCPv4 remoto, utilice el comando ip helper-address.
Por ejemplo, en la Figura 23-3, el servidor DHCPv4 está localizado en la LAN 192.168.11.0/24
y está sirviendo información de direcciones IP para ambas LANs.

Figura 23-3 Topología de retransmisión DHCPv4


Router configurado para
retransmitir solicitudes
DCHP

R1
G0/0 G0/1
192.168.10.1/24 192.168.11.1/24

S1 S2

PC1 PC2 DHCP


Server

192.168.11.5/24
PCs configurados para obtener
automáticamente direcciones
IP

Sin el comando ip helper-address, R1 descartaría cualquier emisión de PC1 solicitando servicios


DHCPv4. Para configurar R1 para retransmitir mensajes DHCPDISCOVER, introduzca los
siguientes comandos:
R1(config)# interfaz gigabitethernet 0/0
R1(config-if)# ip helper-address 192.168.11.5
Día 23 133

Observe que los comandos se introducen en la interfaz que recibirá las difusiones DHCPv4.
R1 entonces reenvía los mensajes de difusión DHCPv4 como unicast a 192.168.11.5. Por defecto,
el comando ip helper-address reenvía los siguientes ocho servicios UDP:

■ Puerto 37: Tiempo

■ Puerto 49: TACACS

■ Puerto 53: DNS

■ Puerto 67: Servidor DHCP/BOOTP

■ Puerto 68: Cliente DHCP/BOOTP

■ Puerto 69: TFTP

■ Puerto 137: Servicio de nombres NetBIOS

■ Puerto 138: Servicio de datagramas NetBIOS

Para especificar puertos adicionales, utilice el comando global ip forward-protocolo u d p [número de puerto |
protocolo]. Para desactivar las emisiones de un protocolo concreto, utilice la forma no del comando.

Configuración de un router como cliente DHCPv4


Los routers Cisco en pequeñas oficinas o sucursales suelen estar configurados como clientes DHCPv4.
El método utilizado depende del ISP. Sin embargo, en su configuración más sencilla, la interfaz
utilizada para conectarse a un módem de cable o DSL se configura con el comando de
configuración de interfaz ip address dhcp.
Por ejemplo, en la Figura 23-4, la interfaz GigabitEthernet 0/1 del router BRANCH
puede ser configurada para solicitar el direccionamiento del router ISP.

Figura 23-4 Router como cliente DHCP

G0/1
RAMA ISP
Cliente DHCP

El ejemplo 23-4 muestra la configuración y verificación del direccionamiento DHCP en BRANCH.

Ejemplo 23-4 Configuración de un router como cliente DHCP

BRANCH(config)# interfaz g0/1


BRANCH(config-if)# dirección ip
dhcp BRANCH(config-if)# no
shutdown
*Mar 15 08:45:34.632: %DHCP-6-ADDRESS_ASSIGN: Interfaz GigabitEthernet0/1
asignada
Dirección DHCP 209.165.201.12, máscara 255.255.255.224, nombre de
host BRANCH BRANCH(config-if)# end
134 31 días antes de su examen CCNA

BRANCH# show ip interface g0/1


GigabitEthernet0/1 está levantada, el
protocolo de línea está levantado La
dirección de Internet es
209.165.201.12/27 La dirección de
difusión es 255.255.255.255 La dirección
está determinada por DHCP
<salida omitida>
SUCURSAL

DHCPv6
IPv6 tiene dos métodos para obtener automáticamente una dirección global unicast:

■ Autoconfiguración de direcciones sin estado (SLAAC)

■ Stateful DHCPv6 (Protocolo de configuración dinámica de host para IPv6)

SLAAC
SLAAC utiliza mensajes ICMPv6 Router Solicitation (RS) y Router Advertisement (RA) para
proporcionar direcciones y otra información de configuración. Un cliente utiliza entonces la
información RA para construir una dirección IPv6 y verificarla con un tipo especial de mensaje
Neighbor Solicitation (NS)
mediante la detección de direcciones duplicadas (DAD). Estos tres tipos de mensajes -RS, RA y NS-
pertenecen al Protocolo de Descubrimiento de Vecinos:

■ Mensaje de solicitud del router (RS): Cuando un cliente está configurado para obtener
su información de direccionamiento automáticamente usando SLAAC, el cliente envía un
mensaje RS al router. El mensaje RS se envía a la dirección multicast de todos los routers
IPv6, FF02::2.

■ Mensaje de Anuncio de Enrutamiento (RA): Un cliente utiliza esta información para crear
su propia dirección unicast global IPv6. Un router envía mensajes RA periódicamente o en
respuesta a mensajes RS. Un mensaje RA incluye el prefijo y la longitud del prefijo del segmento
local. Por defecto, los routers Cisco envían mensajes RA cada 200 segundos. Los mensajes RA se
envían a la dirección de multidifusión de todos los nodos IPv6, FF02::1.

■ Mensaje de Solicitud de Vecinos (NS): Un mensaje NS se utiliza normalmente para


conocer la dirección de la capa de enlace de datos de un vecino en la misma red. En el
proceso SLAAC, un host utiliza DAD insertando su propia dirección IPv6 como dirección
de destino en un mensaje NS.
El mensaje NS se envía a la red para verificar que una dirección IPv6 recién acuñada es única.
Si se recibe un mensaje Neighbor Advertisement, el host sabe que la dirección IPv6 no es única.
La Figura 23-5 muestra el proceso SLAAC utilizando tres mensajes de NDP.
Día 23 135

Figura 23-5 Descubrimiento de vecinos y proceso SLAAC

ipv6 unicast-routing
RouterA

1
Solicitud de router NDP
"Necesito información del router" MAC:00-19-D2-8C-E0-4C
2
Anuncio del enrutador NDP PC-B
Prefijo: 2001:DB8:AAAA:1::
Longitud del prefijo: /64
3
Prefijo: 2001:DB8:AAAA:1::
ID de interfaz EUI-64: 02-19-D2-FF-FE-8C-E0-4C
Dirección Global Unicast: 2001:DB8:AAAA:1:0219:D2FF:FE8C:E04C Prefix-length: /64

4
Mensaje de solicitud de vecinos NDP - DAD
"¿Hay alguien más en este enlace que utilice la dirección:
Dirección IPv6 de destino: 2001:DB8:AAAA:1:0219:D2FF:FE8C:E04C"

Repasemos brevemente los pasos de la Figura 23-5.

Paso 1. PC-B envía un mensaje RS a la dirección multicast de todos los routers, FF02::2, para
informar al router IPv6 local de que necesita un mensaje RA.
Paso 2. El routerA recibe el mensaje RS y responde con un mensaje RA. El mensaje RA incluye el
prefijo y la longitud del prefijo de la red. El mensaje RA se envía a la dirección multicast
de todos los nodos IPv6, FF02::1, con la dirección local de enlace del router como
dirección de origen IPv6.
Paso 3. El PC-B utiliza esta información para crear su propia dirección unicast global IPv6. Añade
la dirección de prefijo de 64 bits a su propio ID de interfaz de 64 bits generado localmente,
que crea utilizando el proceso EUI (ver Figura 23-5) o un generador de números aleatorios.
Utiliza la dirección link-local del RouterA como gateway por defecto.
Paso 4. Antes de que el PC-B pueda utilizar esta dirección IPv6 recién creada, utiliza el proceso
DAD, enviando un mensaje NS para verificar que la dirección es única.

NOTA: El sistema operativo de un cliente puede ser configurado para ignorar los
mensajes RA, en cuyo caso el cliente siempre opta por utilizar los servicios de un servidor
DHCPv6.

Un mensaje RA informa a un cliente de cómo obtener un direccionamiento IPv6 automático: utilizando


SLAAC, DHCPv6, o una combinación de ambos. El mensaje RA contiene dos banderas para indicar la
opción de configuración: la bandera de configuración de direcciones gestionadas (bandera M) y la
bandera de otra configuración (bandera O).
La configuración por defecto de estas banderas es 0, o ambos bits desactivados. Para el cliente, esto
significa que debe utilizar el proceso SLAAC exclusivamente para obtener toda su información de
direccionamiento IPv6. Si cualquiera de estas banderas se establece en 1 por alguna razón, puede utilizar
la forma no de los siguientes comandos ipv6 nd en el modo de configuración de la interfaz para
restablecerlos a 0:
Router(config-if)# no ipv6 nd managed-config-flag
Router(config-if)# no ipv6 nd other-config-flag
136 31 días antes de su examen CCNA

DHCPv6 sin estado


En el DHCPv6 sin estado, el cliente utiliza el mensaje RA del router para generar su dirección unicast
global. Sin embargo, el cliente envía entonces una solicitud al servidor DHCPv6 para obtener cualquier
información adicional que el RA no haya suministrado ya.
En el caso de DHCPv6 sin estado, el indicador O se establece en 1 para que el cliente sea informado de
que hay información de configuración adicional disponible en un servidor DHCPv6 sin estado. Utilice el
siguiente comando en la interfaz para modificar el mensaje RA:
Router(config-if)# ipv6 nd other-config-flag

DHCPv6 con estado


En el caso de DHCPv6 stateful, el mensaje RA indica al cliente que debe obtener toda su información de
direccionamiento de un servidor DHCPv6. La bandera M debe establecerse en la interfaz con el
siguiente comando:
Router(config-if)# ipv6 nd managed-config-flag

Funcionamiento de DHCPv6 sin estado y con estado


La Figura 23-6 muestra el funcionamiento completo de DHCPv6, independientemente del método
utilizado: SLAAC, DHCPv6 sin estado o DHCPv6 con estado.

Figura 23-6 Operaciones DHCPv6

PC1

R1 G0/0

Operaciones del Servidor DHCPv6


SLAAC

Solicitud de router
1

Anuncio del router


2

Operaciones DHCPv6

SOLICIT a todos los servidores DHCPv6


3

ANUNCIAR Unicast
4

SOLICITUD o INFORMACIÓN
SOLICITAR Unicast
5
REPLY Unicast
6
Día 23 137

En la Figura 23-6 se dan los siguientes pasos:

Paso 1. El PC1 envía un mensaje RS al arrancar para iniciar el proceso de


obtención del direccionamiento IPv6.
Paso 2. R1 responde con un mensaje RA. Si las banderas M y O no están establecidas, PC1
utiliza SLAAC. Si la bandera M o la bandera O están establecidas, PC1 comienza el
proceso DHCPv6.
Paso 3. PC1 envía un mensaje DHCPv6 SOLICIT a la dirección all-DHCPv6-servers,
FF02::1:2-una dirección link-local multicast que no será reenviada por los
routers.
Paso 4. Un servidor DHCPv6 responde con un mensaje DHCPv6 ADVERTISE unicast
informando al cliente de su presencia.
Paso 5. El cliente envía una DHCPv6 REQUEST unicast (la bandera M fue establecida, y el
cliente está usando DHCPv6 stateful) o una DHCPv6 INFORMATION-REQUEST
unicast (la bandera O fue establecida, y el cliente está usando DHCPv6 stateless).
Paso 6. El servidor responde con la información solicitada.

Opciones de configuración de DHCPv6


Un router puede ser configurado como un servidor DHCPv6 sin estado, un servidor DHCPv6 con estado
y un cliente DHCPv6. Al igual que en DHCPv4, el router puede configurarse con los tres, dependiendo
del papel que desempeñe para sus distintas interfaces.

Configuración de un router como


servidor DHCPv6 sin estado
Utilizamos la Figura 23-7 para todos los ejemplos de esta sección. R1 es el servidor DHCPv6 y R3 es
el cliente DHCPv6.

Figura 23-7 Topología de servidor y cliente DHCPv6

R1G0/1 R3
Servidor DHCPv6Cliente DHCPv6

Para configurar R1 como un servidor DHCP sin estado, debe asegurarse de que ipv6 unicast-routing
está activado. Luego, en el modo de configuración global, configure el nombre del pool, el servidor
DNS y el nombre de dominio. Finalmente, habilite el pool DHCPv6 en la interfaz apropiada y
establezca la bandera O para que los clientes en esa interfaz sepan que deben solicitar los servicios
DHCPv6 del router. El ejemplo 23-5 muestra la configuración para el R1.
138 31 días antes de su examen CCNA

Ejemplo 23-5 Configuración de un router como servidor DHCPv6 sin estado

R1(config)# ipv6 unicast-routing


R1(config)# ipv6 dhcp pool O-FLAG-SET
R1(config-dhcpv6)# dns-server
2001:db8:acad:1::5 R1(config-dhcpv6)# domain-
name cisco.com R1(config-dhcpv6)# exit
R1(config)# interfaz g0/1
R1(config-if)# ipv6 address
2001:db8:1:1::1/64 R1(config-if)# ipv6 dhcp
server O-FLAG-SET R1(config-if)# ipv6 nd
other-config-flag R1(config-if)# end
R1# show ipv6 dhcp pool
Pool DHCPv6: O-FLAG-SET
Servidor DNS: 2001:DB8:ACAD:1::5
Nombre del dominio:
cisco.com Clientes
activos: 0
R1#

Para configurar una interfaz del router como cliente DHCPv6, habilite IPv6 en la interfaz e
introduzca el comando ipv6 address autoconfig, como en el Ejemplo 23-6. Verifique la
configuración con el comando show ipv6 interface.

Ejemplo 23-6 Configuración de una interfaz como cliente DHCPv6

R3(config)# interfaz g0/1


R3(config-if)# ipv6 enable
R3(config-if)# ipv6 address autoconfig
R3(config-if)# end
R3# show ipv6 interface g0/1
GigabitEthernet0/1 está levantado, el protocolo de línea está levantado
IPv6 está habilitado, la dirección local de enlace es
FE80::32F7:DFF:FE25:2DE1 No hay dirección local de enlace
virtual:
Autoconfiguración de direcciones sin
estado activada Dirección(es)
unicast global(es):
2001:DB8:1:1:32F7:DFF:FE25:2DE1, la subred es 2001:DB8:1:1::/64
[EUI/CAL/PRE]
duración válida 2591935 duración preferida 604735
Dirección del grupo unido:
FF02::1
FF02::1:FF25:2DE1
La MTU es de 1500 bytes
Mensajes de error ICMP limitados a uno cada 100
milisegundos Se habilitan las redirecciones ICMP
Se envían ICMP inalcanzables
Día 23 139

ND DAD está activado, número de intentos de DAD: 1


El tiempo de alcance ND es de 30000 milisegundos
(usando 30000) El intervalo de retransmisión ND NS es
de 1000 milisegundos
El router por defecto es FE80::D68C:B5FF:FECE:A0C1 en GigabitEthernet0/1
R3#

Configuración de un router como servidor DHCPv6 con estado


La principal diferencia entre una configuración sin estado y una configuración con estado es que un
servidor con estado incluye información de direcciones IPv6 y mantiene un registro de las
direcciones IPv6 que se alquilan. Además, para el lado del cliente, se utiliza el comando ipv6 address
dhcp en lugar del comando ipv6 address autoconfig. El ejemplo 23-7 muestra la configuración del
servidor DHCPv6 con estado, con la información de dirección con estado añadida y el bit M
establecido en lugar del bit O.

Ejemplo 23-7 Configuración de un router como servidor DHCPv6 con estado

R1(config)# ipv6 unicast-routing


R1(config)# ipv6 dhcp pool M-FLAG-SET
R1(config-dhcpv6)# prefijo de dirección 2001:db8:1:1::/64 lifetime infinite
infinite
R1(config-dhcpv6)# dns-server
2001:db8:acad:1::5 R1(config-dhcpv6)# domain-
name cisco.com R1(config-dhcpv6)# exit
R1(config)# interfaz g0/1
R1(config-if)# dirección ipv6
2001:db8:1:1::1/64 R1(config-if)# ipv6 nd
managed-config-flag R1(config-if)# end
Después de que R3 esté configurado como cliente DHCP, verifique el DHCP con
los siguientes comandos:
R1# show ipv6 dhcp pool
Pool DHCPv6: M-FLAG-SET
Prefijo de asignación de direcciones: 2001:DB8:1:1::/64 válido 4294967295
preferido 4294967295 (1 en uso, 0 conflictos)
Servidor DNS: 2001:DB8:ACAD:1::5
Nombre del dominio:
cisco.com Clientes
activos: 1
R1# show ipv6 dhcp binding
Cliente:
FE80::32F7:DFF:FEA3:1640
DUID: 0003000130F70DA31640
Nombre de usuario: no asignado
IA NA: IA ID 0x00060001, T1 43200, T2 69120
Dirección: 2001:DB8:1:1:8902:60D6:E76:6C16
vida útil preferida INFINITY, , vida útil válida INFINITY,
R1#
140 31 días antes de su examen CCNA

Solución de problemas de DHCP


Los problemas de DHCP pueden surgir por multitud de razones, como defectos de software en los
sistemas operativos, controladores de NIC o agentes de retransmisión de DHCP. Sin embargo, los
problemas más comunes son los de configuración.

Resolución de conflictos de direcciones IPv4


Un contrato de arrendamiento de una dirección IPv4 puede expirar en un cliente que todavía está
conectado a la red. Si el cliente no renueva el alquiler, el servidor DHCP puede reasignar esa dirección
IPv4 a otro cliente. Cuando el cliente se reinicia, solicita una dirección IPv4. Si el servidor DHCP no
responde rápidamente, el cliente utiliza la última dirección IPv4. Entonces dos clientes empiezan a
utilizar la misma dirección IPv4, creando un conflicto.
El comando show ip dhcp conflict muestra todos los conflictos de direcciones registrados por el
servidor DHCP. El servidor utiliza el comando ping para detectar conflictos. El cliente utiliza el
Protocolo de Resolución de Direcciones (ARP) para detectar los clientes. Si se detecta un conflicto de
direcciones, la dirección se elimina del pool y no se asigna hasta que un administrador resuelva el
conflicto.

Probar la conectividad utilizando una dirección IP estática


Al solucionar cualquier problema de DHCP, verifique la conectividad de la red configurando la
información de la dirección IPv4 estática en una estación de trabajo cliente. Si la estación de trabajo no
puede alcanzar los recursos de la red con una dirección IPv4 configurada estáticamente, la causa raíz del
problema no es el servidor DHCP. En este punto, es necesario solucionar los problemas de
conectividad de la red.

Verificación de la configuración de los puertos del


conmutador
Si el cliente DHCP no puede obtener una dirección IPv4 del servidor DHCP al inicio, intente
obtener una dirección IPv4 del servidor DHCP forzando manualmente al cliente a enviar una
solicitud DHCP. Si hay un conmutador entre el cliente y el servidor DHCP y el cliente no puede
obtener la configuración DHCP, los problemas de configuración del puerto del conmutador pueden ser
la causa. Estas causas pueden incluir problemas desde el trunking y la canalización hasta el STP y el
RSTP. La configuración de PortFast y las configuraciones de los puertos de borde resuelven los
problemas más comunes de los clientes DHCPv4 que ocurren con la instalación inicial de un
switch Cisco.

Probar el funcionamiento de DHCPv4 en la misma


subred o VLAN
Distinguir si DHCP está funcionando correctamente es importante cuando el cliente está en la
misma subred o VLAN que el servidor DHCP. Si DHCP funciona correctamente cuando el cliente está
en la misma subred o VLAN, el problema podría ser el agente de retransmisión DHCP. Si el problema
persiste incluso cuando se prueba DHCP en la misma subred o VLAN que el servidor DHCP, el
problema podría estar en el servidor DHCP.
Funcionamiento del DNS
El DNS es un sistema distribuido de servidores que resuelven nombres de dominio a direcciones IP. El
nombre de dominio forma parte del identificador uniforme de recursos (URI), como muestra la
Figura 23-8.
Día 23 141

Figura 23-8 Estructura del URI


ProtocoloNombre de dominioPágina web

http://www.cisco.com/index.html

NOTA: Muchas personas utilizan los términos dirección web y localizador universal (o
uniforme) de recursos (URL). Sin embargo, identificador uniforme de recursos (URI) es el
término formal correcto.

Cuando escribes un nuevo URI en tu navegador, tu ordenador utiliza el DNS para enviar una
petición para resolver el URI en una dirección IP. La Figura 23-9 resume el proceso DNS.

Figura 23-9 Proceso DNS

1 El humano escribió este URI:

Servidor DNS 192.31.7.1


Solicitud de resolución de nombres
2
Encabezado IP EncabezadoUDP Solicitud de DNS
Fuente 64.100.1.1 Fuente 1030¿Cuál es la dirección IP de
Destino. 192.31.7.1Destino. Puerto 53

Cliente 64.100.1.1
3 Respuesta a la resolución de nombres
Encabezado IPEncabezado UDPSolicitudDNS
Fuente 192.31.7.1
Destino. 64.100.1.1 Fuente 53 La dirección IP es
Destino. 1030 198.133.219.25

Configuración de la conexión TCP


4
Cabecera IPCabecera TCP
Fuente 64.100.1.1 Fuente 1035
Destino. 198.133.219.25Destino. Puerto 80, SYN

www.cisco.com Servidor
web 198.133.219.25
El servidor DNS almacena diferentes tipos de registros de recursos utilizados para resolver nombres.
Estos registros contienen el nombre, la dirección y el tipo de registro. Algunos de estos tipos de
registros son los siguientes:

■ A: Una dirección IPv4 del dispositivo final

■ NS: Un servidor de nombres autoritativo

■ AAAA: Una dirección IPv6 del dispositivo final (se pronuncia "quad-A")

■ MX: Un registro de intercambio de correo

Cuando un cliente realiza una consulta, el proceso DNS del servidor busca primero en sus propios
registros para resolver el nombre. Si no puede resolver el nombre utilizando sus registros
almacenados, se pone en contacto con otros servidores para resolver el nombre.
142 31 días antes de su examen CCNA

Los servidores raíz del DNS gestionan los sufijos del dominio principal, como estos:

■ .com:Empresas comerciales

■ .edu:Organizaciones educativas

■ .gov:Organizaciones gubernamentales

■ .mil: Organizaciones militares

■ .net:Organizaciones de redes, como los ISP

■ .org:Organizaciones no comerciales

También existen servidores DNS de primer nivel para cada código de país, como .ca (Canadá), .de (Alemania),
.ru (Rusia) y .cn (China).

Solución de problemas de DNS


Como administrador de red, su control sobre las cuestiones de DNS se limita a dos cuestiones básicas:
Las configuraciones del servidor DHCP y las del servidor DNS.
En una pequeña sucursal, lo más probable es que utilice su ISP para todas sus resoluciones DNS. Por lo
tanto, lo más probable es que todos los clientes de su red tengan la dirección IP de la pasarela por
defecto configurada como servidor DNS, como se muestra en la salida de ipconfig /all en el
Ejemplo 23-8.

Ejemplo 23-8 Servidor DNS como puerta de enlace predeterminada

C:> ipconfig /all

Configuración de la IP de Windows
<salida omitida>

DHCP Habilitado. . . . . . . . : Sí
Autoconfiguración habilitada . . .:

Dirección IPv4. . . . . . . . : 10.10.10.2(Preferido)
Máscara de subred ... ... ... ... : 255.255.255.0
Contrato de arrendamiento obtenido. . . . . . . : Domingo, 13 de
noviembre de 2016 1:28:51 PM El contrato de arrendamiento
expira . . . . . . . : lunes, 14 de noviembre de 2016 1:28:50 PM Puerta
de enlace predeterminada . . . . . . : 10.10.10.1
Servidor DHCP . . . . . . . : 10.10.10.1
Servidores DNS.......................:10.10.10.1

Por lo tanto, los problemas con el DNS se deben probablemente a problemas con el router de la puerta
de enlace por defecto o la conexión con su ISP. Si conoce la dirección IP de un servidor disponible
públicamente, puede verificar que el DNS es el problema si puede hacer ping a la dirección IP pero
no al URI.
En las organizaciones más grandes, el administrador de la red es responsable de asegurarse de que el servidor
DHCP
está configurado con direcciones IP DNS precisas. Lo más probable es que esos servidores DNS se
gestionen internamente para reducir la cantidad de tráfico saliente hacia los servidores DNS
públicos. Desconfiguración del servidor DNS
Día 23 143

podría ser la causa de que los dispositivos de los usuarios finales no puedan resolver los URI. Por lo
tanto, la jerarquía de los servidores DNS dentro de la organización debe garantizar que haya
servidores DNS de reserva y que, cuando un registro no exista, el servidor DNS pueda reenviar con
precisión la solicitud a otro servidor DNS.

Verificación de la configuración de la IP del


host
Tanto si se configura manualmente como si se aprende dinámicamente, todos los dispositivos de
la red deben tener una configuración de dirección IP válida. A continuación se muestran algunos
ejemplos de esas configuraciones en Windows, Linux y macOS.

Configuración IP
Para que funcione correctamente, un host IP necesita conocer estos valores:

■ Direcciones IP del servidor DNS

■ Dirección IP de la pasarela por defecto (router)

■ Dirección IP propia del dispositivo

■ Máscara de subred propia del dispositivo

Configuración de la IP del host en Windows


En Windows 10, puedes acceder a los detalles de la dirección IP desde el Centro de redes y recursos
compartidos, como se muestra en la Figura 23-10, para ver rápidamente las cuatro configuraciones
importantes: dirección, máscara, router y DNS.

Figura 23-10 Detalles de la conexión de red de Windows 10


Sin embargo, los administradores de red suelen abrir una ventana de línea de comandos para verificar la
configuración IP.
Todas las versiones de Windows soportan ipconfig e ipconfig /all, como se muestra en el Ejemplo
23-9. Ambos muestran la dirección, la máscara y la puerta de enlace predeterminada. Pero se necesita
ipconfig /all para ver la configuración del servidor DNS.
144 31 días antes de su examen CCNA

También observe en el Ejemplo 23-9 que el adaptador Ethernet no tiene una puerta de enlace por
defecto. Esto se debe a que el ordenador está utilizando actualmente el adaptador inalámbrico para
la conectividad de red.

Ejemplo 23-9 Verificación de la configuración IP en la línea de comandos de Windows

C:\> ipconfig
<alguna salida omitida>

Configuración de la IP de Windows

Adaptador Ethernet Ethernet 2:

Sufijo DNS específico de la conexión . : cisco.com


Dirección IPv6. . . . . . . : 2001:db8:acad:1008::3d
Dirección IPv6 de enlace local. . . . :
fe80::ad66:4abd:d554:f703%20 Dirección
IPv4. . . . . . . . . . . : 10.24.247.53
Máscara de subred ... ... ... ... : 255.255.255.255
Puerta de enlace predeterminada..:
0.0.0.0

Adaptador de LAN inalámbrica Wi-Fi:

Sufijo DNS específico de la conexión . : lan


Dirección IPv6 de enlace local. . . . : fe80::90cb:adf9:9331:8ded
%13 Dirección IPv4. . . . . . . . . . . : 10.10.10.73
Máscara de subred ... ... ... ... : 255.255.255.0
Puerta de enlace por defecto... : 10.10.10.1

C:> ipconfig /all


<alguna salida omitida>

Configuración de la IP de Windows

Nombre del anfitrión . . . . . . . . . . : ALLANJ


Sufijo Dns primario... : cisco.com Tipo de
nodo... : Híbrido
Enrutamiento IP activado. . . . . : No
Proxy WINS habilitado. . . . . : No
Lista de búsqueda de sufijos DNS. . . . :
cisco.com
lan
Adaptador de LAN inalámbrica Wi-Fi:

Sufijo DNS específico de la conexión . :


lan
Descripción . . . . . . . : Intel(R) Dual Band Wireless-AC 8265
Día 23 145

Dirección física. . . . . . : 88-B1-11-77-4A-D9


DHCP Habilitado. . . . . . . . : Sí
Autoconfiguración habilitada . . . : Sí
Dirección IPv6 de enlace local. . . . : fe80::90cb:adf9:9331:8ded
%13(Preferido) Dirección IPv4. . . . . . . . : 10.10.10.73(Preferida)
Máscara de subred ... ... ... ... : 255.255.255.0
Contrato de arrendamiento obtenido. . . . . . . : Sábado, 31 de agosto de
2019 12:17:12 PM El contrato de arrendamiento expira . . . . . . . :
Martes, 3 de septiembre de 2019 11:03:11 AM Puerta de enlace por
defecto . . . . . . . : 10.10.10.1
Servidor DHCP . . . . . . . : 10.10.10.1
DHCPv6 IAID . . . . . . . . : 92844305
Cliente DHCPv6 DUID. . . . . . : 00-01-00-01-21-8E-02-90-54-E1-AD-83-2C-77
Servidores DNS . . . . . . . . : 10.10.10.1
NetBIOS sobre Tcpip. . . . . : Activado

C:-Users\allan>

Configuración de la IP del host en macOS


En un Mac, abra Preferencias de Red > Avanzadas para o b t e n e r l a información de
direccionamiento IP que se muestra en la Figura 23-11. La dirección IP del router es la puerta de enlace
predeterminada y también sirve como servidor DNS para este dispositivo.

Figura 23-11 Configuración de red de macOS


146 31 días antes de su examen CCNA

En la línea de comandos para macOS, utilice el comando ifconfig para ver la información de
direccionamiento IP, como se muestra en el Ejemplo 23-10. Otros comandos útiles son
networksetup -listallnetworkservices, networksetup -getinfo <servicio de red> , y networksetup
-getdnsservers <servicio de red> (no se muestra).

Ejemplo 23-10 Verificación de la configuración IP de la línea de comandos de macOS

MacBook-Air:~ Becky$ ifconfig es0


es0: flags=8863 mtu 1500
éter c4:b3:01:a0:64:98
inet6 fe80::c0f:1bf4:60b1:3adb%en0 prefixlen 64 secured scopeid 0x5
inet 10.10.10.113 netmask 0xffff00 broadcast 10.10.10.255
nd6 options=201
medio:
autoselección
estado: activo
MacBook-Air:~ Becky$ networksetup -listallnetworkservices
Un asterisco (*) indica que un servicio de red está
desactivado. iPhone USB
Wi-Fi
Bluetooth
PAN
Puente Thunderbolt
MacBook-Air:~ Becky$ networksetup -getinfo Wi-Fi
Configuración de DHCP
Dirección IP: 10.10.10.113
Máscara de subred: 255.255.255.0
Router: 10.10.10.1
Identificación del cliente:
IPv6: Automático
Dirección IPv6:
ninguna Router
IPv6: ninguno
ID Wi-Fi: c4:b3:01:a0:64:98
MacBook-Air:~ Becky$

Configuración de la IP del host en Linux


La verificación de la configuración IP utilizando la GUI en una máquina Linux difiere dependiendo
de la distribución de Linux y de la interfaz del escritorio. La Figura 23-12 muestra el cuadro de
diálogo de información de conexión en la distribución Ubuntu que ejecuta el escritorio Gnome.
Día 23 147

Figura 23-12 Información de conexión de Linux Ubuntu

El ejemplo 23-11 muestra los comandos para verificar la configuración IP en una máquina Linux.

Ejemplo 23-11 Verificación de la configuración IP de la línea de comandos del sistema


operativo Linux

allan@allan-VirtualBox:~$ ifconfig enp0s3


enp0s3Link encap:Ethernet HWaddr 08:00:27:b5:d6:cb
inet addr:10.0.2.15 Bcast:10.0.2.255 Mask:255.255.255.0
inet6 addr: fe80::57c6:ed95:b3c9:2951/64
Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500
Metric:1
Paquetes RX:1332239 errores:0 abandonados:0
desbordamientos:0 trama:0 Paquetes TX:105910 errores:0
abandonados:0 desbordamientos:0 portadora:0 colisiones:0
txqueuelen:1000
RX bytes:1855455014 (1,8 GB) TX bytes:13140139 (13,1 MB)

allan@allan-VirtualBox:~$ dirección ip
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 6 5 5 3 6 qdisc noqueue state UNKNOWN group
d e f a u l t qlen 1000
link/loopback 00:00:00:00:00 brd 00:00:00:00:00 inet
127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
148 31 días antes de su examen CCNA

2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 q d i s c pfifo_fast state UP


group default qlen 1000
link/ether 08:00:27:b5:d6:cb brd ff:ff:ff:ff:ff
inet 10.0.2.15/24 brd 10.0.2.255 scope global dynamic enp0s3
valid_lft 86130sec preferred_lft 86130sec
inet6 fe80::57c6:ed95:b3c9:2951/64 scope link
valid_lft forever preferred_lft forever

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.

Recursos Módulo o capítulo


Academia de Redes Cisco: CCNA 1 4
6
7
Guía oficial del CCNA 200-301, volumen 1 5
8
Guía del mando portátil 17
Conceptos inalámbricos

Temas del examen CCNA 200-301


■ Explicar el papel y la función de los componentes de la red

■ Describir los principios de la tecnología inalámbrica

■ Comparar las arquitecturas inalámbricas de Cisco y los modos de AP

■ Describir las conexiones de la infraestructura física de los componentes de la WLAN (AP,


WLC, puertos de acceso/troncales, LAG)

■ Describir las conexiones de acceso a la gestión de AP y WLC (Telnet, SSH, HTTP, HTTPS,
consola, TACACS+/Radius)

■ Describir los protocolos de seguridad inalámbrica (WPA, WPA2 y WPA3)

Temas clave
Las especificaciones inalámbricas se detallan en la familia de normas IEEE 802.11, incluyendo
topologías inalámbricas, asignación de espectro y seguridad inalámbrica. Hoy repasamos los
conceptos básicos de las redes inalámbricas.

Normas inalámbricas
Las normas WLAN IEEE 802.11 definen cómo se utilizan las radiofrecuencias (RF) para los enlaces
inalámbricos. Para evitar las interferencias, se pueden utilizar diferentes canales dentro de una RF.

Espectro RF
El espectro de RF, que se muestra en la Figura 22-1, incluye todos los tipos de comunicaciones de
radio, incluidas las frecuencias de 2,4 GHz y 5 GHz utilizadas por los dispositivos inalámbricos.
150 31 días antes de su examen CCNA

Figura 22-1 Espectro de RF

Frecuen Notació
cia n de
(Hz) frecuen Rayos cósmicos
cia
1 Rayos Gamma
0
2
1 Rayos X
1
0
2 Luz ultravioleta
0
10
19
10 Luz visible
18
Luz infrarroja
10
17
10 Inalámbrico de 5 GHz
16
10 Microondas y radar
15
10 Inalámbrico de 2,4 GHz
14 Televisión y radio FM
10
13 Radio de onda corta
10
12 Radio AM
10 100 GHz
Sonido de radio de
11 baja frecuencia
10 10 GHz Radiofrecuencias (RF)
10

Subsonic 1 GHz
109

108
100
MHz
107
10 MHz
Canales
106
1 MHz
Un rango de frecuencias suele denominarse banda de frecuencias. Por ejemplo, un dispositivo de LAN
inalámbrica con una antena de 2,4 GHz puede utilizar cualquier frecuencia entre 2,4000 y 2,4835 GHz.
La banda de 5 GHz se encuentra entre 5,150 y 5,825 GHz.
Las bandas se subdividen a su vez en canales de frecuencia. Los canales adquieren especial importancia
cuando los dispositivos inalámbricos de una zona concreta se saturan. Cada canal se conoce por un
número de canal y se asigna a una frecuencia concreta. Siempre que los canales estén definidos por un
organismo de normalización nacional o internacional, podrán utilizarse de forma coherente en todos los
lugares. La Figura 22-2 y la Figura 22-3 muestran la disposición de los canales para las bandas de
2,4 y 5 GHz, respectivamente.

Figura 22-2 Canales de 2,4 GHz

Canal 1 23456 78910111213 14

GHz 2. 2.417 2.422 2.427 2.432 2.437 2.442 2.447 2.452 2.457 2.462 2.467 2.472 2.
41 48
2 4
DSSS: 22 M
OFDM: 20 H
z
Día 22 151

Figura 22-3 Canales de 5 GHz


U-NII-1U-NII-2U-NII-2 ExtendedU-NII-3
Canal
36 40 44 48 52 56 60 64 100 104 108 112 116 120 124 128 132 136 140149 153 157 161

GHz
5.1805.240 5.2605.320 5.500 5.7005.745 5.825

20
MHz

Observe en la Figura 22-3 que la banda de 5 GHz consta de canales no superpuestos. A cada canal
se le asigna un rango de frecuencias que no invade ni solapa las frecuencias asignadas a ningún
otro canal. No ocurre lo mismo con la banda de 2,4 GHz de la Figura 22-2. La única forma de evitar
cualquier solapamiento entre canales adyacentes es configurar los puntos de acceso (AP) para que
utilicen sólo los canales 1, 6 y 11.

Normas 802.11
La mayoría de los estándares especifican que un dispositivo inalámbrico debe tener una antena
para transmitir y recibir señales inalámbricas en la radiofrecuencia especificada (2,4 GHz o 5 GHz).
Algunos de los estándares más recientes que transmiten y reciben a mayor velocidad requieren que los
puntos de acceso y los clientes inalámbricos tengan varias antenas utilizando la tecnología MIMO
(Multiple Input, Multiple Output). MIMO utiliza múltiples antenas como transmisor y receptor para
mejorar el rendimiento de la comunicación. Se pueden admitir hasta cuatro antenas.
A lo largo de los años se han desarrollado varias implementaciones del estándar IEEE
802.11. La Tabla 22-1 destaca estos estándares.

Tabla Resumen Normas 802.11


22-1 de
IEEE Radio Descripción
WLAN Frecuenci
Estánd a
ar
802.11 2,4 GHz Velocidades de hasta 2 Mbps
802.11a 5 GHz Velocidades de hasta 54 Mbps
Pequeña área de cobertura

Menos eficaz para penetrar en las estructuras de los edificios

No es interoperable con 802.11b y 802.11g


152 31 días antes de su examen CCNA

IEE Radiofr Descripción


E ecuenci
WL a
AN
Estánd
ar
802.11b 2,4 GHz Velocidades de hasta 11 Mbps
Mayor alcance que 802.11a

Mejor capacidad para penetrar en las estructuras de los edificios


802.11g 2,4 GHz Velocidades de hasta 54 Mbps
Compatible con 802.11b con capacidad de ancho de banda reducida
802.11n 2,4 GHz Velocidades de datos que van de 150 Mbps a 600 Mbps con un rango de
distancia de hasta
hasta 70 m (230 pies)
5 GHz
Los puntos de acceso y los clientes inalámbricos necesitan varias antenas
con tecnología MIMO
Compatible con dispositivos 802.11a/b/g con velocidades de datos
limitadas
802.11ac 5 GHz Proporciona velocidades de datos que van de 450 Mbps a 1,3 Gbps
(1300 Mbps) mediante la tecnología MIMO
Se pueden admitir hasta ocho antenas

Compatible con dispositivos 802.11a/n con velocidades de datos limitadas


802.11ax 2,4 GHz Publicado en 2019 (última norma)
5 GHz También conocido como inalámbrico de alta eficiencia (HEW)

Mayor velocidad de datos y mayor capacidad

Maneja muchos dispositivos conectados

Mejora de la eficiencia energética

Capacidad de 1 GHz y 7 GHz cuando esas frecuencias estén disponibles

Topologías inalámbricas
El estándar 802.11 identifica dos modos principales de topología inalámbrica: el modo de
infraestructura y el conjunto de servicios básicos independientes (IBSS). El IBSS también se conoce
como modo ad hoc. Con la ubicuidad de las redes inalámbricas, las topologías de malla son ahora
comunes.

Modo Infraestructura
Con el modo infraestructura, los clientes inalámbricos se interconectan a través de un AP. La Figura
22-4 ilustra la terminología del modo infraestructura. Observe que la configuración de los AP para
compartir el mismo SSID permite a los clientes inalámbricos desplazarse entre BSAs.
Día 22 153

Figura 22-4 Ejemplo de modo de infraestructura ESS

DS

ESS VLAN 10

BSS-1 BSS-2

AP-1 AP-2
BSSID: d4:20:6d:90:ad:20 BSSID: e6:22:47:af:c3:70

SSID: "MiRed" SSID: "MiRed"

La terminología del modo infraestructura incluye lo siguiente:

■ Conjunto de servicios básicos (BSS): Consiste en un único AP que interconecta a todos los
clientes inalámbricos asociados.

■ Área de servicio básica (BSA): Es el área delimitada por el alcance de la señal del AP. La BSA
también se denomina célula (el área gris de la Figura 22-4).

■ Identificador del conjunto de servicios básicos (BSSID): Es el identificador único,


legible por la máquina, para el AP que tiene el formato de una dirección MAC y suele
derivarse de la dirección MAC inalámbrica del AP.

■ Identificador del conjunto de servicios (SSID): Se trata de un identificador legible por el


ser humano, no único, utilizado por el AP para anunciar su servicio inalámbrico.

■ Sistema de distribución (DS): Los AP se conectan a la infraestructura de red mediante el


DS cableado, como Ethernet. Un AP con conexión por cable al DS se encarga de traducir las
tramas entre los protocolos 802.3 Ethernet y 802.11 inalámbrico.
154 31 días antes de su examen CCNA

■ Conjunto de servicios ampliados (ESS): Cuando un único BSS no proporciona suficiente


cobertura, se pueden unir dos o más BSS a través de un DS común en un ESS. Un ESS es la
unión de dos o más BSS interconectados por un DS cableado. Cada ESS se identifica por su
SSID, y cada BSS por su BSSID.

Modo IBSS o Ad Hoc


En el estándar 802.11, el Conjunto de Servicios Básicos Independientes (IBSS) se define como dos
dispositivos conectados de forma inalámbrica de igual a igual (P2P) sin el uso de un AP. Un dispositivo
asume el papel
de anunciar la red inalámbrica a los clientes. El IBSS permite que dos dispositivos se comuniquen
directamente sin necesidad de otros dispositivos inalámbricos, como se muestra en la Figura 22-5. Los
IBSS no se adaptan bien a más de 8 ó 10 dispositivos.

Figura 22-5 Conjunto de servicios básicos independientes de 802.11


IBSS

Malla
Tener un DS cableado que conecte todos los AP no siempre es práctico o necesario. En su lugar, los
APs pueden ser configurados para conectarse en modo malla. En este modo, los AP hacen de puente
entre el tráfico de los clientes, como se muestra en la Figura 22-6.

Figura 22-6 Ejemplo de red inalámbrica de malla

LAN

Cada AP de la malla mantiene un BSS en un canal utilizado por los clientes inalámbricos. A
continuación, los AP hacen un puente entre ellos utilizando otros canales. La red de malla ejecuta su
propio protocolo de enrutamiento dinámico para determinar la mejor ruta hacia la red cableada.
Día 22 155

Arquitecturas AP
Los puntos de acceso pueden conectarse en red en una variedad de arquitecturas. El tamaño y la
escalabilidad de la red determinan qué arquitectura es la más adecuada para una implementación
determinada.

Arquitectura de AP autónomo
Un AP autónomo es un dispositivo autónomo con hardware tanto cableado como inalámbrico,
de modo que puede hacer un puente con la infraestructura de VLAN cableada de los clientes
inalámbricos que pertenecen a los SSID, como se muestra en
Figura 22-7. Cada AP autónomo debe configurarse con una dirección IP de gestión para que se pueda
acceder a él de forma remota mediante Telnet, SSH o una interfaz web. Cada AP debe ser gestionado y
mantenido individualmente a menos que se utilice una plataforma de gestión como Cisco DNA
Center.

Figura 22-7 APs autónomos

Capa central

VLAN 10: 10.10.10.1/24


Distribución VLAN 100: 192.168.100.1/24
VLAN 200: 192.168.200.1/24
Capa
Enlace troncal: VLANs 10, 100, 200

Capa de acceso

Enlace troncal: VLANs 10, 100,


200

Autónomo
APs Gestión: 10.10.10.10

SSIDs:
wlan100 SSIDs: SSIDs: SSIDs:
wlan200 wlan100 wlan100 wlan100
wlan200 wlan200 wlan200

Arquitectura de AP basada en la nube


La gestión de AP basada en la nube es una alternativa a la compra de una plataforma de gestión. La
función de gestión de los puntos de acceso se traslada a la nube de Internet. Por ejemplo, Cisco Meraki
es un servicio de gestión de AP basado en la nube que permite desplegar automáticamente los AP de
Cisco Meraki. Estos APs pueden ser gestionados desde la interfaz web de la nube de Meraki
(dashboard). En la Figura 22-8, los mismos AP mostrados en la Figura 22-7 se gestionan ahora en la
nube.
156 31 días antes de su examen CCNA

Figura 22-8 Gestión de AP basada en la nube de Cisco Meraki

Nube Cisco Meraki

Capa central Gestión

Distribución
Capa
Enlace troncal

Capa de acceso

Enlace troncal

Cisco Meraki
Datos
APs

Obsérvese que hay dos vías distintas para el tráfico de datos y para el tráfico de gestión, que
corresponden a las dos funciones siguientes:

■ Un plano de control: Tráfico utilizado para controlar, configurar, gestionar y supervisar el propio AP

■ Un plano de datos: El tráfico del usuario final que pasa por el AP

Arquitecturas ligeras de AP
Los controladores de LAN inalámbrica (WLCs) utilizan el Protocolo de Punto de Acceso Ligero
(LWAPP) para comunicarse con los APs ligeros (LAPs), como se muestra en la Figura 22-9. Los LAPs
son útiles en situaciones donde se requieren muchos APs en la red. Son "ligeros" porque sólo realizan la
operación inalámbrica 802.11 para los clientes inalámbricos. Cada LAP es configurado y gestionado
automáticamente por el WLC.
Día 22 157

Figura 22-9 Arquitectura de AP basada en controlador

LWAPP

LAG

WLC AP ligero (LAP)

Observe en la Figura 22-9 que el WLC tiene cuatro puertos conectados a la infraestructura de
conmutación. Estos cuatro puertos están configurados como un grupo de agregación de enlaces (LAG)
para que puedan agruparse. Al igual que EtherChannel, el LAG proporciona redundancia y
equilibrio de carga.

Funcionamiento del CAPWAP


La división del trabajo entre el WLC y los LAP se conoce como arquitectura split-MAC. El LAP debe
interactuar con los clientes inalámbricos en algún nivel bajo, conocido como capa de control de acceso al
medio (MAC). Estas funciones deben permanecer en el hardware del LAP, más cercano a los clientes.
Las funciones de gestión no son parte integral del manejo de las tramas, sino que son cosas que deben
ser administradas de forma centralizada. Por lo tanto, esas funciones pueden ser trasladadas a una
plataforma centralizada lejos del AP. La Tabla 22-2 resume las funciones MAC del LAP y del
WLC.

Tabla 22-2 Funciones Split-MAC del AP y del WLC


Funciones MAC del APFunciones MAC del
WLC
Balizas y respuestas a la sondaAutenticación

Acuses de recibo y retransmisiones de paquetesAsociación y reasociación de clientes itinerantes


Cola de tramas y priorización de paquetesTraducción de
tramas a otros protocolos
Cifrado y descifrado de datos de la capa MACTerminación del tráfico

802.11 en una interfaz cableada


158 31 días antes de su examen CCNA

LWAPP ha sido sustituido por el protocolo de túneles de Control y Aprovisionamiento de Puntos de


Acceso Inalámbricos (CAPWAP) para implementar estas funciones de split-MAC. CAPWAP utiliza
dos túneles, uno para el control y otro para los datos, como se muestra en la Figura 22-10 y se
describe en la lista siguiente:

Figura 22-10 Túneles de control y datos CAPWAP


WLC

Control CAPWAP - UDP 5246

Datos CAPWAP - UDP 5247

AP ligero

■ Túnel de mensajes de control CAPWAP: Lleva los intercambios que se utilizan para
configurar el LAP y gestionar su funcionamiento. Los mensajes de control están autenticados y
encriptados, por lo que el LAP es controlado de forma segura sólo por el WLC apropiado y luego
se transporta a través del túnel de control utilizando el puerto UDP 5246.

■ Túnel de datos CAPWAP: Se utiliza para los paquetes que viajan hacia y desde los clientes
inalámbricos que están asociados con el AP. Los paquetes de datos se transportan a través del
túnel de datos utilizando el puerto UDP 5247, pero no están cifrados por defecto. Cuando se activa
el cifrado de datos para un LAP, los paquetes se protegen con la seguridad de la capa de
transporte de datagramas (DTLS).

Protocolos de seguridad inalámbrica


El tráfico inalámbrico es intrínsecamente diferente del tráfico que viaja por una infraestructura
cableada. Cualquier dispositivo inalámbrico que opere en la misma frecuencia puede escuchar las
tramas y potencialmente leerlas. Por lo tanto, las WLAN deben estar protegidas para permitir sólo a
los usuarios y dispositivos autorizados y para evitar las escuchas y la manipulación del tráfico
inalámbrico.

Métodos de autenticación inalámbrica


Para que los dispositivos inalámbricos se comuniquen a través de una red, primero deben asociarse con
el punto de acceso. Una parte importante del proceso 802.11 es descubrir una WLAN y posteriormente
conectarse a ella.
Día 22 159

Durante este proceso, las tramas transmitidas pueden llegar a cualquier dispositivo dentro del alcance. Si
la conexión inalámbrica no está asegurada, otros pueden leer el tráfico, como se muestra en la Figura
22-11.

Figura 22-11 Red inalámbrica abierta

Su contraseña es
nihao123

Mi contraseña es
nihao123
Cliente nihao123

AP

Su contraseña es
nihao123

La mejor manera de asegurar una red inalámbrica es utilizar sistemas de autenticación y


cifrado. Con el estándar 802.11 original se introdujeron dos tipos de autenticación:

■ Autenticación de sistema abierto: Sólo debe utilizarse en situaciones en las que la


seguridad no sea motivo de preocupación. El cliente inalámbrico es responsable de
proporcionar seguridad, por ejemplo, utilizando una red privada virtual (VPN) para
conectarse de forma segura.

■ Autenticación de clave compartida: Proporciona los mecanismos mostrados en la Tabla 22-3


para autenticar y encriptar datos entre un cliente inalámbrico y un AP. Sin embargo, la
contraseña debe ser precompartida entre las partes para permitir la conexión.

Tabla 22-3 Métodos de autenticación con clave compartida


Método de
Descripción
autenticación
Privacidad equivalente
La especificación original de 802.11 diseñó la seguridad de los datos mediante el
por cable (WEP)
método de cifrado Rivest Cipher 4 (RC4) con una clave estática. Sin embargo, la
clave nunca cambia cuando se intercambian paquetes. Esto hace que WEP sea fácil de
piratear. WEP ya no se recomienda y no debería utilizarse nunca.
Acceso Protegido Wi-Fi
Un estándar de la Alianza Wi-Fi que utiliza WEP pero asegura los datos con el
(WPA)
algoritmo de cifrado del Protocolo de Integridad de Clave Temporal (TKIP), mucho
más potente. El TKIP cambia la clave en cada paquete, lo que hace que sea mucho
más difícil de piratear.
160 31 días antes de su examen CCNA

Método de Descripción
autenticación
WPA2Es el estándar actual de la industria para asegurar las redes inalámbricas. Utiliza el estándar
de cifrado avanzado (AES) para el cifrado. AES se considera actualmente el protocolo
de cifrado más potente.
WPA3La próxima generación de seguridad Wi-Fi. Todos los dispositivos con WPA3 utilizan
los métodos de seguridad más recientes, no permiten los protocolos heredados
obsoletos y requieren el uso de marcos de gestión protegidos (PMF). Sin embargo,
los dispositivos con WPA3 aún no están disponibles.

WPA y WPA2
Los routers domésticos suelen tener dos opciones de autenticación: WPA y WPA2. WPA2 es la más
fuerte de las dos. Los métodos de autenticación de WPA2 son los siguientes:

■ Personal: Pensado para redes domésticas o de pequeñas oficinas, los usuarios se autentican
mediante una clave precompartida (PSK). Los clientes inalámbricos se autentican con el router
inalámbrico mediante una contraseña precompartida. No se requiere ningún servidor de
autenticación especial.

■ Empresa: Está pensada para redes empresariales, pero requiere un servidor de autenticación
RADIUS (Remote Authentication Dial-In User Service). Aunque es más complicado de
configurar, proporciona seguridad adicional. El dispositivo debe ser autenticado por el servidor
RADIUS y, a continuación, los usuarios deben autenticarse mediante el estándar 802.1X, que
utiliza el Protocolo de Autenticación Extensible (EAP) para la autenticación.

802.1X/EAP
Con la autenticación abierta y WEP, los clientes inalámbricos se autentican localmente en el punto de
acceso sin más intervención. El escenario cambia con 802.1X: el cliente utiliza la autenticación abierta
para asociarse con el AP, y luego el proceso de autenticación del cliente ocurre en un servidor de
autenticación dedicado. La Figura 22-11 muestra la disposición tripartita de 802.1X, que consta de las
siguientes entidades:

■ Solicitante: El dispositivo cliente que solicita el acceso.

■ Autenticador: El dispositivo de red que proporciona acceso a la red. En la Figura 22-11, el


AP reenvía el mensaje del suplicante al WLC.

■ Servidor de autenticación (AS): El dispositivo que permite o deniega el acceso a la red en


función de una base de datos de usuarios y políticas (normalmente un servidor RADIUS).

WPA3
WPA3 incluye cuatro características:

■ WPA3-Personal: En WPA2-Personal, los actores de las amenazas pueden escuchar el


"apretón de manos" entre un cliente inalámbrico y el AP y utilizar ataques de fuerza bruta
para intentar adivinar el PSK. WPA3-Personal frustra este tipo de ataques mediante el uso
de la Autenticación Simultánea de Iguales (SAE), una función especificada en la norma IEEE
802.11-2016. El PSK nunca se expone, lo que hace imposible que el actor de la amenaza lo
adivine.
Día 22 161

■ WPA3-Enterprise: WPA3-Enterprise sigue utilizando la autenticación 802.1X/EAP.


Sin embargo, requiere el uso de un conjunto criptográfico de 192 bits y elimina la
mezcla de seguridad
protocolos de los anteriores estándares 802.11. WPA3-Enterprise se adhiere al conjunto de
algoritmos de seguridad nacional comercial (CNSA), que se utiliza habitualmente en las redes Wi-
Fi de alta seguridad.

■ Redes abiertas: Las redes abiertas en WPA2 envían el tráfico del usuario en texto plano no
autenticado. En WPA3, las redes Wi-Fi abiertas o públicas siguen sin utilizar ninguna
autenticación. Sin embargo, utilizan el cifrado inalámbrico oportunista (OWE) para cifrar todo
el tráfico inalámbrico.

■ Incorporación de IoT: Aunque WPA2 incluía la Configuración Protegida de Wi-Fi (WPS) para
incorporar rápidamente los dispositivos que no estaban previamente configurados, WPS es
vulnerable a una serie de ataques y no se recomienda. Además, los dispositivos IoT suelen ser
headless, es decir, no tienen una interfaz gráfica de usuario integrada para la configuración y
necesitan cualquier forma fácil de conectarse a la red inalámbrica. El Protocolo de
Aprovisionamiento de Dispositivos (DPP) se diseñó para satisfacer esta necesidad. Cada
dispositivo sin cabeza tiene una clave pública codificada. La clave suele estar estampada en el
exterior del dispositivo o en su embalaje como un código de respuesta rápida (QR). El
administrador de la red puede escanear el código QR y subir rápidamente el dispositivo. Aunque
DPP no forma parte estrictamente de la norma WPA3, con el tiempo sustituirá a WPS.

Métodos de encriptación inalámbrica


El cifrado se utiliza para proteger los datos. Un intruso puede ser capaz de capturar los datos
encriptados, pero no podrá descifrarlos en un tiempo razonable. Los siguientes protocolos de
encriptación se utilizan con la autenticación inalámbrica:

■ Protocolo de integridad de la clave temporal (TKIP): TKIP es el método de cifrado


utilizado por WPA. Es compatible con los equipos WLAN heredados y soluciona los defectos
originales del método de cifrado 802.11 WEP. Utiliza WEP pero cifra la carga útil de la capa 2
utilizando TKIP y realiza una comprobación de integridad del mensaje (MIC) en el paquete
cifrado para garantizar que el mensaje no ha sido alterado.

■ Estándar de cifrado avanzado (AES): AES es el método de cifrado utilizado por WPA2. Es
el método preferido porque es un método de encriptación muy fuerte. Utiliza el modo de
contracifrado con el protocolo de código de autenticación de mensajes en cadena (CCMP),
que permite a los hosts de destino reconocer si los bits cifrados y no cifrados han sido
alterados.

■ El Protocolo de Galois/Modo Contador (GCMP): Se trata de un robusto conjunto de


cifrado autentificado que es más seguro y eficiente que el CCMP. El GCMP se utiliza en
WPA3.
La Tabla 22-4 resume las diferencias básicas entre WPA, WPA2 y WPA3. Cada versión sucesiva está
pensada para reemplazar las versiones anteriores y ofrecer mejores características de seguridad.
Debería evitar el uso de WPA y utilizar WPA2 en su lugar, al menos hasta que WPA3 esté
ampliamente disponible en los dispositivos cliente inalámbricos, APs y WLCs.
162 31 días antes de su examen CCNA

Tabla 22-4 Comparación de la autenticación y el cifrado inalámbricos


Característica WPA WPA2 WPA3
¿Autenticación con claves precompartidas? Sí Sí Sí
¿Autenticación con 802.1X? Sí Sí Sí
¿Encriptación y MIC con TKIP? Sí No No
¿Encriptación y MIC con AES y CCMP? Sí Sí No
¿Encriptación y MIC con AES y GCMP? No No Sí

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.

Recursos Módulo o capítulo


Fundamentos de conmutación, enrutamiento e inalámbricos 12
Guía oficial del CCNA 200-301, volumen 1 26
27
28
Guía del mando portátil 23
Configuración WLAN

Temas del examen CCNA 200-301


■ Describir las conexiones de acceso a la gestión de AP y WLC (Telnet, SSH, HTTP, HTTPS,
consola, TACACS+/RADIUS)

■ Configurar los componentes de un acceso LAN inalámbrico para la conectividad del


cliente utilizando sólo la interfaz gráfica de usuario, como la creación de WLAN, la
configuración de seguridad, los perfiles de QoS y la configuración avanzada de WLAN

■ Configurar la WLAN con WPA2 PSK mediante la GUI

Temas clave
Hoy revisamos los pasos para configurar un controlador de LAN inalámbrica (WLC). Las figuras
muestran la interfaz gráfica de usuario (GUI) y los menús de un controlador inalámbrico Cisco 3504
(ver Figura 21-1). Sin embargo, otros modelos de WLC tienen menús y características similares.

Figura 21-1 Controlador inalámbrico Cisco 3504

Cómo iniciar sesión en un WLC de Cisco


Para configurar un WLC, es necesario poder acceder a él. El WLC requiere una configuración inicial y
una dirección IP de gestión antes de poder acceder a él con un navegador web a través de HTTP o
HTTPS. Esta configuración inicial requiere una conexión de consola. El WLC también puede ser
configurado desde la interfaz de línea de comandos (CLI) utilizando Telnet o SSH. Sin embargo, el
examen CCNA se centra en el acceso a la GUI del WLC. Por lo tanto, el resto de este día se centra en el
inicio de sesión y la configuración de un WLC que ya tiene su configuración básica.
Inicie sesión en la interfaz web del WLC, como se muestra en la Figura 21-2.
164 31 días antes de su examen CCNA

Figura 21-2 Ventana de inicio de sesión del WLC

La página de Resumen de Red es un panel que proporciona una rápida visión general del
número de redes inalámbricas configuradas, puntos de acceso (AP) asociados y clientes activos,
como se muestra en la Figura 21-3.

Figura 21-3 Panel de resumen de la red

En el menú de la izquierda de la página de Resumen de la Red, haga clic en Puntos de


Acceso para ver una imagen general de la información y el rendimiento del sistema de AP,
como se muestra en la Figura 21-4.
Día 21 165

Figura 21-4 Puntos de acceso

Haga clic en Avanzado para acceder a la página de Resumen avanzado, como se muestra en la Figura
21-5. Desde aquí se puede acceder a todas las funciones del WLC.

Figura 21-5 Características avanzadas del WLC

Configuración de un WLC con una WLAN


Puede configurar una WLAN directamente en el controlador inalámbrico Cisco 3504 para que sirva de
punto de acceso para los clientes inalámbricos. Sin embargo, un WLC se utiliza más comúnmente en las
redes empresariales para gestionar una serie de AP.
166 31 días antes de su examen CCNA

Configuración de un servidor RADIUS


Una WLAN empresarial suele utilizar un servidor RADIUS para la autenticación de usuarios y
dispositivos antes de permitir que los clientes inalámbricos se asocien con un AP. Para configurar el
WLC con la información del servidor RADIUS, haga clic en la pestaña SECURITY > RADIUS
> Authentication para navegar a la pa nt al la de la Figura 21-6. Haga clic en Nuevo para
añadir el servidor RADIUS.

Figura 21-6 Acceso a la configuración de un servidor de autenticación RADIUS

1
4

2
3

Configuración de una nueva interfaz


Cada WLAN configurada en el WLC necesita su propia interfaz virtual. El WLC dispone de cinco
puertos físicos para el tráfico de datos. Cada puerto físico puede ser configurado para soportar
múltiples WLANs, cada una en su propia interfaz virtual. La interfaz virtual se denomina normalmente
con un número de VLAN y se asocia a esa VLAN. Siga los siguientes pasos para configurar una
nueva interfaz:
Paso 1. Cree una nueva interfaz haciendo clic en CONTROLADOR > Interfaces > Nueva,
como se muestra en la Figura 21-7.

Figura 21-7 Creación de una nueva interfaz virtual

1
3

Paso 2. Configure un nombre de interfaz y un ID de VLAN como se muestra en la Figura 21-8,


que muestra el nombre de la interfaz establecido como vlan5 y el ID de VLAN
establecido como 5. Haga clic en Aplicar para crear la nueva interfaz.
Día 21 167

Figura 21-8 Configuración del nombre de la interfaz y del ID de la VLAN

Paso 3. En la página de edición de la interfaz, configure el número de puerto físico y la


información de direccionamiento IP (véase la Figura 21-9).

Figura 21-9 Configuración de puertos y direcciones IP

Paso 4. Para reenviar los mensajes DHCP a un servidor DHCP dedicado, configure la dirección
del servidor DHCP como se muestra en la Figura 21-10.

Figura 21-10 Configuración de la dirección del servidor DHCP


168 31 días antes de su examen CCNA

Paso 5. Desplácese hasta la parte superior y haga clic en Aplicar, como se muestra en la
Figura 21-11. Haz clic en OK en el mensaje de advertencia.

Figura 21-11 Aplicación de una nueva interfaz virtual

Paso 6. Para verificar la interfaz virtual recién configurada, haga clic en Interfaces. La
nueva interfaz vlan5 se muestra ahora en la lista de interfaces con su dirección IPv4,
como se muestra en la Figura 21-12.

Figura 21-12 Verificación de una nueva interfaz virtual

Configuración de una WPA2 Enterprise WLAN


Por defecto, todas las WLANs recién creadas en el WLC utilizan WPA2 con Sistema de Cifrado
Avanzado (AES). 802.1X es el protocolo de gestión de claves por defecto utilizado para
comunicarse con el servidor RADIUS. El WLC ya está configurado con la dirección IP del
servidor RADIUS.
La configuración de una nueva WLAN para la interfaz vlan5 en el WLC implica los siguientes pasos:

Paso 1. Para crear una nueva WLAN, haga clic en la pestaña WLANs y luego en Go, como se muestra en la
Figura 21-13.

Figura 21-13 Creación de una nueva WLAN


Día 21 169

Paso 2. Configurar el nombre de la WLAN y el SSID. En la Figura 21-14, el SSID se utiliza


también como nombre del perfil y utiliza el mismo ID que la vlan5, creada
anteriormente.

Figura 21-14 Configuración del nombre del perfil y del SSID

Paso 3. Para habilitar la WLAN para la vlan5, cambie el estado a Enabled y elija vlan5 en la
lista desplegable Interface/Interface Group(G). Haga clic en Aplicar y en Aceptar
para aceptar el mensaje emergente, como se muestra en la Figura 21-15.

Figura 21-15 Activación de la WLAN

Paso 4. Para verificar AES y los valores predeterminados de 802.1X, haga clic en la pestaña
Seguridad para ver la configuración de seguridad predeterminada para la nueva
WLAN, como se muestra en la Figura 21-16. La WLAN debería utilizar la seguridad
WPA2 con cifrado AES. El tráfico de autenticación se gestiona mediante 802.1X entre
el WLC y el servidor RADIUS.
170 31 días antes de su examen CCNA

Figura 21-16 Verificación de la seguridad

Paso 5. Para configurar la seguridad de la WLAN para utilizar el servidor RADIUS, haga clic
en la pestaña Servidores AAA, como se muestra en la Figura 21-17. En el cuadro
desplegable, seleccione el servidor RADIUS que fue configurado en el WLC
previamente.

Figura 21-17 Cómo asociar el servidor RADIUS a la WLAN

Paso 6. Para configurar un perfil QoS, haga clic en la pestaña QoS, como se muestra en la Figura
21-18. Desde aquí, puede configurar un perfil QoS que se adhiera a la política de la
empresa. Actualmente está seleccionado Silver (mejor esfuerzo). Haga clic en Apply
(Aplicar) para aplicar los cambios.
Día 21 171

Figura 21-18 Configuración de un perfil QoS

Paso 7. Para verificar que la nueva WLAN está listada y habilitada, haga clic en el submenú
WLANs de la izquierda. En la Figura 21-19, observe que la WLAN CompanyName
está habilitada y utiliza seguridad WPA2 con autenticación 802.1X.

Figura 21-19 Verificación de la nueva WLAN

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.

Recursos Módulo o capítulo


Fundamentos de conmutación, enrutamiento e 13
inalámbricos
Guía oficial del CCNA 200-301, volumen 1 29
Guía del mando portátil 23
Esta página se ha dejado intencionadamente en blanco
Seguridad de la LAN y
endurecimiento de los
dispositivos

Temas del examen CCNA 200-301


■ Configurar el control de acceso a los dispositivos mediante contraseñas locales

■ Configurar dispositivos de red para el acceso remoto mediante SSH

■ Diferenciar los conceptos de autenticación, autorización y contabilidad

■ Configurar las funciones de seguridad de capa 2 (DHCP snooping, inspección ARP


dinámica y seguridad de puertos)

Temas clave
El repaso de hoy es un torbellino de temas relacionados con la seguridad de la LAN y el
endurecimiento de los dispositivos. Revisaremos la seguridad de los puntos finales, el control de
acceso, la seguridad de los puertos y las técnicas de mitigación de las amenazas de la LAN.

Seguridad de los puntos finales


Los puntos finales son hosts que incluyen portátiles, ordenadores de sobremesa, servidores y teléfonos
IP. Además, una red que tiene una política de "traiga su propio dispositivo" (BYOD) incluye los
dispositivos propiedad de los empleados. Los puntos finales son particularmente susceptibles a los
ataques relacionados con el malware que se originan a través del correo electrónico o la navegación
web. Si un punto final se infiltra, puede convertirse en un punto desde el que un actor de la amenaza
puede obtener acceso a los dispositivos críticos del sistema, como los servidores y la información
sensible.
Los puntos finales se protegen mejor con el software Cisco Advanced Malware Protection (AMP)
basado en el host. Los productos AMP incluyen soluciones para puntos finales como Cisco AMP for
Endpoints. Además, los dispositivos de seguridad de contenidos proporcionan un control detallado
sobre el correo electrónico y la navegación web de los usuarios de una organización.
Cisco tiene dos productos de dispositivos de seguridad de contenidos:

■ Cisco Email Security Appliance (ESA)

■ Dispositivo de seguridad web de Cisco (WSA)

Cisco ESA
Cisco ESA es un dispositivo especial diseñado para supervisar el protocolo principal del correo
electrónico, el Protocolo Simple de Transferencia de Correo (SMTP). Cisco ESA puede hacer lo
siguiente:

■ Bloquear las amenazas conocidas

■ Remediar contra el malware sigiloso que evade la detección inicial

■ Descartar los correos electrónicos con enlaces erróneos


174 31 días antes de su examen CCNA

■ Bloquear el acceso a los sitios recién infectados

■ Cifrar el contenido del correo electrónico saliente para evitar la pérdida de datos

La Figura 20-1 muestra el proceso de Cisco ESA para descartar un ataque de phishing dirigido.

Figura 20-1 Cisco ESA descarta los correos electrónicos incorrectos

ESA 3

Ejecutivo de la empresa

El proceso que se muestra en la Figura 20-1 es el siguiente:

Paso 1. El actor de la amenaza envía un ataque de phishing a un host importante de la red.

Paso 2. El cortafuegos reenvía todo el correo electrónico al ESA.

Paso 3. El ESA analiza el correo electrónico, lo registra y lo descarta.

Cisco WSA
Cisco WSA combina la protección avanzada contra el malware, la visibilidad y el control de las
aplicaciones, los controles de la política de uso aceptable y la elaboración de informes. Cisco WSA
proporciona un control completo sobre cómo los usuarios acceden a Internet. Determinadas funciones y
aplicaciones, como el chat, la mensajería, el vídeo y el audio, pueden permitirse, restringirse con límites
de tiempo y ancho de banda, o bloquearse, según los requisitos de la organización. WSA puede realizar
listas negras de URLs, filtrado de URLs, escaneo de malware, categorización de URLs, filtrado de
aplicaciones web y cifrado y descifrado del tráfico web.
La Figura 20-2 muestra a un usuario corporativo intentando conectarse a un sitio conocido de la lista negra.

Figura 20-2 El WSA de Cisco descarta un paquete destinado a un sitio de la lista negra

WSA 3

Internet

1
Día 20 175

El proceso que se muestra en la Figura 20-2 es el siguiente:

Paso 1. Un usuario intenta conectarse a un sitio web.

Paso 2. El cortafuegos reenvía la solicitud del sitio web a la WSA.

Paso 3. La WSA evalúa la URL y determina que es un sitio conocido de la lista negra. La WSA
descarta el paquete y envía un mensaje de acceso denegado al usuario.

Control de acceso
Se pueden realizar muchos tipos de autenticación en los dispositivos de red para controlar el acceso, y
cada método ofrece distintos niveles de seguridad.

Autenticación local
El método más simple de autenticación de acceso remoto es configurar una combinación de nombre
de usuario y contraseña en la consola, las líneas vty y los puertos auxiliares, como se muestra en el
Ejemplo 20-1.Este método, sin embargo, no proporciona ninguna responsabilidad, y la contraseña se
envía en texto plano. Cualquiera con la contraseña puede entrar en el dispositivo.

Ejemplo 20-1 Autenticación local sólo con contraseña

R1(config)# línea vty 0 4


R1(config-line)# contraseña ci5c0
R1(config-line)# login

En lugar de utilizar una contraseña compartida sin nombre de usuario, puede utilizar el nombre de usuario secreto
para configurar pares de nombre de usuario/contraseña locales. Requiere un par de nombre de
usuario/contraseña con el comando de configuración de línea login local. Utilice el comando de
configuración de línea no password para eliminar cualquier contraseña configurada. En el Ejemplo
20-2, se configura un par de nombre de usuario/contraseña y se aplica a las líneas, y luego se prueba
el acceso Telnet desde un conmutador. Observe que el
La contraseña ha sido cifrada con MD5, indicada por el siguiente secreto en la salida del comando
show run.

Ejemplo 20-2 Autenticación local de nombre de usuario/contraseña

R1(config)# nombre de usuario allanj secreto 31díasCCNA


R1(config)# línea consola 0
R1(config-line)# login local
R1(config-line)# no
contraseña R1(config-line)#
línea vty 0 15 R1(config-
line)# login local
R1(config-line)# no
contraseña

S1# telnet 10.10.10.1


176 31 días antes de su examen CCNA

Intentando 10.10.10.1 ...Abrir

Verificación del acceso de los usuarios

Nombre de usuario:
allanj Contraseña:
R1> habilitar
Contraseña:
R1# show run | include username
username allanj secret 5 $1$mERr$e/edsAr7D0CyM/z3tMvyL/
R1#

Configuración SSH
Secure Shell (SSH) se considera una de las mejores prácticas de seguridad porque Telnet (puerto 23)
utiliza una transmisión insegura de texto plano tanto del inicio de sesión como de los datos a través de la
conexión. SSH (puerto 22) es una forma más segura de acceso remoto:

■ Requiere un nombre de usuario y una contraseña, ambos encriptados durante las transmisiones.

■ El nombre de usuario y la contraseña se pueden autenticar mediante el método de la base de datos


local.

■ Proporciona más responsabilidad porque el nombre de usuario se registra cuando un usuario se


conecta.

El ejemplo 20-3 ilustra los métodos SSH y de base de datos local de acceso remoto.

Ejemplo 20-3 Configuración del acceso remoto SSH en un conmutador

S1# show ip ssh


SSH Disabled-versión 1.99
%Por favor, cree claves RSA para habilitar SSH (de al menos 768 bits de tamaño)
para habilitar SSH v2. Tiempo de espera de autenticación: 120 segs; Reintentos de
autenticación:3
S1# conf t
S1(config)# ip domain-name cisco.com
S1(config)# crypto key generate rsa
El nombre de las claves será S1.cisco.com
Elija el tamaño del módulo de la clave en el rango de 360 a 4096 para sus
claves de propósito general. Elegir un módulo de clave superior a 512
puede llevar unos minutos.

Cuántos bits en el módulo [512]:1024


% Generando claves RSA de 1024 bits, las claves serán no
exportables... [OK] (el tiempo transcurrido fue de 4 segundos)
Día 20 177

*Mar 1 02:20:18.529: %SSH-5-ENABLED: SSH 1.99 ha sido habilitado


S1(config)# línea vty 0 15
S1(config-line)# login local
S1(config-line)# transporte entrada ssh
S1(config-line)# nombre de usuario allanj secreto 31díasCCNA
Los siguientes comandos son configuraciones opcionales de SSH.
S1(config)# ip ssh version2
S1(config)# ip ssh authentication-retries 5
S1(config)# ip ssh time-out 60
S1(config)# end
S1# show ip ssh
SSH Enabled - versión 2.0
Tiempo de espera de autenticación: 60 segundos;
Reintentos de autenticación: 5 S1#

En el ejemplo 20-3 se dan los siguientes pasos:

Paso 1. Verifique que el conmutador soporta SSH usando el comando show ip ssh. Si no se
reconoce el comando, sabrá que SSH no es compatible.
Paso 2. Configure un nombre de dominio DNS con el comando de configuración global
ip domain-name.
Paso 3. Configure el conmutador utilizando el comando crypto key generate rsa para
generar un par de claves RSA y habilitar automáticamente SSH. Cuando se generan
claves RSA, se le pide que introduzca una longitud de módulo. Cisco recomienda un
tamaño de módulo mínimo de 1024 bits, como en el Ejemplo 20-3.

NOTA: Para eliminar el par de claves RSA, utilice el comando crypto key zeroize rsa. Esto
desactiva el servicio SSH.

Paso 4. Cambie las líneas vty para utilizar nombres de usuario, con nombres de usuario
configurados localmente o con un servidor de autenticación, autorización y contabilidad
(AAA). En el Ejemplo 20-3, el subcomando login local vty define el uso de nombres de
usuario locales, reemplazando el subcomando login vty.
Paso 5. Configure el conmutador para que sólo acepte conexiones SSH con el subcomando
transport input ssh vty. (El valor por defecto es transport input telnet).
Paso 6. Añade uno o más comandos de configuración global de nombre de usuario y
contraseña para configurar los pares de nombre de usuario y contraseña.
Paso 7. Si lo desea, modifique la configuración SSH por defecto para cambiar la versión SSH a
2.0, el número de intentos de autenticación y el tiempo de espera, como en el Ejemplo
20-3.
Paso 8. Verifique sus parámetros SSH utilizando el comando show ip ssh.
178 31 días antes de su examen CCNA

Endurecimiento de puertos de conmutación


Las interfaces de los routers deben activarse con el comando no shutdown antes de que sean
operativas. Lo contrario ocurre con los switches Cisco Catalyst: una interfaz se activa cuando se
conecta un dispositivo al puerto. Para proporcionar una funcionalidad inmediata, Cisco eligió una
configuración por defecto que incluye interfaces que funcionan sin ninguna configuración, incluyendo
la negociación automática de la velocidad y el dúplex. Además, todas las interfaces están asignadas a la
VLAN 1 por defecto.
Esta configuración por defecto expone a los switches a algunas amenazas de seguridad. Las siguientes
son las mejores prácticas de seguridad para las interfaces no utilizadas:

■ Desactive administrativamente la interfaz mediante el subcomando de interfaz shutdown.

■ Evite el trunking de la VLAN haciendo que el puerto sea una interfaz no trunking
utilizando el subcomando switchport mode access interface.

■ Asigne el puerto a una VLAN no utilizada utilizando el subcomando de interfaz switchport


access vlan number.

■ Configure la VLAN nativa para que no sea la VLAN 1, sino una VLAN no utilizada, utilizando la
opción
subcomando de interfaz switchport trunk native vlan vlan-id.

Incluso cuando se apagan los puertos no utilizados en los conmutadores, si un dispositivo está
conectado a uno de esos puertos y la interfaz está habilitada, puede producirse el trunking. Además,
todos los puertos están en la VLAN 1 por defecto. Una buena práctica es poner todos los puertos no
utilizados en una VLAN de agujero negro. El ejemplo 20-4 demuestra esta mejor práctica,
asumiendo que los puertos 20-24 están sin usar.

Ejemplo 20-4 Asignación de puertos no utilizados a una VLAN Black Hole

S1(config)# vlan 999


S1(config-vlan)# nombre BlackHole
S1(config-vlan)# rango de interfaz fa0/20 - 24
S1(config-if-range)# shutdown
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan
999 S1(config-if-range)#

AAA
Configurar nombres de usuario y contraseñas en todos los dispositivos de la red no es muy escalable.
Una mejor opción es utilizar un servidor externo para centralizar y asegurar todos los pares de nombres
de usuario y contraseñas. Para solucionar este problema, los dispositivos Cisco admiten el marco de
autenticación, autorización y contabilidad (AAA) para ayudar a asegurar el acceso a los dispositivos.
Los dispositivos Cisco admiten dos protocolos de autenticación AAA:

■ Sistema de control de acceso a la terminal Plus (TACACS+, pronunciado como "tack-


axe plus")
■ Servicio de autenticación remota de usuarios (RADIUS)
Día 20 179

La elección de TACACS+ o RADIUS depende de las necesidades de la organización. Por ejemplo,


un gran ISP podría seleccionar RADIUS porque soporta la contabilidad detallada requerida para
facturar a los usuarios. Una organización con varios grupos de usuarios podría seleccionar TACACS+
porque requiere que las políticas de autorización sean aplicadas por usuario o por grupo. La Tabla 20-1
compara TACACS+ y RADIUS.

Tabla 20-1 Comparación de TACACS+ y


RADIUS
Característica TACACS+ RADIUS
Se utiliza sobre todo para Dispositivos de Usuarios
red
Protocolo de transporte TCP UDP
Número(s) de puerto de autenticación 49 1645, 1812
El protocolo encripta la contraseña Sí Sí
El protocolo encripta todo el paquete Sí No
Admite la función de autorizar a cada usuario a un Sí No
subconjunto de comandos CLI
Definido por Cisco RFC 2865

Tanto TACACS+ como RADIUS utilizan un modelo cliente/servidor, donde un dispositivo de


autenticación es el cliente que habla con un servidor AAA. La Figura 20-3 muestra una vista
simplificada del proceso, en el que un usuario intenta conectarse a un switch con fines de gestión.

Figura 20-3 Vista simplificada de AAA


Usuario
Cambia
Servidor AAA

¿Quién es usted?

Soy John Smith. 3. ¿Es John Smith?

5. OK, conéctate. 4. Sí, acéptalo.

802.1X
IEEE 802.1X es un protocolo estándar de control de acceso y autenticación basado en puertos. Es ideal
para restringir el acceso no autorizado a través de dispositivos LAN de acceso público, como
conmutadores y puntos de acceso inalámbricos.
180 31 días antes de su examen CCNA

802.1 X define tres roles para los dispositivos en la red, como muestra la Figura 20-4:

Figura 20-4 Roles 802.1X

PC1

R2 R110.1.1.1 SW1
DHCP
1 2 10.1.1.11
10.1.1.2 GW=10.1.1.2

Servidor
DHCP de Servidor DHCP erróneo
confianza
■ Cliente (suplicante): Suele ser el puerto habilitado para 802.1X en el dispositivo que solicita
acceso a los servicios de la LAN y del conmutador y responde a las solicitudes del conmutador.
En la Figura 20-4, el dispositivo es un PC que ejecuta un software cliente compatible con
802.1X.

■ Conmutador (autentificador): El conmutador controla el acceso físico a la red, basándose en el


estado de autenticación del cliente. El conmutador actúa como un proxy entre el cliente y el
servidor de autenticación. Solicita información de identificación al cliente, verifica esa
información con el servidor de autenticación y transmite una respuesta al cliente.

■ Servidor de autenticación: El servidor de autenticación realiza la autenticación real del


cliente. El servidor de autenticación valida la identidad del cliente y notifica al switch si el cliente
está autorizado a acceder a la LAN y a los servicios del switch. Como el switch actúa como
proxy, el servicio de autenticación es transparente para el cliente. RADIUS es el único servidor
de autenticación soportado.
La Figura 20-5 muestra los flujos de autenticación para un proceso típico de 802.1X.

Figura 20-5 Flujos de autenticación 802.1X


Autenticación
Solicitante Autentificador Servidor

SW1
1
Identifíquese
2
Usuario/Contraseña 3
Usuario/Contraseña
4
¡Autorizado!
El proceso 802.1X se resume como sigue:

■ El servidor de autenticación RADIUS está configurado con nombres de usuario y contraseñas.


■ Cada conmutador LAN está habilitado como autentificador 802.1X, está configurado con la
dirección IP del servidor de autentificación y tiene 802.1X habilitado en todos los puertos
necesarios.
Día 20 181

■ Los usuarios que conectan dispositivos a puertos habilitados para 802.1X deben conocer el
nombre de usuario/contraseña antes de poder acceder a la red.

Seguridad portuaria
Si sabe qué dispositivos deben estar cableados y conectados a determinadas interfaces de un
conmutador, puede utilizar la seguridad de los puertos para restringir esa interfaz de modo que sólo
puedan utilizarla los dispositivos previstos. Esto reduce la exposición a algunos tipos de ataques en
los que el atacante conecta un portátil a la toma de corriente o utiliza el cable conectado a otro
dispositivo final para acceder a la red.

Configuración de la seguridad de los puertos


La configuración de la seguridad de los puertos implica varios pasos. Básicamente, hay que convertir el
puerto en un puerto de acceso, lo que significa que el puerto no está haciendo ningún trunking VLAN.A
continuación, hay que habilitar la seguridad de los puertos y configurar las direcciones de control de
acceso a los medios (MAC) de los dispositivos que pueden utilizar ese puerto. La siguiente lista resume
los pasos de la configuración de la seguridad de los puertos, incluyendo los comandos de configuración
utilizados:
Paso 1. Configurar la interfaz para el modo de acceso estático utilizando el switchport mode access
subcomando de interfaz.

Paso 2. Habilite la seguridad del puerto mediante el subcomando switchport port-security interface.

Paso 3. (Opcional) Anule el número máximo de direcciones MAC permitidas asociadas a la


interfaz (1) utilizando el subcomando switchport port-security maximum number
interface.
Paso 4. (Opcional) Anular la acción por defecto cuando hay una violación de seguridad
(shutdown) utilizando el subcomando de interfaz switchport port-security
violation {protect | restrict | shutdown}.
Paso 5. (Opcional) Predefina cualquier dirección MAC de origen permitida para esta interfaz
utilizando el comando switchport port-security mac-address mac-address. Utilice el
comando varias veces para definir más de una dirección MAC.
Paso 6. (Opcional) En lugar de realizar el paso 5, configure la interfaz para aprender y
configurar dinámicamente las direcciones MAC de los hosts conectados
actualmente configurando el subcomando switchport port-security mac-address
sticky interface.
Cuando un dispositivo no autorizado intenta enviar tramas a la interfaz del conmutador, el conmutador
puede emitir mensajes informativos, descartar tramas de ese dispositivo o incluso descartar tramas de
todos los dispositivos
cerrando efectivamente la interfaz. La acción exacta que toma el puerto del switch depende de la
opción que configure en el comando switchport port-security violation. La Tabla 20-2 enumera
las acciones que tomará el switch en función de si configura la opción protect, restrict o
shutdown (por defecto).
182 31 días antes de su examen CCNA

Tabla 20-2 Acciones cuando se produce una violación de la seguridad del puerto
Opción en el comando switchport proteg restring apagado
port-security violation er ir
Descarta el tráfico infractor Sí Sí Sí
Envía mensajes de registro y SNMP No Sí Sí
Desactiva la interfaz, descartando todo el tráfico No No Sí

El ejemplo 20-5 muestra una configuración de seguridad de puertos en la que cada interfaz de
acceso tiene permitido un máximo de tres direcciones MAC. Si se detecta una cuarta dirección MAC,
sólo se descarta el tráfico del dispositivo infractor. Si la opción de violación no está configurada
explícitamente, el tráfico de los dispositivos permitidos en el puerto también se descarta porque el
puerto se cerraría por defecto.

Ejemplo 20-5 Ejemplo de configuración de seguridad de puertos

S1(config)# rango de interfaces fa 0/5 - fa


0/24 S1(config-if-range)# switchport mode
access S1(config-if-range)# switchport
port-security
S1(config-if-range)# switchport port-security maximum 3
S1(config-if-range)# switchport port-security violation restrict
S1(config-if-range)# switchport port-security mac-address sticky

Para verificar la configuración de seguridad del puerto, utilice el comando más general show
port-security o el comando más específico show port-security interface type number. El ejemplo
20-6 demuestra el uso de ambos comandos. En los ejemplos, observe que sólo un dispositivo está
actualmente conectado a un puerto de acceso en S1.

Ejemplo 20-6 Ejemplos de salida del comando de verificación de seguridad de puertos

S1# show port-security


Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security
Action (Count)(Count)(Count)
Fa0/5310Restrict
Fa0/6300Restrict
Fa0/7300Restrict
Fa0/8300Restrict
Fa0/9300Restrict
Fa0/10300Restrict
Fa0/11300Restrict
Fa0/12300Restrict
Fa0/13300Restrict
Fa0/14300Restrict
Fa0/15300Restrict
Fa0/16300Restrict
Fa0/17300Restrict
Fa0/18300Restrict
Fa0/19300Restrict
Día 20 183

Fa0/20300Restricto
Fa0/21300Restrict
Fa0/22300Restrict
Fa0/23300Restrict

Fa0/24300Restrict Total de direcciones en el sistema


(excluyendo una mac por puerto) : 0
Límite máximo de direcciones en el sistema (excluyendo una mac por
puerto) : 8320 S1# show port-security interface fastethernet 0/5
Seguridad portuaria :Activada
Estado del puerto :Seguro-abajo
Modo de violación :Restringir
Tiempo de envejecimiento : 0 minutos
Tipo de envejecimiento :Absoluto
SecureStatic Address

Aging:Disabled Máximo de
direcciones MAC3
Total de direcciones MAC1
Direcciones MAC configuradas0
Direcciones MAC pegajosas1
Última dirección de
origen :Vlan:0014.22d
d.37a3:1 Recuento de
violaciones de seguridad0

Envejecimiento de la protección portuaria


El envejecimiento de la seguridad del puerto se puede utilizar para establecer el tiempo de
envejecimiento de las direcciones seguras estáticas y dinámicas en un puerto. Se admiten dos
tipos de envejecimiento por puerto:

■ Absoluto: Las direcciones seguras del puerto se eliminan después del tiempo de envejecimiento
especificado.

■ Inactividad: Las direcciones seguras del puerto se eliminan sólo si están inactivas durante
el tiempo de envejecimiento especificado.
Utilice el comando switchport port-security aging para activar o desactivar el envejecimiento
estático del puerto seguro o para establecer el tiempo o tipo de envejecimiento:
Switch(config-if)# switchport port-security aging { static | time time |
tipo {absoluto | inactividad}}

La Tabla 20-3 describe los parámetros de este comando.

Tabla 20-3 Parámetros del comando port-security aging


ParámetroDescripción
staticHabilita el envejecimiento de las direcciones seguras configuradas estáticamente en este puerto.
time timeEspecifica el tiempo de envejecimiento de este puerto. El rango es de 0 a 1440 minutos.
Si el tiempo es 0, el envejecimiento está desactivado para este puerto.
type absoluteEstablezca el tiempo de envejecimiento absoluto. Todas las direcciones seguras de este
puerto envejecen exactamente después del tiempo (en minutos) especificado y se
eliminan de la lista de direcciones seguras.
type inactivityEstablezca el tipo de envejecimiento por inactividad. Las direcciones seguras de
este puerto envejecen sólo si no hay tráfico de datos desde la dirección de origen
segura durante el período de tiempo especificado.
184 31 días antes de su examen CCNA

El ejemplo 20-7 muestra a un administrador configurando el tipo de envejecimiento a 10


minutos de inactividad y utilizando el comando show port-security interface para verificar la
configuración.

Ejemplo 20-7 Configuración y verificación del envejecimiento de la seguridad de los puertos

S1(config)# interfaz fa0/1


S1(config-if)# switchport port-security aging time 10
S1(config-if)# switchport port-security aging type
inactivity S1(config-if)# end
S1# show port-security interface fa0/1
Seguridad portuaria : Activado
Estado del puerto : Cierre seguro
Modo de violación : Restringir
Tiempo de envejecimiento : 10 minutos
Tipo de
envejecimiento :
Inactividad Envejecimiento de
direcciones estáticas seguras :
Desactivado

Direcciones MAC máximas : 4


Direcciones MAC totales : 1
Direcciones MAC configuradas
: 1 Direcciones MAC
pegadas : 0
Última dirección de origen:Vlan : 0050.56be.e4dd:1
Recuento de violaciones de seguridad : 1

Restauración del puerto tras una infracción


Cuando la seguridad de los puertos está activada en una interfaz, la acción por defecto cuando se
produce una violación es apagar el puerto. Una violación de la seguridad puede ocurrir de dos
maneras:

■ El número máximo de direcciones MAC seguras se ha añadido a la tabla de direcciones


para esa interfaz, y una estación cuya dirección MAC no está en la tabla de direcciones intenta
acceder a la interfaz.

■ Una dirección aprendida o configurada en una interfaz segura se ve en otra interfaz segura de
la misma VLAN.
Cuando se produce una violación, se envía un mensaje syslog a la consola, indicando que la interfaz
está ahora en el estado err-disable. Los mensajes de consola incluyen el número de puerto y la
dirección MAC que causó la violación, como muestra el Ejemplo 20-8.

Ejemplo 20-8 Verificación y restauración de la violación de la seguridad de los puertos

S1#
Sep 20 06:44:54.966: %PM-4-ERR_DISABLE: Se ha detectado un error de violación
de seguridad en Fa0/18,
poner Fa0/18 en estado de err-disable
Sep 20 06:44:54.966: %PORT_SECURITY-2-PSECURE_VIOLATION: Violación de seguridad
causado por la dirección MAC 000c.292b.4c75 en el puerto FastEthernet0/18.
Sep 20 06:44:55.973: %LINEPROTO-5-PPDOWN: Protocolo de línea en la interfaz
Día 20 185

FastEthernet0/18, ha cambiado el estado a "down".


Sep 20 06:44:56.971: %LINK-3-UPDOWN: Interfaz FastEthernet0/18, ha cambiado
el estado a down
Los dos siguientes comandos se pueden utilizar para verificar el
estado del puerto. S1# show interface fa0/18 status
PortName StatusVlan Duplex Speed Type

Fa0/18err-disabled5autoauto10/100BaseTX S1#
show port-security interface fastethernet 0/18
Seguridad portuaria : Activado
Estado del puerto : Cierre seguro
Modo de violación : Apagado
Tiempo de envejecimiento : 0 minutos
Tipo de envejecimiento : Absoluto

Envejecimiento de la dirección
SecureStatic :
Desactivado Máximo de
direcciones MAC : 1
Total de direcciones MAC : 0
Direcciones MAC configuradas : 0
Direcciones MAC pegajosas : 0
Última dirección de
origen : Vlan:
000c.292b.4c75:1 Recuento de
violaciones de seguridad : 1
Para restaurar un puerto, apáguelo manualmente y vuelva a
activarlo. S1(config)# interfaz FastEthernet 0/18
S1(config-if)# apagado
Sep 20 06:57:28.532: %LINK-5-CHANGED: Interfaz FastEthernet0/18, ha cambiado el
estado a administrativamente caído
S1(config-if)# no shutdown
Sep 20 06:57:48.186: %LINK-3-UPDOWN: Interfaz FastEthernet0/18, cambió el estado a
up Sep 20 06:57:49.193: %LINEPROTO-5-UPDOWN: Protocolo de línea en la interfaz
FastEthernet0/18, cambió el estado a up

Puede utilizar el comando show interface type number status o show port-security interface
type number para verificar el estado actual del puerto. Para restaurar el puerto, primero debe apagar
manualmente la interfaz y luego reactivarla, como en el Ejemplo 20-8.

Mitigación de amenazas en la LAN


Esta sección revisa las amenazas LAN y las técnicas de mitigación para los ataques VLAN, los ataques
DHCP y los ataques ARP.
Modificación de la VLAN nativa y de gestión
La especificación IEEE 802.1Q define una VLAN nativa para mantener la compatibilidad con el tráfico
no etiquetado que es común en los escenarios de las redes LAN heredadas. Una VLAN nativa sirve
como identificador común en los extremos opuestos de un enlace troncal.VLAN 1 es la VLAN nativa
por defecto.
186 31 días antes de su examen CCNA

Una VLAN de gestión es cualquier VLAN configurada para acceder a las capacidades de gestión de un
conmutador. La VLAN 1 es la VLAN de gestión por defecto. A la VLAN de gestión se le asigna una
dirección IP y una máscara de subred, lo que permite gestionar el conmutador a través de HTTP,
Telnet, SSH o SNMP.
Es una buena práctica configurar la VLAN nativa como una VLAN no utilizada, distinta de la VLAN 1
y de otras VLAN. De hecho, no es inusual dedicar una VLAN fija para servir el papel de la VLAN
nativa para todos los puertos troncales en el dominio conmutado. Asimismo, la VLAN de gestión debe
configurarse como algo distinto a la VLAN 1. La VLAN de gestión y la VLAN nativa pueden configurarse
como la misma VLAN, como en el ejemplo 20-9.

Ejemplo 20-9 Configuración de la VLAN nativa y de gestión

S1(config)# vlan 86
S1(config-vlan)# nombre Gestión&Nativa
S1(config-vlan)# interfaz vlan 86
*Jul 13 14:14:04.840: %LINEPROTO-5-UPDOWN: Protocolo de línea en la interfaz
Vlan86, ha cambiado el estado a down
S1(config-if)# dirección ip 10.10.86.10 255.255.255.0
S1(config-if)# no shutdown
S1(config-if)# ip default-gateway
10.10.86.254 S1(config)# interface range
fa0/21 - 24 S1(config-if-range)# switchport
mode trunk
S1(config-if-range)# switchport trunk native vlan 86
S1(config-if-range)#
*Jul 13 14:15:55.499: %LINEPROTO-5-UPDOWN: Protocolo de línea en la interfaz
Vlan86, ha cambiado de estado a up
S1(config-if-range)#

En primer lugar, se crea una VLAN que se utilizará para la gestión y la VLAN nativa. A continuación,
activando la interfaz VLAN 86, el switch puede ser gestionado remotamente. Por último, se configuran
estáticamente los puertos troncales y se establece la VLAN 86 como VLAN nativa para todo el tráfico
no etiquetado. Una vez configurada, se activa la interfaz VLAN 86.

Ataques VLAN
Los ataques a la VLAN pueden lanzarse de tres maneras:

■ Suplantación de mensajes del Protocolo de Troncalidad Dinámica (DTP): La


suplantación de mensajes DTP desde el host atacante puede hacer que el switch entre en modo
trunking. Desde aquí, el atacante puede enviar tráfico etiquetado con la VLAN de destino, y el
conmutador entonces entrega los paquetes al destino.

■ Introducir un switch falso y habilitar el trunking: Después de hacer esto, un atacante


puede acceder a todas las VLANs del switch víctima desde el switch rogue.

■ Montar un ataque de doble etiquetado (o doble encapsulado): Este tipo de ataque de salto
de VLAN se aprovecha del funcionamiento del hardware de la mayoría de los conmutadores. Un
actor de la amenaza en situaciones específicas podría incrustar una etiqueta 802.1Q oculta
dentro de la trama que ya tiene una etiqueta 802.1Q. Esta etiqueta permite que la trama vaya a
una VLAN que la etiqueta 802.1Q original no especificaba.
Día 20 187

Mitigación de ataques VLAN


Utilice los siguientes pasos para mitigar los ataques de salto de VLAN:

Paso 1. Desactivar las negociaciones DTP (auto trunking) en los puertos no trunking utilizando la opción
comando de configuración de la interfaz switchport mode access.

Paso 2. Desactivar los puertos no utilizados y ponerlos en una VLAN no utilizada.

Paso 3. Habilite manualmente el enlace troncal en un puerto de trunking utilizando el


comando switchport mode trunk.
Paso 4. Desactive las negociaciones DTP (auto trunking) en los puertos trunking utilizando el
comando switchport nonegotiate.
Paso 5. Establezca la VLAN nativa en una VLAN distinta de la VLAN 1 mediante el comando
switchport trunk native vlan vlan_number.
Por ejemplo, supongamos lo siguiente:

■ Los puertos FastEthernet 0/1 a fa0/16 son puertos de acceso activos.

■ Los puertos FastEthernet 0/17 a 0/24 no están actualmente en uso.

■ Los puertos FastEthernet 0/21 a 0/24 son puertos troncales.

El salto de VLAN se puede mitigar implementando la siguiente configuración, como se muestra en el


Ejemplo 20-10:

■ El trunking está desactivado en los puertos FastEthernet 0/1 a 0/16.

■ Los puertos FastEthernet 0/17 a 0/20 tienen asignada una VLAN no utilizada.

■ Los puertos FastEthernet 0/21 a 0/24 se habilitan manualmente como troncales con DTP
desactivado. La VLAN nativa también se cambia de la VLAN 1 por defecto a la VLAN 86.

Ejemplo 20-10 Mitigación de ataques de salto de VLAN

S1(config)# rango de interfaces fa0/1 -


16 S1(config-if-range)# switchport mode
access S1(config-if-range)# exit
S1(config)#
S1(config)# interface range fa0/17 - 20
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan
999 S1(config-if-range)# exit
S1(config)#
S1(config)# interface range fa0/21 - 24
S1(config-if-range)# switchport mode
trunk S1(config-if-range)# switchport
nonegotiate
S1(config-if-range)# switchport trunk native vlan 86
S1(config-if-range)# end
S1#
188 31 días antes de su examen CCNA

Ataques al DHCP
Dos tipos de ataques a DHCP son el DHCP starvation y el DHCP spoofing. Ambos ataques se
mitigan implementando DHCP snooping.

Ataques de hambre de DHCP


El objetivo de un ataque de inanición de DHCP es crear una condición de denegación de servicio
para los clientes conectados. Los ataques de inanición DHCP requieren una herramienta de ataque
como Gobbler. Gobbler mira todo el ámbito de direcciones IP arrendables e intenta arrendarlas todas.
En concreto, crea mensajes de descubrimiento DHCP con direcciones MAC falsas.

Ataques de Spoofing DHCP


Un ataque de spoofing de DHCP ocurre cuando un servidor DHCP falso se conecta a la red y
proporciona parámetros de configuración IP falsos a clientes legítimos. Por ejemplo, en la Figura 20-6,
R1 está configurado para retransmitir las peticiones DHCP al servidor DHCP conectado a R2.

Figura 20-6 Servidor DHCP Rogue interceptando solicitudes DHCP


Servidor de
autenticaci
ón
Solicitante Autentificador (RADIUS)

Requiere acceso y Controla el acceso Realiza la


responde a las físico a la red en autenticación
solicitudes del función del estado de del cliente.
conmutador. autenticación del
cliente.
Sin embargo, el servidor DHCP falso conectado a SW1 responde primero a la solicitud DHCP de
PC1. PC1 acepta la oferta de DHCP y establece el servidor DHCP falso como puerta de enlace
predeterminada.

Snooping DHCP
Para protegerse de los ataques a DHCP, DHCP snooping utiliza el concepto de puertos de
confianza y no confianza. Como muestra la Figura 20-7, SW2, R1 y el servidor DHCP están
conectados a puertos de confianza en SW1. Los otros dispositivos, incluyendo el punto de acceso
inalámbrico, están conectados a puertos no confiables.

Figura 20-7 Puertos de confianza y no confianza

TrustedUntrusted
SW1

SW1
R1

DHCP
Servidor
Día 20 189

Algunas características críticas de una configuración de DHCP snooping son las siguientes:

■ Puertos de confianza: Los puertos de confianza permiten todos los mensajes DHCP entrantes.

■ Puertos no confiables, mensajes de servidor: Los puertos no confiables descartan todos


los mensajes entrantes que se consideran mensajes de servidor.

■ Puertos no confiables, mensajes de clientes: Los puertos no confiables aplican una lógica
más compleja para los mensajes considerados de cliente. Comprueban si cada mensaje DHCP
entrante entra en conflicto con la información de la tabla de vinculación DHCP existente; si es así,
descartan el mensaje DHCP. Si el mensaje no tiene conflictos, el conmutador permite el paso del
mensaje, lo que suele dar lugar a la adición de nuevas entradas en la tabla de vinculación
DHCP.

■ Limitación de velocidad: Esta función limita opcionalmente el número de mensajes DHCP


recibidos por segundo por puerto.
Siga los siguientes pasos para activar DHCP snooping:

Paso 1. Habilite el DHCP snooping mediante el comando de configuración global ip


dhcp snooping.
Paso 2. En los puertos de confianza, utilice el comando de configuración de interfaz ip dhcp snooping
trust.

Paso 3. Limite el número de mensajes de descubrimiento DHCP que se pueden recibir por
segundo en los puertos no confiables utilizando el comando de configuración de
interfaz ip dhcp snooping limit rate number. Esto ayuda a mitigar los ataques de
inanición de DHCP.
Paso 4. Habilite DHCP snooping por VLAN o por un rango de VLANs utilizando el
comando de configuración global ip dhcp snooping vlan.
Para un escenario sencillo, considere la topología de la Figura 20-8.

Figura 20-8 Topología de configuración de DHCP Snooping

Servidor
F0/5S1 F0/1
DHCP 192.168.10.10

Puerto de

confianza Puerto de

no confianza

El ejemplo 20-11 muestra cómo configurar y verificar DHCP snooping en S1.

Ejemplo 20-11 Configuración y verificación de DHCP Snooping


S1(config)# ip dhcp snooping
S1(config)# interfaz f0/1
S1(config-if)# ip dhcp snooping trust
S1(config-if)# exit
S1(config)# rango de interfaz f0/5 - 24
190 31 días antes de su examen CCNA

S1(config-if-range)# ip dhcp snooping limit rate 6


S1(config-if)# exit
S1(config)# ip dhcp snooping vlan 5,10,50-52
S1(config)# end
S1# show ip dhcp snooping
Switch DHCP snooping está activado
DHCP snooping está configurado en las siguientes VLAN:
5,10,50-52
DHCP snooping está operativo en las siguientes VLAN:
ninguno
DHCP snooping está configurado en las siguientes interfaces L3:
Se habilita la inserción de la opción 82
circuit-id formato por defecto: vlan-
mod-port remote-id: 0cd9.96d2.3f80
(MAC)
La opción 82 en un puerto no fiable no está
permitida La verificación del campo hwaddr
está activada La verificación del campo
giaddr está activada
DHCP snooping trust/rate se configura en las siguientes Interfaces:
InterfaceTrustedAllow
optionRate limit (pps)

FastEthernet0/1yesunlimited
Circuitos personalizados:
FastEthernet0/5nono6
Circuitos personalizados:
FastEthernet0/6nono6
Circuitos personalizados:
S1# show ip dhcp snooping binding
MacAddressIpAddressLease(sec) TipoVLAN
Interfaz

00:03:47:B5:9F:AD 192.168.10.10193185dhcp-snooping
5FastEthernet0/5 S1#

Ataques ARP
En las redes LAN Ethernet, se permite a los hosts enviar una respuesta no solicitada del Protocolo de
Resolución de Direcciones (ARP) llamada mensaje ARP gratuito. Estos mensajes ARP hacen que
todos los demás hosts de la LAN almacenen la dirección MAC y la dirección IP en sus cachés ARP. El
problema es que un atacante puede enviar un mensaje ARP gratuito que contenga una dirección MAC
falsa a un conmutador, y éste actualizará su tabla MAC en consecuencia. Por lo tanto, cualquier host
puede pretender ser el propietario de cualquier combinación de direcciones IP y MAC.
Por ejemplo, en la Figura 20-9, R1 y PC1 han eliminado la entrada correcta de la dirección MAC
del otro y la han sustituido por la dirección MAC de PC2. El actor de la amenaza ha envenenado las
cachés ARP de todos los dispositivos de la subred. El envenenamiento de ARP conduce a varios
ataques man-in-the-middle, planteando un
Día 20 191

una grave amenaza para la seguridad de la red. Todo el tráfico entre R1 y PC1 fluirá ahora a través del
PC2 del actor de la amenaza.

Figura 20-9 Ataque de envenenamiento de


ARP con éxito
PC2 ARP Cache
Dirección Dirección
IP: 10.0.0.12 IP MAC
MAC: CC:CC:CC PC2 10.0.0.1 AA:AA:AA
10.0.0.11 BB:BB:BB

PC1
IP: 10.0.0.11 IP: 10.0.0.1R1
MAC: BB:BB:BB
MAC: AA:AA:AA

PC1 ARP CacheR1 ARP Cache

Dirección Dirección Direcció Dirección


IP MAC n IP MAC
10.0.0.1 CC:CC:CC 10.0.0.1 CC:CC:CC
10.0.0.12 CC:CC:CC 1

Nota: Las direcciones MAC se muestran como 24 bits para simplificar.

Inspección dinámica de ARP


Para evitar la suplantación de ARP y el envenenamiento de ARP, un conmutador debe asegurarse
de que sólo se retransmitan solicitudes y respuestas ARP válidas. La inspección dinámica de ARP
(DAI) requiere DHCP snooping y ayuda a prevenir los ataques ARP haciendo lo siguiente:

■ No retransmitir respuestas ARP inválidas o gratuitas a otros puertos de la misma VLAN

■ Interceptar todas las solicitudes y respuestas ARP en puertos no confiables

■ Verificación de cada paquete interceptado para un enlace válido entre IP y MAC

■ Descartar y registrar las respuestas ARP procedentes de una fuente no válida para evitar el
envenenamiento de ARP

■ Error al deshabilitar la interfaz si se excede el número de paquetes ARP configurado en el DAI

Para mitigar las posibilidades de suplantación de ARP y envenenamiento de ARP, siga estas
directrices de implementación de DAI:

■ Habilitar el DHCP snooping globalmente.

■ Activar DHCP snooping en las VLANs seleccionadas.


192 31 días antes de su examen CCNA

■ Habilitar DAI en las VLANs seleccionadas.

■ Configurar interfaces de confianza para DHCP snooping e inspección ARP.

La topología de la Figura 20-10 identifica los puertos de confianza y de no confianza

Figura 20-10 Puertos de confianza y de no confianza para la configuración de DAI

PC1

F0/1
F0/24
S1 R1
F0/2

Puerto de confianza
Puerto no fiable

PC2

En la Figura 20-10, S1 está conectando dos usuarios en la VLAN 10. En el Ejemplo 20-12, DAI está
configurado para mitigar los ataques de ARP spoofing y ARP poisoning. Observe que DHCP snooping
está habilitado porque DAI requiere la tabla de enlace de DHCP snooping para operar.

Ejemplo 20-12 Configuración DAI

S1(config)# ip dhcp snooping


S1(config)# ip dhcp snooping vlan
10 S1(config)# ip arp inspection
vlan 10 S1(config)# interface
fa0/24 S1(config-if)# ip dhcp
snooping trust
S1(config-if)# ip arp inspection trust

DAI también puede configurarse para comprobar tanto las direcciones MAC como las IP de
destino o de origen con el comando ip arp inspection validate. Sólo se puede configurar un
comando. Introducir varios comandos ip arp inspection validate sobrescribe el comando anterior.
Para incluir más
más de un método de validación, introdúzcalos en la misma línea de comandos, como se muestra y
verifica en el Ejemplo 20-13.
Día 20 193

Ejemplo 20-13 Configuración de DAI para validar direcciones MAC e IP

S1(config)# ip arp inspection validate ?


dst-mac Validar la dirección MAC de
destino ipValidar las direcciones IP
src-mac Validar la dirección MAC de origen
S1(config)# ip arp inspection validate src-
mac S1(config)# ip arp inspection validate
dst-mac S1(config)# ip arp inspection
validate ip S1(config)# do show run |
include validate
ip arp inspection validate ip
S1(config)# ip arp inspection validate src-mac dst-mac ip
S1(config)# do show run | include validate
ip arp inspection validate src-mac dst-mac ip
S1(config)#

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.

Recursos Módulo o capítulo


Academia de Redes Cisco: CCNA2 10
11
Guía oficial del CCNA 200-301, volumen 1 6
Guía oficial del CCNA 200-301, volumen 2 4
8
Guía del mando portátil 20
22
Esta página se ha dejado intencionadamente en blanco
Conceptos básicos de enrutamiento

Temas del examen CCNA 200-301


■ Explicar el papel y la función de los componentes de la red

■ Determinar cómo un router toma una decisión de reenvío por defecto

Temas clave
Hoy repasaremos los conceptos básicos de enrutamiento, incluyendo exactamente cómo un paquete es
procesado por los dispositivos intermediarios (routers) en su camino desde el origen hasta el destino. A
continuación, revisaremos los métodos básicos de enrutamiento, incluyendo las rutas conectadas,
estáticas y dinámicas. Concluimos el repaso del día con una inmersión profunda en el funcionamiento
de los protocolos de enrutamiento dinámico.

Reenvío de paquetes
El reenvío de paquetes por parte de los routers se realiza a través de las funciones de
determinación de la ruta y de conmutación. La función de determinación de la ruta es el proceso
que utiliza el router para determinar la ruta que debe utilizar al reenviar un paquete. Para determinar
la mejor ruta, el router busca en su tabla de enrutamiento una dirección de red que coincida con la
dirección IP de destino del paquete.
Esta búsqueda da como resultado una de las tres determinaciones de la trayectoria:

■ Red conectada directamente: Si la dirección IP de destino del paquete pertenece a un


dispositivo en una red que está directamente conectada a una de las interfaces del router, ese
paquete se reenvía directamente a ese dispositivo. Esto significa que la dirección IP de destino del
paquete es una dirección de host en la misma red que la interfaz de este router.

■ Red remota: Si la dirección IP de destino del paquete pertenece a una red remota, el paquete
se reenvía a otro router. Sólo se puede acceder a las redes remotas reenviando los paquetes a otro
router.

■ No se ha determinado la ruta: Si la dirección IP de destino del paquete no pertenece a una


red conectada o remota y el router no tiene una ruta por defecto, el paquete se descarta. El router
envía un mensaje de protocolo de mensajes de control de Internet (ICMP) inalcanzable a la
dirección IP de origen del paquete.
En los dos primeros resultados, el router completa el proceso conmutando el paquete por la interfaz
correcta. Lo hace reencapsulando el paquete IP en el formato de trama de enlace de datos de Capa 2
apropiado para la interfaz de salida. El tipo de interfaz determina el tipo de encapsulación de Capa 2. Por
ejemplo, si la interfaz de salida es Fast Ethernet, el paquete se encapsula en una trama Ethernet. Si la
interfaz de salida es una interfaz serie configurada para PPP, el paquete IP se encapsula en una trama
PPP.
196 31 días antes de su examen CCNA

Ejemplo de determinación de la trayectoria y función de


conmutación
Repasemos el proceso de determinación de la ruta y las funciones de conmutación que realizan los
routers cuando un paquete viaja del origen al destino. Consideremos la topología de la Figura 19-1 y los
siguientes pasos:

Figura 19-1 Topología de ejemplo de reenvío de paquetes


192.168.1.0/24192.168.2.0/24192.168.3.0/24192.168.4.0/24

PC1
.1 .1 .2 .1 .1 PC2
S0/0/0 .2
G0/0 R1G0/1 G0/0 R2 S0/0/0 R3G0/0
00-10 00-20 0B-31 0C-22
192.168.1.10 192.168.4.10
0A-10 0B-20

NOTA: Por razones de brevedad, la Figura 19-1 muestra sólo los dos últimos octetos de la dirección

MAC.

Paso 1. PC1 tiene un paquete para enviar a PC2. Usando la operación AND en la dirección IP
de destino y la máscara de subred de PC1, PC1 ha determinado que las direcciones IP de
origen y destino están en diferentes redes. Por lo tanto, PC1 comprueba su tabla de
Protocolo de Resolución de Direcciones (ARP) para la dirección IP de la puerta de
enlace por defecto y su dirección MAC asociada. A continuación, encapsula el paquete
en una cabecera Ethernet y lo reenvía a R1.
Paso 2. El router R1 recibe la trama Ethernet. El router R1 examina la dirección MAC de
destino, que coincide con la dirección MAC de la interfaz receptora, G0/0. Por lo tanto, el
R1 copia la trama en su buffer para ser procesada.
R1 decapsula la trama Ethernet y lee la dirección IP de destino. Como no coincide con
ninguna de las redes conectadas directamente de R1, el router consulta su tabla de
enrutamiento para enrutar este paquete.
R1 busca en la tabla de enrutamiento una dirección de red y una máscara de subred que
incluyan la dirección IP de destino de este paquete como una dirección de host en esa red.
Selecciona la entrada con la coincidencia más larga (prefijo más largo). R1 encapsula el
paquete en el formato de trama apropiado para la interfaz de salida y conmuta la trama a
la interfaz (G0/1 en este ejemplo). A continuación, la interfaz la reenvía al siguiente
salto.
Paso 3. El paquete llega al router R2. R2 realiza las mismas funciones que R1, pero esta vez, la
interfaz de salida es una interfaz serie, no Ethernet. Por lo tanto, R2 encapsula el paquete en
el formato de trama apropiado para la interfaz serie y lo envía a R3. Para este ejemplo,
supongamos que la interfaz está utilizando el control de enlace de datos de alto nivel
(HDLC), que utiliza la dirección de enlace de datos 0x8F. Recuerda que las interfaces serie
no utilizan direcciones MAC.
Paso 4. El paquete llega a R3. R3 decapsula la trama HDLC del enlace de datos. La búsqueda en
la tabla de enrutamiento da como resultado una red que es una de las redes
conectadas directamente de R3.
Como la interfaz de salida es una red Ethernet conectada directamente, R3 necesita resolver
la dirección IP de destino del paquete con una dirección MAC de destino.
R3 busca la dirección IP de destino del paquete, 192.168.4.10, en su caché ARP. Si la
entrada no está en la caché ARP, R3 envía una solicitud ARP por su interfaz G0/0.
PC2 devuelve una respuesta ARP con su dirección MAC. R3 actualiza su caché ARP con
una entrada para 192.168.4.10 y la dirección MAC devuelta en la respuesta ARP.
Día 19 197

El paquete IP se encapsula en una nueva trama Ethernet de enlace de datos y se


envía por la interfaz G0/0 de R3.
Paso 5. La trama Ethernet con el paquete IP encapsulado llega a PC2. El PC2 examina la
dirección MAC de destino, que coincide con la dirección MAC de la interfaz receptora, es
decir, su propia NIC Ethernet. Por lo tanto, PC2 copia el resto de la trama. PC2 ve que el
campo Tipo de Ethernet es 0x800, lo que significa que la trama Ethernet contiene un
paquete IP en la parte de datos de la trama. PC2 decapsula la trama Ethernet y pasa el
paquete IP al proceso IP de su sistema operativo.

Métodos de enrutamiento
Un router puede aprender rutas de tres fuentes básicas:

■ Rutas conectadas directamente: Se introducen automáticamente en la tabla de


enrutamiento cuando se activa una interfaz con una dirección IP

■ Rutas estáticas: Configuradas manualmente por el administrador de la red e introducidas en


la tabla de enrutamiento si la interfaz de salida de la ruta estática está activa

■ Rutas dinámicas: Aprendidas por los routers al compartir rutas con otros routers que
utilizan el mismo protocolo de enrutamiento
En muchos casos, la complejidad de la topología de la red, el número de redes y la necesidad de que
la red se ajuste automáticamente a los cambios requieren el uso de un protocolo de enrutamiento
dinámico. El enrutamiento dinámico tiene ciertamente varias ventajas sobre el enrutamiento estático;
sin embargo, las redes siguen utilizando el enrutamiento estático. De hecho, las redes suelen utilizar
una combinación de enrutamiento estático y dinámico.
La Tabla 19-1 compara las características del enrutamiento dinámico y estático. A partir de esta
comparación, se pueden enumerar las ventajas de cada método de enrutamiento. Las ventajas de un
método son las desventajas del otro.

Tabla 19-1 Enrutamiento dinámico frente a estático


Característica Enrutamiento dinámico Enrutamiento estático
Complejidad de la En general, sigue siendo Aumenta con el tamaño de la red
configuración independiente del tamaño de la
red
Conocimientos de Requiere conocimientos avanzados No requiere conocimientos
administrador adicionales
necesarios
Cambios en la Se adapta automáticamente a los Requiere la
topología cambios de topología intervención del
administrador
Escala Adecuado para topologías Adecuado para topologías
simples y complejas sencillas
Seguridad Menos seguro Más seguridad
Uso de recursos Utiliza la CPU, la memoria y el ancho No requiere recursos adicionales
de banda del enlace
Previsibilidad Utiliza una ruta que depende de la Utiliza siempre la misma ruta
topología actual hacia el destino
198 31 días antes de su examen CCNA

Clasificación de los protocolos de


enrutamiento dinámico
La Figura 19-2 muestra una línea de tiempo de los protocolos de enrutamiento IP, junto con una
tabla que le ayudará a memorizar las distintas formas de clasificar los protocolos de enrutamiento.

Figura 19-2 Evolución y clasificación de los protocolos de enrutamiento


19821985198819901992199519992000
OSPFv2RIPv2 RIPng
BGPv6 &
EGP IGRP RIPv1 IS-ISEIGRP BGP OSPFv3 IS-ISv6

1991 1994 1997

Protocolos de pasarela interiorProtocolos


de pasarela exterior

Protocolos de enrutamiento vectorial de distanciaProtocolos de


enrutamiento de estado de enlaceVector de ruta

RIP IGRP EGP


Clase

RIP EIGRP BGPv4


Sin clase v2
OSPFv2IS-IS

EIGRP para
RIP OSPFv3IS-IS IPv MP BGP-4
IPv6 para
ng 6 (IPv6)
IPv6

Los protocolos de enrutamiento se clasifican en diferentes grupos según sus características:

■ IGP o EGP

■ Vector de distancia o estado del enlace

■ Con o sin clase

IGP y EGP
Un sistema autónomo (AS) es un conjunto de routers bajo una administración común que presenta
una política de enrutamiento común y claramente definida a Internet. Los ejemplos típicos son la red
interna de una gran empresa y la red de un ISP. La mayoría de las redes empresariales no son sistemas
autónomos;
en la mayoría de los casos, la red de una empresa es una red dentro del sistema autónomo de su ISP.
Como Internet se basa en el concepto de sistema autónomo, se necesitan dos tipos de protocolos
de encaminamiento:

■ Protocolos de pasarela interior (IGP): Se utiliza para el enrutamiento intra-AS, es decir, el


enrutamiento dentro de un AS

■ Protocolos de pasarela exterior (EGP): Se utiliza para el enrutamiento entre sistemas


autónomos.
Protocolos de enrutamiento por vector distancia
El vector distancia significa que las rutas se anuncian como vectores de distancia y dirección. La
distancia se define en términos de una métrica, como el número de saltos, y la dirección es el
enrutador del siguiente salto o la cara de salida. Los protocolos de vector distancia suelen utilizar el
algoritmo de Bellman-Ford para determinar la mejor ruta.
Día 19 199

Algunos protocolos de vector distancia envían periódicamente tablas de enrutamiento completas a


todos los vecinos conectados. En las redes grandes, estas actualizaciones de enrutamiento pueden
llegar a ser enormes, causando un tráfico significativo en los enlaces.
Aunque el algoritmo de Bellman-Ford acaba acumulando suficiente conocimiento para
mantener una base de datos de redes alcanzables, el algoritmo no permite que un router conozca
la topología exacta de una red interna. El enrutador sólo conoce la información de
enrutamiento recibida de sus vecinos.
Los protocolos de vector distancia utilizan los routers como señales a lo largo del camino hacia el
destino final. La única información que un router conoce sobre una red remota es la distancia o
métrica para llegar a esa red y qué camino o interfaz utilizar para llegar a ella. Un protocolo de
enrutamiento de vector distancia no tiene un mapa de la topología de la red.
Los protocolos de vectores de distancia funcionan mejor en estas situaciones:

■ Cuando la red es simple y plana y no requiere un diseño jerárquico

■ Cuando los administradores no tienen suficientes conocimientos para configurar y


solucionar los protocolos de estado de enlace

■ Cuando se implementan tipos específicos de redes, como las redes hub-and-


spoke

■ Cuando los tiempos de convergencia en el peor de los casos en una red no son una preocupación

Protocolos de enrutamiento de estado de enlace


A diferencia del funcionamiento del protocolo de enrutamiento vectorial de distancia, un router
configurado con un protocolo de enrutamiento de estado de enlace puede crear una visión completa, o
topología, de la red mediante la recopilación de información de todos los demás routers. Piensa en un
protocolo de enrutamiento de estado de enlace como si tuviera un mapa completo de la topología de la
red. Las señales a lo largo del camino desde el origen hasta el destino no son necesarias porque
todos los routers link-state utilizan un mapa idéntico de la red. Un router de estado de enlace utiliza la información
de estado de enlace para crear un mapa de topología y seleccionar la mejor ruta a cada red de destino en
la topología.

Con algunos protocolos de enrutamiento de vector distancia, los routers envían periódicamente
actualizaciones de su información de enrutamiento a sus vecinos. Los protocolos de enrutamiento
de estado de enlace no utilizan actualizaciones periódicas. Una vez que la red ha convergido, sólo
se envía una actualización de estado de enlace cuando cambia la topología.
Los protocolos de estado de enlace funcionan mejor en estas situaciones:

■ Cuando el diseño de la red es jerárquico, como suele ocurrir en las grandes redes

■ Cuando los administradores tienen un buen conocimiento del protocolo de


enrutamiento de estado de enlace implementado

■ Cuando la convergencia rápida de la red es crucial


200 31 días antes de su examen CCNA

Protocolos de enrutamiento de clase


Los protocolos de enrutamiento de clase no envían información sobre la máscara de subred en las
actualizaciones de enrutamiento. Los primeros protocolos de enrutamiento, como el Protocolo de
Información de Enrutamiento (RIP), eran de clase. Cuando se crearon estos protocolos, las direcciones
de red se asignaban en función de la clase: Clase A, B o C. Un protocolo de enrutamiento no necesitaba
incluir la máscara de subred en la actualización de enrutamiento porque la máscara de red podía
determinarse basándose en el primer octeto de la dirección de red.
Los protocolos de enrutamiento de clase todavía pueden utilizarse en algunas redes actuales, pero
como no incluyen la máscara de subred, no pueden utilizarse en todas las situaciones. Los protocolos
de enrutamiento con clase no pueden utilizarse cuando una red está sujeta a más de una máscara de
subred. En otras palabras, los protocolos de enrutamiento con clase no admiten el
enmascaramiento de subred de longitud variable (VLSM).
Los protocolos de enrutamiento de clase tienen otras limitaciones, como su incapacidad para soportar
redes discontinuas y superredes. Los protocolos de enrutamiento de clase incluyen el Protocolo de
Información de Enrutamiento versión 1 (RIPv1) y el Protocolo de Enrutamiento de Pasarela Interior
(IGRP). Los temas del examen CCNA no incluyen ni RIPv1 ni IGRP.

Protocolos de enrutamiento sin clase


Los protocolos de enrutamiento sin clase incluyen la máscara de subred con la dirección de red en
las actualizaciones de enrutamiento. Las redes actuales ya no se asignan en función de la clase, y la
máscara de subred no puede determinarse por el valor del primer octeto. Los protocolos de
enrutamiento sin clase son necesarios en la mayoría de las redes de hoy en día debido a su
compatibilidad con VLSM y las redes y superredes discontinuas. Los protocolos de enrutamiento sin
clase incluyen el Protocolo de Información de Enrutamiento versión 2 (RIPv2), IGRP mejorado
(EIGRP), Open Shortest Path First (OSPF), Sistema Intermedio a Sistema Intermedio (IS-IS) y el
Protocolo de Pasarela Fronteriza (BGP).

Métricas de enrutamiento dinámico


En algunos casos, un protocolo de enrutamiento conoce más de una ruta hacia el mismo destino
desde la misma fuente de enrutamiento. Para seleccionar la mejor ruta, el protocolo de enrutamiento
debe ser capaz de evaluar y diferenciar entre las rutas disponibles. Para ello se utiliza una métrica. Dos
protocolos de enrutamiento diferentes pueden elegir caminos diferentes hacia el mismo destino
porque utilizan métricas diferentes. Las métricas utilizadas en los protocolos de enrutamiento IP
incluyen las siguientes:

■ Recuento de saltos RIP: El mejor camino se elige por la ruta con el menor número de saltos.

■ IGRP y EIGRP: ancho de banda, retraso, fiabilidad y carga: La mejor ruta es elegida
por la ruta con el menor valor métrico compuesto calculado a partir de estos múltiples
parámetros. Por defecto, sólo se utilizan el ancho de banda y el retardo.

■ IS-IS y OSPF-Cost: El mejor camino se elige por la ruta con el menor coste. La
implementación de Cisco de OSPF utiliza el ancho de banda para determinar el coste.
La métrica asociada a una determinada ruta puede verse mejor utilizando el comando show ip
route. El valor de la métrica es el segundo valor entre paréntesis de una entrada de la tabla de
enrutamiento. En el Ejemplo 19-1, R2 tiene una ruta a la red 192.168.8.0/24 que está a dos saltos.
Día 19 201

Ejemplo 19-1 Tabla de enrutamiento para R2

R2# show ip route

<salida omitida>

La pasarela de último recurso no está configurada

R192.168.1.0/24 [120/1] vía 192.168.2.1, 00:00:20, Serial0/0/0


192.168.2.0/24 tiene una subred variable, 2 subredes, 2
máscaras C192.168.2.0/24 está conectada
directamente, Serial0/0/0
L192.168.2.2/32 está conectada directamente,
Serial0/0/0 192.168.3.0/24 tiene una subred variable, 2
subredes, 2 máscaras
C192.168.3.0/24 está conectada directamente,
GigabitEthernet0/0 L192.168.3.1/32 está conectada
directamente, GigabitEthernet0/0 192.168.4.0/24 está sujeta a
una subred variable, 2 subredes, 2 máscaras
C192.168.4.0/24 está conectado directamente,
Serial0/0/1 L192.168.4.2/32 está conectado
directamente, Serial0/0/1
R 192.168.5.0/24 [120/1] vía 192.168.4.1, 00:00:25, Serial0/0/1
R 192.168.6.0/24 [120/1] vía 192.168.2.1, 00:00:20, Serial0/0
[120/1] vía 192.168.4.1, 00:00:25, Serial0/0/1
R 192.168.7.0/24 [120/1] vía 192.168.4.1, 00:00:25, Serial0/0/1
R 192.168.8.0/24 [120/2] vía 192.168.4.1, 00:00:25, Serial0/0/1

Observe en la salida que una red, 192.168.6.0/24, tiene dos rutas. RIP equilibrará la carga entre
estas rutas de igual coste. Todos los demás protocolos de enrutamiento son capaces de equilibrar
automáticamente la carga del tráfico para un máximo de cuatro rutas de igual coste, por defecto. EIGRP
también es capaz de equilibrar la carga entre rutas de coste desigual.

Distancia administrativa
A veces un router aprende una ruta a una red remota desde más de una fuente de enrutamiento.
Por ejemplo, una ruta estática puede haber sido configurada para la misma red/máscara de subred
que fue aprendida dinámicamente por un protocolo de enrutamiento dinámico, como RIP. El router
debe elegir qué ruta instalar.
Aunque es menos común, se puede desplegar más de un protocolo de enrutamiento dinámico en la
misma red. En algunas situaciones, puede ser necesario enrutar la misma dirección de red usando
múltiples protocolos de enrutamiento, como RIP y OSPF. Debido a que los diferentes protocolos de
enrutamiento utilizan diferentes métricas-por ejemplo, RIP utiliza el conteo de saltos y OSPF utiliza el
ancho de banda-no es posible comparar las métricas para determinar la mejor ruta.
La distancia administrativa (AD) define la preferencia de una fuente de enrutamiento. Cada fuente de
enrutamiento -incluidos los protocolos de enrutamiento específicos, las rutas estáticas e incluso las
redes conectadas directamente- se prioriza en orden de mayor a menor preferencia, utilizando un valor
de AD. Los routers de Cisco utilizan la función AD para seleccionar la mejor ruta cuando conocen la
misma red de destino a través de dos o más fuentes de enrutamiento diferentes.
202 31 días antes de su examen CCNA

El valor AD es un valor entero de 0 a 255. Cuanto más bajo sea el valor, más preferida será la fuente de
la ruta. Una distancia administrativa de 0 es la más preferida. Sólo una red conectada directamente tiene
una AD de 0, que no se puede cambiar. Una AD de 255 significa que el router no creerá la fuente de esa
ruta, y no se instalará en la tabla de enrutamiento.
En la tabla de enrutamiento del Ejemplo 19-1, el valor AD es el primer valor que aparece entre
paréntesis.Puede ver que el valor AD para las rutas RIP es 120.También puede verificar el valor
AD con el comando show ip protocols, como lo demuestra el Ejemplo 19-2.

Ejemplo 19-2 Verificación del valor AD con el comando show ip protocols

R2# show ip protocols

El protocolo de enrutamiento es "rip"


La lista de filtros de actualización saliente para todas
las interfaces no está configurada La lista de filtros de
actualización entrante para todas las interfaces no está
configurada Envío de actualizaciones cada 30 segundos, la
próxima debe realizarse en 21 segundos No válida después de
180 segundos, mantener 180, eliminar después de 240
Redistribución: rip
Control de versión por defecto: enviar versión 1, recibir
cualquier versión InterfaceSend Recv Triggered RIP
Key-chain GigabitEthernet0/0 11 2
Serial0/0/011 2
Serial0/0/111 2
La integración automática de la red está en
vigor Ruta máxima: 4
Enrutamiento para
redes: 192.168.2.0
192.168.3.0
192.168.4.0
Fuentes de información de rutas:
GatewayDistance Última
actualización 192.168.2.
112000 :00:01
192.168.4. 112000:00:01
Distancia: (por defecto es 120)

R2#

La Tabla 19-2 muestra los diferentes valores de distancia administrativa para varios protocolos de
enrutamiento.

Tabla 19-2 Distancias administrativas por defecto


Fuente de la rutaAD
Conectado0
Estática1
Ruta resumen EIGRP5
Día 19
203

Fuente de la ruta AD
BGP externo 20
EIGRP interno 90
IGRP 100
OSPF 110
IS-IS 115
RIP 120
EIGRP externo 170
BGP interno 200

Resumen de la comparación del IGP


La Tabla 19-3 compara varias características de los IGPs más populares en la actualidad: RIPv2,
OSPF y EIGRP.

Tabla 19-3 Comparación de las características de los IGP: RIPv2, OSPF y EIGRP
Características RIPv2 OSPF EIGRP
Métrica Recuento de Ancho de banda Función de ancho
saltos de banda, retardo
Envía actualizaciones Sí (30 No No
periódicas segundos)
Actualizaciones de Completo Parcialmente Parcialmente
enrutamiento completas o
parciales
Dónde se envían las (224.0.0.9) (224.0.0.5, 224.0.0.6) (224.0.0.10)
actualizaciones
Ruta considerada 16 saltos Depende de MaxAge de Un retraso de todos
inalcanzable LSA, que nunca se los 1s
incrementa más allá de
3600 segundos
Admite el equilibrio de No No Sí
carga de coste desigual

Prevención de bucles de enrutamiento


Si no se toman medidas preventivas, los protocolos de enrutamiento por vector distancia pueden
provocar graves bucles de enrutamiento en una red. Un bucle de enrutamiento es una condición en la
que un paquete se transmite continuamente dentro de una serie de enrutadores sin llegar nunca a su red
de destino. Un bucle de enrutamiento puede ocurrir cuando dos o más enrutadores tienen información
de enrutamiento inexacta hacia una red de destino.
Existen varios mecanismos para eliminar los bucles de enrutamiento, principalmente con los
protocolos de enrutamiento de vector distancia. Entre estos mecanismos se encuentran los
siguientes:

■ Una métrica máxima para evitar que se cuente hasta el infinito: Para detener
eventualmente el incremento de una métrica durante un bucle de enrutamiento, se define el
infinito estableciendo un valor de métrica máxima. Por ejemplo, RIP define el infinito como 16
saltos, una métrica inalcanzable. Cuando los routers "cuentan hasta el infinito", marcan la ruta
como inalcanzable.
204 31 días antes de su examen CCNA

■ Temporizadores de retención: Los routers tienen instrucciones de retener cualquier cambio


que pueda afectar a las rutas durante un periodo de tiempo determinado. Si una ruta se identifica
como caída o posiblemente caída, cualquier otra información para esa ruta que contenga el mismo
estado, o peor, se ignora durante una cantidad de tiempo predeterminada (el periodo de
retención) para que la red tenga tiempo de converger.

■ Horizonte dividido: Se evita un bucle de enrutamiento al no permitir que los anuncios se


envíen de vuelta a través de la interfaz donde se originaron. La regla de horizonte dividido
impide que un router incremente una métrica y luego envíe la ruta de vuelta a su origen.

■ Envenenamiento de rutas o envenenamiento inverso: La ruta se marca como


inalcanzable en una actualización de enrutamiento que se envía a otros routers.
Inalcanzable se interpreta como una métrica que se ajusta al máximo.

■ Actualizaciones desencadenadas: Una actualización de la tabla de enrutamiento se


envía inmediatamente en respuesta a un cambio de enrutamiento. Las actualizaciones
activadas no esperan a que expiren los temporizadores de actualización. El router detector
envía inmediatamente un mensaje de actualización a los routers adyacentes.

■ Campo TTL en la cabecera IP: El campo TTL (Time To Live) evita una situación en la que un
paquete que no se puede entregar circula interminablemente por la red. Con el TTL, el
dispositivo de origen del paquete establece el campo de 8 bits con un valor. Este valor TTL se
reduce en 1 por cada router en la ruta hasta que el paquete llega a su destino. Si el valor TTL
llega a 0 antes de que el paquete llegue a su destino, el paquete se descarta y el router envía un
mensaje de error ICMP a la fuente del paquete IP.

Características del protocolo de enrutamiento


por estado de enlace
Al igual que los protocolos vectoriales de distancia envían actualizaciones de enrutamiento a sus
vecinos, los protocolos de estado de enlace envían actualizaciones de estado de enlace a los routers
vecinos, que a su vez reenvían esa información a sus vecinos, y así sucesivamente. Al igual que con
los protocolos vectoriales de distancia, al final del proceso, los routers que utilizan protocolos de estado
de enlace añaden las mejores rutas a sus tablas de enrutamiento, basándose en las métricas. Sin embargo,
más allá de este nivel de explicación, estos dos tipos de algoritmos de protocolo de enrutamiento
tienen poco en común.

Construir la LSDB
Los routers de estado de enlace envían información detallada sobre la red interna a todos los
demás routers, de modo que todos ellos tengan la misma información sobre la red interna. Los routers
utilizan esta base de datos de estado de enlace (LSDB) para calcular las mejores rutas actuales hacia
cada subred.
OSPF, el protocolo de enrutamiento IP de estado de enlace más popular, anuncia información en
mensajes de actualización de enrutamiento de varios tipos. Las actualizaciones contienen información
denominada anuncios de estado de enlace (LSA).
La Figura 19-3 muestra la idea general del proceso de inundación. El R8 está creando e inundando su
LSA de enrutador. Obsérvese que la Figura 19-3 muestra sólo un subconjunto de la información en
el LSA del router del R8.
La Figura 19-3 muestra el proceso básico de inundación. El R8 está enviando el LSA original para sí
mismo, y los otros routers están inundando el LSA reenviándolo hasta que cada router tenga una
copia.
Día 19 205

Figura 19-3 Inundación de LSAs usando un protocolo de enrutamiento de estado de enlace

R8 LSA R8 LSA

R2R3R4
R8 LSAR8LSA

R8 LSA R8 LSA R8 LSA Subred X


Fa0/0

R R R R8 172.16.3.1/
24 10
Coste
1 5 6

R8 LSA R8 LSA

R7
R8 Router LSA - Contenido parcial
ID del router:8.8.8.8
Int. Dirección IP: 172.16.3.1/24
Estado:UP
Coste:10

Una vez que se ha inundado el LSA, incluso si los LSA no cambian, los protocolos de estado de
enlace requieren un reflote periódico de los LSA por defecto cada 30 minutos. Sin embargo, si un
LSA cambia, el router inunda inmediatamente el LSA cambiado. Por ejemplo, si la interfaz LAN del
router R8 fallara, el R8 tendría que volver a inundar el LSA R8, indicando que la interfaz está
ahora caída.

Cálculo del algoritmo de Dijkstra


El proceso de inundación por sí solo no hace que un router aprenda qué rutas debe añadir a la
tabla de enrutamiento IP. Los protocolos de estado de enlace deben entonces encontrar y añadir
rutas a la tabla de enrutamiento IP utilizando el algoritmo Dijkstra shortest path first (SPF).
El algoritmo SPF se ejecuta en la LSDB para crear el árbol SPF. La LSDB contiene toda la información
sobre todos los posibles routers y enlaces. Cada router debe verse a sí mismo como el punto de partida y
a cada subred como el destino, y debe utilizar el algoritmo SPF para construir su propio árbol SPF
para elegir la mejor ruta a cada subred.
La Figura 19-4 muestra una vista gráfica de las posibilidades de ruta a partir de los resultados
del algoritmo SPF ejecutado por el enrutador R1 al tratar de encontrar la mejor ruta para
alcanzar la subred 172.16.3.0/24 (basada en la Figura 19-3).
Para elegir la mejor ruta, el algoritmo SPF de un router suma el coste asociado a cada enlace entre él y la
subred de destino sobre cada posible ruta. La Figura 19-4 muestra los costes asociados a cada ruta junto
a los enlaces. Las líneas discontinuas muestran las tres rutas que R1 encuentra entre sí y la subred X
(172.16.3.0/24).
206 31 días antes de su examen CCNA

Figura 19-4 Árbol SPF para encontrar la ruta de R1 a 172.16.3.0/24

Coste 10 Coste 30
R1
Coste 20

R2
Coste 60

R5
Coste 30

R7 R3
Coste 180 Coste 20

R6
Coste 40

R4
Coste 5

R8
Coste 10

Posible ruta Subred X


(172.16.3.0/24)

La Tabla 19-4 enumera las tres rutas mostradas en la Figura 19-2, con sus costos acumulados.Puede
ver que la mejor ruta de R1 hacia 172.16.3.0/24 comienza pasando por R5.

Tabla 19-4 Comparación de las tres alternativas de R1 para la ruta a 172.16.3.0/24


Ruta Ubicación en la Figura Coste acumulado
19-2
R1-R7-R8 Izquierda 10 + 180 + 10 = 200
R1-R5-R6-R8 Medio 20 + 30 + 40 + 10 = 100
R1-R2-R3-R4-R8 A la derecha 30 + 60 + 20 + 5 + 10 = 125

Como resultado del análisis del algoritmo SPF de la LSDB, R1 añade a su tabla de enrutamiento una
ruta a la subred 172.16.3.0/24, con R5 como enrutador de siguiente salto.

Convergencia con protocolos de estado de enlace


Recuerde que cuando un LSA cambia, los protocolos de estado de enlace reaccionan rápidamente,
convergiendo la red y utilizando las mejores rutas actuales tan rápido como sea posible. Por ejemplo,
imagine que el enlace entre R5 y R6 falla en la red interna de las Figuras 25-3 y 25-4. R1 entonces
utiliza el siguiente proceso para cambiar a una ruta diferente:
Paso 1. R5 y R6 inundan LSAs, indicando que sus interfaces están ahora en un estado de baja.

Paso 2. Todos los routers ejecutan de nuevo el algoritmo SPF para ver si ha cambiado alguna ruta.
Día 19 207

Paso 3. Todos los routers reemplazan las rutas, según sea necesario, basándose en los
resultados del SPF. Por ejemplo, R1 cambia su ruta para la subred X
(172.16.3.0/24) para utilizar R2 como el router de siguiente salto.
Estos pasos permiten que el protocolo de enrutamiento de estado de enlace converja
rápidamente, mucho más rápido que los protocolos de enrutamiento de vector distancia.

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.

Recursos Módulo o capítulo


Introducción a las redes v7.0 8
Fundamentos de conmutación, enrutamiento e 14
inalámbricos
Redes empresariales, seguridad y automatización 1
Guía oficial del CCNA 200-301, volumen 1 3
Esta página se ha dejado intencionadamente en blanco
Configuración básica del router

Temas del examen CCNA 200-301


■ Describir las características de las arquitecturas de topología de red

■ Identificar los problemas de la interfaz y del cable (colisiones, errores, desajuste de dúplex y/o
velocidad)

■ Configurar y verificar el direccionamiento y la subred IPv4

■ Configurar y verificar el direccionamiento y el prefijo IPv6

Temas clave
Hoy revisamos la configuración básica del router. En primer lugar, nos centramos en la configuración y
verificación de los ajustes iniciales, incluyendo el direccionamiento IPv4. Veremos los detalles del
comando show interface
para entender cómo puede ayudar a identificar los problemas de la interfaz y de los cables. Luego
revisamos el direccionamiento IPv6 y la verificación de la conectividad de la red. La mayor parte de
esto debería ser muy familiar en este punto de sus estudios porque estas habilidades son fundamentales
para todas las demás tareas de configuración del router. También repasamos la configuración de
pequeñas oficinas u oficinas domésticas (SOHO).

Configuración básica del router con IPv4


La Figura 18-1 muestra la topología y el esquema de direccionamiento IPv4 que utilizamos
hoy para revisar las tareas básicas de configuración y verificación del router.

Figura 18-1 Ejemplo de topología


IPv4
192.168.2.0/24 192.168.3.0/24
192.168.1.0/24

G0/0 S0/0/0 G0/0


PC1 PC2
R1DCE S0/0/0R2

Dispos Interfa Dirección IP Máscara de Pasarela por


itivo z subred defecto
G0/0 192.168.1.1 255.255.255.0 N/A
R1
S0/0/0 192.168.2.1 255.255.255.0 N/A
G0/0 192.168.3.1 255.255.255.0 N/A
R2
S0/0/0 192.168.2.2 255.255.255.0 N/A
PC1 N/A 192.168.1.10 255.255.255.0 192.168.1.1
PC2 N/A 192.168.3.10 255.255.255.0 192.168.3.1
Cuando se configura un router, se realizan ciertas tareas básicas:
■ Cómo nombrar el router

■ Establecer las contraseñas


210 31 días antes de su examen CCNA

■ Configuración de interfaces

■ Configurar un banner

■ Guardar los cambios en un router

■ Verificación de la configuración básica y de las operaciones del router

Sintaxis del comando


La Tabla 18-1 muestra la sintaxis de los comandos básicos de configuración del router
utilizados para configurar R1 en el siguiente ejemplo.

Tabla 18-1 Sintaxis de comandos de configuración básica


del router Tareas de configuración
Nombrar el routerRouter (config)# nombre de host

Configuración de contraseñasRouter(config )# enable secret password Router(config)#


line console 0 Router(config-line)#
password password Router(config-line)#
login Router(config)# line vty 0 15
Router(config-line)# transport input
ssh Router(config-line)# login local
Router(config)# nombre de usuario contraseña contraseña
Configurar un banner de mensaje
Router(config)# banner motd # mensaje #
del día
Configurar una interfazRouter (config)# número de tipo de interfaz

Router(config-if)# dirección ip máscara


Router(config-if)# descripción descripción
Router(config-if)# no shutdown
Guardar los cambios en un routerRouter# copy running-config startup-config
Examinar la salida de show
Router# show running-config
comandos
Router# show ip route
Router# show ip interface brief
Router# show interfaces

Ejemplo de configuración
Vamos a recorrer una configuración básica para R1. Primero, entre en el modo EXEC privilegiado y luego en el
modo de configuración global:
Router> habilitar
Router# config t
Día 18 211

A continuación, nombra el router e introduce la contraseña cifrada para entrar en el modo EXEC
privilegiado. Este comando anula el anterior comando enable password password, por lo que no vas a
introducir ese:
Router(config)# hostname R1
R1(config)# habilitar clase secreta

A continuación, configure la contraseña de la consola y exija que se introduzca con la contraseña de acceso:
R1(config)# línea consola 0
R1(config-line)# contraseña
cisco R1(config-line)# login

Configurar SSH y deshabilitar Telnet son las mejores prácticas de seguridad, así que configura las
líneas vty para usar sólo SSH:

NOTA: La configuración de SSH no se muestra aquí; se supone que ya está configurada.

R1(config)# línea vty 0 15


R1(config-line)# transport input ssh
R1(config-line)# login local
R1(config-line)# exit
R1(config)# nombre de usuario admin contraseña cisco

Encripta todas las contraseñas en texto plano de la configuración en ejecución mediante el


comando service-password encryption:
R1(config)# servicio-contraseña de encriptación

Configure el banner del mensaje del día (MOTD). Se utiliza un carácter delimitador como el # tanto
al principio como al final del mensaje. Como mínimo, un banner debe advertir contra el acceso no
autorizado. Una buena política de seguridad prohíbe configurar un banner que dé la bienvenida a un
usuario no autorizado:
R1(config)# banner motd
Introduzca un mensaje de texto . Termine con el carácter '#'.
******************************************
WARNING!! Prohibido el acceso no autorizado!!
******************************************
#

Ahora configure las interfaces individuales del router con direcciones IP y otra información. En primer
lugar, entre en el modo de configuración de la interfaz especificando el tipo y el número de interfaz
y, a continuación, configure la dirección IP y la máscara de subred:
R1(config)# interfaz Serial0/0/0
R1(config-if)# dirección ip 192.168.2.1 255.255.255.0
212 31 días antes de su examen CCNA

Es una buena práctica configurar una descripción en cada interfaz para ayudar a documentar
la información de la red:
R1(config-if)# description Ciruit#VBN32696-123 (help desk:1-800-555-1234)

Activar la interfaz:
R1(config-if)# no shutdown

Asumiendo que el otro lado del enlace está activado en R2, la interfaz serie está ahora levantada.
Termina R1 configurando la interfaz GigabitEthernet 0/0:
R1(config-if)# interfaz GigabitEthernet0/0
R1(config-if)# dirección ip 192.168.1.1
255.255.255.0 R1(config-if)# descripción R1 LAN
R1(config-if)# no shutdown

Supongamos que el R2 está totalmente configurado y puede enrutar a la LAN 192.168.1.0/24


conectada al R1. Debe agregar una ruta estática a R1 para garantizar la conectividad con la LAN de
R2. El enrutamiento estático se revisa con más detalle en el Día 19, "Conceptos básicos de
enrutamiento". Por ahora, introduzca el siguiente comando para configurar una ruta estática
directamente conectada a la LAN de R2:
R1(config)# ip route 192.168.3.0 255.255.255.0 Serial 0/0/0

NOTA: Generalmente se recomienda utilizar una dirección de siguiente salto cuando se


configuran rutas estáticas. Las rutas estáticas conectadas directamente deben utilizarse
sólo con interfaces seriales punto a punto, como en este ejemplo.

Para guardar la configuración, introduzca el comando copy running-config startup-config o el


comando copy run start.

Ejemplo de verificación
Puedes utilizar el comando show running-config para verificar toda la configuración actual del
router. Sin embargo, algunos otros comandos básicos pueden ayudarte a verificar la configuración y
también a empezar a solucionar cualquier problema potencial.
Asegúrese de que las redes de sus interfaces están ahora en la tabla de enrutamiento utilizando el
comando show ip route, como se muestra en el Ejemplo 18-1.

Ejemplo 18-1 El comando show ip route

R1# show ip route


Códigos: L - local, C - conectado, S - estático, R - RIP, M - móvil, B -
BGP D - EIGRP, EX - EIGRP externo, O - OSPF, IA - OSPF interárea
N1 - OSPF NSSA externo tipo 1, N2 - OSPF NSSA externo tipo 2
E1 - OSPF externo tipo 1, E2 - OSPF externo tipo 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
+ - ruta replicada, % - anulación del siguiente salto
Día 18 213

La pasarela de último recurso no está configurada

192.168.1.0/24 tiene una subred variable, 2 subredes, 2


máscaras C192.168.1.0/24 está conectada directamente,
GigabitEthernet0/0 L192.168.1.1/32 está conectada
directamente, GigabitEthernet0/0
192.168.2.0/24 tiene una subred variable, 2 subredes, 2
máscaras C192.168.2.0/24 está conectada
directamente, Serial0/0/0
L192.168.2.1/32 está directamente conectada,
Serial0/0/0 S192.168.3.0/24 está directamente
conectada, Serial0/0/0
R1#

Si falta una red, compruebe el estado de su interfaz con el comando show ip interface brief, como
se muestra en el Ejemplo 18-2.

Ejemplo 18-2 El comando show ip interface brief

R1# show ip interface brief


InterfaceIP-AddressOK?
Método Estado Protocolo Embedded-Service-Engine0/0 unassigned YES unset
administratively down GigabitEthernet0/0192.168.1.1 YES manual up up
GigabitEthernet0/1unassigned YES unset
administrativamente down down Serial0/0/0192.168.2.1 YES manual up up
Serial0/0/1unassigned YES unset administrativelydown
down
R1#

La salida del comando show ip interface brief proporciona tres datos importantes:

■ Dirección IP

■ Estado de la línea (columna 5)

■ Estado del protocolo (columna 6)

La dirección IP debe ser correcta y los códigos de estado deben ser up y up. La Tabla 18-2 resume los
dos códigos de estado y sus significados.

Tabla 18-2 Códigos de estado de la interfaz


CódigoLocalizaciónSignificado general
Estad o Primer código de estado
o de
la Segundo código de estado
línea
Estado
del
protocol
S i l estado de la capa 1, por ejemplo, si el cable está instalado, si es el cable
e e correcto o incorrecto, si el dispositivo del otro extremo está encendido.
r
Se refiere generalmente al estado de la capa 2. Si el estado de la línea es
r e
"down", siempre es "down". Si el estado de la línea es arriba, un estado de
e protocolo de abajo suele estar causado por una configuración de la capa de
f a enlace de datos que no coincide.

Hay cuatro combinaciones de ajustes posibles para los códigos de estado cuando se soluciona
un problema en la red. La Tabla 18-3 enumera las cuatro combinaciones y explica las razones
típicas por las que una interfaz puede estar en ese estado.
214 31 días antes de su examen CCNA

Tabla 18-3 Combinaciones de códigos de estado de


la interfaz Estado de la línea y del protocolo
Razón(es) típica(s)
Administrativamente caído, downLa interfaz tiene un comando de apagado configurado en ella.
down, abajoLa interfaz tiene configurado el comando no shutdown, pero la capa física
tiene un problema. Por ejemplo, no se ha conectado ningún cable a la
interfaz (o con Ethernet), la interfaz del conmutador en el otro extremo
del cable está apagada o el conmutador está apagado.
arriba, abajoEsto casi siempre se refiere a problemas de la capa de enlace de datos, casi
siempre problemas de configuración. Por ejemplo, los enlaces serie tienen
esta combinación cuando un router fue configurado para usar PPP y el
otro por defecto para usar HDLC.
Sin embargo, un problema de sincronización o de hardware también puede ser el

culpable.
up, upTodo está bien y la interfaz funciona.

Si es necesario, utilice el comando show interface más detallado si necesita rastrear un problema con
una interfaz y obtener la salida para cada interfaz física y virtual.También puede especificar una
interfaz. El ejemplo 18-3 muestra la salida para GigabitEthernet 0/0.

Ejemplo 18-3 El comando show interface gigabitethernet 0/0

R1# show interface gigabitethernet 0/0


GigabitEthernet0/0 está levantada, el protocolo de línea está levantado
El hardware es CN Gigabit Ethernet, la dirección es 30f7.0da3.0da0 (bia
30f7.0da3.0da0) Descripción: R1 LAN
La dirección de Internet es 192.168.1.1/24
MTU 1500 bytes, BW 100000 Kbit/seg, DLY 100 usec,
fiabilidad 255/255, txload 1/255, rxload 1/255
Encapsulación ARPA, bucle de retorno
no configurado Keepalive configurado
(10 seg)
Full Duplex, 100Mbps, el tipo de medio es RJ45
El control de flujo de salida no está soportado, el control de flujo
de entrada no está soportado Tipo de ARP: ARPA, ARP Timeout 04:00:00
Última entrada 00:00:00, salida 00:00:01, salida
colgada nunca Última limpieza de los contadores "show
interface" nunca
Cola de entrada: 0/75/0/0 (tamaño/máximo/caídas/descargas); Total de caídas
de salida: 0 Estrategia de colas: fifo
Cola de salida: 0/40 (tamaño/máximo)
Tasa de entrada de 5 minutos 0 bits/seg, 0 paquetes/seg
Tasa de salida de 5 minutos 0 bits/seg, 0 paquetes/seg
387 paquetes de entrada, 59897 bytes, 0 sin
búfer Recibidos 252 difusiones (0
multidifusiones IP)
0 runts, 0 giants, 0 throttles
0 errores de entrada, 0 CRC, 0 trama, 0 rebasamiento, 0 ignorado
0 watchdog, 86 multicast, 0 pause input
Día 18 215

281 paquetes de salida, 35537 bytes, 0 sub-pasos


0 errores de salida, 0 colisiones, 1 reinicio de interfaz
56 caídas de protocolo desconocidas
0 balbuceos, 0 colisiones tardías, 0 aplazamientos
0 pérdida de portadora, 0 ausencia de portadora, 0 salida de pausa
0 fallos en el búfer de salida, 0 búferes de salida intercambiados
R1#

Este comando tiene una gran cantidad de resultados. Sin embargo, a veces es la única manera de
encontrar un problema. La Tabla 18-4 analiza y explica cada parte importante de la salida de show
interface.

Tabla 18-4 Mostrar interfaz Explicación de la


salida Descripción de la
salida
GigabitEthernet...es Si el hardware de la interfaz está actualmente activo o inactivo o si un
{arriba | abajo | administrador lo ha retirado.
administrativamente
abajo}
Si los procesos de software que manejan el protocolo de línea consideran que la
el protocolo de la línea interfaz es utilizable (es decir, si los keepalives tienen éxito). Si la interfaz pierde
es tres keepalives consecutivos, el protocolo de línea se marca como caído.
{arriba | abajo}
HardwareTipo de hardware (por ejemplo, MCI Ethernet, interfaz de comunicaciones en serie [SCI], cBus
Ethernet) y dirección.

DescripciónCadena de texto de descripción configurada para la interfaz (con un máximo de 240 caracteres).
Dirección de InternetDirección IP seguida de la longitud del prefijo
(máscara de subred).
MTUMáxima unidad de transmisión (MTU) de la interfaz.
BWAncho de banda de la interfaz, en kilobits por segundo. El parámetro BW se utiliza para calcular las
métricas del protocolo de enrutamiento y otros cálculos.
DLYRetraso de la interfaz, en microsegundos.
relyRelación de la interfaz como una fracción de 255 (donde 255/255 es el 100%
de fiabilidad), calculada como una media exponencial durante 5 minutos.
loadCargaen la interfaz como una fracción de 255 (donde 255/255 es
completamente saturada), calculada como una media exponencial durante 5
minutos.
EncapsulaciónMétodo de encapsulación asignado a una interfaz.
LoopbackSi el loopback está activado. Puede indicar un problema con la
portadora. KeepaliveSi los keepalives están configurados.
Tipo de ARPTipo de protocolo de resolución de direcciones (ARP) asignado.
Última entradaNúmero de horas, minutos y segundos desde que el último paquete fue recibido con
éxito por una interfaz. Útil para saber cuándo falló una interfaz muerta.
outputNúmero de horas, minutos y segundos desde que el último paquete fue transmitido con
éxito por una interfaz. Útil para saber cuándo ha fallado una interfaz muerta.

De la Biblioteca de javad mokhtari


output hangNúmero de horas, minutos y segundos (o nunca) desde que la interfaz se reinició por última vez
debido a una transmisión que tardó demasiado. Cuando el número de horas en
cualquiera de los campos anteriores excede de 24, se imprime el número de días y
horas. Si ese campo se desborda, se imprimen asteriscos.

De la Biblioteca de javad mokhtari


216 31 días antes de su examen CCNA

OutputDescription
Última limpiezaHoraen la que los contadores que miden las estadísticas acumulativas
mostradas en este informe (como el número de bytes transmitidos y recibidos) se
pusieron a cero por última vez. Tenga en cuenta que las variables que podrían afectar
al enrutamiento (por ejemplo, la carga y la fiabilidad) no se borran cuando se borran
los contadores. Los asteriscos indican que el tiempo transcurrido es demasiado grande
para ser mostrado. Reinicie los contadores con el comando clear interface.
Cola de salida, cola de
Número de paquetes en las colas de salida y entrada. Cada número va seguido de una
entrada, cola de caída
barra (/), el tamaño máximo de la cola y el número de paquetes descartados debido a una
cola llena.
Velocidad de entrada
Número medio de bits y paquetes transmitidos por segundo en los últimos 5 minutos. Si
de cinco minutos,
la interfaz no está en modo promiscuo, detecta el tráfico de red que envía y recibe (en
velocidad de salida de
lugar de todo el tráfico de red). Las tasas de entrada y salida de 5 minutos deben
cinco minutos
utilizarse sólo como una aproximación del tráfico por segundo durante un periodo de
5 minutos determinado. Estas tasas son medias ponderadas exponencialmente con una
constante de tiempo de
5 minutos. Debe transcurrir un periodo de cuatro constantes de tiempo para que la
media se sitúe dentro del 2% de la tasa instantánea de un flujo de tráfico uniforme
durante ese periodo.
entrada de paquetesNúmero total de paquetes sin errores que ha recibido el sistema.
bytes inputNúmero total de bytes, incluyendo datos y encapsulación MAC, en los paquetes sin errores
recibidos por el sistema.
no buffersNúmero de paquetes recibidos descartados porque el sistema principal no
tenía espacio en el buffer. Compárese con el recuento de ignorados. Las tormentas
de difusión en Ethernet son a menudo responsables de los eventos de ausencia de
búfer de entrada.
Número total de paquetes de difusión o multidifusión recibidos por la interfaz. El número de
difusiones debe mantenerse tan bajo como sea posible. Un umbral aproximado es
menos del 20% del número total de paquetes de entrada.
runtsNúmero de tramas Ethernet que se descartan porque son más pequeñas que el
tamaño mínimo de la trama Ethernet. Cualquier trama Ethernet que sea inferior a 64
bytes se considera un runt. Los runts suelen estar causados por colisiones. Si se recibe
más de un runt por millón de bytes, debe investigarse.
gigantesNúmero de tramas Ethernet descartadas por exceder el tamaño máximo de
la trama Ethernet. Cualquier trama Ethernet que supere los 1518 bytes se considera
gigante.
error de entradaRunts , gigantes, sin búfer, comprobación de redundancia cíclica (CRC), trama,
desbordamiento y recuentos ignorados. Otros errores relacionados con la entrada
también pueden aumentar el recuento de errores de entrada, y algunos datagramas
pueden tener más de un error. Por lo tanto, esta suma puede no estar equilibrada con
la suma de los recuentos de errores de entrada enumerados.
La CRCCRC generada por la estación LAN de origen o el dispositivo de extremo
lejano no coincide con la suma de comprobación calculada a partir de los datos
recibidos. En una LAN, esto suele indicar problemas de ruido o de transmisión en la
interfaz LAN o en el propio bus LAN. Un valor alto de
número de CRC suele ser el resultado de colisiones o de una estación que transmite datos
erróneos.
frameNúmero de paquetes recibidos como incorrectos que tienen un error de
CRC y un número no entero de octetos. En una LAN, esto suele ser el resultado de
colisiones o de un mal funcionamiento del dispositivo Ethernet.
overrunNúmerode veces que el hardware del receptor no pudo recibir datos
en un búfer de hardware porque la tasa de entrada superó la capacidad del receptor
para manejar los datos.
ignoradoNúmero de paquetes recibidos ignorados por la interfaz porque el
hardware de la interfaz se quedó sin búferes internos. Estos búferes son diferentes de
los búferes del sistema mencionados en la descripción del búfer. Las tormentas de
difusión y las ráfagas de ruido pueden hacer que el recuento de ignorados aumente.
Día 18 217

OutputDescription
paquetes de
El error de bit de goteo indica que una trama es ligeramente demasiado larga. Este
entrada con
contador de errores de trama se incrementa sólo con fines informativos; el router acepta
condición de
la trama.
regateo
detectados
salida de paquetesNúmero total de mensajes transmitidos por el sistema.
bytesNúmero total de bytes, incluyendo datos y encapsulación MAC, transmitidos por el sistema.
underrunsNúmero de veces que el transmisor ha estado funcionando más rápido de lo que el
router puede manejar.
Es posible que nunca se informe de ello en algunas interfaces.
errores de salidaSuma de todos los errores que impidieron la transmisión final de
los datagramas fuera de la interfaz examinada. Tenga en cuenta que esto podría no
cuadrar con la suma de los errores de salida enumerados porque algunos
datagramas podrían tener más de un error y otros podrían tener errores que no
entran en ninguna de las categorías específicamente tabuladas.
colisionesNúmero de mensajes retransmitidos debido a una colisión Ethernet. Esto suele ser el resultado
de una LAN demasiado extensa (cable Ethernet o transceptor demasiado largo, más
de dos repetidores entre estaciones o demasiados transceptores multipuerto en
cascada). Un paquete que colisiona se cuenta sólo una vez en los paquetes de
salida.
interface resetsNúmero de veces que una interfaz se ha reiniciado completamente. Esto puede ocurrir si los
paquetes en cola para la transmisión no se enviaron en varios segundos. En una línea
serie, esto puede ser causado por un módem que funciona mal y no suministra la
señal de reloj de transmisión, o puede ser causado por un problema de cable. Si el
sistema observa que la línea de detección de portadora de una interfaz serie está
activada pero el protocolo de la línea está desactivado, reinicia periódicamente la
interfaz en un esfuerzo por reiniciarla. Los reinicios de la interfaz también pueden
producirse cuando se produce un bucle de retorno o un cierre de la interfaz.

Configuración básica del router con IPv6


En esta sección, usamos la topología mostrada en la Figura 18-2 para revisar los comandos
básicos para habilitar IPv6 en un router.

Figura 18-2 Topología de muestra de IPv6


2001:0DB8:ACAD:1::/64
PC1
2001:0DB8:ACAD:3::/64
G0/0

R1S0/0/0
R2
PC2 G0/1

2001:0DB8:ACAD:2::/64

Sintaxis del comando


El enrutamiento IPv6 se habilita mediante el siguiente comando en el modo de configuración global:
R1(config)# ipv6 unicast-routing

De la Biblioteca de javad mokhtari


Entre otras acciones, este comando configura el router para comenzar a escuchar y responder a los
mensajes de descubrimiento de vecinos (ND) en todas las interfaces IPv6 activas.

De la Biblioteca de javad mokhtari


218 31 días antes de su examen CCNA

Para configurar una dirección IPv6 en la interfaz de un router, tiene una de varias opciones:

■ Configure la interfaz para utilizar el método de direccionamiento EUI-64:


Router(config)# dirección ipv6 ipv6-prefix/longitud de prefijo eui-64

■ Configure la dirección unicast global completa. Para configurar manualmente una dirección
IPv6 completa, utilice la siguiente sintaxis de comando:
Router(config)# dirección ipv6 dirección ipv6/longitud de prefijo

■ Configurar la interfaz como no numerada (ver Día 27, "Direccionamiento IPv6").

■ Configurar la interfaz como cliente DHCPv6 (ver Día 23, "DHCP y DNS").

NOTA: Para configurar manualmente la dirección link-local de una interfaz, utilice la


siguiente sintaxis de comando:
Router(config)# dirección ipv6 dirección ipv6/longitud de prefijo link-local

Ejemplo de configuración
El método de configuración de IPv6 preferido a menudo es configurar manualmente la dirección
IPv6 completa porque se puede controlar el número de dígitos hexadecimales que se deben escribir
cuando se prueba la conectividad o se soluciona un problema.Se puede ver esto comparando el
método EUI-64 con una configuración completa. En el Ejemplo 18-4, las interfaces en R1 están
todas configuradas usando el método EUI-64.

Ejemplo 18-4 Configuración de interfaces con el método EUI-64

R1(config)# interfaz g0/0


R1(config-if)# dirección ipv6 2001:db8:acad:1::/64 eui-64
R1(config-if)# interfaz g0/1
R1(config-if)# dirección ipv6 2001:db8:acad:2::/64 eui-64
R1(config-if)# interfaz s0/0/0
R1(config-if)# ipv6 address 2001:db8:acad:3::/64 eui-
64 R1(config-if)# do show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::2D0:97FF:FE20:A101
2001:DB8:ACAD:1:2D0:97FF:FE20:A101
GigabitEthernet0/1[up/up]
FE80::2D0:97FF:FE20:A102
2001:DB8:ACAD:2:2D0:97FF:FE20:A1
02
Serial0/0/0[down/down]
FE80::20C:CFFF:FE77:A401
2001:DB8:ACAD:3:20C:CFFF:FE77:A4
01
<salida omitida>

Observe el número de dígitos hexadecimales en las direcciones IPv6 resaltadas en la salida del
comando show ipv6 interface brief. Imagina que tienes que hacer ping a la dirección
GigabitEthernet 0/0 2001:DB8:ACAD:1:2D0:97FF:FE20:A101.
Día 18 219

Además, observe que las direcciones link-local también son bastante complejas. Para reducir la
complejidad de la configuración, verificación y resolución de problemas del router, es una buena
práctica configurar manualmente la dirección link-local así como la dirección global unicast IPv6. En el
Ejemplo 18-5, R1 es reconfigurado con direcciones IPv6 más simples y con FE80::1 como dirección
link-local en todas las interfaces. Recuerde que la dirección link-local necesita ser única sólo en el
enlace de esa interfaz.

Ejemplo 18-5 Configuración de la dirección IPv6 completa y de la dirección Link-Local

R1(config-if)# interfaz g0/0


R1(config-if)# no ipv6 address 2001:db8:acad:1::/64 eui-
64 R1(config-if)# ipv6 address 2001:db8:acad:1::1/64
R1(config-if)# ipv6 address fe80::1 link-local
R1(config-if)# interfaz g0/1
R1(config-if)# no ipv6 address 2001:db8:acad:2::/64 eui-
64 R1(config-if)# ipv6 address 2001:db8:acad:2::1/64
R1(config-if)# ipv6 address fe80::1 link-local
R1(config-if)# interfaz s0/0/0
R1(config-if)# no ipv6 address 2001:db8:acad:3::/64 eui-
64 R1(config-if)# ipv6 address 2001:db8:acad:3::1/64
R1(config-if)# ipv6 address fe80::1 link-local
R1(config-if)# do show ipv6 interface brief
GigabitEthernet0/0[up/up]
FE80::1
2001:DB8:ACAD:1::1
GigabitEthernet0/1[up/up]
FE80::1
2001:DB8:ACAD:2::1
Serial0/0/0[down/down]
FE80::1
2001:DB8:ACAD:3::1
<salida omitida>

NOTA: Si no se elimina la configuración anterior de direcciones IPv6, cada interfaz


tendrá dos direcciones unicast globales IPv6. Esto es diferente a lo que ocurre en IPv4,
donde la simple configuración de otra dirección IPv4 con el comando ip address
sobrescribe cualquier configuración anterior. Sin embargo, sólo puede existir una
dirección link-local por interfaz.

Compare la salida resaltada del comando show ipv6 interface brief en el Ejemplo 18-5 con la
salida en el Ejemplo 18-4. Puede ver que simplificar la implementación del direccionamiento IPv6
puede hacer su trabajo de verificación y solución de problemas mucho más fácil.
Para verificar la configuración completa de una interfaz, utilice el comando show ipv6
interface. El Ejemplo 18-6 muestra la salida para la interfaz GigabitEthernet 0/0 de R1.
220 31 días antes de su examen CCNA

Ejemplo 18-6 El comando show ipv6 interface gigabitethernet 0/0

R1# show ipv6 interface gigabitethernet 0/0


GigabitEthernet0/0 está levantada, el protocolo
de línea está levantado IPv6 está habilitado,
la dirección link-local es FE80::1 No hay
dirección link-local virtual:
Dirección(es) global(es) de unicast:
2001:DB8:ACAD:1::1, la subred es 2001:DB8:ACAD:1::/64
Dirección del grupo unido:
FF02::1
FF02::1:FF00:1
La MTU es de 1500 bytes
Mensajes de error ICMP limitados a uno cada 100
milisegundos Se habilitan las redirecciones ICMP
Se envían ICMP inalcanzables
ND DAD está activado, número de intentos de
DAD: 1 El tiempo de alcance de ND es de
30000 milisegundos
El tiempo de alcance anunciado por ND es de 0 milisegundos
El intervalo de retransmisión anunciado por ND es
de 0 milisegundos Los anuncios del enrutador ND se
envían cada 200 segundos Los anuncios del
enrutador ND viven durante 1800 segundos
La preferencia del router por defecto anunciada por ND es Media
Los hosts utilizan la autoconfiguración sin estado para las direcciones.

Concéntrese en la salida resaltada en el Ejemplo 18-6. IPv6 está habilitado en esta interfaz con una
bonita y corta dirección link-local. La dirección global unicast y su subred están listadas, así como la
dirección de los grupos multicast a los que esta interfaz se unió automáticamente. ¿Recuerdas para qué
se utilizan las direcciones FF02::1 y FF02::1:FF00:1? Si no es así, vuelve a visitar el día 27.
Esas son todas las configuraciones de IPv6 por hoy. A medida que continuemos revisando los temas del
examen en los próximos días, incorporaremos temas de IPv6.

Verificación de la conectividad
de las redes IPv4 e IPv6
Como se revisó en el Día 29, "Fundamentos de la configuración del conmutador", ping y traceroute
son herramientas útiles para verificar la conectividad de la red. El Ejemplo 18-7 demuestra la salida de
ping exitosa en el router.

Ejemplo 18-7 Salida de ping exitosa en un router

R1# ping 192.168.3.10

Escriba la secuencia de escape para abortar.


Enviando 5 Echos ICMP de 100 bytes a 192.168.3.10, el tiempo de espera es de 2
segundos:
!!!!!
La tasa de éxito es del 100% (5/5), ida y vuelta min/avg/max = 1/2/4 ms
Hacer ping a un destino IPv6
Día 18 221

R1# ping 2001:db8:acad:1:290:dff:fee5:8095

Escriba la secuencia de escape para abortar.


Enviando 5 ecos ICMP de 100 bytes a 2001:DB8:ACAD:1:290:CFF:FEE5:8095, el tiempo
de espera es de 2 segundos:
!!!!!
La tasa de éxito es del 100% (5/5), ida y vuelta min/avg/max = 0/9/46 ms

R1#

La salida del ping sin éxito muestra puntos (. ) en lugar de signos de exclamación (! ), como demuestra
el Ejemplo 18-8. La salida sería la misma en IPv6.

Ejemplo 18-8 Salida de ping sin éxito en un router

R1# ping 192.168.3.2

Escriba la secuencia de escape para abortar.


Enviando 5 Echos ICMP de 100 bytes a 192.168.3.2, el tiempo de espera es de 2
segundos:
.....
La tasa de éxito es del 0%
(0/5) R1#

El ejemplo 18-9 muestra la salida de un comando traceroute exitoso.

Ejemplo 18-9 Salida de traceroute exitosa en un router

R1# traceroute 192.168.3.10


Escriba la secuencia de escape
para abortar. Rastreando la ruta
a 192.168.3.10

1 192.168.2.271 mseg70 mseg 72 mseg


2 192.168.3.10 111 mseg 133 mseg 115 mseg
R1#
Rastreo a un destino IPv6.
R2# traceroute 2001:db8:acad:1:290:cff:fee5:8095
Escriba la secuencia de escape para abortar.
Rastreando la ruta a 2001:DB8:ACAD:1:290:CFF:FEE5:8095

1 2001:DB8:ACAD:3::1 1 mseg 1 mseg 1 mseg


2 2001:DB8:ACAD:1:290:CFF:FEE5:8095 1 mseg 1 mseg 0
mseg R2#

Los trazados sin éxito muestran el último salto con éxito y los asteriscos de cada intento hasta que
el usuario lo cancele. Para cancelar el comando traceroute en un router, utilice la combinación de
teclas Ctrl+Mayús+6 y luego presione la tecla x. El ejemplo 18-10 muestra la salida del traceroute
sin éxito. La salida sería la misma con IPv6.
222 31 días antes de su examen CCNA

Ejemplo 18-10 Salida de traceroute sin éxito en un router

R1# traceroute 192.168.3.2


Escriba la secuencia de escape
para abortar. Rastreando la ruta
a 192.168.3.2

1 192.168.2.2 71 mseg 70 mseg 72 mseg


2 ***
3 ***
4 ***
5

*
R
1
#

El uso de Telnet o SSH para acceder remotamente a otro dispositivo también prueba la conectividad. Y
lo que es más importante, estos métodos de acceso remoto comprueban si un dispositivo se ha
configurado correctamente para poder acceder a él con fines de gestión. Esto puede ser importante
cuando un dispositivo es realmente remoto (por ejemplo, al otro lado de la ciudad o en otra ciudad). El
día 20, "Seguridad de la LAN y endurecimiento de los dispositivos" revisa la configuración y
verificación de SSH con mayor detalle.
Durante las tareas de configuración básica anteriores, usted introdujo los comandos para configurar
correctamente las líneas vty para el acceso remoto SSH. Si está accediendo a un dispositivo
configurado con SSH desde un PC, utilizará la configuración SSH en su cliente de terminal. Sin
embargo, puede utilizar el comando ssh en un router o switch para acceder a otro dispositivo
configurado con SSH. El Ejemplo 18-11 muestra cómo usar SSH para acceder remotamente a R2
desde R1.

Ejemplo 18-11 Acceso remoto mediante SSH

R1# ssh ?
-c Seleccionar el algoritmo de encriptación
-l Iniciar sesión con este nombre de usuario
-m Seleccionar el algoritmo HMAC
-o Especificar opciones
-p Conectar con este puerto
-v Especifica la versión del protocolo SSH
-vrf Especifica el nombre de la vrf
WORD Dirección IP o nombre de host de un sistema remoto

R1# ssh -l ?
WORD Nombre de
usuario R1# ssh
-l admin ?
-c Seleccionar el algoritmo de encriptación
-m Seleccionar el algoritmo HMAC
-o Especificar opciones
-p Conectar con este puerto
-v Especifica la versión del protocolo SSH
-vrf Especifica el nombre de la vrf
WORD Dirección IP o nombre de host de un sistema remoto
Día 18 223

R1# ssh -l admin 192.168.2.2


Contraseña:

****************************************
** WARNING!! Prohibido el acceso no
autorizado!!
******************************************

R2>

NOTA: Durante sus estudios y prácticas de laboratorio de CCNA, lo más probable es que
haya utilizado una configuraciónde Telnet para acceder de forma remota a su equipo de
laboratorio. Aunque Telnet es más fácil de usar que SSH, recuerde que el uso de SSH se
considera la mejor práctica. Por lo tanto, durante el examen CCNA, prepárese para
utilizar SSH para acceder remotamente a los dispositivos en las preguntas de simulación,
ya que Telnet podría no estar configurado o permitido.

Routers para oficinas pequeñas o domésticas


La Figura 18-3 muestra las opciones más comunes para las conexiones a Internet de pequeñas oficinas u
oficinas domésticas (SOHO).

Figura 18-3 Conexiones comunes de Internet para SOHO

DSL

Usuario doméstico Cable

Internet
Celular

Teletrabajador
Proveedor de servicios de Internet
Satélite

Teléfono de acceso telefónico


Pequeña oficina

Las opciones de conexión que se muestran en la Figura 18-3 son las siguientes:

■ Cable: Ofrecido normalmente por los proveedores de servicios de televisión por cable (CATV), el
cable transmite la señal de datos de Internet por el mismo cable que suministra la televisión por
cable. Ofrece un gran ancho de banda, alta disponibilidad y una conexión permanente a Internet.
■ DSL: La línea de abonado digital, que funciona a través de las líneas telefónicas, proporciona un
gran ancho de banda, alta disponibilidad y una conexión permanente a Internet.
224 31 días antes de su examen CCNA

■ Celular: El acceso a Internet por móvil utiliza una red de telefonía celular para conectarse.
Dondequiera que haya una señal de telefonía móvil, se puede tener acceso a Internet por celular. El
rendimiento está limitado por las capacidades del teléfono y la torre celular a la que está
conectado.

■ Satélite: el acceso a Internet por satélite se utiliza en zonas que, de otro modo, no
tendrían ninguna conexión a Internet. Las antenas parabólicas requieren una línea de visión
clara hacia el satélite.

■ Teléfono de acceso telefónico: El acceso telefónico es una opción de bajo ancho de


banda que utiliza cualquier línea telefónica y un módem. La marcación se considera una
tecnología heredada, pero es posible que la veas en el examen.
Un router SOHO se utiliza normalmente para crear la conexión con el usuario doméstico y las
conexiones de la pequeña oficina en la Figura 18-4. Los routers SOHO suelen tener dos
características que un router de empresa no suele tener:

■ Los routers SOHO casi siempre utilizan Internet y la tecnología de red privada virtual
(VPN) para sus conexiones WAN para enviar datos de ida y vuelta al resto de la empresa.

■ Un router SOHO es casi siempre un dispositivo multifuncional que realiza tareas de


enrutamiento, conmutación de LAN, VPN, conexión inalámbrica y quizás otras funciones.
La Figura 18-4 muestra un típico sitio SOHO. Los tres iconos que representan un router, un switch y
un punto de acceso existen en realidad dentro de una caja. Los cables UTP se muestran sólo para
indicar que estos dispositivos están conectados. La conexión real está en el hardware del router
SOHO. A la izquierda, el router SOHO proporciona servidores LAN alámbricos e inalámbricos, y a la
derecha, proporciona acceso WAN a través de una conexión a Internet por cable.

Figura 18-4 Funciones internas del router SOHO

Funciones
internas del
router SOHO

Punto de acceso

UTP
CATV
Cable
ISP/Internet
UTP R1UTP
UTP RouterMódem por cable
Cambia

Solución de problemas de direccionamiento IP


básico
Si está seguro de haber configurado manualmente la dirección IP y la máscara de subred correctas
(IPv4) o el prefijo de red (IPv6), entonces cualquier problema de direccionamiento IP básico es
probablemente el resultado de una puerta de enlace predeterminada mal configurada o de direcciones
duplicadas.

Pasarela por defecto


Un gateway por defecto mal configurado es uno de los problemas más comunes en un esquema de
direccionamiento IP estático o dinámico. Para que un dispositivo se comunique a través de varias
redes, debe estar configurado con una dirección IP, una máscara de subred o prefijo de red y una puerta
de enlace predeterminada.
Día 18 225

La pasarela por defecto se utiliza cuando el host quiere enviar un paquete a un dispositivo de otra
red. La dirección de la pasarela por defecto suele ser la dirección de la interfaz del router conectada
a la red local a la que está conectado el host.
Para resolver una puerta de enlace por defecto configurada manualmente de forma incorrecta,
consulte la documentación de topología y direccionamiento para verificar cuál debería ser la puerta
de enlace por defecto del dispositivo; normalmente es un router conectado a la misma LAN.

NOTA: Un servidor DHCP mal configurado también puede causar un problema de puerta de enlace
predeterminada.
Algunas configuraciones del servidor DHCP, como la función Easy IP IOS, pueden
requerir que el administrador configure manualmente la dirección de la puerta de
enlace predeterminada. Si esto se configura incorrectamente, ningún dispositivo
tendrá acceso más allá de la LAN. El DHCP se revisa en el día 23.

Direcciones IP duplicadas
En algunas circunstancias, pueden producirse conflictos de direcciones IP duplicadas entre un
dispositivo de red configurado estáticamente y un PC que obtiene información de direccionamiento IP
automático del servidor DHCP. Para resolver dicho conflicto de direcciones IP, puede realizar una de
las siguientes acciones:

■ Convertir el dispositivo de red con la dirección IP estática en un cliente DHCP

■ En el servidor DHCP, excluya la dirección IP estática del dispositivo final del conjunto de
direcciones DHCP
La primera solución es un arreglo rápido que se puede hacer sobre el terreno. Sin embargo, es más que
probable que el dispositivo necesite una configuración estática. La segunda solución puede ser la mejor
opción a largo plazo. Sin embargo, requiere que usted tenga privilegios administrativos para
configurar el servidor DHCP.
También puede encontrarse con conflictos de direccionamiento IP al configurar manualmente la
IP en un dispositivo final en una red que sólo utiliza direcciones IP estáticas. En este caso, debe
determinar qué direcciones IP están disponibles en la subred IP particular y configurar en
consecuencia. Este caso ilustra por qué es tan importante para un administrador de red mantener una
documentación detallada, incluyendo las asignaciones de direcciones IP y topologías, para los
dispositivos finales.

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para
estudiar más.
Recursos Módulo o
capítulo
Introducción a las redes v7 10
17
Fundamentos de conmutación, enrutamiento e inalámbricos 1
Guía oficial del CCNA 200-301, volumen 1 15
Guía del mando portátil 14
Esta página se ha dejado intencionadamente en blanco
La tabla de enrutamiento

Temas del examen CCNA 200-301


■ Interpretar los componentes de la tabla de enrutamiento

■ Determinar cómo un router toma una decisión de reenvío por defecto

Temas clave
Hoy repasamos las dos funciones del router: la determinación de la ruta y el reenvío de paquetes. Los
routers utilizan tablas de enrutamiento para determinar la mejor ruta. Un router utiliza una ruta
conectada directamente, una ruta a una red remota o una ruta por defecto. Hoy revisamos la estructura de
la tabla de enrutamiento y sus entradas.

Dos funciones del router


Cuando un router recibe un paquete IP en una interfaz, determina qué interfaz debe utilizar
para reenviar el paquete al destino. Las funciones principales de un router son

■ Determinar la mejor ruta para el reenvío de paquetes, basándose en la información de su tabla de


enrutamiento

■ Reenviar los paquetes hacia sus destinos

La coincidencia más larga determina el mejor camino


La mejor ruta de la tabla de enrutamiento también se conoce como la coincidencia más larga.El
enrutador utiliza el proceso de coincidencia más larga para encontrar una coincidencia entre la
dirección IP de destino del paquete y una entrada de enrutamiento en la tabla de enrutamiento.La
longitud del prefijo de la ruta en la tabla de enrutamiento se utiliza para determinar el número
mínimo de bits lejanos a la izquierda que deben coincidir. La coincidencia más larga es la ruta en la
tabla de enrutamiento que tiene el mayor número de bits lejanos a la izquierda que coinciden con la
dirección IP de destino del paquete. La ruta con el mayor número de bits equivalentes en el extremo
izquierdo, o la coincidencia más larga, es siempre la ruta preferida.
En la Tabla 17-1, un paquete IPv4 tiene la dirección IPv4 de destino 172.16.0.10. El router tiene tres
entradas de ruta en su tabla de enrutamiento IPv4 que coinciden con este paquete: 172.16.0.0/12,
172.16.0.0/18, y 172.16.0.0/26. De las tres rutas, la 172.16.0.0/26 tiene la coincidencia más larga y sería
la elegida para reenviar el paquete.

Tabla 17-1 Ejemplo de coincidencia más larga de direcciones IPv4


Dirección IPv4 de destinoDirección
en binario
172.16.0.10 10101100.00010000.00000000.0000101
0
Entrada de la Prefijo/Longitud del Dirección en binario
ruta prefijo
1 172.16.0.0/12 10101100.00010000.00000000.0000101
0
2 172.16.0.0/18 10101100.00010000.00000000.0000101
0
3 172.16.0.0/26 10101100.00010000.00000000.0000101
0
228 31 días antes de su examen CCNA

En la Tabla 17-2, un paquete IPv6 como dirección IPv6 de destino 2001:db8:c000::99. Este ejemplo
muestra tres entradas de ruta, pero sólo dos de ellas son coincidencias válidas; una de ellas es la
coincidencia más larga. Las dos primeras entradas de ruta tienen longitudes de prefijo que tienen el
número requerido de bits de coincidencia, como indica la longitud del prefijo. La tercera entrada de
ruta no es una coincidencia porque su prefijo /64 requiere 64 bits de coincidencia. Para que el prefijo
2001:db8:c000:5555::/64 coincida, los primeros 64 bits deben coincidir con la dirección IPv6 de
destino del paquete. Sólo los primeros 48 bits coinciden, por lo que esta entrada de ruta no se considera
una coincidencia.

Tabla 17-2 Ejemplo de coincidencia más larga de direcciones IPv6


Entrada de la Prefijo/Longitud del ¿Coincide?
ruta prefijo
1 2001:db8:c000::/40 Coincidencia de 40 bits
2 2001:db8:c000::/48 Coincidencia de 48 bits
(coincidencia más larga)
3 2001:db8:c000:5555::/64 No coincide con los 64 bits

Tres decisiones de reenvío de paquetes


Después de que un router haya determinado la mejor ruta basándose en la coincidencia más larga de la
tabla de enrutamiento, puede hacer una de estas tres cosas:

■ Reenviar el paquete a un dispositivo de una red conectada directamente

■ Reenvía el paquete a un router de siguiente salto

■ Descarta el paquete porque no hay ninguna coincidencia en la tabla de enrutamiento

La principal responsabilidad de la función de reenvío de paquetes es encapsularlos en el tipo de


trama de enlace de datos apropiado para la interfaz de salida. Por ejemplo, el formato de trama de enlace
de datos para un enlace serie podría ser el protocolo punto a punto (PPP), el protocolo de control de
enlace de datos de alto nivel (HDLC) o algún otro protocolo de capa 2.

Componentes de la tabla de enrutamiento


Un router examina la dirección IP de destino de un paquete y busca en su tabla de enrutamiento
para determinar a dónde reenviar el paquete. La tabla de enrutamiento contiene una lista de todas las
direcciones de red conocidas (prefijos) y dónde reenviar el paquete. Estas entradas se conocen como
entradas de ruta, o rutas. El router reenvía un paquete utilizando la mejor entrada de ruta (la más
larga) que coincida.
Recordemos que una tabla de enrutamiento almacena tres tipos de entradas de enrutamiento:

■ Redes conectadas directamente: Estas entradas de ruta de red son interfaces de router
activas. En la Figura 17-1, las redes directamente conectadas en la tabla de enrutamiento
IPv4 del R1 son 10.0.1.0/24, 10.0.2.0/24 y 10.0.3.0/24.

■ Redes remotas: Estas entradas de ruta de red están conectadas a otros routers. Los routers
aprenden acerca de las redes remotas ya sea configuradas explícitamente por un
administrador o mediante el intercambio de información de ruta utilizando un protocolo de
enrutamiento dinámico. En la Figura 17-1, las redes remotas en la tabla de enrutamiento
IPv4 del R1 son 10.0.4.0/24 y 10.0.5.0/24.
Día 17 229

■ Ruta por defecto: La ruta por defecto se utiliza cuando no hay una coincidencia mejor
(más larga) en la tabla de enrutamiento IP. En la Figura 17-1, la tabla de enrutamiento IPv4
de R1 tiene una ruta por defecto para reenviar todos los paquetes a R2 para cualquier red
remota para la que no tenga una ruta más explícita.

Figura 17-1 Topología de los tipos de ruta


Red conectada directamente

Red remota
10.0.4.0/24

PC1 .10 10.0.1.0/24 Red conectada directamente PC3


.10
::10
S1 10.0.3.0/24
S3 ::10
2001:db8:acad:1::/64 G0/0/0 G0/0/0 2001:db8:acad:4::/64
S0/1/1 S0/1/0 .1
.1
.1
::1 ::1
.2
R1::1 ::2 R2
(&
.1
.1 S0/1/1
10.0.2.0/24 ::1 2001:db8:acad:3::/64 .225 ::1 ::1 10.0.5.0/24
G0/0/1 G0/0/1 .10
PC2 .10 209.165.200.224/30 ::10 PC4
::10 S2 2001:db8:feed:224::/64 S4
2001:db8:acad:2::/64 S0/1/1 2001:db8:acad:5::/64
Red remota .226 ::2

Red remota
Red conectada directamente ISP
Redes remotas Internet

En la Figura 17-1, R1 y R2 están usando el enrutamiento OSPF para anunciar redes conectadas
directamente. R2 está conectado a Internet. El administrador configuró una ruta por defecto en R2
y la propagó a R1 en el proceso de enrutamiento OSPF. R1 utiliza esta ruta por defecto propagada
(O*E2) para enviar paquetes a R2 cuando no hay una entrada más específica en la tabla de
enrutamiento que coincida con la dirección IP de destino. La tabla de enrutamiento en el Ejemplo
17-1 muestra todas las rutas de destino IPv4 conocidas para R1.

Ejemplo 17-1 Tabla de enrutamiento IPv4 para R1

R1# show ip route


Códigos: L - local, C - conectado, S - estático, R - RIP, M - móvil, B -
BGP D - EIGRP, EX - EIGRP externo, O - OSPF, IA - OSPF interárea
N1 - OSPF NSSA externo tipo 1, N2 - OSPF NSSA externo tipo 2
E1 - OSPF externo tipo 1, E2 - OSPF externo tipo 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - ruta de aplicación
+ - ruta replicada, % - anulación del siguiente salto, p - anulación
del PfR La puerta de último recurso es 209.165.200.226 a la red 0.0.0.0
O*E2 0.0.0.0/0 [110/1] vía 10.0.3.2, 00:51:34, Serial0/1/1
10.0.0.0/8 tiene una subred variable, 8 subredes, 2 máscaras
C10.0.1.0/24 está conectado directamente, GigabitEthernet0/0/0
230 31 días antes de su examen CCNA

L 10.0.1.1/32 está directamente conectada, GigabitEthernet0/0/0


C 10.0.2.0/24 está directamente conectada, GigabitEthernet0/0/1
L 10.0.2.1/32 está directamente conectada, GigabitEthernet0/0/1
C 10.0.3.0/24 está directamente conectada, Serial0/1/1
L 10.0.3.1/32 está conectado directamente, Serial0/1/1
O 10.0.4.0/24 [110/50] vía 10.0.3.2, 00:24:22, Serial0/1/1 O
10.0.5.0/24 [110/50] vía 10.0.3.2, 00:24:15, Serial0/1/1 R1#

La tabla de enrutamiento IPv6 para R1 se muestra en el Ejemplo 17-2.

Ejemplo 17-2 Tabla de enrutamiento IPv6 para R1

R1# show ipv6 route


Tabla de enrutamiento IPv6 - 10 entradas
Códigos: C - Conectado, L - Local, S - Estático, R - RIP, B -
BGP U - Ruta estática por usuario
I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interárea, ISIS resumen O -
OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1
- OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
D - EIGRP, EX - EIGRP externo
OE2 ::/0 [110/1], etiqueta 2
vía FE80::2:C,
Serial0/0/1
C2001:DB8:ACAD:1::/64
[0/0]
a través de GigabitEthernet0/0/0,
conectado directamente L2001:DB8:ACAD:1::1/128
[0/0]
a través de
GigabitEthernet0/0/0, recibe
C2001:DB8:ACAD:2::/64 [0/0]
a través de GigabitEthernet0/0/1,
conectado directamente L2001:DB8:ACAD:2::1/128
[0/0]
a través de
GigabitEthernet0/0/1, recibe
C2001:DB8:ACAD:3::/64 [0/0]
a través de Serial0/1/1,
conectado directamente
L2001:DB8:ACAD:3::1/128 [0/0]
a través de Serial0/1/1, recibir
O2001:DB8:ACAD:4::/64 [110/50]
vía FE80::2:C,
Serial0/1/1
O2001:DB8:ACAD:5::/64
[110/50]
vía FE80::2:C,
Serial0/1/1 LFF00::/8
[0/0]
a través de Null0, recibir
R1#
Día 17 231

Al principio de cada entrada de la tabla de enrutamiento hay un código que se utiliza para
identificar el tipo de ruta o cómo se aprendió la ruta. Las fuentes de ruta más comunes (códigos)
son las siguientes:

■ L: Dirección IP de la interfaz local conectada directamente

■ C: Red conectada directamente

■ S: Ruta estática configurada manualmente por un administrador

■ O: OSPF

■ D: EIGRP

Para las rutas conectadas directamente, R1 añade tres entradas de ruta con los códigos C (para la
red conectada) y L (para la dirección IP de la interfaz local de la red conectada). Las entradas de ruta
también identifican la interfaz de salida que se debe utilizar para llegar a la red.
R1 y R2 también están utilizando el protocolo de enrutamiento dinámico OSPF para intercambiar
información de enrutamiento. Por lo tanto, R1 tiene una entrada de ruta, designada con el código
O, para las redes 10.0.4.0/24 y 10.0.5.0/24.
Una ruta por defecto tiene una dirección de red de todos los ceros. Por ejemplo, la dirección de red IPv4
es 0.0.0.0. En lugar de estar configurada estáticamente, la ruta por defecto se aprendió a través de OSPF
y se codificó como O*E2 para IPv4 y OE2 para IPv6. El asterisco (*) en IPv4 significa que se trata
de un candidato a ruta por defecto. El E2 en IPv6 designa esta ruta como una ruta externa de tipo 2. En
OSPF, esto significa que la ruta es hacia otro dominio de enrutamiento fuera de OSPF. En este caso, la
ruta es hacia el router del ISP conectado a la red, como se muestra en la topología de la Figura 17-1.
R2 está configurado con una ruta estática por defecto y está propagando esa ruta en OSPF con el
comando default-information originate configurado en el modo de configuración de
enrutamiento.

Principios de la tabla de enrutamiento


La Tabla 17-3 describe tres principios de la tabla de enrutamiento. Estos problemas se abordan
mediante la configuración adecuada de protocolos de enrutamiento dinámico o rutas estáticas en
todos los routers entre los dispositivos de origen y destino. Los ejemplos de la tabla se refieren a
los R1 y R2 de la Figura 17-1.

Tabla 17-3 Principios y ejemplos de


enrutamiento Tabla de enrutamiento
PrincipioEjemplo
Cada router toma su decisión solo, basándose no proporciona información de enrutamiento de retorno.
en la información que tiene en su propia
tabla de enrutamiento.

La información de la tabla de enrutamiento de un


router no tiene por qué coincidir con la
información de la tabla de enrutamiento de otro
router.
La información de enrutamiento sobre una ruta
R1 sólo puede reenviar paquetes utilizando su propia tabla R2 no significa que R2 conozca esa misma red.
de enrutamiento.
R1 recibe un paquete con la dirección IP de destino de
R1 no sabe qué rutas hay en las tablas de PC1 y la dirección IP de origen de PC3. El hecho de que R1
enrutamiento de otros routers. sepa que debe reenviar el paquete por su interfaz G0/0/0
no significa necesariamente que R1 sepa cómo reenviar
El hecho de que R1 haya enrutado en su tabla de
los paquetes que se originan en PC1 a la red remota de
enrutamiento a una red de Internet a través de
PC3.
232 31 días antes de su examen CCNA

Estructura de entrada de la ruta


La Figura 17-2 muestra las entradas de la tabla de enrutamiento IPv4 e IPv6 en R1 para la ruta
a la red remota 10.0.4.0/24 y 2001:db8:acad:4::/64. Ambas rutas fueron aprendidas
dinámicamente desde el protocolo de enrutamiento OSPF.

Figura 17-2 Ejemplos de entradas de rutas IPv4 e IPv6


Entrada de la tabla de enrutamiento IPv4
1 2 34 5 6 7

O10.0.4.0/24 [110/50] vía 10.0.3.2, 00:13:29, Serial0/1/1

Entrada de la tabla de enrutamiento IPv6


1 2 3 4

O2001:DB8:ACAD:4::/64 [110/50]
vía FE80::2:C, Serial0/1/1

5 7

En la Figura 17-2, los números identifican la siguiente información:

1. Origen de la ruta: Indica cómo se aprendió la ruta.

2. Red de destino (prefijo y longitud del prefijo): Identifica la dirección de la red remota.
3. Distancia administrativa: Identifica la fiabilidad de la fuente de la ruta. Los valores más bajos
indican las fuentes de ruta preferidas.
4. Métrica: Identifica el valor asignado para alcanzar la red remota. Los valores más bajos indican
rutas preferidas.
5. Siguiente salto: Identifica la dirección IP del siguiente router al que se reenvía el paquete.

6. Marca de tiempo de la ruta: Identifica el tiempo transcurrido desde que se aprendió la ruta.

7. Interfaz de salida: Identifica la interfaz de salida que se utilizará para que los paquetes
salientes lleguen a su destino final.

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.

Recursos Módulo o capítulo


Introducción a las redes v7 6
Fundamentos de conmutación, enrutamiento e 14
inalámbricos
Guía oficial del CCNA 200-301, volumen 1 16
Enrutamiento entre VLANs

Temas del examen CCNA 200-301


■ Configurar y verificar el direccionamiento y la subred IPv4

■ Configurar y verificar la conectividad entre conmutadores

Puntos clave
Hoy revisamos el enrutamiento entre VLANs. Como los switches de capa 2 no pueden realizar la
función de enrutamiento, es necesario implementar un dispositivo de capa 3 para enrutar entre VLANs.

Conceptos de enrutamiento entre VLANs


Las comunicaciones entre VLANs no pueden ocurrir sin un dispositivo de capa 3. Hay tres opciones
disponibles cuando se implementa el enrutamiento inter-VLAN:

■ Enrutamiento inter-VLAN tradicional o heredado

■ Router en un palo

■ Conmutación multicapa

Repasemos brevemente el concepto de cada método.

Enrutamiento Inter-VLAN heredado


El enrutamiento inter-VLAN heredado requiere múltiples interfaces físicas tanto en el router como
en el switch. Cuando se utiliza un router para facilitar el enrutamiento inter-VLAN, las interfaces
del router pueden estar conectadas a VLANs separadas. Los dispositivos de esas VLANs envían el
tráfico a través del router para llegar a otras VLANs.
Por ejemplo, en la Figura 16-1, cada interfaz S2 conectada a R1 está asignada a una VLAN. El router
ya está configurado con el direccionamiento IP apropiado en cada una de sus interfaces, por lo que no
se requiere ninguna configuración adicional. Sin embargo, se puede ver que si se utiliza una interfaz
separada para cada VLAN en un router, rápidamente se quedaría sin interfaces.
234 31 días antes de su examen CCNA

Figura 16-1 Enrutamiento Inter-VLAN heredado

R1
VLAN 10 VLAN 30
G0/0 G0/1

G0/1 G0/2

S2
F0/11 F0/6
VLAN 10 VLAN 30

PC1 PC3

172.17.10.21172.17.30.23

Router en un palo
Hoy en día el software del router hace posible configurar una interfaz del router como múltiples
troncales utilizando subinterfaces. En la Figura 16-2, la interfaz física GigabitEthernet 0/0 está
lógicamente subdividida en dos interfaces lógicas. El tronco de un conmutador está configurado para
enlazar tanto la VLAN 10 como la VLAN 30, y a cada subinterfaz del router se le asigna una VLAN
distinta. El router realiza el enrutamiento entre VLANs aceptando el tráfico con etiqueta VLAN en la
interfaz troncal procedente del switch adyacente. A continuación, el router reenvía el tráfico enrutado,
con etiqueta VLAN para la VLAN de destino, por la misma interfaz física que utilizó para recibir el
tráfico.

Figura 16-2 Router on a Stick

R1
VLAN 10 G0/0,10 G0/0,30 VLAN 30

F0/11 S2F0/6
VLAN 10 VLAN 30

PC1 PC3

172.17.10.21172.17.30.23
Día 16 235

Conmutación multicapa
El router en un palo funciona bien en una pequeña empresa con uno o dos routers. Pero la solución
más escalable en las redes empresariales de hoy en día es utilizar un conmutador multicapa para
reemplazar tanto el router como el conmutador, como en la Figura 16-3. Un conmutador multicapa
realiza ambas funciones: conmutar el tráfico dentro de la misma VLAN y enrutar el tráfico entre
VLANs.

Figura 16-3 Conmutación multicapa

F0/11 F0/6
VLAN 10 VLAN 30

PC1 PC3

172.17.10.21172.17.30.23

La conmutación multicapa es más escalable que cualquier otra implementación de enrutamiento


inter-VLAN por dos razones principales:

■ Los routers tienen un número limitado de interfaces disponibles para conectarse a las redes.

■ En el enlace físico se pueden acomodar cantidades limitadas de tráfico a la vez.

Con un conmutador multicapa, los paquetes se reenvían por una única línea troncal para obtener nueva
información de etiquetado VLAN. Un conmutador multicapa no sustituye por completo la
funcionalidad de un router, sino que puede considerarse como un dispositivo de capa 2 que se
actualiza para tener algunas capacidades de enrutamiento.

Configuración y verificación del Router on a


Stick
Cuando se configura el enrutamiento inter-VLAN utilizando el router en un modelo de stick, la interfaz física
del router debe estar conectado a un enlace troncal en el switch adyacente. En el router, se crean
subinterfaces para cada VLAN única en la red. A cada subinterfaz se le asigna una dirección IP
específica para su subred/VLAN y también se configura para etiquetar tramas para esa VLAN. De este
modo, el router puede mantener el tráfico de las diferentes subinterfaces separado mientras atraviesa
el enlace troncal de vuelta al conmutador.
La configuración del enrutamiento inter-VLAN es bastante sencilla. Consulte la topología
de ejemplo de la Figura 16-4 para revisar los comandos.
236 31 días antes de su examen CCNA

Figura 16-4 Topología para el enrutamiento entre VLANs

R1
G0/0
Subinterfaces:
G0/0.10: 172.17.10.1/24 G0/0.30: 172.17.30.1/24
Trunking Todas las VLAN

G0/1

S2
F0/11 F0/6

PC1 PC3

172.17.10.21 172.17.30.23
VLAN 10 VLAN 30

Este router en una topología de palo se configura utilizando los siguientes pasos en el router:

Paso 1. Active la interfaz física que está haciendo trunking con el switch utilizando el
comando no shutdown.
Paso 2. Entrar en el modo de configuración de la subinterfaz para la primera VLAN que necesita
ser enrutada. Una convención es utilizar el número de la VLAN como número de
subinterfaz. Por ejemplo, el comando interface g0/1.10 entra en el modo de
configuración de subinterfaz para la VLAN 10.
Paso 3. Configure el tipo de encapsulación de trunking mediante el comando de
configuración de subinterfaz encapsulation {dot1q | isl} vlan-number [native].
Configure la encapsulación como dot1q.

■ La encapsulación de enlaces entre conmutadores (ISL), un método de trunking


propietario de Cisco, existía antes del estándar IEEE 802.1Q, que es ahora la mejor
práctica recomendada. Sin embargo, es posible que los switches más antiguos que
aún se utilizan sólo admitan ISL. En esos casos, se sustituye la palabra clave dot1q
por isl.

■ En algunos enrutadores, la palabra clave opcional nativa debe ser configurada


para la VLAN nativa antes de que el enrutador enrute el tráfico de la VLAN nativa.
Los siguientes ejemplos no utilizan el enrutamiento de la VLAN nativa; consulte sus
recursos de estudio para obtener más información sobre este tema.
Paso 4. Configurar la dirección IP y la máscara de subred.

Paso 5. Repita los pasos 2-4 para cada VLAN adicional que necesite ser enrutada.
Asumiendo que el switch ya está configurado con VLANs y trunking, el Ejemplo 16-1 muestra los
comandos para configurar R1 para proporcionar enrutamiento entre la VLAN 10 y la VLAN 30.
Día 16 237

Ejemplo 16-1 Configuración de R1 para enrutar entre VLANs

R1(config)# interfaz g0/0


R1(config-if)# no shutdown
R1(config-if)# interfaz
g0/0.10
R1(config-subif)# encapsulation dot1q 10
R1(config-subif)# dirección ip 172.17.10.1 255.255.255.0
R1(config-subif)# interfaz g0/0.30
R1(config-subif)# encapsulation dot1q 30
R1(config-subif)# dirección ip 172.17.30.1 255.255.255.0

Para verificar la configuración, utilice los comandos show vlans, show ip route y show ip
interface brief para asegurarse de que las nuevas redes están en la tabla de enrutamiento y las
subinterfaces están en funcionamiento, como en el Ejemplo 16-2.

Ejemplo 16-2 Verificación de la configuración de enrutamiento entre VLANs

R1# show vlans


<salida omitida>
ID de LAN virtual: 10 (encapsulación IEEE
802.1Q) Interfaz troncal vLAN:
GigabitEthernet0/0.10
Protocolos configurados: Dirección:Recibida:
Transmitido:
IP172.17.10.100
<salida omitida>
ID de LAN virtual: 30 (encapsulación IEEE
802.1Q) vLAN Trunk Interface:
GigabitEthernet0/0.30
Protocolos configurados: Dirección:Recibida:
Transmitido:
IP172.17.30.100
<salida omitida>
R1# show ip
route
<salida omitida>

La pasarela de último recurso no está configurada

172.17.0.0/16 tiene una subred variable, 4 subredes, 2 máscaras


C 172.17.10.0/24 está directamente conectada,
GigabitEthernet0/0.10 L 172.17.10.1/32 está directamente
conectada, GigabitEthernet0/0.10 C 172.17.30.0/24 está
directamente conectada, GigabitEthernet0/0.30 L 172.17.30.1/32
está directamente conectada, GigabitEthernet0/0.30 R1# show ip
interface brief
InterfaceIP-Address OK? Método Estado Protocolo
GigabitEthernet0/0unassigned YES
unset upup GigabitEthernet0/0.10
172.17.10.1 YES manual upup
GigabitEthernet0/0.30 172.17.30.1 YES manual upup
238 31 días antes de su examen CCNA

GigabitEthernet0/1 sin asignar SÍ sin configurar administrativamente


abajo Serial0/0/0 sin asignar SÍ manual
administrativamente abajo Serial0/0/1 sin asignar SÍ manual
administrativamente abajo Vlan1 sin asignar SÍ manual
administrativamente abajo
R1#

Asumiendo que el switch y los PCs están configurados correctamente, los dos PCs deberían ser capaces
de hacer ping el uno al otro. R1 debería enrutar el tráfico entre la VLAN 10 y la VLAN 30.

Conmutación multicapa Configuración y


verificación del enrutamiento entre
VLANs
La mayoría de las redes empresariales utilizan conmutadores multicapa para lograr altas
velocidades de procesamiento de paquetes mediante la conmutación basada en hardware. Todos
los conmutadores multicapa Catalyst admiten los siguientes tipos de interfaces de capa 3:

■ Interfaz virtual de conmutación (SVI): Interfaz virtual VLAN utilizada para el enrutamiento inter-
VLAN.

■ Puerto enrutado: Similar a una interfaz física en un router Cisco IOS

Todos los conmutadores Cisco Catalyst de capa 3 (series 3500, 4500 y 6500) admiten protocolos de
enrutamiento. Los conmutadores Catalyst 2960 Series que ejecutan Cisco IOS versión 12.2(55) o
posterior admiten el enrutamiento estático.

Creación de IVS adicionales


El SVI para la VLAN por defecto (VLAN 1) ya existe para permitir la administración remota del
switch. Para una topología como la de la Figura 16-5, se deben crear explícitamente SVIs adicionales.

Figura 16-5 Interfaces virtuales conmutadas

Internet

Servidor web
G0/1 64.100.10.10
192.0.2.2/24

Interfaz SVI
Interfaz SVI
VLAN 10
VLAN 30
172.17.10.1
172.17.30.1
F0/11 F0/6
PC1 PC3

172.17.10.21
172.17.30.23
VLAN 10
VLAN 30
Día 16 239

Cree una SVI utilizando el comando interface vlan vlan-id. El vlan-id utilizado corresponde a la
etiqueta VLAN asociada a las tramas de datos procedentes de esa VLAN. Por ejemplo, al crear un SVI
como puerta de enlace para la VLAN 10, utilice el comando interface VLAN 10. Asigne una dirección
IP y habilite el nuevo SVI con el comando no shutdown.
Además, el conmutador debe estar configurado para hacer enrutamiento de capa 3 con el
comando de configuración global ip routing.
A continuación se exponen algunas ventajas de los IVS (y la única desventaja es que los
conmutadores multicapa son más caros):

■ Son mucho más rápidos que los routers en un palo porque todo está conmutado y
enrutado por hardware.

■ No se necesitan enlaces externos desde el switch al router para el enrutamiento.

■ No están limitados a un solo enlace. Se pueden utilizar EtherChannels de capa 2 entre los
conmutadores para obtener más ancho de banda.

■ La latencia es mucho menor porque no necesita salir del conmutador.

El ejemplo 16-3 muestra la configuración para el switch de capa 3 de la Figura 16-5.

Ejemplo 16-3 Configuración de un conmutador para utilizar SVIs para el enrutamiento

MLS(config)# ip routing
MLS(config)# vlan 10
MLS(config)# vlan 30
MLS(config)# interfaz vlan 10
MLS(config-if)# dirección ip 172.17.10.1 255.255.255.0
MLS(config-if)# interfaz vlan 30
MLS(config-if)# dirección ip 172.30.10.1 255.255.255.0
MLS(config-if)# interfaz f0/11
MLS(config-if)# switchport mode access
MLS(config-if)# switchport access vlan
10 MLS(config-if)# interfaz f0/6
MLS(config-if)# switchport mode access
MLS(config-if)# switchport access vlan
30 MLS(config-if)# end
MLS# show ip route
<Salida de código omitida>

La pasarela de último recurso no está configurada

172.17.0.0/24 está subredado, 2 subredes


C 172.17.10.0 está conectado directamente,
Vlan10 C 172.17.30.0 está conectado
directamente, Vlan30 MLS#
240 31 días antes de su examen CCNA

Como el comando ip routing está configurado, MLS tiene una tabla de enrutamiento. Ahora PC1 y
PC3 pueden hacer ping entre sí.

Configuración de un puerto enrutado de capa 3


En la Figura 16-5, observe que la interfaz GigabitEthernet 0/1 tiene una dirección IP asignada.
Para configurar esta interfaz como un puerto enrutado, desactive la conmutación con el comando de
configuración de interfaz no switchport. A continuación, configure la dirección IP de forma normal. El
comando de enrutamiento ip fue habilitado en el paso anterior. Sin embargo, el switch de capa 3
todavía necesita una ruta por defecto para enviar el tráfico a Internet. El Ejemplo 16-4 muestra los
comandos para configurar el puerto enrutado y la ruta por defecto.

Ejemplo 16-4 Configuración de un conmutador con un puerto enrutado

MLS(config)# interfaz g0/1


MLS(config-if)# no switchport
MLS(config-if)# dirección ip 192.0.2.2 255.255.255.0
El comando no shutdown no es necesario porque las interfaces del switch ya están
activadas.
MLS(config-if)# exit
MLS(config)# ip route 0.0.0.0 0.0 g0/1
MLS(config)# salida
MLS# show ip route
<Salida de código omitida>

La pasarela de último recurso es 0.0.0.0 a la red 0.0.0.0

172.17.0.0/24 está subredificada, 2 subredes


C172 .10.0 está directamente
conectada, Vlan10 C172.17.30.0 está
directamente conectada, Vlan30
C192.0.2.0/24 está conectado directamente, GigabitEthernet0/1
S*0.0.0.0/0 está conectado directamente,
GigabitEthernet0/1 MLS#

El comando show ip route verifica que el switch de capa 3 tiene una ruta a Internet. PC1 y PC3
pueden ahora acceder al servidor web.

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.

Recursos Módulo o capítulo


Fundamentos de conmutación, enrutamiento e 4
inalámbricos
Guía oficial del CCNA 200-301, volumen 1 17
Guía del mando portátil 10
Configuración de rutas estáticas y
por defecto

Temas del examen CCNA 200-301


■ Configurar y verificar el enrutamiento estático IPv4 e IPv6

Temas clave
Hoy nos centramos en el enrutamiento estático y por defecto para IPv4 e IPv6. Las rutas estáticas son
una parte común de la política de enrutamiento de una empresa. Las rutas estáticas pueden utilizarse
para forzar el tráfico a utilizar una ruta específica o para establecer una ruta por defecto fuera de la
empresa. El administrador de la red codifica las rutas estáticas en la tabla de enrutamiento. Por lo tanto,
un administrador de red debe supervisar y mantener las rutas estáticas para garantizar la conectividad.

Visión general del enrutamiento estático y por


defecto
Cuando un enrutador configurado con un protocolo de enrutamiento dinámico puede aprender
rutas de otros enrutadores sin necesidad de que el administrador de la red aporte algo más, ¿por
qué utilizar el enrutamiento estático?
Las situaciones varían, y otras razones pueden ser únicas para una implementación particular, pero, en
general, se utiliza el enrutamiento estático en estos casos:

■ En una red pequeña que sólo requiere un enrutamiento simple

■ En una topología de red hub-and-spoke

■ Cuando quiera crear una ruta rápida ad hoc

■ Como respaldo cuando la ruta principal falla

En general, no se utilizan rutas estáticas en estos casos:

■ En una gran red

■ Cuando se espera que la red se amplíe

Las rutas estáticas se suelen utilizar cuando se enruta desde una red más grande a una red stub
(una red a la que se accede por un único enlace). Las rutas estáticas también pueden ser útiles para
especificar una ruta por defecto o una pasarela de último recurso. Por ejemplo, en la Figura 15-1,
R2 está conectado a una red stub.
En la Figura 15-1, no existe ninguna otra ruta que salga de la red stub salvo para enviar paquetes
a HQ. Por lo tanto, tiene sentido configurar el R2 con una ruta por defecto que apunte a la interfaz
conectada al HQ. Del mismo modo, el HQ sólo tiene una forma de enrutar los paquetes destinados a la
red stub conectada al R2. Por lo tanto, tiene sentido configurar el HQ con una ruta estática que
apunte a la interfaz conectada al R2. Sí, podría configurar ambos routers con un protocolo de
enrutamiento dinámico, pero eso podría introducir un nivel de complejidad que podría no ser
necesario en una situación de red stub.
242 31 días antes de su examen CCNA

Figura 15-1 Ejemplo de una red de enlace (Stub)


Red de Relleno
Red Coporate
Ruta estática

HQ R2

Ruta por defecto

Configuración de rutas estáticas IPv4


Para configurar una ruta estática, utilice el comando ip route con la siguiente sintaxis pertinente:
Router(config)# ip route dirección de red máscara de subred {dirección IP |
interfaz de salida} [distancia administrativa]

A continuación se explica cada parámetro:

■ dirección de red: La dirección de red de destino de la red remota que debe añadirse a la tabla
de enrutamiento.

■ máscara de subred: La máscara de subred de la red remota que se va a añadir a la tabla de


enrutamiento. La máscara de subred se puede modificar para resumir un grupo de redes.
Se utiliza uno o ambos de los siguientes parámetros:

■ dirección ip: Comúnmente referido como la dirección IP del router del siguiente salto

■ interfaz de salida: La interfaz de salida utilizada en el reenvío de paquetes a la red de destino

Además, el parámetro opcional de distancia administrativa se utiliza cuando se configura una ruta
estática flotante, como se verá más adelante en la revisión de hoy.
La Figura 15-2 muestra la topología que utilizamos hoy en día para revisar el enrutamiento estático y por
defecto de IPv4.

Figura 15-2 Topología de enrutamiento estático y por defecto IPv4


10.10.10.0/24
S0/1/0 172.16.1.0/24
G0/0
HQ PC2
R2
S0/0/0 S0/0/1

172.16.2.0/24 192.168.0.0/24

172.16.3.0/24 192.168.1.0/24

G0/0 S0/0/0S0/0/1 G0/0


PC1 PC3
R1R3
Día 15 243

La Tabla 15-1 muestra el esquema de direccionamiento IPv4 utilizado con la topología de la Figura 15-2.

Tabla 15-1 Esquema de direccionamiento IPv4


Dispos Interfaz Dirección Máscara de Pasarela por
itivo IP subred defecto
HQ S0/0/0 10.10.10.1 255.255.255.0 -—
R1 G0/0 172.16.3.1 255.255.255.0 -—
S0/0/0 172.16.2.2 255.255.255.0 -—
R2 G0/0 172.16.1.1 255.255.255.0 -—
S0/0/0 172.16.2.1 255.255.255.0 -—

S0/0/1 192.168.0.1 255.255.255.0 -—

S0/1/0 10.10.10.2 255.255.255.0 -—


R3 G0/0 192.168.1.1 255.255.255.0 -—
S0/0/1 192.168.0.2 255.255.255.0 -—
PC1 NIC 172.16.3.10 255.255.255.0 172.16.3.1
PC2 NIC 172.16.1.10 255.255.255.0 172.16.1.1
PC3 NIC 192.168.2.10 255.255.255.0 192.168.2.1

Supongamos que R1 está configurado y conoce sus propias redes conectadas directamente. El ejemplo
15-1 muestra la tabla de enrutamiento de R1 antes de que se configure cualquier enrutamiento
estático.

Ejemplo 15-1 Tabla de enrutamiento R1 antes de configurar las rutas estáticas

R1# show ip route


<salida omitida>

La pasarela de último recurso no está configurada

172.16.0.0/16 tiene una subred variable, 4 subredes, 2


máscaras C 172.16.2.0/24 está conectada directamente,
Serial0/0/0
L 172.16.2.2/32 está conectado directamente, Serial0/0/0
C 172.16.3.0/24 está conectado directamente,
GigabitEthernet0/0 L 172.16.3.1/32 está conectado
directamente, GigabitEthernet0/0 R1#

R1 no conoce estas redes remotas:

■ 172.16.1.0/24: La LAN en R2

■ 192.168.0.0/24: La red en serie entre R2 y R3

■ 192.168.1.0/24: La LAN en R3
■ 10.10.10.0/24: La red en serie entre R2 y HQ

■ 0.0.0.0/0: Todas las demás redes accesibles a través de la sede central


244 31 días antes de su examen CCNA

Rutas estáticas IPv4 utilizando el parámetro Next-Hop


Usando el parámetro next-hop, R1 puede ser configurado con tres rutas estáticas-una para cada
red que R1 aún no conoce. El ejemplo 15-2 muestra la sintaxis del comando.

Ejemplo 15-2 Configuración de la ruta estática con el parámetro Next-Hop

R1(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1


R1(config)# ip route 192.168.0.0 255.255.255.0 172.16.2.1
R1(config)# ip route 192.168.1.0 255.255.255.0 172.16.2.1
R1(config)# ip route 10.10.10.0 255.255.255.0 172.16.2.1

La interfaz que se dirige al siguiente salto debe estar activa y en funcionamiento antes de que las
rutas estáticas puedan ser introducidas en la tabla de enrutamiento. El ejemplo 15-3 verifica que las
rutas estáticas están ahora en la tabla de enrutamiento.

Ejemplo 15-3 Tabla de enrutamiento del R1 después de configurar las rutas estáticas

R1# show ip route


<salida omitida>

La pasarela de último recurso no está configurada

10.0.0.0/24 está subredado, 1 subred


S 10.10.10.0/24 [1/0] vía 172.16.2.1
172.16.0.0/16 tiene subredes variables, 5 subredes, 2
máscaras S 172.16.1.0/24 [1/0] vía 172.16.2.1
C 172.16.2.0/24 está conectado directamente,
Serial0/0/0 L 172.16.2.2/32 está conectado
directamente, Serial0/0/0
C 172.16.3.0/24 está conectado directamente,
GigabitEthernet0/0 L 172.16.3.1/32 está conectado
directamente, GigabitEthernet0/0 S 192.168.0.0/24 [1/0] vía
172.16.2.1
S 192.168.1.0/24 [1/0] vía 172.16.2.1
R1#

Cuando se utiliza el parámetro de siguiente salto, el router debe tener una ruta en la tabla hacia la
red a la que pertenece la dirección de siguiente salto. En la línea resaltada en el Ejemplo 15-3, vemos
que R1 tiene efectivamente una ruta a la red 172.16.2.0/24, que incluye la dirección de siguiente
salto 172.16.2.1. Sin embargo, la configuración de una dirección de siguiente salto requiere que el
router realice una búsqueda recursiva para encontrar la interfaz de salida antes de que pueda enviar el
paquete por la interfaz Serial 0/0/0.

Rutas estáticas IPv4 utilizando el parámetro de interfaz de


salida
Para evitar una búsqueda recursiva y hacer que el router envíe inmediatamente los paquetes a la
interfaz de salida, con- figure la ruta estática utilizando el parámetro exit-interface en lugar del
parámetro ip-address next-hop.
Por ejemplo, en R2, podemos configurar rutas estáticas hacia las LAN de R1 y R3 especificando la
interfaz de salida:
R2(config)# ip route 172.16.3.0 255.255.255.0 serial 0/0/0
R2(config)# ip route 192.168.1.0 255.255.255.0 serial 0/0/1
Día 15 245

Cualquier ruta estática anterior a esta red que utilice una dirección IP de siguiente salto debe ser
eliminada. El R2 tiene ahora dos rutas estáticas en su tabla de enrutamiento (véase el Ejemplo 15-4)
que puede utilizar inmediatamente para dirigirse a las redes 172.16.3.0/24 y 192.168.1.0/24 sin
tener que hacer una búsqueda recursiva de rutas.

Ejemplo 15-4 Tabla de enrutamiento R2 después de configurar la ruta estática

R2# show ip route


<salida omitida>

La pasarela de último recurso no está configurada

10.0.0.0/8 tiene una subred variable, 2 subredes, 2


máscaras C 10.10.10.0/24 está conectada directamente,
Serial0/1/0
L 10.10.10.2/32 está conectada directamente, Serial0/1/0
172.16.0.0/16 tiene una subred variable, 5 subredes, 2
máscaras
C 172.16.1.0/24 está conectado directamente,
GigabitEthernet0/0 L 172.16.1.1/32 está conectado
directamente, GigabitEthernet0/0 C 172.16.2.0/24 está
conectado directamente, Serial0/0/0
L 172.16.2.1/32 está directamente conectada,
Serial0/0/0 S 172.16.3.0/24 está directamente
conectada, Serial0/0/0
192.168.0.0/24 tiene una subred variable, 2 subredes, 2
máscaras C 192.168.0.0/24 está conectada directamente,
Serial0/0/1
L192.168.0.1/32 está conectado directamente, Serial0/0/1
S 192.168.1.0/24 está conectado directamente,
Serial0/0/1 R2#

NOTA: Aunque la salida resaltada en el Ejemplo 15-4 muestra que las rutas están
directamente conectadas, técnicamente, eso no es cierto. Sin embargo, en lo que
respecta a R2, la interfaz de salida es la forma de llegar al destino, al igual que con las
rutas verdaderamente conectadas directamente. Otra ventaja de utilizar la
configuración de la interfaz de salida en lugar de la configuración de la dirección del
siguiente salto es que la ruta estática no depende de la estabilidad de la dirección IP
del siguiente salto. La mayoría de las veces, utilizar la configuración de la interfaz de
salida es la mejor práctica, por lo que utilizaremos la configuración de la interfaz de
salida para todas las rutas estáticas y por defecto mientras continuamos con las
revisiones.

Configuración de la ruta por defecto IPv4


Una ruta por defecto es un tipo especial de ruta estática que se utiliza para representar todas
las rutas con cero o ninguna coincidencia de bits. En otras palabras, cuando ninguna ruta tiene
una coincidencia más específica en la tabla de enrutamiento, la ruta por defecto es una
coincidencia.
La dirección IP de destino de un paquete puede coincidir con varias rutas en la tabla de enrutamiento.
Por ejemplo, considere tener las siguientes dos rutas estáticas en la tabla de enrutamiento:
172.16.0.0/24 está subredado, 3 subredes
S 172.16.1.0 está conectado directamente, Serial0/0/0
S 172.16.0.0/16 está conectado directamente, Serial0/0/1
246 31 días antes de su examen CCNA

Un paquete destinado a 172.16.1.10, la dirección IP de destino del paquete, coincide con ambas rutas.
Sin embargo, la ruta 172.16.1.0 es la más específica porque el destino coincide con los primeros 24
bits, mientras que el destino sólo coincide con los primeros 16 bits de la ruta 172.16.0.0. Por lo tanto, el
router utiliza la ruta con la coincidencia más específica.
Una ruta por defecto es una ruta que coincide con todos los paquetes. Comúnmente llamada ruta
cuádruple cero, una ruta por defecto utiliza 0.0.0.0 (de ahí el término cuádruple cero) para los
parámetros de dirección de red y máscara de subred, como en esta sintaxis:
Router(config)# ip route 0.0.0.0 0.0 0.0 {dirección-ip | interfaz-salida}

Refiriéndose a la topología de la Figura 15-2, suponga que la sede central tiene una conexión a
Internet. Desde la perspectiva de R2, todo el tráfico por defecto puede enviarse a HQ para su
enrutamiento fuera del dominio conocido por R2.
El siguiente comando configura el R2 con una ruta por defecto que apunta al HQ:
R2(config)# ip route 0.0.0.0 0.0.0 serial 0/1/0

R2 tiene ahora una pasarela de último recurso en la tabla de enrutamiento, una ruta candidata por
defecto indicada por el asterisco (*) junto al código S (véase el ejemplo 15-5).

Ejemplo 15-5 Tabla de enrutamiento R2 después de configurar la ruta por defecto

R2# show ip route


<algunos códigos omitidos>
* - candidato por defecto, U - ruta estática por
usuario, o - ODR P - ruta estática descargada
periódicamente

La pasarela de último recurso es 0.0.0.0 a la red 0.0.0.0

10.0.0.0/8 tiene una subred variable, 2 subredes, 2


máscaras C 10.10.10.0/24 está conectada directamente,
Serial0/1/0
L 10.10.10.2/32 está conectada directamente, Serial0/1/0
172.16.0.0/16 tiene una subred variable, 5 subredes, 2
máscaras
C 172.16.1.0/24 está conectado directamente,
GigabitEthernet0/0 L 172.16.1.1/32 está conectado
directamente, GigabitEthernet0/0 C 172.16.2.0/24 está
conectado directamente, Serial0/0/0
L 172.16.2.1/32 está directamente conectada,
Serial0/0/0 S 172.16.3.0/24 está directamente
conectada, Serial0/0/0
192.168.0.0/24 tiene una subred variable, 2 subredes, 2
máscaras C 192.168.0.0/24 está conectada directamente,
Serial0/0/1
L 192.168.0.1/32 está conectado directamente,
Serial0/0/1 S 192.168.1.0/24 está conectado
directamente, Serial0/0/1 S* 0.0.0.0/0 está conectado
directamente, Serial0/1/0
R2#
Día 15 247

Desde la perspectiva de R1 y R3, R2 es la ruta por defecto. Los siguientes comandos configuran R1 y
R3 con una ruta por defecto que apunta a R2:
R1(config)# ip route 0.0.0.0 0.0 serial 0/0/0
!
R3(config)# ip route 0.0.0.0 0.0 serial 0/0/1

De nuevo, podemos verificar que la ruta por defecto está ahora en la tabla de enrutamiento de R1 (ver Ejemplo
15-6).

Ejemplo 15-6 Tablas de enrutamiento de R1 y R3 después de configurar la ruta por defecto

!R1!!!!!!!!!!!
R1# show ip route
<algunos códigos omitidos>
* - candidato por defecto, U - ruta estática por
usuario, o - ODR P - ruta estática descargada
periódicamente

La pasarela de último recurso es 0.0.0.0 a la red 0.0.0.0

172.16.0.0/16 tiene una subred variable, 4 subredes, 2


máscaras C 172.16.2.0/24 está conectada directamente,
Serial0/0/0
L 172.16.2.2/32 está conectado directamente, Serial0/0/0
C 172.16.3.0/24 está conectado directamente,
GigabitEthernet0/0 L 172.16.3.1/32 está conectado
directamente, GigabitEthernet0/0 S* 0.0.0.0/0 está conectado
directamente, Serial0/0/0
R1#
!
!R3!!!!!!!!!!!!
R3# show ip route
<algunos códigos omitidos>
* - candidato por defecto, U - ruta estática por usuario,
o - ODR P - ruta estática descargada periódicamente

La pasarela de último recurso es 0.0.0.0 a la red 0.0.0.0

192.168.0.0/24 tiene una subred variable, 2 subredes, 2


máscaras C 192.168.0.0/24 está conectada directamente,
Serial0/0/1
L 192.168.0.2/32 está conectada directamente, Serial0/0/1
192.168.1.0/24 tiene una subred variable, 2 subredes, 2
máscaras
C 192.168.1.0/24 está conectado directamente,
GigabitEthernet0/0 L 192.168.1.1/32 está conectado
directamente, GigabitEthernet0/0 S* 0.0.0.0/0 está conectado
directamente, Serial0/0/1
R3#

Después de evaluar las tablas de enrutamiento completas para R1, R2 y R3 mostradas en los
Ejemplos 15-5 y 15-6, se puede ver que R1 y R3 sólo necesitan una ruta de salida-una ruta por
defecto. R2 actúa como un router hub
a los radios R1 y R3. Por lo tanto, necesita dos rutas estáticas que apunten a las LANs R1 y R3.
248 31 días antes de su examen CCNA

El R2 también tiene una ruta de salida hacia el cuartel general para los destinos que no conoce.
¿Pero qué pasa con la sede central? Actualmente, la sede central no tiene rutas de vuelta a ninguna de
las redes accesibles a través de R2. Por lo tanto, cualquier tráfico procedente de PC1, PC2 y PC3 está
actualmente confinado a las redes R1, R2 y R3. Ninguno de estos PCs puede hacer ping a la
dirección de interfaz de la sede central 10.10.10.1. En la salida de traceroute en el Ejemplo 15-7, la
falla ocurre después de que R2 responde. Esto se debe a que HQ recibe las solicitudes ICMP de PC1
pero no tiene una ruta de regreso a la red 172.16.3.0/24. Por lo tanto, el cuartel general descarta los
paquetes.

Ejemplo 15-7 Un traceroute fallido de PC1 a HQ

C:\> t r a c e r t 10. 10.10.1

Rastreo de la ruta a 10.10.10.1 sobre un máximo de 30 saltos:

1 0 ms0 ms1 ms172.16.3.1


2 0 ms0 ms1 ms172.16.2.1
3 ***Solicitud agotada.
4 ^C
C:\>

En la siguiente sección, configuramos HQ con rutas estáticas para completar la configuración de


rutas estáticas para la topología de la Figura 15-2.

Configuración de la ruta estática de resumen IPv4


Antes de configurar cinco rutas estáticas separadas para cada una de las redes de la Figura 15-2, observe
que las redes 172.16 se pueden resumir en una ruta y que las redes 192.168 se pueden resumir en
una ruta. El ejemplo 15-8 muestra las cinco rutas en binario, con los bits en común resaltados.

Ejemplo 15-8 Cálculo de la ruta de resumen para las rutas estáticas de la sede central

Cálculo resumido para las redes 172.16:


10101100.00010000.00000001.00000000
10101100.00010000.00000010.00000000
10101100.00010000.00000011.00000000
Cálculo resumido para las redes 192.168
11000000.10101000.00000000.00000000
11000000.10101000.00000001.00000000

La ruta resumen para las redes 172.16 es 172.16.0.0/22 porque las tres direcciones de red tienen
22 bits en común. Aunque esta ruta estática resumida no forma parte del esquema de direccionamiento
actual, también incluye la ruta 172.16.0.0/24. La ruta resumen para las redes 192.168 es
192.168.0.0/23 porque las dos direcciones de red tienen 23 bits en común.
Día 15 249

Ahora podemos configurar HQ con dos rutas estáticas de resumen en lugar de cinco rutas estáticas
individuales:
HQ(config)# ip route 172.16.0.0 255.255.252.0 serial 0/0/0
HQ(config)# ip route 192.168.0.0 255.255.254.0 Serial0/0/0

Ahora PC1 puede trazar con éxito una ruta a la interfaz HQ, como muestra el Ejemplo 15-9.

Ejemplo 15-9 Un traceroute exitoso de PC1 a HQ

C:\> t r a c e r t 10. 10.10.1

Rastreo de la ruta a 10.10.10.1 sobre un máximo de 30 saltos:

11 ms0 ms0 ms172.16.3.1


20 ms1 ms2 ms172.16.2.1
31 ms2 ms1 ms10.10.10.1

Rastreo completo.

C:\>

El rastreo es exitoso porque HQ ahora tiene una ruta de regreso a la red de PC1, como se muestra
en el Ejemplo 15-10.

Ejemplo 15-10 Tabla de enrutamiento HQ con rutas estáticas de resumen IPv4

HQ# show ip route


<salida omitida>

La pasarela de último recurso no está configurada

10.0.0.0/8 tiene una subred variable, 2 subredes, 2


máscaras C10.10.10.0/24 está conectada
directamente, Serial0/0/0
L10.10.10.1/32 está conectada directamente,
Serial0/0/0 172.16.0.0/22 está sujeta a la red, 1
subredes
S172 .16.0.0/22 está conectado
directamente, Serial0/0/0 S192.168.0.0/23
está conectado directamente, Serial0/0/
HQ#

Enrutamiento estático IPv6


El enrutamiento estático con IPv6 es similar al enrutamiento estático con IPv4. Podemos utilizar la
misma topología pero cambiar el direccionamiento a IPv6, como se muestra en la Figura 15-3.
250 31 días antes de su examen CCNA

Figura 15-3 Topología de enrutamiento estático y por defecto IPv6


2001:DB8:1:F::/64
S0/1/0 2001:DB8:1:1::/64
G0/0
HQ PC2
R2
S0/0/0 S0/0/1

2001:DB8:1:2::/64 2001:DB8:1:A0::/64

2001:DB8:1:3::/64 2001:DB8:1:A1::/64

G0/0 S0/0/0 S0/0/1 G0/0


PC1 PC3
R1R3

La Tabla 15-2 muestra el esquema de direccionamiento IPv6 utilizado con la topología de la Figura 15-3.

Tabla 15-2 Esquema de direccionamiento IPv6


Disposit Interfaz Dirección/Prefijo IPv6 Pasarela por
ivo defecto
HQ S0/0/0 2001:DB8:1:F::1/64 -—
Enlace local FE80::F
R1 G0/0 2001:DB8:1:3::1/64 -—
S0/0/0 2001:DB8:1:2::2/64 -—

FE80::1
R2 G0/0 2001:DB8:1:1::1/64 -—
S0/0/0 2001:DB8:1:2::1/64 -—

S0/0/1 2001:DB8:1:A0::1/64 -—

S0/1/0 2001:DB8:1:F::2/64 -—

Enlace local FE80::2


R3 G0/0 2001:DB8:1:A1::1/64 -—
S0/0/1 2001:DB8:1:A0::2/64 -—

Enlace local FE80::3 -—


PC1 NIC 2001:DB8:1:3:209:7CFF:FE9A: FE80::1
1A87/64
PC2 NIC 2001:DB8:1:1:204:9AFF:FEE3: FE80::2
C943/64
PC3 NIC 2001:DB8:1:A1:201:C9FF:FEE5: FE80::3
D3A/64
Día 15 251

NOTA: El direccionamiento IPv6 para los PCs está configurado en autoconfiguración.


Hacer ping de PC a PC no sería muy divertido. Sin embargo, las direcciones IPv6 no están
configuradas manualmente para que puedas practicar tus conocimientos sobre el
funcionamiento de EUI-64. ¿Puedes averiguar la dirección MAC de cada PC? Si no es así,
revisa el Día 27, "Direccionamiento IPv6". (Sugerencia: FFFE y voltea el bit.) Si estás
siguiendo el proceso usando un simulador, podrías considerar configurar manualmente las
PCs con direcciones IPv6 más fáciles-como 2001:DB8:1:3::A/64 en la PC1.
Si lo hace, mejorará en gran medida su experiencia de ping.

Configuración de rutas estáticas IPv6


La sintaxis del comando para el enrutamiento estático IPv6 es similar a la sintaxis para IPv4:
Router(config)# ipv6 route ipv6-prefix/prefix-length {ipv6-address |
exit-interface} [distancia administrativa]

Por lo tanto, los siguientes comandos configuran a R2 con rutas estáticas hacia las LAN de R1 y R3:
R2(config)# ipv6 route 2001:DB8:1:3::/64 Serial0/0/0
R2(config)# ipv6 route 2001:DB8:1:A1::/64 Serial0/0/1

Como se destaca en la salida del comando show ipv6 route en el Ejemplo 15-11, R2 ahora tiene
rutas en la tabla de enrutamiento hacia las LANs de R1 y R3.

Ejemplo 15-11 Tabla de enrutamiento IPv6 del R2 después de configurar las rutas estáticas

R2# show ipv6 route


Tabla de enrutamiento IPv6 - 11 entradas
<código de salida omitido>
C2001:DB8:1:1::/64 [0/0]
vía ::,
GigabitEthernet0/0
L2001:DB8:1:1::1/128 [0/0]
vía ::,
GigabitEthernet0/0
C2001:DB8:1:2::/64 [0/0]
vía ::, Serial0/0/0
L2001:DB8:1:2::1/128 [0/0]
vía ::,
Serial0/0/0
S2001:DB8:1:3::/64
[1/0]
vía ::,
Serial0/0/0
C2001:DB8:1:F::/64
[0/0]
vía ::, Serial0/1/0
L2001:DB8:1:F::2/128 [0/0]
vía ::, Serial0/1/0
C2001:DB8:1:A0::/64 [0/0]
vía ::, Serial0/0/1
L2001:DB8:1:A0::1/128 [0/0]
vía ::, Serial0/0/1
S2001:DB8:1:A1::/64 [1/0]
vía ::,
Serial0/0/1 L FF00::/8
[0/0]
vía ::, Null0
252 31 días antes de su examen CCNA

Configuración de la ruta por defecto IPv6


La siguiente es la sintaxis del comando para una ruta por defecto IPv6:
Router(config)# ipv6 route ::/0 {ipv6-address | exit-interface}

Al igual que con el cuádruple cero en IPv4, los dos puntos (::) significan todos los 0s o cualquier
dirección, y el /0 significa cualquier longitud de prefijo.
Continuando con el ejemplo de la Figura 15-3, podemos configurar R1, R2 y R3 con las siguientes
rutas por defecto:
R1(config)# ipv6 route ::/0 serial 0/0/0
R2(config)# ipv6 route ::/0 serial 0/1/0
R3(config)# ipv6 route ::/0 serial 0/0/1

Los puntos destacados en el Ejemplo 15-12 muestran las rutas por defecto para R1, R2 y R3.

Ejemplo 15-12 Rutas por defecto en las tablas de enrutamiento para R1, R2 y R3

!R1!!!!!!!!!!!
R1# show ipv6 route
Tabla de enrutamiento IPv6 - 6 entradas
<código de salida
omitido> S::/0
[1/0]
vía ::, Serial0/0/0
<se omite la salida d e l a s rutas conectadas y locales>

!R2!!!!!!!!!!!
R2# show ipv6 route
Tabla de enrutamiento IPv6 - 12 entradas
<código de salida
omitido> S::/0
[1/0]
vía ::, Serial0/1/0
S2001:DB8:1:3::/64 [1/0]
vía ::, Serial0/0/0
S2001:DB8:1:A1::/64 [1/0]
vía ::, Serial0/0/1
<se omite la salida d e l a s rutas conectadas y locales>

!R3!!!!!!!!!!!
R3# show ipv6 route
Tabla de enrutamiento IPv6 - 6 entradas
<código de salida
omitido> S::/0
[1/0]
vía ::, Serial0/0/1
<se omite la salida d e l a s rutas conectadas y locales>
Día 15 253

Configuración de la ruta estática de resumen IPv6


Al igual que en el escenario de enrutamiento estático IPv4, HQ puede ser configurado con dos rutas
estáticas de resumen a las LANs R1, R2 y R3. El ejemplo 15-13 muestra los primeros cuatro
hextetos (64 bits) de las cinco rutas en binario, con los bits en común resaltados.

Ejemplo 15-13 Cálculo de la ruta de resumen para las rutas estáticas HQ

Cálculo resumido para los cuatro primeros hextetos de las redes 2001:DB8:1:1::/64,
2001:DB8:1:2::/64 y 2001:DB8:1:3::/64:
0010000000000001:0000110110111000:0000000000000001:0000000000000001::
0010000000000001:0000110110111000:0000000000000001:0000000000000010::
0010000000000001:0000110110111000:0000000000000001:0000000000000011::
Cálculo resumido para los cuatro primeros hextetos de las redes 2001:DB8:1:A0::/64
y 2001:DB8:1:A1::/64:
0010000000000001:0000110110111000:0000000000000001:0000000010100000::
0010000000000001:0000110110111000:0000000000000001:0000000010100001::

La primera ruta resumida es 2001:DB8:1::/62 porque las tres direcciones de red tienen 62 bits en
común. Aunque esta ruta estática resumida no forma parte del esquema de direccionamiento actual,
también incluye la red 2001:DB8:1::/64. La segunda ruta resumida es 2001:DB8:1:A0::/63 porque las
dos direcciones de red tienen 63 bits en común.
Ahora puede configurar el HQ con las siguientes dos rutas estáticas de resumen:
HQ(config)# ipv6 route 2001:DB8:1::/62 Serial0/0/0
HQ(config)# ipv6 route 2001:DB8:1:A0::/63 Serial0/0/0

Ahora el HQ tiene dos rutas de resumen, como puede ver en las entradas resaltadas en el Ejemplo 15-14.

Ejemplo 15-14 Tabla de enrutamiento HQ con rutas estáticas de resumen IPv6

HQ# show ipv6 route


Tabla de enrutamiento IPv6 - 5 entradas
<salida omitida>
S 2001:DB8:1::/62 [1/0]
vía ::,
Serial0/0/0 C
2001:DB8:1:F::/64 [0/0]
vía ::, Serial0/0/0
L 2001:DB8:1:F::1/128 [0/0]
vía ::, Serial0/0/0
S 2001:DB8:1:A0::/63 [1/0]
vía ::,
Serial0/0/0 L FF00::/8
[0/0]
vía ::, Null0
HQ#
254 31 días antes de su examen CCNA

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.

Recursos Módulo o capítulo


Fundamentos de conmutación, enrutamiento e inalámbricos 15
Guía oficial del CCNA 200-301, volumen 1 16
18
25
Guía del mando portátil 15
Funcionamiento de OSPF

Temas del examen CCNA 200-301


■ Determinar cómo un router toma una decisión de reenvío por defecto

■ Configurar y verificar OSPFv2 de área única

Temas clave
Hoy revisamos el funcionamiento básico de OSPF. OSPFv2 se utiliza para el enrutamiento IPv4, y
OSPFv3 se utiliza para el enrutamiento IPv6. Aunque las dos versiones comparten los mismos
principios básicos de funcionamiento, también revisaremos en qué se diferencian. Mañana, revisaremos
la configuración de OSPFv2 de área única.

Funcionamiento de OSPF de área única


El Grupo de Trabajo de Ingeniería de Internet (IETF) eligió OSPF en lugar de IS-IS como su
protocolo de pasarela interior (IGP) recomendado. En 1998, la especificación OSPFv2 se actualizó en
el RFC 2328, "OSPF Versión 2" (véase http://www.ietf.org/rfc/rfc2328). El software Cisco IOS
elige las rutas OSPF en lugar de las rutas RIP porque OSPF tiene una distancia administrativa (AD)
de 110 frente a la AD de RIP de 120.

Formato de los mensajes OSPF


La porción de datos de un mensaje OSPF se encapsula en un paquete. Este campo de datos puede incluir
uno de los cinco tipos de paquetes OSPF. La Figura 14-1 muestra un mensaje OSPF encapsulado en una
trama Ethernet.
La cabecera del paquete OSPF se incluye con cada paquete OSPF, independientemente de su tipo. La
cabecera del paquete OSPF y los datos específicos del tipo de paquete se encapsulan en un paquete IP.
En la cabecera del paquete IP, el campo de protocolo se establece en 89 para indicar OSPF, y la
dirección de destino se establece normalmente en una de las dos direcciones de multidifusión:
224.0.0.5 o 224.0.0.6. Si el paquete OSPF está encapsulado en
una trama Ethernet, la dirección MAC de destino es también una dirección multicast: 01-00-5E-00-
00-05 o 01-00-5E-00-00-06.
256 31 días antes de su examen CCNA

Figura 14-1 Mensaje OSPF encapsulado

Encabezado de Cabece Cabecera


Datos específicos del tipo de paquete
trama de ra del del
OSPF
enlace de paque paquete
datos te IP OSPF

Trama de enlace de datos (aquí se muestran los campos de Ethernet)


Dirección de origen MAC = Dirección de la interfaz de envío
Dirección MAC de destino = Multidifusión: 01-00-5E-00-00-05 o 01-00-5E-00-00-06
Paquete IP
Dirección IP de origen = Dirección de la interfaz de envío
Dirección IP de destino = Multicast: 224.0.0.5 o 224.0.0.6
Campo de protocolo = 89 para OSPF
Cabecera del paquete OSPF
Código de tipo de paquete OSPF
ID de router e ID de área

Tipos de paquetes OSPF


0x01 Hola
0x02 Descripción de la
base de datos 0x03
Solicitud de estado de
enlace 0x04 Actualización
de estado de enlace
0x05 Reconocimiento del estado del
enlace

Tipos de paquetes OSPF


Cada uno de los cinco tipos de paquetes OSPF tiene un propósito específico en el proceso de enrutamiento:

■ Hello: Los paquetes Hello establecen y mantienen la adyacencia con otros routers OSPF.

■ DBD: El paquete de descripción de la base de datos (DBD) contiene una lista abreviada de la
base de datos de estado de enlace del router emisor. Los routers receptores lo utilizan para
comprobar la base de datos de estado de enlace local.

■ LSR: Los routers receptores pueden solicitar más información sobre cualquier entrada
del DBD enviando una solicitud de estado de enlace (LSR).

■ LSU: Los paquetes de actualización de estado de enlace (LSU) responden a los LSR y anuncian
nueva información. Las LSU contienen 11 tipos de anuncios de estado de enlace (LSA).

■ LSAck: Cuando se recibe un LSU, el router envía un acuse de recibo de estado de enlace
(LSAck) para confirmar la recepción del LSU.

Establecimiento de vecinos
Los vecinos OSPF intercambian paquetes hello para establecer adyacencia. La Figura 14-2 muestra la
cabecera OSPF y el paquete hello.
Día 14 257

Figura 14-2 Encabezado de paquete OSPF y paquete Hello

Encabeza Cabecera del Cabecera del paquete Datos específicos del tipo de
do de trama paquete IP OSPF paquete OSPF
de enlace de Paquete de
datos bienvenida

Bits 07 815 1623 2431

Versi Tipo = 1 Longitud del paquete


ón

ID del router

OSPF Identificación de la
Encabeza zona
dos de
paquetes Suma de AuT
comprobac ype
ión

Autenticación

Autenticación

Máscara de red

Hola Opc Prioridad del router


Intervalos ión
OSPF
Hola Intervalo muerto del
Paquetes router
Enrutador designado
(DR)

Enrutador designado de reserva (BDR)

Los campos importantes que se muestran en la figura son los siguientes:

■ Tipo: Tipo de paquete OSPF: Hello (Tipo 1), DBD (Tipo 2), LS Request (Tipo 3), LS
Update (Tipo 4), LS ACK (Tipo 5)

■ ID del router: ID del router de origen

■ ID de área: Área de la que procede el paquete

■ Máscara de red: Máscara de subred asociada a la interfaz de envío

■ Hello Interval: Número de segundos entre los hellos del router emisor

■ Prioridad del router: Se utiliza en la elección de DR/BDR

■ Router designado (DR): ID del router del DR, si lo hay.

■ Router designado de respaldo (BDR): ID del router del BDR, si lo hay.

■ Lista de vecinos: El ID del router OSPF de los routers vecinos.

Los paquetes Hello se utilizan para hacer lo siguiente:


■ Descubrir vecinos OSPF y establecer adyacencias de vecinos

■ Anunciar los parámetros en los que dos routers deben estar de acuerdo para convertirse en vecinos

■ Elegir el DR y el BDR en redes multiacceso como Ethernet y Frame Relay


258 31 días antes de su examen CCNA

La recepción de un paquete OSPF hello en una interfaz confirma a un router que existe otro
router OSPF en este enlace. OSPF entonces establece adyacencia con el vecino. Para establecer
adyacencia, dos routers OSPF deben tener los siguientes valores de interfaz coincidentes:

■ Hola Intervalo

■ Intervalo muerto

■ Tipo de red

■ Identificación de la zona

Antes de que los dos routers puedan establecer una adyacencia, ambas interfaces deben formar parte de
la misma red, incluyendo la misma máscara de subred. La adyacencia completa se produce después de
que los dos routers hayan intercambiado las LSU necesarias y tengan bases de datos de estado de enlace
idénticas. Por defecto, los paquetes hello de OSPF se envían a la dirección multicast 224.0.0.5
(ALLSPFRouters) cada 10 segundos en segmentos de multiacceso y punto a punto y cada 30
segundos en segmentos de multiacceso sin difusión (NBMA) (Frame Relay, X.25, ATM). El
intervalo muerto por defecto es cuatro veces el intervalo hola.

Anuncios de enlace
Los LSUs son los paquetes utilizados para las actualizaciones de enrutamiento OSPF. Un paquete LSU
puede contener 11 tipos de LSA, como muestra la Figura 14-3.

Figura 14-3 Las LSUs contienen LSAs

Ti Nombre del Descripci


po paquete ón

1 Hola Descubre a los vecinos y construye adyacencias entre ellos.

2 DBD Comprueba la sincronización de la base de datos entre los


routers.

3 LSR Solicita registros de estado de enlace específicos de router a


router.

4 LSU Envía los registros de estado de enlace solicitados


específicamente.
5 LSAck Reconoce los otros tipos de paquetes.
Tipo de Descripci
LSA ón
1 LSAs del router

Las siglas LSA y LSU suelen utilizarse 2 LSA de red


indistintamente.
3o4 Resumen LSAs
Una LSU contiene uno o más
LSAs. 5 Sistema autónomo LSA externo

Los LSA contienen información 6 LSAs OSPF de multidifusión


de ruta para las redes de destino.
7 Definido para las zonas no tan pobladas
Los detalles de LSA se discuten
en CCNP. 8 Atributos externos LSA para el Protocolo de Pasarela de
Fronteras (BGP)

9, 10, LSAs opacos


11
Día 14 259

OSPF DR y BDR
Las redes multiacceso crean dos retos para OSPF en lo que respecta a la inundación de LSAs:

■ Creación de múltiples adyacencias, con una adyacencia por cada par de routers

■ Amplia inundación de LSAs

La solución para gestionar el número de adyacencias y la inundación de LSAs en una red


multiacceso es el router designado (DR). Para reducir la cantidad de tráfico OSPF en redes
multiacceso, OSPF elige un DR y un DR de respaldo (BDR). El DR es responsable de
actualizar
todos los demás routers OSPF cuando se produce un cambio en la red multiacceso. El BDR
supervisa el DR y toma el relevo como DR si el DR actual falla. Todos los demás routers se
convierten en DROTHERs. Un DROTHER es un router que no es ni el DR ni el BDR.

Algoritmo OSPF
Cada router OSPF mantiene una base de datos de estado de enlace que contiene los LSAs
recibidos de todos los demás routers. Cuando un router ha recibido todos los LSA y ha construido su
base de datos de estado de enlaces local, OSPF utiliza el algoritmo del camino más corto de Dijkstra
(SPF) para crear un árbol SPF. Este algoritmo acumula los costes a lo largo de cada camino, desde el
origen hasta el destino. El árbol SPF se utiliza entonces para rellenar la tabla de enrutamiento IP con
las mejores rutas hacia cada red.
Por ejemplo, en la Figura 14-4, cada ruta está etiquetada con un valor arbitrario de coste. El costo del
camino más corto para que R2 envíe paquetes a la LAN conectada a R3 es 27 (20 + 5 + 2 = 27).
Obsérvese que este coste no es 27 para que todos los routers lleguen a la LAN conectada a R3.
Cada router determina su propio coste para cada destino en la topología. En otras palabras, cada
router utiliza el algoritmo SPF para calcular el coste de cada camino a una red y determina el mejor
camino a esa red
desde su propia perspectiva.

La Tabla 14-1 muestra la ruta más corta a cada LAN para R1, junto con el coste.

Tabla 14-1 Árbol SPF para


R1
Destino Camino más corto Coste
R2 LAN R1 a R2 22
R3 LAN R1 a R3 7
R4 LAN R1 a R3 a R4 17
R5 LAN R1 a R3 a R4 a R5 27

Debería poder crear una tabla similar para cada uno de los otros routers de la Figura 14-4.
260 31 días antes de su examen CCNA

Figura 14-4 Algoritmo del camino más corto de Dijkstra

R2

20 10

2 5 2 2

R1R3R5

20 10 10

R4
2

Ruta más corta para que el host de la LAN R2 llegue al host de la LAN R3:
R2 a R1 (20) + R1 a R3 (5) + R3 a LAN (2) = 27

Proceso de enrutamiento de estado de enlace


La siguiente lista resume el proceso de enrutamiento de estado de enlace que utiliza OSPF. Todos los
routers OSPF completan el siguiente proceso genérico de enrutamiento de estado de enlace para
alcanzar un estado de convergencia:
Paso 1. Cada router aprende sobre sus propios enlaces y sus propias redes conectadas
directamente. Esto se hace detectando que una interfaz tiene una dirección de capa 3
configurada y está en el estado up.
Paso 2. Cada router es responsable de establecer adyacencia con sus vecinos en redes
directamente conectadas mediante el intercambio de paquetes hello.
Paso 3. Cada router construye un paquete de estado de enlace (LSP) que contiene el
estado de cada enlace conectado directamente. Esto se hace registrando toda la
información pertinente sobre cada vecino, incluyendo el ID del vecino, el tipo de
enlace y el ancho de banda.
Paso 4. Cada router inunda el LSP a todos los vecinos, que luego almacenan todos los LSPs
recibidos en una base de datos. A continuación, los vecinos inundan los LSPs a sus
vecinos hasta que todos los routers de la
Día 14 261

área han recibido los LSPs. Cada router almacena una copia de cada LSP recibido de
sus vecinos en una base de datos local.
Paso 5. Cada router utiliza la base de datos para construir un mapa completo de la
topología y calcula el mejor camino a cada red de destino. El algoritmo SPF se utiliza
para construir el mapa de la topología y determinar el mejor camino hacia cada red.
Todos los routers tienen un mapa o árbol común de la topología, pero cada router
determina de forma independiente el mejor camino a cada red dentro de esa
topología.

OSPFv2 frente a OSPFv3


En 1999, se publicó OSPFv3 para IPv6 en el RFC 2740. En 2008, OSPFv3 se actualizó
en el RFC 5340 como OSPF para IPv6. Sin embargo, se sigue llamando OSPFv3.
OSPFv3 tiene la misma funcionalidad que OSPFv2 pero utiliza IPv6 como transporte de la capa
de red, comunicándose con los pares de OSPFv3 y anunciando rutas IPv6. OSPFv3 también utiliza el
algoritmo SPF como motor de cálculo para determinar las mejores rutas en todo el dominio de
enrutamiento.
Como todos los demás protocolos de enrutamiento IPv6, OSPFv3 tiene procesos separados de
su contraparte IPv4. OSPFv2 y OSPFv3 tienen cada uno tablas de adyacencia separadas, tablas
de topología OSPF y tablas de enrutamiento IP.

Similitudes entre OSPFv2 y OSPFv3


OSPFv3 funciona de manera muy similar a OSPFv2. La Tabla 14-2 resume las características
operativas que comparten OSPFv2 y OSPFv3.

Tabla 14-2 Similitudes de OSPFv2 y OSPFv3


CaracterísticaOSPFv2 y OSPFv3
Estado del enlaceSí
Algoritmo de enrutamientoSPF
MetricCost
ÁreasApoyan la misma jerarquía de dos niveles
Tipos de paquetesUtilizan los mismos paquetes hello, DBD, LSR, LSU y LSAck
Descubrimiento de vecinosTransicióna través de los
mismos estados utilizando paquetes hello Sincronización de la LSDBIntercambio
del contenido de su LSDB entre dos vecinos DR y BDRUtilizan la misma función
y proceso de elección
ID de enrutadorUtilizar un ID de enrutador de 32 bits y el mismo proceso en la

determinación del ID de enrutador de 32 bits


262 31 días antes de su examen CCNA

Diferencias entre OSPFv2 y OSPFv3


La Tabla 14-3 enumera las principales diferencias entre OSPFv2 y OSPFv3.

Tabla 14-3 Diferencias entre OSPFv2 y OSPFv3


Característica OSPFv2 OSPFv3
Publicidad Redes IPv4 Prefijos IPv6
Dirección de la fuente Dirección de origen IPv4 Dirección local de enlace IPv6
Dirección de destino Elección de Elección de
Dirección IPv4 unicast del Dirección IPv6 link-local del vecino
vecino
224.0.0.5, dirección de FF02::5, dirección multicast all-OSPFv3-
multidifusión de todos routers
los routers OSPF
224.0.0.6, dirección multicast FF02::6, dirección de multidifusión
DR/BDR DR/BDR

Redes publicitarias Configurado a través de la red Configurado mediante el área ipv6


comando de configuración del o sp f
router comando de configuración de la interfaz
Enrutamiento IP Enrutamiento unicast Requiere la configuración del comando
unicast IPv4 activado por de configuración global ipv6 unicast-
defecto routing
Autenticación Texto plano y MD5 IPsec

Funcionamiento de OSPF multiárea


OSPF de área única funciona bien en redes pequeñas en las que el número de enlaces es
manejable. Sin embargo, considere una red OSPF de área única con 900 routers y varios miles de
subredes. En esta situación, el diseño de área única causa los siguientes problemas:

■ Tablas de enrutamiento grandes: Por defecto, OSPF no resume las actualizaciones de


enrutamiento.

■ Gran base de datos de estado de enlaces (LSDB): En un área única, cada router debe mantener
una base de datos de todos los enlaces activos en el dominio de enrutamiento,
independientemente de si ese router está utilizando actualmente un enlace en particular.

■ Cálculos SPF frecuentes: En una red grande, los cambios en la LSDB pueden hacer que
los routers gasten muchos ciclos de CPU recalculando el algoritmo SPF y actualizando la
tabla de enrutamiento.
Para resolver estos problemas, OSPF soporta el diseño jerárquico mediante el uso de múltiples áreas
OSPF. El OSPF multiárea es útil en despliegues de red más grandes para reducir la sobrecarga de
procesamiento y memoria. Esto implica dividir la gran LSDB en varias LSDB más pequeñas mediante
el uso de múltiples áreas OSPF.

Diseño OSPF multiárea


El diseño de OSPF multiárea sigue un par de reglas básicas:
■ Poner todas las interfaces conectadas a la misma subred dentro de la misma área.

■ Una zona debe ser contigua.


Día 14 263

■ Algunos routers pueden ser internos a un área, con todas las interfaces asignadas a esa única área.

■ Algunos routers pueden ser routers de frontera de área (ABR) porque algunas interfaces
se conectan al área troncal y otras se conectan a áreas no troncales.

■ Todas las áreas no troncales deben conectarse al área troncal (Área 0) teniendo al menos
un ABR conectado tanto al área troncal como al área no troncal.
La Figura 14-5 muestra un diseño OSPF multiárea simple con dos áreas (Área 1 y Área 2) conectadas a
un backbone, el Área 0.

Figura 14-5 Ejemplo de diseño OSPF multiárea

Internet

Área 0 (Backbone)

D3
SW1 SW2 C1
Router de
ASBR
red troncal
Enrutador de frontera de
D1
área (ABR) D2

B11 B12 B13 B14


B1B2B3B4

Enrutadores internosEnrutadores internos


Área 1Área2

La figura también muestra algunos términos importantes del diseño OSPF multiárea. La Tabla
14-4 describe estos términos.

Tabla 14-4 Terminología de diseño OSPF


multiárea

TérminoDescripción
Enrutador de frontera de área (ABR)Un enrutador OSPF con interfaces conectadas al área troncal y a en
al menos un área más.

Enrutador backboneUn enrutador conectado al área


backbone (incluye los ABR). Enrutador internoUn enrutador en un área (no en el área
troncal).
Enrutador de frontera de Un router que tiene al menos una interfaz conectada a una red externa.
sistema autónomo (ASBR) Una red externa es una red que no forma parte del dominio de
enrutamiento, como EIGRP, BGP o una con enrutamiento estático a
Internet, como
La figura 14-5 lo muestra.
264 31 días antes de su examen CCNA

TermDescription
ÁreaConjunto de enrutadores y enlaces que comparten la misma información detallada de la LSDB, pero no
con los enrutadores de otras áreas, para una mayor eficiencia

Área troncalUn área OSPF especial a la que deben conectarse todas las demás
áreas, como el Área 0 Ruta intraáreaUna ruta a una subred dentro de la misma área que el
router
Ruta interáreaUna ruta a una subred en un área de la que el router no forma parte

El OSPF multiárea mejora el rendimiento


En OSPF multiárea, todas las áreas deben conectarse al área troncal. El enrutamiento sigue
produciéndose entre las áreas. Los ABRs envían rutas interáreas entre áreas. Sin embargo, la operación
de enrutamiento intensiva de la CPU de recalcular el algoritmo SPF se realiza sólo para las rutas
dentro de un área. Un cambio en un área no provoca un recálculo del algoritmo SPF en otras áreas.
En la Figura 14-5, supongamos que un enlace falla en el Área 1. Sólo los routers del Área 1
intercambian LSAs. D1, el ABR del Área 1, enviará una actualización al Área 0 después de que
el Área 1 haya convergido en la nueva información.
La siguiente lista resume cómo OSPF multiárea mejora el rendimiento de OSPF:

■ La LSDB más pequeña por área requiere menos memoria.

■ Los routers necesitan menos ciclos de CPU para procesar la LSDB más pequeña por
área con el algoritmo SPF, lo que reduce la sobrecarga de la CPU y mejora el tiempo
de convergencia.

■ Los cambios en la red (por ejemplo, enlaces que fallan y se recuperan) requieren cálculos SPF
sólo en los routers conectados al área donde el enlace cambió de estado, reduciendo el
número de routers que deben volver a ejecutar SPF.

■ Hay que anunciar menos información entre áreas, lo que reduce el ancho de banda
necesario para enviar LSA.

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Recursos Módulo o capítulo
Redes empresariales, seguridad y automatización 1
Guía oficial del CCNA 200-301, volumen 1 19
21
Guía del mando portátil 16
Implementación
de OSPF de área
única

Temas del examen CCNA 200-301


■ Configurar y verificar OSPFv2 de área única

Temas clave
En el Día 14, "Operación de OSPF", revisamos la implementación básica de OSPF multiárea. Hoy
revisamos la implementación básica de OSPFv2 para diseños de redes de área única. Revisamos los
comandos para configurar y verificar la implementación.

Configuración de OSPFv2 de área única


Para revisar los comandos de configuración de OSPFv2 de área única, utilizamos la topología de
la Figura 13-1 y el esquema de direccionamiento de la Tabla 13-1.

Figura 13-1 Topología de configuración de OSPFv2


172.16.2.0/24
172.16.1.0/24192.168.1.0/24

G0/0

R2
S0/0/0 S0/0/1

172.16.3.0/30 192.168.10.8/30
T11024 kbps

S0/0/0 S0/0/1
64 kbps

R1 S0/0/1 R3
G0/0 192.168.10.4/30 S0/0/0 G0/0
266 31 días antes de su examen CCNA

Tabla 13-1 Esquema de direccionamiento para OSPFv2


Dispositivo Interfaz Dirección IP Máscara de subred
R1 G0/0 172.16.1.1 255.255.255.0
S0/0/0 172.16.3.1 255.255.255.252
S0/0/1 192.168.10.5 255.255.255.252
R2 G0/0 172.16.2.1 255.255.255.0
S0/0/0 172.16.3.2 255.255.255.252
S0/0/1 192.168.10.9 255.255.255.252
R3 G0/0 192.168.1.1 255.255.255.0
S0/0/0 192.168.10.6 255.255.255.252
S0/0/1 192.168.10.10 255.255.255.252

El comando router ospf


OSPF se activa con el comando de configuración global router ospf process-id:
R1(config)# router o s p f process-id

process-id es un número entre 1 y 65535 y es elegido por el administrador de la red. El ID del proceso
es localmente significativo. No tiene que coincidir con otros routers OSPF para establecer adyacencias
con esos vecinos. Esto difiere del Protocolo de Enrutamiento de Pasarela Interior Mejorado (EIGRP). El
ID del proceso EIGRP y el número de sistema autónomo deben coincidir antes de que dos vecinos
EIGRP puedan ser adyacentes.
Para nuestra revisión, habilitamos OSPF en los tres routers usando el mismo ID de proceso, 10.

ID del router
El ID del router juega un papel importante en OSPF, ya que identifica de forma única a cada router en
el dominio de enrutamiento OSPF. Los routers Cisco obtienen el ID del router de la siguiente
manera:
Paso 1. El router utiliza la dirección IP configurada con el comando OSPF router-id.

Paso 2. Si el ID del router no está configurado, el router elige la dirección IP más alta de cualquiera
de sus interfaces loopback.
Paso 3. Si no hay interfaces loopback configuradas, el router elige la dirección IP activa más alta de
cualquiera de sus interfaces físicas.
El ID del router se puede ver con varios comandos, incluyendo show ip o s p f interfaces, show
ip protocols y show ip o spf .
Debido a que el administrador de la red puede controlar el comando router-id de OSPF y a que
las interfaces de bucle de retorno saturan la tabla de enrutamiento, es una buena práctica configurar el
comando router-id. El comando router-id acepta una dirección IPv4 como su único argumento. El
ejemplo 13-1 muestra las configuraciones del ID del enrutador para los enrutadores en nuestra
topología.
Día 13 267

Ejemplo 13-1 Configuraciones de ID de router

R1(config-router)# router-id 1.1.1.1


R2(config-router)# router-id 2.2.2.2
R3(config-router)# router-id 3.3.3.3

El ID del enrutador se selecciona cuando OSPF se configura con su primer comando de red
OSPF, por lo que el comando router-id ya debería estar configurado. Sin embargo, puede forzar a
OSPF a liberar su ID actual y utilizar el ID de enrutador configurado borrando el proceso de
enrutamiento OSPF:
Router# clear ip o s p f process

El mando de la red
El comando de red se utiliza en el modo de configuración del router:
Router(config-router)# network network-address wildcard-mask area area-id

El comando de red OSPF utiliza una combinación de dirección de red y máscara comodín. La
dirección de red, junto con la máscara comodín, especifica la interfaz o el rango de interfaces que se
habilitarán para OSPF utilizando este comando de red.
La máscara comodín se configura habitualmente como la inversa de una máscara de subred. Por
ejemplo, la interfaz Serial 0/0/0 de R1 está en la red 172.16.3.0/30. La máscara de subred para esta
interfaz es /30, o 255.255.255.252. La inversa de la máscara de subred da como resultado la
máscara comodín 0.0.0.3.
area area-id se refiere al área OSPF. Un área OSPF es un grupo de routers que comparten información
de estado de enlace. Todos los routers OSPF en la misma área deben tener la misma información de
estado de enlace en sus bases de datos de estado de enlace. Por lo tanto, todos los routers dentro de la
misma área OSPF deben ser configurados con el mismo ID de área en todos los routers. Por
convención, el ID de área es 0.
Como alternativa, se puede habilitar OSPFv2 utilizando la red intf-ip-address 0.0.0.0 area-id
comando del modo de configuración del router.

El ejemplo 13-2 muestra los comandos de red para los tres routers, habilitando OSPF en todas las
interfaces. Para el R1, se configura la dirección IP de la interfaz alternativa y la máscara comodín
cuádruple cero.

Ejemplo 13-2 Configuración de redes OSPF

R1(config)# router o s p f 10
R1(config-router)# red 172.16.1.1 0.0.0 área 0
R1(config-router)# red 172.16.3.1 0.0.0.0 área 0
R1(config-router)# red 192.168.10.5 0.0.0.0 área 0

R2(config)# router o s p f 10
R2(config-router)# red 172.16.2.0 0.0.0.255 área 0
R2(config-router)# red 172.16.3.0 0.0.0.3 área 0
R2(config-router)# red 192.168.10.8 0.0.0.3 área 0
268 31 días antes de su examen CCNA

R3(config)# router o s p f 10
R3(config-router)# red 192.168.1.0 0.0.255 área 0
R3(config-router)# red 192.168.10.4 0.0.0.3 área 0
R3(config-router)# red 192.168.10.8 0.0.0.3 área 0

Interfaces pasivas
Por defecto, los mensajes OSPF se reenvían a todas las interfaces habilitadas para OSPF. Sin embargo,
estos mensajes realmente necesitan ser enviados sólo a las interfaces que se conectan a otros routers
habilitados para OSPF. El envío de mensajes innecesarios en una LAN afecta a la red de tres
maneras:

■ Uso ineficiente del ancho de banda: el ancho de banda disponible se consume transportando
mensajes innecesarios.

■ Uso ineficiente de los recursos: Todos los dispositivos de la LAN deben procesar el mensaje.

■ Mayor riesgo de seguridad: Los mensajes OSPF pueden ser interceptados y las
actualizaciones de enrutamiento pueden ser modificadas, corrompiendo la tabla de
enrutamiento.
Utilice el comando passive-interface para evitar que las actualizaciones OSPF se envíen por
interfaces innecesarias. Para nuestra topología en la Figura 13-1, la interfaz GigabitEthernet 0/0
de cada router debe ser configurada como pasiva con el siguiente comando:
Router(config)# passive-interface gigabitethernet 0/0

Como alternativa, puede hacer que todas las interfaces sean pasivas utilizando el comando passive-
interface default. A continuación, puede volver a habilitar las interfaces que no deberían ser pasivas
utilizando el comando no passive- interface interface.

Modificación de la métrica OSPF


El software Cisco IOS utiliza como valor de coste los anchos de banda acumulados de las interfaces
de salida del router a la red de destino. En cada router, el coste de una interfaz se calcula mediante la
siguiente fórmula:
Coste de Cisco IOS para OSPF = 108/ancho de banda en bps

En este cálculo, el valor 108 se conoce como el ancho de banda de referencia. La Tabla 13-2 muestra los
costos OSPF por defecto utilizando el ancho de banda de referencia por defecto para varios tipos de
interfaces.

Tabla 13-2 Valores de coste OSPF por defecto de Cisco


Tipo de interfaz 108/bps
= Coste Coste
10 Gigabit Ethernet (10 Gbps) 108/10 1
.000.000.000 bps = 1
Gigabit Ethernet (1 Gbps) 108/1 1
.000.000.000 bps = 1
Fast Ethernet (100 Mbps) 108/100 1
.000.000 bps = 1
Ethernet (10 Mbps) 108/10 10
.000.000 bps = 10
Día 13 269

Tipo de interfaz 108/bps


= Coste Coste
T1 (1,544 Mbps) 108/1 64
.544.000 bps = 64
128 kbps 108/128 781
.000 bps = 781
64 kbps 108/64 1562
.000 bps = 1562

En la Tabla 13-2, 10GigE, Gigabit Ethernet y Fast Ethernet tienen el mismo costo. Esto se debe a que
el valor del costo OSPF debe ser un número entero. Esto no era un problema antes de la introducción
del gigabit y de tasas de datos más altas.
Sin embargo, las redes actuales funcionan ciertamente a velocidades de gigabit. Por lo tanto, como
cuestión de política, debería cambiar el ancho de banda de referencia para acomodar las redes con
enlaces más rápidos que 100.000.000 bps (100 Mbps). Utilice el siguiente comando para cambiar el
ancho de banda de referencia:
Router(config-router)# auto-costes referencia-ancho de banda Mbps

Debido a que el valor introducido está en megabits por segundo, cambiar el ancho de banda de
referencia a 10000 asegura que todos los routers OSPF están preparados para calcular con precisión el
coste de las redes de 10GigE. Cuando se utiliza, este comando debe ser introducido en todos los
routers para que la métrica de enrutamiento OSPF permanezca consistente. De hecho, el Cisco IOS
responde con el siguiente mensaje syslog cuando se configura el comando auto-cost reference-
bandwidth:
% OSPF: Se cambia el ancho de banda de referencia.
Por favor, asegúrese de que el ancho de banda de referencia es consistente en todos los
routers.

Para nuestra topología en la Figura 13-1, introducimos los comandos mostrados en el Ejemplo 13-3.

Ejemplo 13-3 Cambiar el ancho de banda de referencia OSPF

R1(config-router)# auto-cost reference-bandwidth 10000

R2(config-router)# auto-costes reference-bandwidth 10000

R3(config-router)# auto-cost reference-bandwidth 10000

La Tabla 13-3 muestra los valores de coste modificados con el nuevo ancho de
banda de referencia de 10.000.000.000 bps, o 1010.

Tabla 13-3 Valores de coste OSPF con ancho de banda de referencia modificado = 10000
Tipo de interfaz 1010/bps
= Coste Coste
10 Gigabit Ethernet (10 Gbps) 1010/10 1
.000.000.000 bps = 1
Gigabit Ethernet (1 Gbps) 1010/1 10
.000.000.000 bps = 1
Fast Ethernet (100 Mbps) 1010/100 100
.000.000 bps = 1
Ethernet (10 Mbps) 1010/10 1000
.000.000 bps = 10
T1 (1,544 Mbps) 1010/1 6477
.544.000 bps = 64
128 kbps 1010/128 78125
.000 bps = 781
64 kbps 1010/64 156250 (véase la nota)
.000 bps = 1562
270 31 días antes de su examen CCNA

NOTA: Aunque el coste para una velocidad de 64 kbps se calcula en 156250, el coste
máximo de OSPF para una interfaz de router Cisco es de 65535.

Pero no hemos terminado: Todavía tenemos que hacer un ajuste más para asegurarnos de que OSPF
está utilizando costes precisos. En los routers Cisco, el ancho de banda por defecto en la mayoría de las
interfaces seriales está configurado a velocidad T1, o 1.544 Mbps. Pero en nuestra topología de la
Figura 13-1, tenemos las siguientes velocidades reales:

■ El enlace entre R1 y R2 funciona a 1544 kbps (valor por defecto).

■ El enlace entre R2 y R3 funciona a 1024 kbps.

■ El enlace entre R1 y R3 funciona a 64 kbps.

Puede modificar la métrica OSPF de dos maneras:

■ Utilice el comando de ancho de banda para modificar el valor del ancho de banda que el
software Cisco IOS utiliza para calcular la métrica de coste OSPF.

■ Utilice el comando ip ospf cost, que le permite especificar directamente el coste de una interfaz.

Una de las ventajas de configurar un coste en lugar de establecer el ancho de banda de la interfaz es
que el router no tiene que calcular la métrica cuando el coste se configura manualmente. Además, el
comando ip o s p f cost es útil en entornos de varios proveedores, donde los routers que no son de
Cisco pueden utilizar una métrica distinta del ancho de banda para calcular los costes de OSPF.
La Tabla 13-4 muestra las dos alternativas que se pueden utilizar para modificar los costes de
los enlaces serie en la topología de la Figura 13-1. La parte derecha de la figura muestra los
equivalentes del comando ip o s p f cost de los comandos de ancho de banda de la izquierda.

Tabla 13-4 Comparación de los comandos bandwidth y ip ospf cost


Ajuste del ancho de banda de la = Configuración manual del coste
interfaz OSPF
R1(config)# interfaz S0/0/1 = R1(config)# interfaz S0/0/1
R1(config-if)# ancho de banda 64 R1(config-if)# ip o s p f cost 65535
R2(config)# interfaz S0/0/1 = R2(config)# interfaz S0/0/1
R2(config-if)# ancho de banda 1024 R2(config-if)# ip o s p f cost 9765

R3(config)# interfaz S0/0/0 = R3(config)# interfaz S0/0/0


R3(config-if)# ancho de banda 64 R3(config-if)# ip o s p f cost 65535

R3(config)# interfaz S0/0/1 = R3(config)# interfaz S0/0/1


R3(config-if)# ancho de banda 1024 R3(config-if)# ip o s p f cost 9765

NOTA: La interfaz de 64 kbps está ajustada al coste máximo de 65535.

Verificación de OSPFv2
Para verificar cualquier configuración de enrutamiento, lo más probable es que dependa de los
comandos show ip interface brief, show ip route y show ip protocols. Todas las interfaces
previstas deben estar activas y
Día 13 271

y deberían estar configurados con las direcciones IP correctas. La tabla de enrutamiento debe tener
todas las rutas esperadas. El estado del protocolo debería mostrar el enrutamiento para todas las redes
esperadas, y también debería mostrar todas las fuentes de enrutamiento esperadas. El ejemplo 13-4
muestra la salida de R1 de estos tres comandos básicos.

Ejemplo 13-4 R1 Comandos de verificación de enrutamiento básico

R1# show ip route


<salida omitida>

La pasarela de último recurso no está configurada

172.16.0.0/16 tiene una subred variable, 5 subredes, 3


máscaras C172.16.1.0/24 está conectada directamente,
GigabitEthernet0/0
L172.16.1.1/32 está conectado directamente, GigabitEthernet0/0
O172.16.2.0/24 [110/6576] vía 172.16.3.2, 00:04:57, Serial0/0/0
C172.3.0/30 está conectado directamente,
Serial0/0/0 L172.16.3.1/32 está conectado
directamente, Serial0/0/0
O192.168.1.0/24 [110/16341] vía 172.16.3.2, 00:00:41, Serial0/0/0
192.168.10.0/24 tiene una subred variable, 3 subredes, 2
máscaras C192.168.10.4/30 está conectado
directamente, Serial0/0/1
L192.168.10.5/32 está conectado directamente, Serial0/0/1
O192.168.10.8/30 [110/16241] vía 172.16.3.2, 00:00:41, Serial0/0/0
R1# show ip interface brief
Dirección IP de la interfaz ¿Bien? Método Estado
Protocolo
Embedded-Service-Engine0/0 unassigned YES unset administratively down
GigabitEthernet0/0172 .16.1.1 YES
manual upup
GigabitEthernet0/1unassigned YES unset
administratively down Serial0/0/0172.16.3.1 YES manualup
Serial0/0/1192.168.10.5 YES
manualup R1# show ip protocols
*** El enrutamiento IP es
consciente de la NSF *** El
protocolo de enrutamiento es
"ospf 10"
La lista de filtros de actualización saliente para todas
las interfaces no está establecida La lista de filtros
de actualización entrante para todas las interfaces no
está establecida ID de router 1.1.1.1
El número de áreas de este router es 1. 1 normal 0 stub 0
nssa Ruta máxima: 4
Enrutamiento para redes:
172.16.1.0 0.0.0.255 área 0
172.16.3.0 0.0.3 área 0
192.168.10.4 0.0.0.3 área 0
272 31 días antes de su examen CCNA

Interfaz(es) pasiva(s):
GigabitEthernet0/0
Fuentes de información de
enrutamiento: Puerta de
enlace Distancia Última
actualización 3.3.3.3 110
00:09:00
2.2.2.2 110 00:09:00
Distancia: (por defecto es 110)

Puede verificar que los vecinos esperados han establecido adyacencia con el comando
show ip ospf neighbor. El ejemplo 13-5 muestra las tablas de vecinos de los tres routers.

Ejemplo 13-5 Verificación de Adyacencia de Vecinos

R1# show ip o s p f neighbor

ID del vecino Pri EstadoTiempo de espera DirecciónInterfaz


3.3.3.30 FULL/ - 00:00:37 192.168.10.6 Serial0/0/1
2.2.2.20 FULL/ - 00:00:37 172.16.3.2Serial0/0/0

R2# show ip o s p f neighbor

ID del vecino Pri EstadoTiempo de espera DirecciónInterfaz


3.3.3.30 FULL/ - 00:00:38 192.168.10.10 Serial0/0/1
1.1.1.10 FULL/ - 00:00:37 172.16.3.1Serial0/0/0

R3# show ip o s p f neighbor

ID del vecino Pri EstadoTiempo de espera DirecciónInterfaz


2.2.2.20 FULL/ - 00:00:37 192.168.10.9 Serial0/0/1
1.1.1.10 FULL/ - 00:00:30 192.168.10.5 Serial0/0/0

Para cada vecino, el comando show ip ospf neighbor muestra la siguiente salida:

■ ID del vecino: El ID del router vecino.

■ Pri: La prioridad OSPF de la interfaz. El ejemplo 13-5 muestra 0 para esta columna porque
los enlaces punto a punto no eligen un DR o BDR.

■ Estado: El estado OSPF de la interfaz. El estado FULL significa que la interfaz del router es
totalmente adyacente a su vecino y que tienen bases de datos de estado de enlace OSPF
idénticas.

■ Tiempo muerto: La cantidad de tiempo restante que el enrutador esperará para recibir un
paquete de hola OSPF del vecino antes de declarar al vecino como caído. Este valor se
restablece cuando la interfaz recibe un paquete hello.

■ Dirección: La dirección IP de la interfaz del vecino a la que está conectado directamente este router.
■ Interfaz: La interfaz en la que este router ha formado adyacencia con el vecino.
Día 13 273

El comando show ip o s p f en el Ejemplo 13-6 para R1 también puede ser usado para examinar el
ID del proceso OSPF y el ID del router. Además, este comando muestra la información del área OSPF
y la última vez que se calculó el algoritmo SPF.

Ejemplo 13-6 El comando show ip ospf

R1# show ip o sp f
Proceso de enrutamiento "ospf 10" con ID 1.1.1.1
Hora de inicio: 00:29:52.316, Tiempo transcurrido:
00:45:15.760 Sólo admite rutas TOS(TOS0) simples
Admite LSA opacos
Admite la señalización de enlace local
(LLS) Admite la capacidad de tránsito
de área Admite NSSA (compatible con RFC
3101)
Registro de eventos activado, Número máximo de eventos 1000,
Modo: cíclico El router no está originando router-LSAs con
métrica máxima Retraso inicial del programa SPF 5000 msecs
Tiempo mínimo de espera entre dos SPFs consecutivos 10000
mseg Tiempo máximo de espera entre dos SPFs consecutivos
10000 mseg Incremental-SPF desactivado
Intervalo mínimo de LSA 5 seg.
Llegada mínima de LSA 1000
mseg. Temporizador de ritmo
del grupo LSA 240 seg.
Temporizador de ritmo de inundación de la
interfaz 33 msecs Temporizador de ritmo de
retransmisión 66 msecs
Número de LSA externas 0. Checksum Suma 0x000000
Número de AS LSA opacas 0. Checksum Suma
0x000000 Número de AS LSA externas y opacas
DCbitless 0 Número de AS LSA externas y opacas
DoNotAge 0
El número de áreas de este router es 1. 1 normal 0 stub 0
nssa El número de áreas con capacidad de tránsito es 0
Longitud de la lista de
inundación externa 0 Soporte
de ayuda IETF NSF activado
Soporte de ayuda Cisco NSF
activado
La unidad de ancho de banda de
referencia es 10000 mbps Área
BACKBONE(0)
El número de interfaces en esta área
es 3 El área no tiene autenticación
Algoritmo SPF ejecutado por última vez hace
00:18:32.788 Algoritmo SPF ejecutado 7 veces
Los rangos de área son
Número de LSA 3. Suma de comprobación 0x01BB59
274 31 días antes de su examen CCNA

Número de LSA de enlace opaco 0. Checksum Sum 0x000000


Número de LSA sin DCbit 0
Número de indicación LSA 0
Número de LSA DoNotAge 0
Longitud de la lista de
inundación 0

La forma más rápida de verificar la configuración de la interfaz OSPF es utilizar el comando show
ip ospf interface brief. Como se muestra en la salida para R1 en el Ejemplo 13-7, este comando
proporciona una lista detallada para cada interfaz habilitada para OSPF. El comando también es útil
para ver rápidamente el costo de cada interfaz y determinar si las declaraciones de red fueron
configuradas correctamente.

Ejemplo 13-7 Comando show ip ospf interface brief

R1# show ip o s p f interface brief


Interfaz PID Área Dirección IP/Máscara Coste Estado
Nbrs F/C Se0/0/110
0192.168.10.5/30 65535
P2P1/1
Se0/0/010 0172.16.3.1/306476
P2P1/1
Gi0/010 0172.16.1.1/24100DR0/0

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.

Recursos Módulo o capítulo


Redes empresariales, seguridad y automatización 2
Guía oficial del CCNA 200-301, volumen 1 20
Guía del mando portátil 16
Ajuste y solución de problemas de
OSPF

Temas del examen CCNA 200-125


■ Configurar y verificar OSPFv2 de área única

Temas clave
La revisión de hoy se centra en el ajuste fino y la resolución de problemas de OSPFv2. El ajuste fino
de OSPF incluye la modificación de temporizadores, la realización de elecciones de DR/BDR y la
propagación de una ruta por defecto. También nos centramos en la resolución de problemas del
proceso OSPF.

Ejemplo de configuración de OSPFv2


Para afinar OSPFv2, utilizamos la topología de la Figura 12-1 y el esquema de direccionamiento de la Tabla 12-1.

Figura 12-1 Topología de configuración de OSPFv2


172.16.2.0/24

G0/0

R2
S0/0/0 S0/0/1

172.16.3.0/30 192.168.10.8/30
T11024 kbps

S0/0/0 S0/0/1
64 kbps
S/1/0
R1 S0/0/0 R3
Internet S0/0/1 192.168.10.4/30 G0/0
G0/0

172.16.1.0/24 192.168.1.0/24
276 31 días antes de su examen CCNA

Tabla 12-1 Esquema de direccionamiento para OSPFv2


Dispositivo Interfaz Dirección IP Máscara de subred
R1 G0/0 172.16.1.1 255.255.255.0
S0/0/0 172.16.3.1 255.255.255.252
S0/0/1 192.168.10.5 255.255.255.252
S0/1/0 209.165.200.226 255.255.255.224
R2 G0/0 172.16.2.1 255.255.255.0
S0/0/0 172.16.3.2 255.255.255.252
S0/0/1 192.168.10.9 255.255.255.252
R3 G0/0 192.168.1.1 255.255.255.0
S0/0/0 192.168.10.6 255.255.255.252
S0/0/1 192.168.10.10 255.255.255.252

El ejemplo 12-1 muestra los comandos de red para los tres routers para habilitar OSPFv2
en todas las interfaces.

Ejemplo 12-1 Configuración de redes OSPF

R1(config)# router o s p f 10
R1(config-router)# router-id 1.1.1.1
R1(config-router)# red 172.16.1.0 0.0.255 área 0
R1(config-router)# red 172.16.3.0 0.0.0.3 área 0
R1(config-router)# red 192.168.10.4 0.0.0.3 área 0
R1(config-router)# passive-interface g0/0
R1(config-router)# auto-cost reference-bandwidth 10000
R1(config-router)# interfaz S0/0/1
R1(config-if)# ancho de banda 64

R2(config)# router o s p f 10
R2(config-router)# router-id 2.2.2.2
R2(config-router)# red 172.16.2.0 0.0.0.255 área 0
R2(config-router)# red 172.16.3.0 0.0.0.3 área 0
R2(config-router)# red 192.168.10.8 0.0.0.3 área 0
R2(config-router)# passive-interface g0/0
R2(config-router)# auto-costes reference-bandwidth 10000
R2(config-router)# interfaz S0/0/1
R2(config-if)# ancho de banda 1024

R3(config)# router o s p f 10
R3(config-router)# router-id 3.3.3.3
R3(config-router)# red 192.168.1.0 0.0.255 área 0
Día 12 277

R3(config-router)# red 192.168.10.4 0.0.0.3 área 0


R3(config-router)# red 192.168.10.8 0.0.0.3 área 0
R3(config-router)# passive-interface g0/0
R3(config-router)# auto-cost reference-bandwidth 10000
R3(config-router)# interfaz
S0/0/0 R3(config-if)# ancho de
banda 64 R3(config-if)# interfaz
S0/0/1 R3(config-if)# ancho de
banda 1024

Modificación de OSPFv2
Esta sección revisa los conceptos relacionados y los comandos para redistribuir una ruta por defecto,
ajustar las interfaces OSPF y manipular el proceso de elección del enrutador
designado/enrutador designado de respaldo (DR/BDR).

Redistribución de una ruta por defecto


En la Figura 12-1, R1 tiene un enlace a Internet que hace que R1 sea un router de frontera del
sistema autónomo (ASBR). Por lo tanto, configuramos una ruta por defecto a Internet y redistribuimos
la ruta estática por defecto a R2 y R3 con el comando default-information originate, como en el
Ejemplo 12-2.

Ejemplo 12-2 Configuración de la ruta estática por defecto del ASBR

R1(config)# ip route 0.0.0.0 0.0.0 Serial 0/1/0


R1(config)# router o s p f 10
R1(config-router)# default-information originate

Tanto R2 como R3 deberían tener ahora rutas por defecto identificadas con el código
O*E2, como en el ejemplo 12-3.

Ejemplo 12-3 Rutas OSPF de R2 y R3 con ruta por defecto

R2# show ip route o s p f


172.16.0.0/16 tiene una subred variable, 5 subredes, 3 máscaras
O172.16.1.0 [110/6477] vía 172.16.3.1, 00:02:45, Serial0/0/0
O192.168.1.0 [110/6486] vía 192.168.10.10, 00:00:55, Serial0/0/1
192.168.10.0/24 tiene una subred variable, 3 subredes, 2 máscaras
O192.168.10.4 [110/12952] vía 192.168.10.10, 00:00:55,
Serial0/0/1 O*E2 0.0.0.0/0 [110/1] vía 172.16.3.1, 00:00:09, Serial0/0/0

R3# show ip route o s p f


172.16.0.0/16 tiene una subred variable, 3 subredes, 2 máscaras
O172.16.1.0 [110/6477] vía 192.168.10.5, 00:26:01, Serial0/0/0
O172.16.2.0 [110/6486] vía 192.168.10.9, 00:26:01, Serial0/0/1
O172 .16.3.0 [110/6540] vía 192.168.10.5, 00:26:01, Serial0/0/0
O*E2 0.0.0/0 [110/1] vía 192.168.10.9, 00:01:19, Serial0/0/1
278 31 días antes de su examen CCNA

Modificación de los intervalos de bienvenida y de espera


El intervalo de hola por defecto en redes multiacceso y punto a punto es de 10 segundos. Las redes de
multiacceso sin difusión (NBMA) tienen por defecto un intervalo de hola de 30 segundos. El intervalo
muerto por defecto es cuatro veces el intervalo de hola.
Podría ser deseable cambiar los temporizadores de OSPF para que los routers detecten los fallos de
la red en menos tiempo. Hacer esto aumenta el tráfico, pero a veces la necesidad de una convergencia
rápida compensa el tráfico extra.
Puede modificar manualmente los intervalos de hola y muerte de OSPF utilizando los siguientes comandos de
interfaz:
Router(config-if)# ip o s p f hello-interval seconds
Router(config-if)# ip o s p f dead-interval seconds

Aunque el intervalo muerto es por defecto cuatro veces el intervalo hola y no tiene que ser
configurado explícitamente, es una buena práctica documentar el nuevo intervalo muerto en la
configuración. El ejemplo 12-4 muestra el intervalo hello y el intervalo dead modificados a 5
segundos y 20 segundos, respectivamente, en la interfaz Serial 0/0/0 para R1.

Ejemplo 12-4 Modificación de los intervalos de bienvenida y de muerte en R1

R1(config)# interfaz serial 0/0/0


R1(config-if)# ip o s p f hello-
interval 5 R1(config-if)# ip o s p f
dead-interval 20
R1(config-if)# end

Recuerde que, a diferencia de lo que ocurre con el Protocolo de Enrutamiento de Pasarela Interior
Mejorado (EIGRP), con OSPF los intervalos de hola y muerte deben ser equivalentes entre vecinos.
Por lo tanto, R2 debe configurarse con los mismos intervalos que R1.

Tipos de red OSPF


OSPF define cinco tipos de red:

■ Punto a punto: Dos routers interconectados a través de un enlace común. No hay otros
routers en el enlace. Esta suele ser la configuración en los enlaces WAN.

■ Multiacceso de difusión: Múltiples routers interconectados a través de una red Ethernet.

■ NBMA: Múltiples routers interconectados en una red que no permite la difusión, como
Frame Relay.

■ Punto a multipunto: Múltiples routers interconectados en una topología hub-and-spoke


sobre una red NBMA. Suele utilizarse para conectar sucursales (radios) con un centro (hub).

■ Enlaces virtuales: Red especial de OSPF utilizada para interconectar áreas OSPF
distantes con el área troncal.
Las redes multiacceso crean dos retos para OSPF en lo que respecta a la inundación de LSAs:
■ Creación de múltiples adyacencias: Las redes Ethernet pueden interconectar
potencialmente muchos routers OSPF a través de un enlace común. Utilizando la fórmula
n(n - 1) / 2, donde n es igual al número de routers, 5 routers requerirían 10 adyacencias
vecinas separadas; 10 routers requerirían 45.
Día 12 279

■ Inundación extensiva de LSAs: Los routers de estado de enlace inundan sus paquetes de
estado de enlace cuando OSPF se inicializa o cuando la topología cambia. Esta inundación
puede llegar a ser excesiva sin un mecanismo para reducir el número de adyacencias.

Elección DR/BDR
La solución para gestionar el número de adyacencias y la inundación de LSAs en una red
multiacceso es el router designado (DR). Para reducir la cantidad de tráfico OSPF en redes
multiacceso, OSPF elige un DR y un DR de respaldo (BDR). El DR es responsable de actualizar
todos los demás routers OSPF cuando se produce un cambio en la red multiacceso. El BDR
supervisa al DR y toma el relevo como DR si el DR actual falla.
Los siguientes criterios se utilizan para elegir el DR y el BDR:

■ El DR es el router con la mayor prioridad de la interfaz OSPF.

■ El BDR es el router con la segunda mayor prioridad de la interfaz OSPF.

■ Si las prioridades de las interfaces OSPF son iguales, el ID de router más alto rompe el empate.

Cuando se elige el DR, sigue siendo el DR hasta que se da una de las siguientes condiciones:

■ El RD falla.

■ El proceso OSPF en el DR falla.

■ La interfaz multiacceso en el DR falla.

Si el DR falla, el BDR asume el papel de DR, y se realiza una elección para elegir un nuevo BDR.
Si un nuevo router entra en la red después de que el DR y el BDR hayan sido elegidos, no se
convertirá en el DR o el BDR aunque tenga una prioridad de interfaz OSPF o un ID de router más
alto que el DR o el BDR actuales. El nuevo router puede ser elegido como BDR si el actual DR o
BDR falla. Si el DR actual falla, el BDR se convierte en el DR, y el nuevo router puede ser
elegido el nuevo BDR.
Sin configuración adicional, puedes controlar los routers que ganan las elecciones de DR y BDR
haciendo cualquiera de las siguientes acciones:

■ Arranca primero el DR, seguido por el BDR, y luego arranca todos los demás routers.

■ Apague la interfaz en todos los routers y luego emita un no shutdown en el DR, luego en
el BDR y luego en todos los demás routers.
Sin embargo, la forma recomendada para controlar las elecciones de DR/BDR es cambiar la prioridad de la
interfaz.

Control de la elección de DR/BDR


Debido a que el DR se convierte en el punto central para la recopilación y distribución de LSAs
en una red multiacceso, este router debe tener suficiente capacidad de CPU y memoria para manejar
la responsabilidad. En lugar de confiar en el ID del router para decidir qué routers son elegidos
como DR y BDR, es mejor controlar la elección de estos routers con el comando ip o s p f
priority interface:
Router(config-if)# ip o s p f priority {0 - 255}
280 31 días antes de su examen CCNA

El valor de prioridad por defecto es 1 para todas las interfaces de los routers, lo que significa que
el ID del router determina el DR y el BDR. Sin embargo, si se cambia el valor por defecto de 1 a
un valor más alto, el router con la prioridad más alta se convierte en el DR, y el router con la
siguiente prioridad más alta se convierte en el BDR. Un valor de 0 hace que el router no sea
elegible para convertirse en DR o BDR.
Todos los routers de la Figura 12-2 arrancaron al mismo tiempo con una configuración OSPF
completa. En esta situación, el R3 es elegido como DR y el R2 como BDR, basándose en los IDs de
router más altos, como se puede ver en la salida de la tabla de vecinos del R1 en el Ejemplo 12-5.

Figura 12-2 Topología de multiacceso


172.16.2.0/24

G0/1 .1

RID: 2.2.2.2
R2
G0/0 .2 BDR

192.168.1.0/28

172.16.1.0/24 172.16.3.0/24
G0/1 G0/0 G0/0.3 G0/1.1
.1R1 .1R3
RID: 1.1.1.1RID : 3.3.3.3
DR

Ejemplo 12-5 Verificación de la DR y la BDR

R1# show ip o s p f neighbor


ID del vecino Pri EstadoTiempo de espera DirecciónInterfaz
2.2.2.21 FULL/BDR 00:00:32 192.168.1.2 GigabitEthernet0/0
3.3.3.31 FULL/DR00 :00:38 192.168.1.3
GigabitEthernet0/0 R1#

Supongamos que R1 es el mejor candidato para ser DR y que R2 debe ser BDR. El Ejemplo 12-6
muestra una forma de controlar la elección de DR/BDR en la topología de la Figura 12-2.

Ejemplo 12-6 Modificación de la prioridad de la interfaz OSPF

R1(config)# interfaz gigabitethernet 0/0


R1(config-if)# ip o s p f priority 200

R2(config)# interfaz gigabitethernet 0/0


R2(config-if)# ip o s p f priority 100
Día 12 281

Observa que hemos cambiado ambos routers. Aunque el R2 era el BDR sin hacer nada, perdería
este papel a favor del R3 si no hubiéramos configurado la prioridad del R2 para que fuera mayor
que la predeterminada.
Antes de que R1 pueda convertirse en DR, el proceso OSPF necesita reiniciarse. Podemos hacer que
esto suceda apagando las interfaces o simplemente ingresando el comando clear ip ospf process en
modo EXEC privilegiado, como en el Ejemplo 12-7. La tabla de vecinos en R3 muestra que R1 es
ahora el DR, y R2 es el BDR.

Ejemplo 12-7 Reiniciar el proceso OSPF y verificar los nuevos DR y BDR

R1# clear ip o s p f process


¿Restablecer todos los procesos
OSPF? [no]: y R1#

R2# clear ip o s p f process


¿Restablecer todos los procesos
OSPF? [no]: y R2#

R3# proceso ip o s p f
clear
Restab ¿Procesos OSPF? [no]: y
lecer
todo
R2#
R3# ip o s p f neighbor
show

Vecino ID Pri EstadoTiempo muerto DirecciónInterfaz


2.2.2. 100 FULL/BDR 00:00:38 192.168.1.2 GigabitEthernet0/0
2
1.1.1. 200 COMPLETO/DR00 192.168.1.1 GigabitEthernet0/0
1 :00:30
R3#

Solución de problemas de OSPF


Entender cómo funciona OSPF es fundamental para solucionar cualquier problema de OSPF. La clave
de esta comprensión es el concepto de los estados por los que pasa OSPF en su camino hacia la
adyacencia con un vecino.

Estados OSPF
La Figura 12-3 lista los estados OSPF. Cuando solucione problemas de vecinos OSPF, tenga en cuenta
que los estados FULL y TWO-WAY son normales. Todos los demás estados son transitorios.
282 31 días antes de su examen CCNA

Figura 12-3 Transición a través de los estados de OSPF

Estado de Down

Establecer adyacencias de vecinos


Estado de inicio

Estado bidireccional

Estado de ExStart

Sincronizar OSPF
Bases de datos Estado de los intercambios

Estado de carga

Estado completo

Adyacencia OSPF
La falta de adyacencia es un problema común en la resolución de problemas OSPF porque los
dos vecinos OSPF deben estar de acuerdo en varias configuraciones. Las adyacencias OSPF no se
forman por varias razones:

■ Las interfaces no están en la misma red.

■ Los tipos de red OSPF no coinciden.

■ Los temporizadores OSPF hello o dead no coinciden.

■ La interfaz hacia el vecino está configurada incorrectamente como pasiva.

■ Falta un comando de red OSPF o es incorrecto.

■ La autenticación está mal configurada.

Comandos de resolución de problemas de OSPF


Al tratar de aislar un problema de enrutamiento OSPFv2, los siguientes comandos son útiles:

■ show ip protocols: Verifica la información vital de la configuración OSPF, incluyendo el


ID del proceso OSPF, el ID del router, las redes que el router está anunciando, los vecinos de los
que el router está recibiendo actualizaciones y la distancia administrativa por defecto, que es 110
para OSPF.
■ show ip ospf neighbor: Verifica que el router ha formado una adyacencia con sus routers vecinos.
Día 12 283

■ show ip ospf interface: Muestra los parámetros OSPF configurados en una interfaz, como el
ID del proceso OSPF, el área, el coste y los intervalos del temporizador.

■ show ip o s p f : Examina el ID del proceso OSPF y el ID del router. Este comando también
muestra la información del área OSPF y la última vez que se calculó el algoritmo SPF.

■ show ip route ospf: Muestra sólo las rutas aprendidas de OSPF en la tabla de enrutamiento.

■ clear ip ospf process: Restablece las adyacencias de los vecinos de OSPFv2.

La figura 12-4 ilustra un método para utilizar estos comandos de forma sistemática.

Figura 12-4 Método sistemático para la resolución de problemas de OSPFv2

¿Problemas de conectividad debido ¿Son operativas las interfaces?


al enrutamiento? ¿Están las interfaces habilitadas para
OSPF? ¿Coincide el área OSPF?

¿Hay alguna interfaz que
esté configurada como
pasiva?
No
¿Es correcta la tabla Solucionar problemas
de vecinos?
show ip ospf neighbors
show ip interface brief ¿Se anuncian las redes? ¿Hay alguna
show ip ospf interface ACL que esté bloqueando los

anuncios?
¿Se está utilizando también otro
protocolo de enrutamiento con un AD
No inferior?
¿Es correcta la tabla Solucionar problemas ¿Están todas las áreas conectadas al Área 0?
de enrutamiento?
show ip protocols
show ip route ospf

Verificar el coste OSPF en una interfaz.


No Verificar el ancho de banda de referencia
¿El tráfico toma el Solucionar problemas OSPF.
camino deseado?
show ip route ospf
show ip ospf interface

¿Red funcional?

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Recursos Módulo o capítulo
Redes empresariales, seguridad y automatización 2
Guía oficial del CCNA 200-301, volumen 1 20
Guía del mando portátil 16
Esta página se ha dejado intencionadamente en blanco
Conceptos de seguridad de la red

Temas del examen CCNA 200-301


■ Definir los conceptos clave de seguridad (amenazas, vulnerabilidades, exploits y técnicas de mitigación)

■ Describa los elementos del programa de seguridad (concienciación y formación de los usuarios, control
de acceso físico)

■ Describir los elementos de las políticas de seguridad de las contraseñas, como la gestión, la
complejidad y las alternativas a las contraseñas (autenticación multifactorial, certificados,
biometría)

Temas clave
Las redes informáticas alámbricas e inalámbricas son esenciales para las actividades cotidianas. Los
individuos y las organizaciones dependen de sus ordenadores y redes. La intrusión de una persona
no autorizada puede provocar costosas interrupciones de la red y pérdidas de trabajo. Los ataques a una
red pueden ser devastadores y provocar pérdidas de tiempo y dinero debido al daño o al robo de
información o activos importantes. Hoy revisaremos los fundamentos de la seguridad, incluyendo las
amenazas, las vulnerabilidades y los ataques.

Fundamentos de la seguridad
Los ciberdelincuentes disponen ahora de la experiencia y las herramientas necesarias para derribar
infraestructuras y sistemas críticos. Se utiliza una terminología específica para describir sus
herramientas y ataques.

Condiciones de seguridad
Los activos deben ser identificados y protegidos. Las vulnerabilidades deben ser abordadas antes de
que se conviertan en amenazas y sean explotadas. Se requieren técnicas de mitigación antes, durante y
después de un ataque. Revise los términos de seguridad en la Tabla 11-1.

Tabla 11-1 Términos de


seguridad
TérminoDescripción
ActivosCualquier cosa de valor para la organización, incluyendo personas, equipos, recursos y datos.
VulnerabilidadUna debilidad en un sistema o en su diseño que podría
ser explotada por una amenaza. AmenazaPeligro potencial para los activos, los datos o la
funcionalidad de la red de una empresa. ExplotaciónMecanismo que se aprovecha de una

De la Biblioteca de javad mokhtari


vulnerabilidad.
MitigaciónProceso de adopción de contramedidas para reducir la probabilidad
o gravedad de una amenaza o riesgo potencial.
RiesgoLa probabilidad de que una amenaza explote la vulnerabilidad de un activo, con el
objetivo de afectar negativamente a una organización.

De la Biblioteca de javad mokhtari


286 31 días antes de su examen CCNA

Vectores de ataque y exfiltración de datos


Un vector de ataque es una ruta por la que un actor de la amenaza puede acceder a un servidor, host o
red. Los vectores de ataque se originan fuera o dentro de una red. Por ejemplo, los actores de amenazas
pueden dirigirse a una red a través de Internet para interrumpir las operaciones de la red y crear un
ataque de denegación de servicio (DoS). Un usuario interno, como un empleado, podría interrumpir la
red accidental o intencionadamente o robar datos confidenciales. Las amenazas internas tienen el
potencial de causar más daño que las externas porque los usuarios internos tienen acceso directo al
edificio y a sus dispositivos de infraestructura.
Los empleados también pueden tener conocimiento de la red corporativa, sus recursos y sus datos
confidenciales. La pérdida de datos o la exfiltración de datos se produce cuando los datos se pierden, se
roban o se filtran al exterior de forma intencionada o no intencionada. Los profesionales de la seguridad
de la red deben proteger los datos de la organización. Deben implementarse varios controles de
prevención de pérdida de datos (DLP), combinando medidas estratégicas, operativas y tácticas. Los
vectores comunes de pérdida de datos se muestran en la Tabla 11-2.

Tabla 11-2 Vectores de pérdida de datos


VectorDescription
Correo electrónico/redes socialesLos mensajes de correo electrónico o
de mensajería instantánea interceptados podrían ser
capturados y revelar información confidencial.
Dispositivos sin cifrarSi los datos no se almacenan utilizando un algoritmo de cifrado, el ladrón
puede ser capaz de
para recuperar valiosos datos confidenciales.
Dispositivos de almacenamiento en la nubeLos datos sensibles pueden
perderse si el acceso a la nube se ve comprometido debido a
una configuración de seguridad débil.
Medios extraíblesUn empleado podría realizar una transferencia no autorizada de
datos a un USB
o una unidad USB que contenga valiosos datos corporativos podría perderse.
Copia impresaLos datos confidenciales deben destruirse cuando ya no sean
necesarios.
Control de acceso inadecuadoLas contraseñas o las contraseñas débiles que han sido
comprometidas pueden proporcionar un
actor de la amenaza con fácil acceso a los datos corporativos.

Herramientas de pruebas de penetración


Para validar la seguridad de una red y sus sistemas, se han desarrollado muchas herramientas de
pruebas de penetración de redes (véase la Tabla 11-3). Por desgracia, los actores de las amenazas
también pueden utilizar muchas de estas herramientas para su explotación.

Tabla 11-3 Tipos de herramientas de


penetración HerramientaDescripción
Descifradores de contraseñasLas herramientas de descifrado de contraseñas suelen denominarse
herramientas de recuperación de contraseñas y
puede utilizarse para descifrar o recuperar una contraseña. Los descifradores
de contraseñas hacen repetidas conjeturas para descifrar la contraseña.
Herramientas de hacking inalámbricoLas herramientas de hacking inalámbrico se utilizan para hackear
intencionadamente una red inalámbrica
red para detectar vulnerabilidades de seguridad.
Herramientas de escaneo de
redes y de piratería informática Las herramientas de escaneo de red se utilizan para sondear dispositivos
de red, servidores y hosts en busca de puertos TCP o UDP abiertos.
Día 11 287

Descripción de la herramienta
Herramientas de análisis de paquetesEstas herramientas se utilizan para comprobar la solidez de un
cortafuegos mediante el uso de herramientas especiales.
paquetes falsificados.
Packet sniffersEstas herramientas se utilizan para capturar y analizar paquetes en la Ethernet tradicional
LANs o WLANs.
Detectores de RootkitEste es un comprobador de integridad de directorios y archivos
utilizado por los sombreros blancos para detectar
rootkits instalados.
Herramientas forensesEstasherramientas son utilizadas por los hackers de sombrero
blanco para olfatear cualquier rastro de evidencia
existente en un ordenador.
DepuradoresEstasherramientas son utilizadas por los sombreros negros
para realizar ingeniería inversa de los archivos binarios al escribir exploits.
También las utilizan los sombreros blancos cuando analizan el malware.
Sistemas operativos de hackingSon sistemas operativos especialmente diseñados y
precargados con herramientas
optimizado para la piratería.
Herramientas de encriptaciónLas herramientas de encriptación utilizan esquemas
de algoritmos para codificar los datos y evitar
acceso no autorizado a los datos encriptados.
Herramientas de explotación de vulnerabilidadesEstas herramientas
identifican si un host remoto es vulnerable a un ataque de seguridad.
Escáneres de vulnerabilidadEstas herramientas escanean una red o un sistema para
identificar los puertos abiertos. Pueden
también se puede utilizar para buscar vulnerabilidades conocidas y
escanear máquinas virtuales (VM), dispositivos llevados al trabajo por
individuos en una situación de "traiga su propio dispositivo" (BYOD) y
bases de datos de clientes.

Tipos de ataque
Los actores de las amenazas pueden utilizar herramientas para crear una variedad de ataques. La Tabla
11-4 muestra los tipos de ataques más comunes.

Tabla 11-4 Tipos comunes de ataques


Tipo de
ataqueDescripción
Ataque de escuchaUn actor de la amenaza captura y "escucha" el tráfico de la red. Este ataque
también se conoce como sniffing o snooping.
Ataque de modificación de datosSi los actores de la amenaza han capturado el tráfico de la
empresa, pueden alterar los datos en
el paquete sin el conocimiento del emisor o del receptor.
Ataque de suplantación de direcciones IPUn actor de la amenaza construye un
paquete IP que parece originarse en un
dirección válida dentro de la intranet corporativa.
Ataques basados en la contraseñaUn actor de la amenaza que descubre una cuenta de usuario
válida tiene los mismos derechos que

De la Biblioteca de javad mokhtari


el usuario real. Un actor de la amenaza puede utilizar una cuenta válida para
obtener listas de otros usuarios o información de la red, cambiar las
configuraciones del servidor y de la red, y modificar, redirigir o eliminar
datos.
Ataque de denegación de servicioUn ataque de denegación de servicio impide el uso
normal de un ordenador o de una red por parte de personas válidas
usuarios. Un ataque DoS puede inundar de tráfico a un ordenador o a toda
una red hasta que se produzca un apagado debido a la sobrecarga. Un ataque
DoS también puede bloquear el tráfico, lo que resulta en una pérdida de
acceso a los recursos de la red por parte de los usuarios autorizados.

De la Biblioteca de javad mokhtari


288 31 días antes de su examen CCNA

Tipo de ataqueDescripción
Ataque Man-in-the-middleEste ataque se produce cuando los actores de la amenaza
se han posicionado entre
un origen y un destino. Pueden supervisar, capturar y controlar activamente
la comunicación de forma transparente.
Ataque de clave comprometidaSi un actor de la amenaza obtiene una clave secreta, esa clave
se denomina
clave comprometida. Una clave comprometida puede utilizarse para acceder a una
comunicación segura sin que el emisor o el receptor se den cuenta del ataque.
Ataque de snifferUn sniffer es una aplicación o dispositivo que puede leer,
monitorizar y capturar intercambios de datos de red y leer paquetes de
red. Si los paquetes no están encriptados, un sniffer proporciona una
visión completa de los datos dentro del paquete.

Tipos de malware
El malware, que es la abreviatura de software malicioso, es un código o software diseñado específicamente
para dañar, interrumpir, robar o infligir una acción "mala" o ilegítima sobre los datos, los hosts o las
redes.Los virus, los gusanos y los troyanos son tipos de malware:

■ Un gusano ejecuta código arbitrario e instala copias de sí mismo en la memoria del ordenador
infectado. El objetivo principal de un gusano es replicarse automáticamente y propagarse por la
red de un sistema a otro.

■ Un virus es un software malicioso que ejecuta una función específica, no deseada y a menudo
dañina en un ordenador.

■ Un troyano es un tipo de malware que no se auto-replica. Suele contener un código malicioso que
está diseñado para parecer otra cosa, como una aplicación o un archivo legítimos. Cuando se
descarga y abre una aplicación o archivo infectado, el troyano puede atacar el dispositivo final
desde dentro.
La Tabla 11-5 describe algunos otros tipos de malware.

Tabla 11-5 Otros tipos de malware

MalwareDescripción
AdwareEl adware suele distribuirse mediante la descarga de software en línea.

El adware puede mostrar publicidad no solicitada mediante ventanas emergentes del


navegador o nuevas barras de herramientas, o puede redirigir inesperadamente a un
usuario desde una página web a otro sitio.
Las ventanas emergentes pueden ser difíciles de controlar, ya que pueden aparecer
nuevas ventanas más rápido de lo que el usuario puede cerrarlas.
RansomwareEl ransomware suele negar al usuario el acceso a sus archivos cifrándolos y mostrando
un mensaje en el que se pide un rescate por la clave de descifrado.
Los usuarios que no tienen copias de seguridad actualizadas deben pagar el
rescate para descifrar sus archivos. El pago suele realizarse mediante
transferencia bancaria o criptomonedas como el bitcoin.
Día 11 289

MalwareDescription
RootkitLos actores de la amenaza utilizan rootkits para obtener acceso a nivel de cuenta
de administrador a un ordenador.

Son muy difíciles de detectar porque pueden alterar el cortafuegos, la protección antivirus,
los archivos del sistema e incluso los comandos del sistema operativo para ocultar su
presencia.
Un rootkit puede proporcionar una puerta trasera a los actores de la amenaza, dándoles
acceso al PC y permitiéndoles cargar archivos e instalar nuevo software para utilizarlo
en un ataque DoS distribuido (DDoS).
Se deben utilizar herramientas especiales de eliminación de rootkits para eliminarlos, o
puede ser necesaria una reinstalación completa del sistema operativo.
El spywareSpyware es similar al adware pero se utiliza para recopilar información
sobre el usuario y enviarla a los actores de la amenaza sin el consentimiento del
usuario.
El spyware puede ser una amenaza baja, que recopila datos de navegación, o puede ser
una amenaza alta, que captura información personal y financiera.

Ataques a la red
Los ataques a la red incluyen ataques de reconocimiento, ataques de acceso, ataques DoS, ataques de
ingeniería social y ataques para explotar las vulnerabilidades del conjunto de protocolos TCP/IP.

Ataques de reconocimiento
El reconocimiento es la recopilación de información. Los actores de la amenaza utilizan los ataques de
reconocimiento (o recon) para hacer un descubrimiento y mapeo no autorizado de sistemas, servicios o
vulnerabilidades. Los ataques de reconocimiento preceden a los ataques de acceso o a los ataques DoS.
La Tabla 11-6 describe algunas técnicas comunes de ataques de reconocimiento.

Tabla 11-6 Técnicas de ataque de


reconocimiento TécnicaDescripción
Realizar una consulta de El actor de la amenaza busca información inicial sobre un objetivo. Se
información de un objetivo pueden utilizar varias herramientas, como una búsqueda en Google, el sitio
web de la organización y el whois.
Iniciar un barrido ping del objetivo La consulta de información suele revelar la dirección de red del objetivo. El
red El actor de la amenaza puede entonces iniciar un barrido de ping para
determinar qué direcciones IP están activas.
Iniciar un escaneo de puertos Un escáner de puertos puede utilizarse para determinar qué puertos o
de direcciones IP activas servicios están disponibles. Algunos ejemplos de escáneres de puertos son
Nmap, SuperScan, Angry IP Scanner y NetScanTools.
Ejecutar escáneres de vulnerabilidadUn escáner de vulnerabilidad puede consultar los puertos
identificados para determinar el tipo
y la versión de la aplicación y el sistema operativo que se ejecuta en el host.
Algunos ejemplos de estas herramientas son Nipper, Secunia PSI, Core Impact,
Nessus v6, SAINT y Open VAS.
Ejecutar herramientas de explotaciónEl actor de la amenaza intenta descubrir servicios
vulnerables que pueden ser
explotada. Existen diversas herramientas de explotación de vulnerabilidades,
como Metasploit, Core Impact, sqlmap, Social-Engineer Toolkit y
Netsparker.
290 31 días antes de su examen CCNA

Ataques de acceso
El objetivo de los ataques de acceso es conseguir la entrada a cuentas web, bases de datos
confidenciales y otra información sensible. Los actores de la amenaza utilizan los ataques de acceso en
los dispositivos de red y ordenadores para recuperar datos, obtener acceso o escalar los privilegios de
acceso al estado de administrador. La Tabla 11-7 describe los ataques de acceso.

Tabla 11-7 Tipos de ataques de acceso


Ataque de accesoDescripción
Ataque a las contraseñasEl actor de la amenaza intenta descubrir las contraseñas críticas del sistema
utilizando varios métodos. Los ataques a las contraseñas son muy comunes
y pueden ser lanzados utilizando una variedad de herramientas de

cracking de contraseñas.
Ataque de suplantaciónEl actor de la amenaza hace que un dispositivo se haga pasar
por otro falsificando los datos.
Los ataques de spoofing más comunes incluyen el spoofing de IP, el
spoofing de MAC y el spoofing de DHCP.
Explotación de la confianzaEl actor de la amenaza utiliza privilegios
no autorizados para obtener acceso a un sistema, posiblemente
comprometiendo el objetivo.
Redirección de puertosEl actor de la amenaza utiliza un sistema comprometido como
base para los ataques contra
otros objetivos.
Ataque Man-in-the-middleEl actor de la amenaza se sitúa entre dos entidades
legítimas para
leer o modificar los datos que pasan entre las dos partes.
Ataque de desbordamiento del búferEl actor de la amenaza explota la
memoria del búfer y la satura con
valores inesperados. Esto suele dejar el sistema inoperativo, creando un
ataque DoS.

Ataques de ingeniería social


En los ataques de ingeniería social, los actores de la amenaza intentan manipular a los individuos para
que realicen acciones o divulguen información confidencial. La Tabla 11-8 describe las técnicas de
ingeniería social.

Tabla 11-8 Tipos de ataques de ingeniería social


Ataque de
Descripción
ingeniería social
PretextingAtaque en el que un actor de la amenaza finge necesitar datos
personales o financieros para confirmar la identidad del objetivo.

PhishingAtaque en el que un actor de la amenaza envía un correo electrónico fraudulento que se disfraza
como si fuera de una fuente legítima y de confianza para engañar al
destinatario para que
instalar programas maliciosos en su dispositivo o compartir información
personal o financiera.
Spear phishingAtaque en el que un actor de la amenaza crea un ataque de phishing dirigido a una persona u
organización específica.
SpamCorreo electrónico no solicitado, también conocido como correo basura, que a menudo contiene enlaces
dañinos, malware o contenido engañoso.
Día 11 291

Ataque de Descripción
ingeniería social
Algo por algoA veces se denomina quid pro quo, un ataque en el que un actor de la amenaza solicita
información personal de una parte a cambio de algo como un regalo.
BaitingAtaque en el que un actor de la amenaza deja una unidad flash
infectada con malware en un lugar público. Una víctima encuentra la
unidad y la inserta en un portátil, instalando involuntariamente el
malware.
Suplantación de identidadUn ataque en el que un actor de la amenaza se hace pasar por
alguien que no es para
ganarse la confianza de la víctima.
TailgatingAtaque en el que un actor de la amenaza sigue rápidamente a una persona autorizada en un lugar
seguro para acceder a una zona segura.
Shoulder surfingAtaque en el que un actor de la amenaza mira discretamente por encima de alguien
hombro para robar contraseñas u otra información.
Búsqueda en el contenedor de basuraAtaque en el que un actor de la amenaza rebusca
en los contenedores de basura para descubrir
documentos confidenciales.

Ataques DoS y DDoS


Un ataque DoS crea algún tipo de interrupción de los servicios de red a los usuarios, dispositivos o
aplicaciones. Los ataques DoS se crean de dos maneras:

■ Cantidad abrumadora de tráfico: El actor de la amenaza envía una enorme cantidad de


datos a una velocidad que la red, el host o la aplicación no pueden manejar. Esto hace que los
tiempos de transmisión y respuesta se ralenticen. También puede colapsar un dispositivo o
servicio.

■ Paquetes con formato malicioso: El actor de la amenaza envía un paquete con formato
malicioso a un host o a una aplicación, y el receptor es incapaz de manejarlo. Esto hace que el
dispositivo receptor funcione muy lentamente o se bloquee.
Los ataques DoS son relativamente sencillos de llevar a cabo, incluso por parte de un actor de la
amenaza sin experiencia. Un ataque DDoS es similar a un ataque DoS, pero se origina desde múltiples
fuentes coordinadas. Por ejemplo, un actor de la amenaza puede construir una red de hosts infectados,
conocidos como zombis. Una red de zombis se denomina botnet. El actor de la amenaza puede entonces
utilizar un programa de comando y control (CnC) para instruir a la red de bots de zombis para llevar a
cabo un ataque DDoS.

Ataques IP
IP no valida si la dirección IP de origen contenida en un paquete procede realmente de esa fuente.
Por esta razón, los actores de la amenaza pueden enviar paquetes utilizando una dirección IP de origen
falsa. Los actores de las amenazas también pueden manipular los demás campos de la cabecera IP para
llevar a cabo sus ataques. Los analistas de seguridad deben entender los diferentes campos de las
cabeceras IPv4 e IPv6. La Tabla 11-9 describe algunos de los ataques más comunes relacionados con
IP.
292 31 días antes de su examen CCNA

Tabla 11-9 Tipos de ataques IP


Técnica de ataque IPDescripción
Ataques ICMPLos actores de la amenaza utilizan paquetes de eco
(pings) del Protocolo de Mensajes de Control de Internet (ICMP) para
descubrir subredes y hosts en una red protegida, para generar ataques de
inundación DoS y para alterar las tablas de enrutamiento de los hosts.
Ataque de amplificación y
Los actores de la amenaza intentan impedir que los usuarios legítimos accedan a
reflexión
la información o a los servicios mediante ataques DoS y DDoS. En un tipo de
ataque de amplificación y reflexión, el actor de la amenaza reenvía mensajes de
solicitud de eco ICMP a muchos hosts.
Estos mensajes contienen la dirección IP de origen de la víctima. Por lo tanto, todos
estos hosts responden a la dirección IP falsa de la víctima y la abruman.
Ataque de suplantación de direcciónLos actores de la amenaza suplantan la dirección IP de
origen en un paquete IP para realizar una suplantación ciega o no ciega. En la
suplantación no ciega, el actor de la amenaza puede ver el tráfico que se envía
entre el host y el objetivo. El actor de la amenaza utiliza la suplantación no ciega
para inspeccionar el paquete de respuesta de la víctima objetivo. La suplantación
no ciega determina el estado de un cortafuegos y la predicción del número de
secuencia. También puede hacerse para secuestrar una sesión autorizada. En la
suplantación ciega, el actor de la amenaza no puede ver el tráfico que se envía
entre el host y el objetivo.
La suplantación ciega se utiliza en los ataques DoS.
Man-in-the-middle (MITM) Los actores de la amenaza se posicionan entre una fuente y un destino para
ataqu supervisar, capturar y controlar la comunicación de forma transparente.
e Pueden espiar inspeccionando los paquetes capturados o alterar los paquetes
y reenviarlos a su destino original.
Secuestro de sesiónLos actores de la amenaza obtienen acceso a la red física y luego
utilizan un ataque MITM para secuestrar una sesión.

Ataques a la capa de transporte


Los actores de amenazas realizan escaneos de puertos de los dispositivos objetivo para descubrir qué
servicios están disponibles. Un actor de amenazas puede explotar TCP y UDP de las siguientes
maneras:

■ Ataque de inundación TCP SYN: Este tipo de ataque se aprovecha del apretón de manos TCP
de tres vías. El actor de la amenaza envía continuamente paquetes de solicitud de sesión TCP
SYN con una dirección IP de origen falsificada al azar a un objetivo. El dispositivo objetivo
responde con un paquete TCP SYN-ACK a la dirección IP falsificada y espera un paquete TCP
ACK. Las respuestas nunca llegan. Finalmente, el host de destino se ve abrumado con conexiones
TCP medio abiertas, y los servicios TCP se niegan a los usuarios legítimos.

■ Ataque de reinicio de TCP: Un actor de la amenaza podría utilizar un ataque de restablecimiento


de TCP para enviar un paquete falsificado que contenga un RST de TCP a uno o ambos puntos
finales, lo que crea una condición de DoS para la conexión.

■ Secuestro de sesión TCP: Un actor de la amenaza toma el control de un host ya autenticado


mientras se comunica con el objetivo. El actor de la amenaza debe falsificar la dirección IP de un
host, predecir el siguiente número de secuencia y enviar un ACK al otro host. Si tiene éxito, el
actor de la amenaza podría enviar, pero no recibir, datos del dispositivo objetivo.
■ Ataque de inundación UDP: El actor de la amenaza utiliza una herramienta para enviar una
avalancha de paquetes UDP, a menudo desde un host suplantado, a un servidor de la subred. El
programa barre todos los puertos conocidos, tratando de encontrar puertos cerrados. Esto hace que
el servidor responda con un mensaje ICMP de puerto inalcanzable. Como hay muchos puertos
cerrados en el servidor, hay mucho tráfico en el segmento, que utiliza la mayor parte del ancho de
banda. El resultado es muy similar al de un ataque DoS.
Día 11 293

Programa de seguridad
Una organización debe educar a su comunidad de usuarios a través de un programa de seguridad. Un
programa de seguridad eficaz incluye los siguientes elementos básicos:

■ Concienciación de los usuarios: Todos los usuarios deben ser conscientes de la necesidad
de la confidencialidad de los datos para proteger la información corporativa, así como sus
propias credenciales e información personal. También deben ser conscientes de las amenazas
potenciales, de los esquemas para engañar y de los procedimientos adecuados para informar de
los incidentes de seguridad. También se debe instruir a los usuarios para que sigan directrices
estrictas sobre la pérdida de datos.

■ Formación de los usuarios: Se debe exigir a todos los usuarios que participen en una
formación formal periódica para que se familiaricen con todas las políticas de seguridad de
la empresa.

■ Control de acceso físico: Los lugares de la infraestructura, como los armarios de la red y
los centros de datos, deben permanecer cerrados con seguridad. Los administradores deben
controlar el acceso físico y eliminar rápidamente el acceso cuando un empleado sea
despedido.

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.

Recursos Módulo o capítulo


Introducción a las redes v7 16
Redes empresariales, seguridad y automatización 3
Guía oficial del CCNA 200-301, volumen 2 4
Esta página se ha dejado intencionadamente en blanco
Conceptos de ACL

Temas del examen CCNA 200-301


■ Configurar y verificar las listas de control de acceso

Temas clave
Una de las habilidades más importantes que necesita un administrador de red es el dominio de
las listas de control de acceso (ACL). Los administradores utilizan las ACL para detener el tráfico o
permitir sólo el tráfico especificado en sus redes. Las ACL estándar y extendidas pueden aplicar una
serie de funciones de seguridad, como el enrutamiento basado en políticas, la calidad de servicio
(QoS), la traducción de direcciones de red (NAT) y la traducción de direcciones de puerto (PAT).
También puedes configurar ACLs estándar y extendidas en las interfaces de los routers para
controlar el tipo de tráfico que se permite a través de un determinado router. Hoy repasaremos los
conceptos de las ACL, incluyendo qué son, cómo las utiliza un router para filtrar el tráfico y qué tipos
de ACL están disponibles.

Operación ACL
El funcionamiento por defecto de un router es reenviar todos los paquetes, siempre que exista una ruta
para el paquete y el enlace esté activo. Las ACLs pueden ayudar a implementar un nivel básico de
seguridad. Sin embargo, no son la única solución de seguridad que una gran organización debería
implementar. De hecho, las ACLs aumentan la latencia de los routers. Si una organización es muy
grande, con routers que gestionan el tráfico de cientos o miles de usuarios, lo más probable es que el
administrador utilice una combinación de otras implementaciones de seguridad que están fuera del
alcance del CCNA.

Definición de una ACL


Una ACL es un script de configuración del router (es decir, una lista de declaraciones) que controla si un
router permite o deniega el paso de paquetes, basándose en los criterios de la cabecera del paquete. Para
determinar si un paquete está permitido o denegado, se comprueba con las sentencias de la ACL en
orden secuencial. Cuando una sentencia coincide, no se evalúan más sentencias; el paquete se permite o
se deniega. Hay una sentencia implícita de denegación al final de la ACL. Si un paquete no coincide con
ninguna de las sentencias de la ACL, se descarta.

Procesamiento de las ACL de la interfaz


Se pueden aplicar ACLs a una interfaz para el tráfico entrante y saliente. Sin embargo, se necesita una
ACL distinta para cada dirección. El diagrama de flujo de la Figura 10-1 detalla los pasos que sigue un
router al evaluar una ACL en las interfaces de entrada y salida.
296 31 días antes de su examen CCNA

Figura 10-1 Procesamiento de la interfaz ACL para el tráfico entrante y saliente

TRÁFICO DE ENTRADA TRÁFICO DE SALIDA

Hacer una búsqueda en la tabla de rutas Descartar mensaje ICMP


¿Paquete no rastreable?
Paquete
entrante

ACL en ¿Sin interfaz? ACL en ¿Sin interfaz?


PERMISO PERMISO
Sí Sí

Aplicar condición Aplicar condición


¿Condición MatchYes? ¿Condición MatchYes?

Comprobar la siguiente entrada No Comprobar la siguiente entrada No

SíMás NoDENY SíMás NoDENY


¿Condiciones? Mensaje ICMP ¿Condiciones? Mensaje ICMP

Para el tráfico de entrada, el router comprueba si hay una ACL de entrada aplicada a la interfaz antes de
hacer una búsqueda en la tabla de rutas. Luego, para el tráfico saliente, el router se asegura de que
existe una ruta al destino antes de comprobar si hay ACLs. Finalmente, si una declaración ACL resulta
en un paquete perdido, el router envía un mensaje ICMP de destino inalcanzable.
La elección de utilizar una ACL de entrada o de salida es fácil de hacer si, en primer lugar, te colocas
dentro del router, es decir, eres el router. Desde esta posición, puedes visualizar el procesamiento de un
paquete que llega a una interfaz del router (de entrada), decidir qué hacer con el paquete (¿Hay una
ACL de entrada? ¿Hay una ruta al destino?), y reenviar el paquete (¿Cuál es la interfaz de salida? ¿Hay
una ACL en la interfaz?).

Lógica de listas con ACLs de IP


Una ACL es una lista de comandos que se procesan en orden, desde la primera declaración de la lista
hasta la última. Cada comando tiene una lógica de coincidencia diferente que el router debe aplicar a
cada paquete cuando se activa el filtrado. Las ACLs utilizan la lógica de la primera coincidencia. Si un
paquete coincide con una línea de la ACL, el router toma la acción indicada en esa línea de la ACL e
ignora el resto de las declaraciones de la ACL.
Por ejemplo, la Figura 10-2 muestra la ACL 1 con tres líneas de pseudocódigo. La ACL se aplica a la
interfaz S0/0/1 de R2, como indica la flecha. El tráfico entrante de R1 se filtrará utilizando la ACL
1.
Día 10 297

Figura 10-2 Ejemplo de lógica de coincidencia de ACL


192.168.10.5
D

10.1.1.1
F1/1
A

S1
F0/0 S0/0/0 F0/0
B R1 S0/0/1R2
F0/1
10.1.1.2 ACL 1 Pseudocódigo
C Si el origen es 10.1.1.1
Permitir Si el origen es
10.1.1.x Denegar
10.3.3.3 Si Fuente = 10.x.x.x Permiso
Implícito "Denegar cualquiera"

Host AHost BHost C


S_IP = 10. 1.1.1S_IP = 10.1.1.2S_IP = 10.3.3.3

Si la fuente = 10.1.1.1 PermitirSi la fuente = 10.1.1.1 Permitir Si la fuente


= 10.1.1.x NegarSi la fuente = 10.1.1.x NegarSi la fuente = 10.1.1.x Negar Si la
fuente = 10.x.x.x PermitirSi la fuente = 10.x.x.x Permitir

La leyenda:

S_IP Dirección IP de origen


Examinada y coincidente
Examinada y no
coincidente

El cuadro debajo de la topología muestra la lógica de cómo se procesan los paquetes de cada
dirección de origen del host (etiquetada como S_IP en la figura). Observe que cuando se produce una
coincidencia para el host A y el host B, se aplica la condición (el host A está permitido y el host B
está denegado), y no se evalúan más declaraciones. El host C coincide con la última sentencia de la
lista y está permitido.
El host D no coincide con ninguno de los elementos de la ACL, por lo que el paquete se descarta. La
razón es que cada ACL IP tiene un deny any implícito al final de la ACL.

Planificación del uso de ACLs


Dado que una ACL puede utilizarse para filtrar el tráfico, es importante planificar a fondo la
implementación de una ACL antes de configurarla.
298 31 días antes de su examen CCNA

Tipos de ACL
Las ACL pueden configurarse para filtrar cualquier tipo de tráfico de protocolo, incluidos otros
protocolos de la capa de red como AppleTalk e IPX. Para el examen CCNA, nos centramos en
las ACL de IPv4 e IPv6, que vienen en los siguientes tipos:

■ ACLs IPv4 estándar: Filtran el tráfico basándose únicamente en la dirección de origen

■ ACLs IPv4 e IPv6 ampliadas: Puede filtrar el tráfico en función de la dirección de origen
y destino, protocolos específicos y puertos TCP y UDP de origen y destino
Puede utilizar dos métodos para identificar tanto las ACL estándar como las extendidas:

■ ACLs IPv4 numeradas: Utiliza un número para la identificación

■ ACLs IPv4 e IPv6 con nombre: Utiliza un nombre o número descriptivo para su identificación

Las ACLs con nombre deben utilizarse con algunos tipos de configuraciones de Cisco IOS, incluyendo
las ACLs IPv6. Sin embargo, proporcionan dos ventajas básicas para las ACLs IPv4 estándar y
extendidas:

■ Al utilizar un nombre descriptivo (como BLOCK-HTTP), un administrador de red puede


determinar más rápidamente el propósito de una ACL. Esto es especialmente útil en redes grandes,
donde un router puede tener muchas ACL con cientos de declaraciones.

■ Reducen la cantidad de escritura que debe hacer para configurar cada declaración en una
ACL con nombre, como se ve en el Día 9, "Implementación de ACL".
Tanto las ACL numeradas como las nombradas pueden ser configuradas para implementaciones de
ACL estándar y extendidas. La Figura 10-3 resume las categorías de ACL IPv4.

Figura 10-3 Comparación de los tipos de ACL IPv4

Estándar numerado Estándar Nombrado Estándar: A juego con


- Fuente IP

Numeración ampliada Extendido Nombrado


Ampliado: Coincidiendo con
Origen y destino. IP
Origen y destino. Puerto
Otros

Numerado: Nombrado:
Identificación con número ID con nombre
Comandos globales Subcomandos

Identificación de ACL
La Tabla 10-1 enumera los diferentes rangos de números de ACL para el protocolo IPv4. La tabla no es
exhaustiva. Hay otros números de ACL disponibles para otros tipos de protocolos que se usan poco o
están fuera del alcance del CCNA. IPv6 sólo utiliza ACLs con nombre.
Día 10 299

Tabla 10-1 Números de ACL IPv4


ProtocoloRango
IP1-99
IP100-199 ampliado
Norma IP (ampliada)1300-1999
IP extendida (ampliada)2000-2699

Las ACLs con nombre le dan más flexibilidad para trabajar con las entradas de la ACL. Además
de utilizar nombres más memorables, el uso de ACLs con nombre en lugar de ACLs numeradas le
permite eliminar declaraciones individuales en una lista de acceso IP con nombre.
La versión 12.3 del software Cisco IOS introdujo la numeración secuencial de las entradas de
las listas de acceso IP tanto para las ACL numeradas como para las nombradas. La numeración
secuencial de las entradas de la lista de acceso IP ofrece las siguientes ventajas:

■ Puede editar el orden de las declaraciones ACL.

■ Puede eliminar declaraciones individuales de una ACL.

■ Puede utilizar el número de secuencia para insertar nuevas sentencias en medio de la ACL.

Los números de secuencia se añaden automáticamente a la ACL si no se introducen explícitamente


en el momento de crearla.

Directrices de diseño de ACL


Las ACL bien diseñadas e implementadas añaden un importante componente de seguridad a su
red. Siga estos principios generales para asegurarse de que las ACL que cree tengan los
resultados previstos:

■ En función de las condiciones de la prueba, elija una ACL estándar o ampliada, numerada o con nombre.

■ Sólo se permite una ACL por protocolo, por dirección y por interfaz.

■ Organice la ACL para permitir el procesamiento de arriba hacia abajo. Organice su ACL de
manera que las referencias más específicas a una red, subred o host aparezcan antes de las más
generales. Coloque las condiciones que se dan con más frecuencia antes de las que se dan con
menos frecuencia.

■ Todas las ACLs contienen una declaración implícita deny any al final.

■ Cree la ACL antes de aplicarla a una interfaz.

■ Dependiendo de cómo se aplique la ACL, ésta filtra el tráfico que atraviesa el router o que va
hacia y desde el router, como el tráfico hacia o desde las líneas vty.

■ Normalmente debe colocar las ACL extendidas lo más cerca posible del origen del tráfico que
quiere denegar. Dado que las ACL estándar no especifican las direcciones de destino, debe
colocar la ACL estándar lo más cerca posible del destino del tráfico que desea denegar para que
el origen pueda llegar a las redes intermedias.
300 31 días antes de su examen CCNA

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.

Recursos Módulo o capítulo


Redes empresariales, seguridad y automatización 4
Guía oficial del CCNA 200-301, volumen 2 2
3
Guía del mando portátil 21
Implementación de ACL

Temas del examen CCNA 200-301


■ Configurar y verificar las listas de control de acceso

Temas clave
En el Día 10, "Conceptos de ACL", revisamos los conceptos de ACL. Hoy nos centraremos en la
configuración, verificación y resolución de problemas de las ACL de IPv4 e IPv6.

Configuración de ACLs IPv4


estándar numeradas
Las ACLs IPv4 estándar, que son ACLs numeradas en los rangos 1 a 99 y 1300 a 1999 o son ACLs
con nombre, filtran los paquetes basándose en una dirección de origen y una máscara. Permiten o
deniegan todo el conjunto de protocolos TCP/IP. La configuración de una ACL requiere dos
pasos:
Paso 1. Cree la ACL.

Paso 2. Aplique la ACL.

Utilicemos la topología simple de la Figura 9-1 para demostrar cómo configurar ACLs IPv4
estándar y extendidas.

Figura 9-1 Topología de configuración de ACL IPv4

No
172.16.3.0/24172.16.0.0172.16.4.0/24

S0/0/0
G0/1 172.16.4.13
G0/0
R1
302 31 días antes de su examen CCNA

ACL IPv4 estándar numerada: Permitir red específica


Cree una ACL para evitar que el tráfico que no forma parte de las redes internas
(172.16.0.0/16) salga por cualquiera de las interfaces Gigabit Ethernet:
Paso 1. Cree la ACL. Utilice el comando de configuración global access-list para crear una
entrada en una ACL IPv4 estándar:
R1(config)# access-list 1 permit 172.16.0.0 0.0.255.255

La sentencia de ejemplo coincide con cualquier dirección que empiece por 172.16.x.x. Puede
utilizar la opción
opción de comentario para añadir una descripción a la ACL.

Paso 2. Aplique la ACL. Utilice el comando de configuración de la interfaz para seleccionar una
interfaz a la que aplicar la ACL. A continuación, utilice el comando de configuración de
interfaz ip access-group para activar la ACL existente en una interfaz para una
dirección específica (entrada o salida):
R1(config)# interfaz gigabitethernet 0/0

R1(config-if)# ip access-group 1 out

R1(config-if)# interfaz gigabitethernet 0/1

R1(config-if)# ip access-group 1 out

Este paso activa la ACL 1 IPv4 estándar en ambas interfaces como filtro de salida.

Esta ACL sólo permite que el tráfico de la red de origen 172.16.0.0 se reenvíe por G0/0 y G0/1.
El tráfico procedente de otras redes distintas de la 172.16.0.0 se bloquea con el deny any
implícito.

ACL IPv4 estándar numerada: denegar un host específico


Cree una ACL para evitar que el tráfico que se origina en el host 172.16.4.13 salga por G0/0.
Cree y aplique la ACL con los comandos del Ejemplo 9-1.

Ejemplo 9-1 ACL que impide el tráfico procedente de un host específico

R1(config)# access-list 1 deny 172.16.4.13 0.0.0


R1(config)# access-list 1 permit 0.0.0.0 255.255.255
R1(config)# interfaz gigabitethernet 0/0
R1(config-if)# ip access-group 1 out

Esta ACL está diseñada para bloquear el tráfico de una dirección específica, 172.16.4.13, y para permitir
que el resto del tráfico se reenvíe por la interfaz G0/0. La primera declaración también se puede escribir
con la palabra clave host sustituyendo la máscara comodín 0.0.0, de la siguiente manera:
R1(config)# access-list 1 deny host 172.16.4.13

De hecho, a partir de la versión 12.3 del software Cisco IOS, se puede introducir lo siguiente:
R1(config)# access-list 1 deny 172.16.4.13

La segunda declaración puede escribirse con la palabra clave any sustituyendo la dirección de
origen 0.0.0.0 y la máscara comodín 255.255.255.255, de la siguiente manera:
R1(config)# access-list 1 permit any
Día 9 303

ACL IPv4 estándar numerada: denegar una subred específica


Cree una ACL para evitar que el tráfico que se origina en la subred 172.16.4.0/24 salga por la
interfaz G0/0. Cree y aplique la ACL con los comandos del Ejemplo 9-2.

Ejemplo 9-2 ACL que impide el tráfico procedente de una subred específica

R1(config)# access-list 1 deny 172.16.4.0 0.0.255


R1(config)# access-list 1 permit any
R1(config)# interfaz g0/0
R1(config-if)# ip access-group 1 out

Esta ACL está diseñada para bloquear el tráfico de una subred específica, 172.16.4.0, y permitir que el
resto del tráfico sea reenviado por G0/0.

ACL IPv4 estándar numerada: Denegar el


acceso de Telnet o SSH al router
Para el tráfico de entrada y salida del router (no a través del router), filtre el acceso Telnet o SSH al
router aplicando una ACL a los puertos vty. Restringir el acceso vty es principalmente una técnica para
aumentar la seguridad de la red y definir a qué direcciones se les permite el acceso Telnet al proceso
EXEC del router. Cree y aplique la ACL con los comandos del Ejemplo 9-3.

Ejemplo 9-3 Lista de acceso que permite el acceso remoto de un solo host a R1

R1(config)# access-list 12 permit host 172.16.4.13


R1(config)# línea vty 0 15
R1(config-line)# access-class 12 in

En este ejemplo, sólo el host 172.16.4.13 tiene permitido el Telnet en R1. Todas las demás direcciones
IP se deniegan implícitamente.

Configuración de ACLs IPv4


numeradas extendidas
Para un control de filtrado de tráfico más preciso, utilice ACLs IPv4 extendidas. Las ACLs IPv4
extendidas pueden ser nombradas o numeradas en los rangos 100 a 199 y 2000 a 2699. Las ACLs
extendidas comprueban las direcciones IP de origen y destino. Además, al final de la declaración de
ACL extendida, puede especificar el protocolo y la aplicación TCP o UDP opcional para filtrar con
mayor precisión. Para configurar ACLs IPv4 extendidas numeradas en un router Cisco, cree una ACL
IP extendida y active esa ACL en una interfaz. A efectos del examen CCNA, la sintaxis del comando
ACL IPv4 extendida es la siguiente:
Router(config)# access-list access-list-number {permit | deny} protocol
source source-wildcard [operator port] destination destination-wildcard
[operator port] [established] [log]

La tabla 9-1 explica la sintaxis del comando.


304 31 días antes de su examen CCNA

Tabla 9-1 Parámetros de comandos para una ACL IPv4 extendida


numerada Comando ParámetroDescripción
access-list-numberIdentifica la lista usando un número en el rango 100-199 o 2000-2699.
permit | denyIndica si esta entrada permite o bloquea la dirección especificada.
protocolSi se especifica ip, se filtra todo el conjunto de protocolos TCP/IP. Otros
protocolos que se pueden filtrar son TCP, UDP, ICMP, EIGRP y OSPF.
Utilice ? después del argumento permit | deny para ver todos los protocolos
disponibles.
origen y destinoIdentifica las direcciones IP de origen y destino.
source-wildcard y Máscara de comodines. Los 0 indican las posiciones que deben
destino-tarjeta de coincidir, y los 1 indican las posiciones "no importa".
visita
El operador puede ser lt (menor que), gt (mayor que), eq (igual a) o neq
operador [puerto | (no igual a). El número de puerto al que se hace referencia puede ser el
app_name]
puerto de origen o el de destino, dependiendo del lugar de la ACL en el
que se haya configurado el número de puerto. Como alternativa al número de
puerto, se pueden utilizar nombres de aplicaciones conocidas, como Telnet,
FTP y SMTP.
establecidoSólo para TCP entrante. Permite que el tráfico TCP pase si el paquete es una respuesta
a una sesión iniciada en salida. Este tipo de tráfico tiene los bits de acuse de
recibo (ACK) establecidos.
logEnvía un mensaje de registro a la consola.

ACL IPv4 numerada extendida: Denegar FTP desde subredes


Para la red de la Figura 9-1, ahora creamos una ACL para evitar que el tráfico FTP que se origina
en la subred 172.16.4.0/24 y va a la subred 172.16.3.0/24 salga por G0/0. Cree y aplique la ACL
con los comandos del Ejemplo 9-4.

Ejemplo 9-4 Lista de acceso que impide el tráfico FTP desde subredes específicas

R1(config)# access-list 101 deny tcp 172.16.4.0 0.0.255 172.16.3.0 0.0.255 eq 21


R1(config)# access-list 101 deny tcp 172.16.4.0 0.0.255 172.16.3.0 0.0.255 eq 20
R1(config)# access-list 101 permit ip any any
R1(config)# interfaz g0/0
R1(config-if)# ip access-group 101 out

Las sentencias deny bloquean el tráfico FTP procedente de la subred 172.16.4.0 a la subred
172.16.3.0. La sentencia permit permite el resto del tráfico IP que sale por la interfaz G0/0. Deben
introducirse dos sentencias para la aplicación FTP porque el puerto 21 se utiliza para establecer,
mantener y terminar una sesión FTP, mientras que el puerto 20 se utiliza para la tarea de
transferencia de archivos propiamente dicha.

ACL de IPv4 ampliada: Denegar sólo


Telnet desde la subred
Cree una ACL para evitar que el tráfico Telnet que se origina en la subred 172.16.4.0/24 salga por la
interfaz G0/0. Cree y aplique la ACL con los comandos del Ejemplo 9-5.
Día 9 305

Ejemplo 9-5 Lista de acceso que impide el tráfico de Telnet desde una subred específica

R1(config)# access-list 101 deny tcp 172.16.4.0 0.0.255 any eq 23


R1(config)# access-list 101 permit ip any any
R1(config)# interfaz g0/0
R1(config-if)# ip access-group 101 out

Este ejemplo deniega el tráfico Telnet de 172.16.4.0 que se envía por la interfaz G0/0. El resto del
tráfico IP de cualquier otra fuente a cualquier destino se permite en G0/0.

Configuración de ACLs IPv4 con nombre


Con una ACL con nombre, puede identificar las ACL estándar y extendidas con una cadena
alfanumérica (nombre) en lugar de las representaciones numéricas actuales.
Dado que puede eliminar entradas individuales con ACL con nombre, puede modificar una ACL sin
tener que eliminar y volver a configurar toda la ACL. Con el software Cisco IOS versión 12.3 y
posterior, puede insertar entradas individuales utilizando un número de secuencia adecuado.

Pasos y sintaxis de la ACL IPv4 con nombre estándar


Los siguientes pasos y sintaxis se utilizan para crear una ACL estándar con nombre:

Paso 1. Asigne un nombre a la ACL. Desde el modo de configuración global, utilice el


comando ip access-list standard para nombrar la ACL estándar. Los nombres de ACL
son alfanuméricos y deben ser únicos:
Router(config)# ip access-list standard name

Paso 2. Crear la ACL. Desde el modo de configuración de ACL con nombre estándar, utilice
las sentencias permit o deny para especificar una o más condiciones para determinar
si un paquete se reenvía o se descarta:
Router(config-std-nacl)# [sequence-number] {permit | deny} source
source-wildcard

Si no se especifica un número de secuencia, Cisco IOS incrementa el número de secuencia


en 10 por cada sentencia que se introduzca.
Paso 3. Aplique la ACL. Active la ACL nombrada en una interfaz con el comando ip access-group
comando de nombre:

Router(config-if)# ip access-group name [in | out]

ACL IPv4 estándar con nombre: denegar un


solo host de una subred determinada
Para la red mostrada anteriormente en la Figura 9-1, cree una ACL estándar llamada
TROUBLEMAKER para evitar que el tráfico que se origina en el host 172.16.4.13 salga por la
interfaz G0/0.
Cree y aplique la ACL con los comandos del Ejemplo 9-6.
306 31 días antes de su examen CCNA

Ejemplo 9-6 ACL con nombre que impide el tráfico de un host específico

R1(config)# ip access-list standard


TROUBLEMAKER R1(config-std-nacl)# deny host
172.16.4.13 R1(config-std-nacl)# permit
172.16.4.0 0.0.255 R1(config-std-nacl)#
interface g0/0
R1(config-if)# ip access-group TROUBLEMAKER out

Pasos y sintaxis de la ACL IPv4 con nombre extendido


Los siguientes pasos y sintaxis se utilizan para crear una ACL extendida con nombre:

Paso 1. Asigne un nombre a la ACL. Desde el modo de configuración global, utilice el


comando ip access-list extended para nombrar la ACL extendida:
Router(config)# ip access-list extended name

Paso 2. Cree la ACL. Desde el modo de configuración de ACL con nombre extendido, utilice
las sentencias permit o deny para especificar una o más condiciones para determinar
si un paquete se reenvía o se descarta:
Router(config-ext-nacl)# [sequence-number] {deny | permit} protocol
source source-wildcard [operator port] destination destination-wildcard
[operator port] [established] [log]

Paso 3. Aplique la ACL. Active la ACL nombrada en una interfaz con el comando ip access-group
comando de nombre:

Router(config-if)# ip access-group name [in | out]

Añadir comentarios a las ACLs IPv4 con nombre o numeradas


Puedes añadir comentarios a las ACLs utilizando el argumento remark en lugar de permit o
deny. Los comentarios son declaraciones descriptivas que se pueden utilizar para comprender
mejor y solucionar los problemas de las ACL con nombre o numeradas.
El ejemplo 9-7 muestra cómo añadir un comentario a una ACL numerada.

Ejemplo 9-7 Añadir comentarios a una ACL numerada

R1(config)# access-list 101 remark Permitir a John el acceso a Telnet al servidor


R1(config)# access-list 101 permit tcp host 172.16.4.13 host 172.16.3.10 eq telnet

El ejemplo 9-8 muestra cómo añadir un comentario a una ACL con nombre.

Ejemplo 9-8 Añadir comentarios a una ACL con nombre

R1(config)# ip access-list standard PREVENTION


R1(config-std-nacl)# remark No permitir el paso de la subred Jones
R1(config-std-nacl)# deny 172.16.4.0 0.0.0.255
Día 9 307

Verificación de ACLs IPv4


Cuando termine de configurar una ACL, utilice los comandos show para verificar la configuración.
Utilice el comando show access-lists para mostrar el contenido de todas las ACL, como en el
Ejemplo 9-9. Al introducir el nombre o el número de la ACL como opción para este comando, puede
mostrar una ACL específica.

Ejemplo 9-9 Verificación de la configuración de la lista de acceso

R1# show access-lists


Lista de acceso IP estándar
SALES 10 permit 10.3.3.1
20 permiso 10.4.4.1
30 permiso 10.5.5.1
40 deny 10.1.1.0, bits comodín 0.0.0.255
50 permiten cualquier
Lista de acceso IP ampliada ENG
10 permit tcp host 10.22.22.1 any eq telnet (25 coincidencias)
20 permit tcp host 10.33.33.1 any eq ftp
30 permit tcp host 10.33.33.1 any eq ftp-data

Observe en la salida del comando show access-lists en el Ejemplo 9-9 que los números de
secuencia se incrementan en 10, probablemente porque el administrador no introdujo un número de
secuencia.
Observe también que este comando le indica cuántas veces Cisco IOS ha hecho coincidir un
paquete con una sentencia: 25 veces, en el caso de la primera sentencia de la ACL ENG
nombrada.
El comando show ip interface muestra información de la interfaz IP e indica si hay alguna ACL
IP configurada en la interfaz. En la salida del comando show ip interface g0/0 del Ejemplo 9-10,
se ha configurado la ACL IP 1 en la interfaz G0/0 como ACL de entrada. No se ha configurado
ninguna ACL IP de salida en la interfaz G0/0.

Ejemplo 9-10 Verificación de la configuración de la lista de acceso en una interfaz específica

R1# show ip interface g0/0


GigabitEthernet0/0 está levantada, el protocolo de
línea está levantado La dirección de Internet
es 10.1.1.11/24
La dirección de difusión es
255.255.255.255 La dirección se
determina mediante el comando de
configuración La MTU es de 1500
bytes
La dirección del ayudante no está configurada
El reenvío de difusión dirigido está
desactivado La lista de acceso saliente no está
configurada
La lista de acceso
entrante es 1 El ARP proxy
está activado
<salida omitida>

Por último, también puede verificar la creación y aplicación de la ACL con el comando show running-config
(véase el ejemplo 9-11).
308 31 días antes de su examen CCNA

Ejemplo 9-11 Verificación de la creación y aplicación de ACL en la configuración


en ejecución

R1# show running-config


Configuración del edificio...
!
<salida omitida>
!
interfaz GigabitEthernet0/0
dirección ip 10.44.44.1 255.255.255.0
ip access-group ENG out
!
<salida omitida>
!
interfaz Serial0/0/0
dirección ip 172.16.2.1 255.255.255.252
ip access-group SALES en
!
<salida omitida>
ip access-list standard SALES
permit 10.3.3.1
permiso 10.4.4.1
permiso 10.5.5.1
deny 10.1.1.0 0.0.0.255
permitir cualquier
!
ip access-list extended ENG
permit tcp host 10.22.22.1 any eq telnet
permit tcp host 10.33.33.1 any eq ftp
permit tcp host 10.33.33.1 any eq ftp-
data
!
<salida omitida>

Comparación de ACLs IPv4 e IPv6


Las ACLs de IPv4 e IPv6 tienen algunas sutiles diferencias (ver Tabla 9-2).

Tabla 9-2 ACLs IPv4 e IPv6


Característica Sólo IPv4 Sólo IPv6 A
m
b
os
Coincidir con la dirección de origen y/o destino X
Coincidir con direcciones de host o subredes/prefijos X
Aplicado direccionalmente en una interfaz X
Coincidir con los puertos de origen y/o destino TCP X
o UDP
Coincidencia de códigos ICMP X
Día 9 309

Característica Sólo IPv4 Sólo IPv6 A


m
b
os
Incluir una denegación implícita al final de la ACL X
Coincidir sólo con paquetes IPv4 X
Coincidir sólo con paquetes IPv6 X
Utilice números para identificar el ACL X
Utilice nombres para identificar la ACL X
Incluir algunas declaraciones de permiso X
implícitas al final de la ACL

Configuración de ACLs IPv6


Los pasos básicos para configurar las ACL IPv6 son los mismos que para las ACL IPv4 con nombre:

Paso 1. Nombre la ACL.

Paso 2. Cree la ACL.

Paso 3. Aplique la ACL.

Paso 1: Nombrar la ACL IPv6


Para nombrar una ACL IPv6, introduzca el comando ipv6 access-list en el modo de configuración global:
Router(config)# ipv6 access-list name

Tenga en cuenta que la sintaxis del comando para nombrar una ACL IPv6 es la misma si está
configurando ACLs IPv6 estándar o extendidas. Sin embargo, las ACLs IPv6 estándar y extendidas
son diferentes de las ACLs IPv4 estándar y extendidas.

Paso 2: Crear la ACL IPv6


Una ACL IPv6 estándar incluye información de direcciones de origen y destino, pero no incluye
información TCP, UDP o ICMPv6. La sintaxis de una ACL IPv6 estándar es la siguiente:
Router(config-ipv6-acl)# [permit | deny] ipv6 {source-ipv6-prefix/prefix-length |
any | host source-ipv6-address} {destino-ipv6-prefijo/longitud de prefijo |
any | host destination-ipv6-address} [registro]

Las ACLs IPv6 extendidas coinciden con muchos más campos de cabecera de paquetes IPv6, así como
con mensajes TCP, UDP e ICMPv6 y cabeceras de extensión IPv6. La sintaxis de las ACLs IPv6
extendidas es la siguiente:
Router(config-ipv6-acl)# [permit | deny] protocol {source-ipv6-prefix/
prefix-length | any | host source-ipv6-address} [operador [número de
puerto]]
{destination-ipv6- prefix/prefix-length | any | host destination-ipv6-address}
[operador [número de puerto]] [dest-option-type [doh-number | d o h - t y p e ] ] [valor
dscp] [valor flow-label] [fragmentos] [log] [log-input] [movilidad][mobility-type
[número-mh | tipo-mh]] [reflect name [timeout value]] [enrutamiento][tipo de enrutamiento
número de enrutamiento] [valor de la secuencia] [nombre del rango de tiempo]
Si eliges icmp, tcp o udp como protocolo, hay opciones de filtrado adicionales disponibles para
coincidir con esas cabeceras específicas. Por ejemplo, la configuración de icmp como protocolo
permite filtrar las cabeceras
310 31 días antes de su examen CCNA

icmp-type. Configurar tcp como protocolo permite filtrar las seis banderas TCP, ACK, FIN, PSH, RST,
SYN y URG. Configurar u d p como protocolo permite filtrar las cabeceras de extensión IPv6, como
IPsec.

Paso 3: Aplicar la ACL IPv6


La sintaxis para aplicar una ACL IPv6 a una interfaz es la siguiente:
Router(config-if)# ipv6 traffic-filter access-list-name { in | out }

La sintaxis para aplicar una ACL IPv6 a las líneas vty es similar a la de IPv4. Sólo hay que sustituir ip
por ipv6, como sigue:
Router(config-line)# ipv6 access-class access-list-name

ACL estándar IPv6: Permitir el acceso remoto SSH


La topología de la Figura 9-2 se utiliza aquí para escenarios de configuración de ACL IPv6.

Figura 9-2 Topología de configuración de ACL IPv6

No
2001:DB8:1:3::/64 2001:DB8:1::/48 2001:DB8:1:4::/64

S0/0/0
G0/1 2001:DB8:1:4::13
G0/0
R1

El ejemplo 9-12 demuestra cómo crear y aplicar una ACL IPv6 para permitir sólo a
2001:DB8:1:4::13 conectarse remotamente a las líneas vty de R1.

Ejemplo 9-12 Lista de acceso que permite a un solo host acceder a R1

R1(config)# ipv6 access-list SSH-HOST


R1(config-ipv6-acl)# permit ipv6 host 2001:db8:1:4::13 any
R1(config-ipv6-acl)# deny ipv6 any any
R1(config-ipv6-acl)# exit
R1(config)# línea vty 0 4
R1(config-line)# ipv6 access-class SSH-HOST in

La sentencia permit sólo permite un host, 2001:DB8:1:4::13. Todo el resto del tráfico IPv6 es denegado.
La ACL IPv6 se aplica entonces a las cinco primeras líneas vty con el comando ipv6 access-class.

ACL IPv6 ampliada: Permitir sólo el tráfico web


El ejemplo 9-13 demuestra cómo crear y aplicar una ACL IPv6 para permitir sólo el tráfico
web que se origina en la subred 2001:DB8:1:4::/64 y que va a la subred 2001:DB8:1:3::/64.
Día 9 311

Ejemplo 9-13 Lista de acceso que impide el tráfico web de subredes específicas

R1(config)# ipv6 access-list WEB-ONLY


R1(config-ipv6-acl)# permit tcp 2001:DB8:1:4::/64 2001:DB8:1:3::/64 eq
www R1(config-ipv6-acl)# deny ipv6 2001:DB8:1:4::/64 2001:DB8:1:3::/64
R1(config-ipv6-acl)# permit ipv6 2001:DB8:1:4::/64 any
R1(config-ipv6-acl)# exit
R1(config)# interfaz g0/1
R1(config-if)# ipv6 traffic-filter WEB-ONLY in

La primera sentencia permit permite que el tráfico del prefijo 2001:DB8:1:4::/64 acceda a los
servicios web en cualquier dispositivo del prefijo 2001:DB8:1:3::/64. La sentencia deny asegura que
todo el resto del tráfico desde 2001:DB8:1:4::/64 a 2001:DB8:1:3::/64 está bloqueado. La última
sentencia permit permite el resto del tráfico entrante desde 2001:DB8:1:4::/64 a cualquier destino.

Verificación de ACLs IPv6


Al igual que con las ACLs IPv4, se puede ver la configuración y aplicación de las ACLs IPv6 con el
comando show run (ver Ejemplo 9-14).

Ejemplo 9-14: Examen de las ACL en la configuración

R1# show run


Configuración del edificio...
<alguna salida omitida>
!
interfaz GigabitEthernet0/1
ipv6 traffic-filter WEB-ONLY
in dirección ipv6 FE80::1
link-local dirección ipv6
2001:DB8:1:4::1/64
!
ipv6 access-list WEB-ONLY
permit tcp 2001:DB8:1:4::/64 2001:DB8:1:3::/64 eq www
deny ipv6 2001:DB8:1:4::/64 2001:DB8:1:3::/64
permit ipv6 2001:DB8:1:4::/64 any
ipv6 access-list SSH-HOST
permit ipv6 host 2001:DB8:1:4::13 any
deny ipv6 any any
!
línea vty 0 4
ipv6 access-class SSH-HOST in
login local
entrada de transporte ssh
!

R
1
#
312 31 días antes de su examen CCNA

Sin embargo, la configuración de los routers de producción suele ser larga y compleja. Para las
preguntas de simulación del examen CCNA, es posible que ni siquiera tengas acceso al comando
show run.
Por lo tanto, debe utilizar comandos de verificación que proporcionen de forma más precisa y eficaz la
información que necesita.
Por ejemplo, show access-lists revela rápidamente todas las ACLs IPv4 e IPv6 configuradas en el
dispositivo, como muestra el Ejemplo 9-15.

Ejemplo 9-15 Verificación de todas las ACLs configuradas

R1# show access-lists


Lista de acceso IP estándar
SALES 10 permit 10.3.3.1
20 permiso 10.4.4.1
30 permiso 10.5.5.1
40 deny 10.1.1.0, bits comodín 0.0.0.255
50 permiten cualquier
Lista de acceso IP ampliada ENG
10 permit tcp host 10.22.22.1 any eq telnet
20 permit tcp host 10.33.33.1 any eq ftp
30 permit tcp host 10.33.33.1 any eq ftp-data
Lista de acceso IPv6 SSH-HOST
permit ipv6 host 2001:DB8:1:4::13 any sequence
10 deny ipv6 any sequence 20
Lista de acceso IPv6 WEB-ONLY
permit tcp 2001:DB8:1:4::/64 2001:DB8:1:3::/64 eq www sequence 10
deny ipv6 2001:DB8:1:4::/64 2001:DB8:1:3::/64 sequence 20
permit ipv6 2001:DB8:1:4::/64 any sequence 30
R1#

Observe que Cisco IOS ha añadido números de secuencia al final de las ACLs IPv6 en lugar
de al principio, como hace con las ACLs IPv4.
En el Ejemplo 9-16, sólo se muestran las ACLs IPv6. Esta salida se generó después de que varios
paquetes coincidieran con cada una de las declaraciones de las ACL.

Ejemplo 9-16 Verificación de las estadísticas de coincidencia de ACL IPv6

R1# show ipv6 access-list


Lista de acceso IPv6 SSH-HOST
permit ipv6 host 2001:DB8:1:4::13 any (1 match(es)) sequence 10
deny ipv6 any (5 match(es)) sequence 20
Lista de acceso IPv6 WEB-ONLY
permit tcp 2001:DB8:1:4::/64 2001:DB8:1:3::/64 eq www (5 match(es))
sequence 10
deny ipv6 2001:DB8:1:4::/64 2001:DB8:1:3::/64 (4 match(es)) sequence 20
permit ipv6 2001:DB8:1:4::/64 any (75 match(es)) sequence 30
R1#
Día 9 313

Para verificar la colocación de una ACL IPv6 en una interfaz, puede utilizar el comando show
ipv6 interface. Si se aplica una ACL, la salida tendrá una entrada de línea como la resaltada en
el Ejemplo 9-17.

Ejemplo 9-17 Verificación de una ACL IPv6 aplicada a una interfaz

R1# show ipv6 interface g0/1


GigabitEthernet0/1 está levantada, el protocolo
de línea está levantado IPv6 está habilitado,
la dirección de enlace local es FE80::1 No
hay dirección(es) virtual(es) de enlace
local:
Dirección(es) global(es) de unicast:
2001:DB8:1:4::1, la subred es 2001:DB8:1:4::/64
Dirección del grupo
unido: FF02::1
FF02::2
FF02::1:FF00:1
La MTU es de 1500 bytes
Mensajes de error ICMP limitados a uno cada 100
milisegundos Se habilitan las redirecciones ICMP
Los ICMP inalcanzables se
envían Funciones de
entrada: Lista de acceso
Lista de acceso entrante
WEB-ONLY
ND DAD está activado, número de intentos de DAD: 1
El tiempo alcanzable de ND es de 30000 milisegundos
(usando 30000) El tiempo alcanzable anunciado por ND
es 0 (sin especificar)
El intervalo de retransmisión anunciado por ND es 0
(no especificado) Los anuncios del enrutador ND se
envían cada 200 segundos Los anuncios del enrutador
ND viven durante 1800 segundos
La preferencia del router por defecto anunciada
por ND es Media Los hosts utilizan la
autoconfiguración sin estado para las
direcciones.
R1#

Solución de problemas de ACL


Su red puede estar configurada correctamente con todos los hosts recibiendo direcciones DHCP,
tablas de enrutamiento completamente pobladas y una capa física completamente operativa, pero una
ACL en algún lugar de la ruta de datos puede seguir causando un problema. Resolver un problema
causado por una ACL puede dificultar su trabajo.
Las ACLs pueden bloquear las herramientas normales de resolución de problemas, como el
ping y el traceroute, mientras permiten el tráfico normal. Por lo tanto, un administrador de red
podría tener que recurrir a otras herramientas para encontrar un problema.
314 31 días antes de su examen CCNA

Digamos que ha determinado que un problema está en la configuración de ACL. Los siguientes tres
pasos resumen un proceso estructurado de solución de problemas que puede utilizar para
localizar el problema:
Paso 1. Dado que las configuraciones de ACL no pueden causar un problema hasta que se aplican,
determine qué interfaces se ven afectadas por las ACL utilizando el comando show
run o show ip interfaces.
Paso 2. Verifique la configuración de la ACL mediante las funciones show access-lists, show ip access-
lists o
comando "show run".

Paso 3. Analice las ACL para determinar qué paquetes coinciden. Los comandos show access-lists
y show ip access-lists ayudan identificando el número de veces que los paquetes han
coincidido con una declaración.
Algunos errores comunes de configuración de ACL son los siguientes:

■ Las declaraciones de ACL están fuera de lugar.

■ Las direcciones y/o puertos de origen y destino se invierten.

■ El ACL se aplica en la dirección equivocada.

■ Los errores de sintaxis o de ortografía hacen que la ACL tenga un efecto erróneo o no tenga efecto.

■ Las ACL estándar se acercan al origen en lugar de al destino.

Consulte sus recursos de estudio para ver varios ejemplos excelentes de solución de
problemas para ACLs IPv4 e IPv6.

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Recursos Módulo o capítulo
Redes empresariales, seguridad y automatización 5
Guía oficial del CCNA 200-301, volumen 2 2
3
Guía del mando portátil 21
NAT

Temas del examen CCNA 200-301


■ Configurar y verificar el NAT de origen interno utilizando estática y pools

Temas clave
Para hacer frente al agotamiento de las direcciones IPv4, se han desarrollado varias soluciones a corto
plazo. Una solución a corto plazo es utilizar direcciones privadas y la traducción de direcciones de red
(NAT). La NAT permite que los hosts de la red interna tomen prestada una dirección IPv4 legítima
de Internet mientras acceden a los recursos de Internet. Cuando el tráfico solicitado regresa, la
dirección IPv4 legítima se reutiliza y está disponible para la siguiente solicitud de Internet por parte de
un host interno. Con el uso de NAT, los administradores de red sólo necesitan una o unas pocas
direcciones IPv4 para que el router las proporcione a los hosts, en lugar de una única dirección
IPv4 para cada cliente que se incorpore a la red. Aunque IPv6 resuelve en última instancia el problema
del agotamiento del espacio de direcciones IPv4 para el que se creó NAT, sigue siendo muy utilizado en
las estrategias actuales de implementación de redes. Hoy revisaremos los conceptos, la configuración
y la resolución de problemas de NAT.

Conceptos NAT
NAT, definido en el RFC 3022, tiene muchos usos. Su uso principal es conservar las direcciones IPv4
permitiendo a las redes utilizar direcciones IPv4 privadas. NAT traduce las direcciones internas no
enrutables y privadas en direcciones públicas enrutables. NAT también tiene la ventaja de ocultar las
direcciones IPv4 internas de las redes externas.
Un dispositivo con NAT suele operar en la frontera de una red stub. La Figura 8-1 muestra la topología
maestra utilizada durante la revisión de hoy. R2 es el router de frontera y es el dispositivo utilizado para
las configuraciones de ejemplo de hoy.
316 31 días antes de su examen CCNA

Figura 8-1 Topología NAT

Red corporativa de estupefacientes: Una sola salida al exterior Router de frontera con NAT

S0/1/0209.165.200.226/27 209.165.200.226/27
S0/0/0
10.1.1.2 /30 R2 ISP
S0/0/1
10.2.2.1 /30

Espacio de direcciones privadoEspacio de direcciones público

S0/0/0S0/0/1
10.1.1.1 /30DCEDCE10.2.2.2 /30

R3
Fa0/0Fa0/1 Fa0/1
192.168.10.1 192.168.11.1 /24R1 192.168.11.1 /
/24
24
192.168.11.0 /24
192.168.10.0 / 2 4
Fa0/1
Fa0/1
Fa0/1 192.168.11.0 /24

S1 S2
S
3
192.168.10.2 /24 Fa0/2 Fa0/2 192.168.11.2 /24 Fa0/2 192.168.30.2 /24

PC1 PC2 P
C
3
192.168.10.10 /24 192.168.11.10 /24 192.168.30.10 /24

En la terminología de NAT, la red interna es el conjunto de redes que están sujetas a la traducción
(cada red en la región sombreada en la Figura 8-1). La red exterior son todas las demás direcciones. La
Figura 8-2 muestra cómo referirse a las direcciones al configurar NAT:

■ Dirección local interior: Lo más probable es que sea una dirección privada. En la
figura, la dirección IPv4 192.168.10.10 asignada a PC1 es una dirección local
interna.

■ Dirección global interna: Una dirección pública válida que se le da al host interno cuando
sale del router NAT. Cuando el tráfico de PC1 está destinado al servidor web en 209.165.201.1,
R2
debe traducir la dirección local interna a una dirección global interna, que es 209.165.200.226 en
este caso.

■ Dirección global externa: Una dirección IPv4 alcanzable asignada a un host en Internet.
Por ejemplo, se puede acceder al servidor web en la dirección IPv4 209.165.201.1.

■ Dirección local externa: La dirección IPv4 local asignada a un host en la red exterior. En la
mayoría de las situaciones, esta dirección es idéntica a la dirección global exterior de ese
dispositivo exterior. (Las direcciones locales externas están fuera del alcance del CCNA).
Día 8 317

Figura 8-2 Terminología de NAT

Router con NAT


Grupo NAT: 209.165.200.226 - 230

SA 209.165.200.226
PC1
Red interior
R2 ISP
192.168.10.10

Tabla NAT
Dirección local interior
Dirección global interior
Dirección global exterior

Servidor web
192.168.10.10 209.165.200.226 209.165.201.1
209.165.201.1

Un ejemplo de
NAT
Refiriéndose a la Figura 8-1, los siguientes pasos ilustran el proceso de NAT cuando PC1 envía tráfico
a Internet:
Paso 1. PC1 envía un paquete destinado a Internet a R1, la puerta de enlace por defecto.

Paso 2. R1 reenvía el paquete a R2, según su tabla de enrutamiento.

Paso 3. R2 consulta su tabla de enrutamiento e identifica el siguiente salto como el router del ISP.
A continuación, comprueba si el paquete coincide con los criterios especificados para la
traducción. El R2 tiene una ACL que identifica la red interna como un host válido para la
traducción. Por lo tanto, traduce una dirección IPv4 local interna a una dirección IPv4
global interna, que, en este caso, es 209.165.200.226. Almacena este mapeo de la
dirección local a la dirección global en la tabla NAT.
Paso 4. R2 modifica el paquete con la nueva dirección IPv4 de origen (la dirección global
interna) y lo envía al router ISP.
Paso 5. El paquete llega finalmente a su destino, que envía su respuesta a la dirección global
interna 209.165.200.226.
Paso 6. Cuando R2 recibe las respuestas del destino, consulta la tabla NAT para hacer
coincidir la dirección global interna con la dirección local interna correcta. A
continuación, R2 modifica el paquete, insertando la dirección local interna
(192.168.10.10) como dirección de destino y enviándolo a R1.
Paso 7. R1 recibe el paquete y lo reenvía a PC1.
318 31 días antes de su examen CCNA

NAT dinámico y estático


Los dos tipos de traducción NAT son los siguientes:

■ NAT dinámica: Utiliza un pool de direcciones públicas y las asigna por orden de llegada o
reutiliza una dirección pública existente configurada en una interfaz. Cuando un host con una
dirección IPv4 privada solicita acceso a Internet, la NAT dinámica elige una dirección IPv4 del
pool que otro host no esté utilizando ya. En lugar de utilizar un pool, la NAT dinámica puede
configurarse para sobrecargar una dirección pública existente configurada en una interfaz.

■ NAT estático: Utiliza un mapeo uno a uno de las direcciones locales y globales. Estos mapeos
permanecen constantes. La NAT estática es especialmente útil para servidores web o hosts que
deben tener una dirección consistente y accesible desde Internet.

Sobrecarga de NAT
La sobrecarga de NAT (también llamada Traducción de Direcciones de Puerto [PAT]) mapea
múltiples direcciones IPv4 privadas a una única dirección IPv4 pública o a unas pocas direcciones.
Para ello, un número de puerto rastrea también cada dirección privada. Cuando se recibe una respuesta
del exterior, los números de puerto de origen determinan el cliente correcto para que el router NAT
traduzca los paquetes.
La Figura 8-3 y los siguientes pasos ilustran el proceso de sobrecarga de NAT:

Figura 8-3 Ejemplo de sobrecarga de NAT

Dentro de

PC1
4
En el exterior

SA DA 209.165.201.1
192.168.10.10:1555 209.165.201.1:80
1 2 SA DA R2 Internet
192.168.10.11:1331 209.165.202.129:80

PC2

209.165.202.129

Tabla NAT con sobrecarga


Dirección IP local interna Dirección IP global interior Dirección IP global interior Dirección IP global
interior
192.168.10.10:1555 209.165.200.226:1555 209.165.201.1:80 209.165.201.1:80
3 192.168.10.11:1331 209.165.200.226:1331 209.165.202.129:80 209.165.202.129:80

Paso 1. PC1 y PC2 envían paquetes con destino a Internet.

Paso 2. Cuando los paquetes llegan a R2, la sobrecarga de NAT cambia la dirección de origen a
la dirección IPv4 global interior y mantiene un registro de los números de puerto de
origen asignados (1555 y 1331, en este ejemplo) para identificar el cliente del que
proceden los paquetes.
Paso 3. R2 actualiza su tabla NAT. Observe los puertos asignados. A continuación, el R2
enruta los paquetes hacia Internet.
Día 8 319

Paso 4. Cuando el servidor web responde, R2 utiliza el puerto de origen de destino para traducir el
paquete al cliente correcto.
La sobrecarga de NAT intenta conservar el puerto de origen original. Sin embargo, si este puerto de
origen ya está utilizado, la sobrecarga de NAT asigna el primer número de puerto disponible,
empezando por el principio del grupo de puertos apropiado 0-511, 512-1023, o 1024-65535.

Beneficios del NAT


El uso de NAT ofrece las siguientes ventajas:

■ NAT conserva el espacio de direcciones IPv4 registrado porque, con la sobrecarga de NAT, los
hosts internos pueden compartir una única dirección IPv4 pública para todas las
comunicaciones externas.

■ NAT aumenta la flexibilidad de las conexiones a la red pública. Se pueden implementar


múltiples pools, pools de reserva y pools de equilibrio de carga para garantizar la fiabilidad de
las conexiones a la red pública.

■ NAT permite mantener el esquema existente mientras soporta un nuevo esquema de


direccionamiento público. Esto significa que una organización puede cambiar de ISP sin
necesidad de cambiar ninguno de sus clientes internos.

■ NAT proporciona una capa de seguridad en la red porque las redes privadas no anuncian sus
direcciones locales internas fuera de la organización. Sin embargo, la frase cortafuegos NAT es
engañosa; NAT no sustituye a los cortafuegos.

Limitaciones de la NAT
Las limitaciones del uso de NAT son las siguientes:

■ El rendimiento se degrada: NAT aumenta los retrasos en la conmutación porque la


traducción de cada dirección IPv4 en las cabeceras de los paquetes lleva tiempo.

■ La funcionalidad de extremo a extremo se degrada: Muchos protocolos y aplicaciones


de Internet dependen de la funcionalidad de extremo a extremo, con paquetes no
modificados reenviados desde el origen hasta el destino.

■ Se pierde la trazabilidad IP de extremo a extremo: El seguimiento de los paquetes que


sufren numerosos cambios de dirección de paquetes a través de múltiples saltos de NAT se
vuelve mucho más difícil, lo que dificulta la resolución de problemas.

■ La creación de túneles es más complicada: El uso de NAT también complica los


protocolos de túnel, como IPsec, porque NAT modifica los valores de las cabeceras que
interfieren con las comprobaciones de integridad que hacen IPsec y otros protocolos de
túnel.

■ Los servicios pueden ser interrumpidos: Los servicios que requieren el inicio de
conexiones TCP desde la red exterior, o los protocolos sin estado como los que utilizan UDP,
pueden verse interrumpidos.
Configuración de la NAT estática
La NAT estática es un mapeo uno a uno entre una dirección interna y una dirección externa. La NAT
estática permite que las conexiones iniciadas por dispositivos externos accedan a dispositivos internos.
Por ejemplo, se puede
320 31 días antes de su examen CCNA

desea asignar una dirección global interna a una dirección local interna específica que está
asignada a su servidor web interno. Los pasos y la sintaxis para configurar la NAT estática son los
siguientes:
Paso 1. Configurar la traducción estática de una dirección local interna a una dirección global interna:

Router(config)# ip nat inside source static local-ip global-ip

Paso 2. Especifique la interfaz interior:


Router(config)# tipo de interfaz

número Router(config-if)# ip nat

inside

Paso 3. Especifique la interfaz exterior:


Router(config)# tipo de interfaz

número Router(config-if)# ip nat

outside

La Figura 8-4 muestra un ejemplo de topología NAT estática.

Figura 8-4 Topología de NAT estática

S0/0/0 S0/1/0
10.1.1.2 209.165.200.226
Red interior Internet
R2

Servidor 209.165.201.30
192.168.10.254

El ejemplo 8-1 muestra la configuración de NAT estática.

Ejemplo 8-1 Configuración de NAT estática

R2(config)# ip nat inside source static 192.168.10.254 209.165.200.254


R2(config)# interfaz serial0/0/0
R2(config-if)# ip nat inside
R2(config-if)# interfaz serial
0/1/0 R2(config-if)# ip nat outside

Esta configuración mapea estáticamente la dirección IPv4 privada interna 192.168.10.254 a la


dirección IPv4 pública externa 209.165.200.254. Esto permite a los hosts externos acceder al servidor
web interno utilizando la dirección IPv4 pública 209.165.200.254.

Configurar el NAT dinámico


La NAT dinámica asigna direcciones IPv4 privadas a direcciones públicas extraídas de un pool de
NAT. Los pasos y la sintaxis para configurar la NAT dinámica son los siguientes:
Paso 1. Definir un pool de direcciones globales a asignar:
Router(config)# ip nat pool name start-ip end-ip {máscara de red | longitud de
prefijo
longitud del prefijo}
Día 8 321

Paso 2. Definir una lista de acceso estándar que permita las direcciones que se van a traducir:
Router(config)# access-list access-list-number source source-wildcard

Paso 3. Vincular el conjunto de direcciones a la lista de acceso:


Router(config)# ip nat inside source list access-list-number pool name

Paso 4. Especifique la interfaz interior:


Router(config)# tipo de interfaz

número Router(config-if)# ip nat

inside

Paso 5. Especifique la interfaz exterior:


Router(config)# tipo de interfaz

número Router(config-if)# ip nat

outside

La Figura 8-5 muestra un ejemplo de topología NAT dinámica.

Figura 8-5 Topología NAT dinámica

PC1

192.168.10.10

S0/0/0 S0/1/0
Red interior Internet
10.1.1.2 R2
209.165.200.226

PC2

192.168.11.10
El ejemplo 8-2 muestra la configuración del NAT dinámico.

Ejemplo 8-2 Configuración de NAT dinámica

R2(config)# ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask


255.255.255.224
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R2(config)# ip nat inside source list 1 pool NAT-POOL1
R2(config)# interface serial 0/0/0
R2(config-if)# ip nat inside
R2(config-if)# interfaz serial
s0/1/0 R2(config-if)# ip nat outside

Configuración de la sobrecarga de NAT


Comúnmente en las redes domésticas y en las pequeñas y medianas empresas, el ISP asigna sólo una
dirección IPv4 registrada al router. Por lo tanto, es necesario sobrecargar esa única dirección IPv4 para
que varios clientes internos puedan utilizarla simultáneamente.
322 31 días antes de su examen CCNA

La configuración es similar al uso de NAT dinámico, excepto que en lugar de utilizar un conjunto de
direcciones, se utiliza la palabra clave interfaz para identificar la dirección IPv4 exterior. La palabra
clave overload habilita PAT para que los números de puerto de origen sean rastreados durante la
traducción.
El ejemplo 8-3 muestra cómo el R2 de la Figura 8-5 está configurado para sobrecargar su
dirección IPv4 registrada en la interfaz serie.

Ejemplo 8-3 Configuración de NAT para sobrecargar una dirección de interfaz

R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255


R2(config)# ip nat inside source list 1 interface serial 0/1/0 overload
R2(config)# interfaz serial 0/0/0
R2(config-if)# ip nat inside
R2(config-if)# interfaz serial
s0/1/0 R2(config-if)# ip nat outside

También se puede sobrecargar un pool de direcciones NAT, lo que podría ser necesario en
organizaciones que potencialmente tienen muchos clientes que necesitan traducciones simultáneamente.
En el ejemplo 8-2, NAT está configurado con un grupo de 15 direcciones (209.165.200.226-
209.165.200.240). Si el R2 está traduciendo las 15 direcciones en un momento dado, los paquetes para
el 16º cliente se pondrán en cola para ser procesados y posiblemente se agotarán. Para evitar este
problema, añada la palabra clave overload (sobrecarga) al comando que vincula la lista de acceso
al pool de NAT, como se indica a continuación:
R2(config)# ip nat inside source list 1 pool NAT-POOL1 overload

Curiosamente, Cisco IOS utiliza la primera dirección IPv4 del pool hasta que se le acaban los números
de puerto disponibles. Entonces pasa a la siguiente dirección IPv4 del grupo.

Verificación de NAT
Suponga que las topologías de NAT estática y dinámica de las Figuras 6-4 y 6-5 están configuradas
en el R2, con el servidor interno traducido estáticamente a 209.165.200.254 y NAT-POOL1
configurado con la palabra clave overload. Además, suponga que dos clientes internos se han
conectado a un host externo. Puede utilizar el comando show ip nat translations para verificar las
traducciones actuales en la tabla NAT del R2, como muestra el Ejemplo 8-4.

Ejemplo 8-4 Verificación de las operaciones NAT con show ip nat translations

R2# show ip nat translations


Pro Inside globalInside localOutside local Outside global
--- 209.165.200.254192.168.10.254 ------
tcp 209.165.200.226:47392 192.168.10.10:47392 209.165.201.30:80 209.165.201.30:80
tcp 209.165.200.226:50243 192.168.11.10:50243 209.165.201.30:80 209.165.201.30:80

La entrada estática está siempre en la tabla. Actualmente, la tabla tiene dos entradas dinámicas. Observe
que ambos clientes internos recibieron la misma dirección global interna, pero los números de puerto de
origen son diferentes (47392 para PC1 y 50243 para PC2).
Día 8 323

El comando show ip nat statistics, mostrado en el Ejemplo 8-5, muestra información sobre el
número total de traducciones activas, los parámetros de configuración de NAT, el número de
direcciones en el pool y cuántas han sido asignadas.

Ejemplo 8-5 Verificación de las operaciones NAT con show ip nat statistics

R2# show ip nat statistics


Total de traducciones: 3 (1 estática, 2 dinámica, 2
extendida) Interfaces externas: Serial0/1/0
Interfaces interiores: FastEthernet0/0 , Serial0/0/0 ,
Serial0/0/1 Aciertos: 29 Fallos: 7
Traducciones caducadas: 5
Asignaciones dinámicas:
-- Inside Source
access-list 1 pool NAT-POOL1 refCount 2
pool NAT-POOL1: netmask 255.255.255.224
inicio 209.165.200.226 fin 209.165.200.240
tipo genérico, total de direcciones 3 , asignadas 1 (7%), fallas 0

Alternativamente, utilice el comando show run y busque los comandos relacionados con NAT,
lista de comandos de acceso, interfaz o pool con los valores requeridos. Examina
cuidadosamente la salida de estos comandos para descubrir cualquier error.
A veces es útil borrar las entradas dinámicas antes de lo establecido. Esto es especialmente cierto
cuando se prueba la configuración de NAT. Para borrar las entradas dinámicas antes de que el tiempo
de espera haya expirado, utilice el comando EXEC privilegiado clear ip nat translation *.

Solución de problemas de NAT


Cuando se tienen problemas de conectividad IP en un entorno NAT, determinar la causa del
problema suele ser difícil. El primer paso para resolver el problema es descartar que la causa sea NAT.
Siga estos pasos para verificar que NAT funciona como se espera:
Paso 1. Basándose en la configuración, defina claramente lo que se supone que debe conseguir
NAT. Esto podría revelar un problema con la configuración.
Paso 2. Verifique que existen traducciones correctas en la tabla de traducción utilizando el
comando show ip nat translations.
Paso 3. Utiliza los comandos clear y debug para verificar que el NAT funciona como se espera.
Comprueba si las entradas dinámicas se vuelven a crear después de ser borradas.

Paso 4. Revisa en detalle lo que ocurre con el paquete y verifica que los routers tienen la
información de enrutamiento correcta para reenviar el paquete.
Utilice el comando debug ip nat para verificar el funcionamiento de la función NAT
mostrando información sobre cada paquete que el router traduce, como en el Ejemplo 8-6.
324 31 días antes de su examen CCNA

Ejemplo 8-6 Solución de problemas de NAT con debug ip nat

R2# debug ip nat


La depuración de IP
NAT está activada R2#
NAT: s=192.168.10.10->209.165.200.226, d=209.165.201.30[8]
NAT*: s=209.165.201.30, d=209.165.200.226->192.168.10.10[8]
NAT: s=192.168.10.10->209.165.200.226, d=209.165.201.30[8]
NAT: s=192.168.10.10->209.165.200.226, d=209.165.201.30[8]
NAT*: s=209.165.201.30, d=209.165.200.226-
>192.168.10.10[8] NAT*: s=209. 165.201.30,
d=209. 1 6 5 . 2 0 0 . 2 2 6 - > 1 9 2 .168.10.10[8] NAT:
s=192.168.10.10->209.165.200.226, d=209.165.201.30[8] NAT:
s=192.168.10.10->209.165.200.226, d=209.165.201.30[8] NAT*:
s=209.1 6 5 .201.30, d=209.165.200.226->192.168.10.10[8]
NAT*: s=209.165.201.30, d=209.165.200.226->192.168.10.10[8]
NAT: s=192. 168.10.10->209.165.200.226,
d=209.1 6 5 .201.30[8]
R2#

Puedes ver que el host interno 192.168.10.10 inició el tráfico hacia el host externo
209.165.201.30 y ha sido traducido a la dirección 209.165.200.226.
Al decodificar la salida de depuración, observe lo que indican los siguientes símbolos y valores:

■ *: El asterisco junto a NAT indica que la traducción se produce en la ruta de conmutación


rápida. El primer paquete de una conversación siempre se conmuta por proceso, que es más
lento. Los paquetes restantes pasan por la ruta de conmutación rápida si existe una entrada
en la caché.

■ s=: Se refiere a la dirección IPv4 de origen.

■ a.b.c.d->w.x.y.z: Esto indica que la dirección de origen a.b.c.d se traduce en w.x.y.z.

■ d=: Se refiere a la dirección IPv4 de destino.

■ [xxxx]: El valor entre paréntesis es el número de identificación de la IP. Esta información puede
ser útil para la depuración porque permite la correlación con otras trazas de paquetes de los
analizadores de protocolos.

Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para
estudiar más.
Recursos Módulo o
capítulo
Redes empresariales, seguridad y automatización 6
Guía oficial del CCNA 200-301, volumen 2 10
Guía del mando portátil 18
WAN, VPN e IPsec

Temas del examen CCNA 200-301


■ Describir las características de las arquitecturas de topología de red

■ Describir el acceso remoto y las VPN de sitio a sitio

Temas clave
Hoy es un repaso relámpago de las topologías WAN, las opciones de conexión WAN, las redes privadas
virtuales (VPN) y la seguridad del protocolo de Internet (IPsec). La mayoría de estos temas del examen
son de naturaleza conceptual y no requieren conocimientos de configuración, así que lee este repaso
varias veces y consulta tus recursos de estudio para profundizar en ellos.

Topologías WAN
La Figura 7-1 muestra las cuatro opciones básicas de topología WAN que una empresa puede
seleccionar para su infraestructura WAN:

■ Punto a punto: Normalmente utiliza una conexión de línea alquilada dedicada, como T1/E1.

■ Hub-and-spoke: Ofrece una topología de punto a multipunto con un único hogar en la


que una única interfaz en el router hub puede compartirse con varios routers spoke
mediante el uso de interfaces virtuales.

■ Malla completa: Da a cada router una conexión con cada uno de los otros routers. Requiere
un gran número de interfaces virtuales.

■ Doblemente conectado: Proporciona redundancia para una topología de concentrador y


radios de un solo hogar al proporcionar un segundo concentrador para conectarse a los routers
de radios.
Una empresa puede optar por implementar una variedad de estas topologías. Por ejemplo, una
empresa puede optar por implementar una topología de malla completa entre sus sedes regionales.
También puede utilizar una topología hub-and-spoke entre las sedes regionales y las sucursales. Si
dos de las sucursales
oficinas se comunican con frecuencia, los administradores de la red podrían contratar un enlace punto a
punto para reducir la carga de tráfico en los routers centrales. El uso de conexiones duales a Internet
garantiza que los clientes, socios y teletrabajadores puedan acceder siempre a los recursos de la
empresa.
326 31 días antes de su examen CCNA

Figura 7-1 Opciones de topología de la WAN

Radio A

Sitio A Sitio B Hub Radio B

Punto a punto
Cubo y radio
Radio C

Sitio B

Radio A

Sitio A Sitio C Radio B

Cubos

Radio C
Sitio D

Malla completaDoble techo

Opciones de conexión a la WAN


Actualmente existen muchas opciones para implementar soluciones WAN. Difieren en tecnología,
velocidad y coste. La Figura 7-2 ofrece una vista de alto nivel de las distintas opciones de conexión de
enlaces WAN. Las siguientes subsecciones describen estas opciones con más detalle.
Día 7 327

Figura 7-2 Opciones de conexión del enlace WAN

WAN

Privado Pub lic

Dedicado ated Inter red


Conmutado

Conmutador Circ
uit- ched Pac Switc ket- hed
Líneas alquiladas VPN de banda ancha

Metro Ethernet Frame Relay x.25


DSL
RTC RDSI ATM
Cable inalámbrico

Opciones de conexión dedicadas


También llamadas líneas alquiladas, las conexiones dedicadas son conexiones WAN punto a punto
preestablecidas desde las instalaciones del cliente a través de la red del proveedor hasta un destino
remoto (véase la figura 7-3).

Figura 7-3 Líneas alquiladas

La norma en Estados Unidos La norma en Europa

DSU/CSU T3 E3 DSU/CSU
Red de proveedores de servicios

Oficina de Nueva York Oficina de Londres


328 31 días antes de su examen CCNA

Las líneas alquiladas suelen ser más caras que los servicios conmutados debido al coste dedicado y
permanente de proporcionar el servicio WAN al cliente. La capacidad dedicada elimina la latencia y el
jitter y proporciona una capa de seguridad porque sólo se permite el tráfico del cliente en el enlace. La
Tabla 7-1 enumera los tipos de líneas alquiladas disponibles y sus capacidades de tasa de bits.

Tabla 7-1 Tipos de líneas alquiladas y capacidades


Tipo de línea Capacidad de Tipo de Capacidad de
velocidad de bits línea velocidad de bits
56k 56 kbps OC-9 466,56 Mbps
64k 64 kbps OC-12 622,08 Mbps
T1 1,544 Mbps OC-18 933,12 Mbps
E1 2,048 Mbps OC-24 1244,16 Mbps
J1 2,048 Mbps OC-36 1866,24 Mbps
E3 34,064 Mbps OC-48 2488,32 Mbps
T3 44,736 Mbps OC-96 4976,64 Mbps
OC-1 51,84 Mbps OC-192 9953,28 Mbps
OC-3 155,54 Mbps OC-768 39.813,12 Mbps

Opciones de conexión con conmutación de circuitos


Los dos tipos principales de conexiones de conmutación de circuitos son la marcación analógica y la
RDSI. Ambas tecnologías tienen bases de implantación limitadas en las redes actuales. Sin embargo,
ambas se siguen utilizando en zonas rurales remotas y en otras zonas del planeta donde aún no se
dispone de tecnologías más recientes.
El acceso telefónico analógico utiliza módems con conexiones de muy baja velocidad que pueden
ser adecuadas para el intercambio de cifras de ventas, precios, informes rutinarios y correo electrónico,
o como enlace de reserva en caso de emergencia.
La RDSI convierte el bucle local en una conexión digital TDM, lo que le permite transportar señales
digitales que dan lugar a conexiones conmutadas de mayor capacidad que las disponibles con los
módems analógicos. Existen dos tipos de interfaces RDSI:

■ Interfaz de velocidad básica (BRI): Proporciona dos canales B de 64 kbps para la


transferencia de voz o datos y un canal D de 16 kbps para la señalización de control.

■ Interfaz de velocidad primaria (PRI): Proporciona 23 canales B con 64 kbps y 1 canal D


con 64 kbps en Norteamérica, para una velocidad binaria total de hasta 1,544 Mbps. En Europa se
utilizan 30 canales B y 1 canal D, para una velocidad binaria total de hasta 2,048 Mbps.
La Figura 7-4 ilustra las distintas diferencias entre las líneas RDSI BRI y PRI.
Día 7 329

Figura 7-4 Infraestructura de red RDSI y capacidad de las líneas PRI/BRI

RDSI

Adaptador de terminal
RDSI (TA)

64 kbps
2B64
kbps
144 kbps
D16
kbps 6x

23B (T1) o
64 kbps T1 1,544 Mbps
30B (E1)
cada o
D uno E1 2.048 Mbps
(Incluye la
64 kbps sincronización)

Opciones de conexión por conmutación de paquetes


Las tecnologías de conmutación de paquetes más utilizadas en las WAN empresariales actuales son
Metro Ethernet y MPLS. Las tecnologías heredadas son X.25 y ATM.

NOTA: Frame Relay es también una tecnología de conmutación de paquetes que todavía
tiene cierta cuota de mercado. Sin embargo, el examen CCNA ya no la cubre.

Metro Ethernet
Metro Ethernet (MetroE) utiliza conmutadores Ethernet compatibles con IP en la nube de red del
proveedor de servicios para ofrecer a las empresas servicios convergentes de voz, datos y vídeo a
velocidades de Ethernet. Considere algunas ventajas de Metro Ethernet:

■ Reducción de gastos y administración: Permite a las empresas conectar de forma


económica numerosas sedes de un área metropolitana entre sí y con Internet sin necesidad
de realizar costosas conversiones a ATM o Frame Relay

■ Fácil integración con las redes existentes: Se conecta fácilmente a las redes LAN Ethernet
existentes

■ Mejora de la productividad empresarial: Permite a las empresas aprovechar las


aplicaciones IP que mejoran la productividad y que son difíciles de implementar en las redes
TDM o Frame Relay, como las comunicaciones IP alojadas, la VoIP y la transmisión de vídeo.
330 31 días antes de su examen CCNA

MPLS
La conmutación de etiquetas multiprotocolo (MPLS) tiene las siguientes características:

■ Multiprotocolo: MPLS puede transportar cualquier carga útil, incluyendo tráfico IPv4, IPv6,
Ethernet, ATM, DSL y Frame Relay.

■ Etiquetas: MPLS utiliza etiquetas dentro de la red del proveedor de servicios para
identificar rutas entre routers distantes en lugar de entre puntos finales.

■ Conmutación: MPLS enruta los paquetes IPv4 e IPv6, pero todo lo demás se conmuta.

Como muestra la Figura 7-5, MPLS es compatible con una amplia gama de tecnologías WAN,
incluidas las líneas alquiladas en serie, Metro Ethernet, ATM, Frame Relay y DSL (no se muestra).

Figura 7-5 Opciones populares de conexión MPLS


Enlaces de acceso
10.1.1.0/24 10.1.2.0/24

Serie
(TDM)
CE1 PE1 PE3 CE2
Frame Relay
MPLS:
Detalles ocultos

Metro Ethernet

ATM
CE4 PE2 PE4 CE3

10.1.4.0/24 10.1.3.0/24
Enlaces de acceso

En la Figura 7-5, CE se refiere a los routers de borde del cliente. PE son los routers de borde del
proveedor que añaden y eliminan etiquetas.

NOTA: MPLS es principalmente una tecnología WAN para proveedores de servicios.

Opciones de conexión a Internet


Las opciones de conexión de banda ancha suelen utilizarse para conectar a los empleados que trabajan a
distancia con
un sitio corporativo a través de Internet. Estas opciones incluyen la línea de abonado digital (DSL), el
cable y la conexión inalámbrica.

DSL
La tecnología DSL, mostrada en la Figura 7-6, es una tecnología de conexión permanente que
utiliza las líneas telefónicas de par trenzado existentes para transportar datos de gran ancho de
banda y proporciona servicios IP a los abonados.
Día 7 331

Figura 7-6 Conexión DSL del teletrabajador

Teletrabajad
or
Sede de la
empresa

Proveedor de
servicios
Proveedor de
WAN
servicios
DSL
Ethernet Internet

Router
Módem DSL
DSLAM
Punto de presencia (POP)

Las tecnologías DSL actuales utilizan sofisticadas técnicas de codificación y modulación para
alcanzar velocidades de datos de hasta 8,192 Mbps. Existen varios tipos de DSL, estándares y
tecnologías emergentes. DSL es
una opción popular para que los departamentos de TI de las empresas apoyen a los trabajadores a domicilio.

Módem por cable


El cable módem ofrece una conexión permanente y una instalación sencilla. La figura 7-7 muestra
cómo un abonado conecta un ordenador o un router LAN al cablemódem, que traduce las señales
digitales en las frecuencias de banda ancha utilizadas para transmitir en una red de televisión por
cable.

Figura 7-7 Conexión del módem por cable del teletrabajador

Teletrabajador
Sede de la empresa

Proveedor de servicios WAN

Proveedor de servicios de cable


Internet
RouterMódem de cableCabecera de cable
332 31 días antes de su examen CCNA

Inalámbrico
En el pasado, la principal limitación del acceso inalámbrico era la necesidad de estar dentro del alcance
de un router inalámbrico o de un módem inalámbrico con conexión por cable a Internet; sin
embargo, las siguientes tecnologías inalámbricas permiten a los usuarios conectarse a Internet
desde casi cualquier lugar:

■ Wi-Fi municipal: Muchas ciudades han empezado a crear redes inalámbricas municipales.
Algunas de estas redes proporcionan acceso a Internet de alta velocidad de forma gratuita o
por un precio sustancialmente inferior al de otros servicios de banda ancha.

■ WiMAX: Worldwide Interoperability for Microwave Access (WiMAX) es una tecnología IEEE
802.16 que está empezando a utilizarse. Ofrece un servicio de banda ancha de alta velocidad con
acceso inalámbrico y proporciona una amplia cobertura similar a la de una red de telefonía
móvil en lugar de a través de pequeños puntos de acceso Wi-Fi.

■ Internet por satélite: Esta tecnología se suele utilizar en zonas rurales donde el cable y el DSL
no están disponibles.

■ Servicio celular: El servicio celular es una opción para conectar a los usuarios y a las
ubicaciones remotas donde no hay otra tecnología de acceso WAN disponible. Los métodos de
acceso celular más habituales son el acceso celular 3G/4G (tercera y cuarta generación) y el
acceso celular Long-Term Evolution (LTE).

Elección de una opción de enlace WAN


La tabla 7-2 compara las ventajas y desventajas de las distintas opciones de conexión WAN revisadas.

Tabla Elección de una conexión de enlace


7-2 WAN
Opció Desventajas Ejemplos de
n DescripciónVentajas protocolos
Línea Conexión Caro PPP, HDLC, SDLC
alquilada punto a puntoMayor
seguridad
entre dos LANs.
Circuito Trayectoria Configuración de PPP, RDSI
del circuito la llamada

dedicadaAspecto económico
Conmut creado entre los puntos finales.
ación
El mejor ejemplo es la conexión telefónica
conexiones.
Paquete Dispositivos de transporte de paquetes Alta Medios Frame Relay,
eficiencia compartidos entre MetroE
Conmut a través de un único punto compartido para el enlace
ación uso del ancho de banda
punto o punto a multipunto
enlace a través de un portador de Internet-
trabajo.Paquetes de longitud variable
se transmiten a través de PVCs
o VPC.
Internet Paquete sin Menos seguro DSL, módem por
conexiónMenos costoso, cable,
conmutación a través de Internet disponible en inalámbrico
todo el mundo
como la infr