31 Days Before Your CCNA 200-301 Exam (Bigseekers - Com) ES

De la Biblioteca de javad mokhtari
Calendario de la cuenta
atrás de CCNA
Las líneas que siguen al número de la cuenta atrás le permiten añadir los días reales del
calendario como referencia.
31 30 29 28
Red Ethernet Cambia IPv4
Modelos, dispositivos, Conmutación Configuración Dirigiéndose a
y componentes Básico
24 23 22 21
EtherChannel DHCP y Concept WLAN
y HSRP DNS os Configuración
inalámbr
icos
17 16 15 14
La tabla de Enrutamie Ruta estática y OSPF
enrutamien nto entre por defecto Operación
to VLANs
Configuración
10 9 8 7
Conceptos de ACL ACL NAT WAN, VPN y
Aplicación IPsec
3 2 1 EXAME
N
Nube, SDA y Cisco Automatización Tiempo
virtualización, DNA Center de la red
y SDN
Ubicación

27 26 25
IPv6 VLAN y STP
Dirigiéndose a Troncales
Conceptos y
Configuración
20 19 18
Seguridad LAN Enrutamiento básico Router básico
y el dispositivo Conceptos Configuración
Endurecimient
o
13 12 11
Área única Ajuste fino y Red
OSPF Solución de Concept
Aplicación problemas de os de
OSPF segurida
d
6 5 4
QoS CDP y LLDP Monitoriz
ación de
dispositivos
,
La gestión,
y mantenimiento
DÍA

27 26 25
IPv6 VLAN y STP
Dirigiéndose a Troncales
Conceptos y
Configuración
20 19 18
Seguridad LAN Enrutamiento básico Router básico
y el dispositivo Conceptos Configuración
Endurecimient
o
13 12 11
Área única Ajuste fino y Red
OSPF Solución de Concept
Aplicación problemas de os de
OSPF segurida
d
6 5 4
QoS CDP y LLDP Monitoriz
ación de
dispositivos
,
La gestión,
y mantenimiento
DÍA

31 días antes de su
Examen CCNA
Guía de repaso día a día para el

examen de certificación CCNA
200-301
Allan Johnson
Cisco Press- 221 River Street - Hoboken, NJ 07030 USA

ii 31 días antes de su examen CCNA
31 días antes de su examen CCNA

Allan Johnson
Copyright © 2020 Cisco Systems, Inc.
Publicado por:
Cisco Press
221 River Street
Hoboken, NJ 07030 USA
Todos los derechos reservados. Esta publicación está protegida por los derechos de autor y debe obtenerse el
permiso del editor antes de cualquier reproducción prohibida, almacenamiento en un sistema de recuperación
o transmisión en cualquier forma o por cualquier medio, ya sea electrónico, mecánico, de fotocopia, de
grabación o similar. Para obtener información sobre los permisos, los formularios de solicitud y los contactos
adecuados dentro del Departamento de Derechos y Permisos Globales de Pearson Education, visite
www.pearson.com/permissions.
No se asume ninguna responsabilidad de patente con respecto al uso de la información aquí contenida.
Aunque se han tomado todas las precauciones en la preparación de este libro, el editor y el autor no
asumen ninguna responsabilidad por errores u omisiones. Tampoco se asume ninguna responsabilidad por
los daños resultantes del uso de la información aquí contenida.
ScoutAutomatedPrintCode
Número de control de la Biblioteca del Congreso:
2019919835 ISBN-13: 978-0-13-596408-8
ISBN-10: 0-13-596408-3
Advertencia y descargo de responsabilidad

Este libro está diseñado para proporcionar información sobre los temas del examen para la
certificación Cisco Certified Networking Associate (CCNA). Se ha hecho todo lo posible para que este
libro sea lo más completo y preciso posible, pero no se ofrece ninguna garantía ni adecuación.
Los autores, Cisco Press y Cisco Systems, Inc. no tendrán ninguna responsabilidad ante ninguna persona o
entidad con respecto a cualquier pérdida o daño derivado de la información contenida en este libro o del
uso de los discos o programas que lo acompañan.
Las opiniones expresadas en este libro pertenecen al autor y no son necesariamente las de Cisco
Systems, Inc.
Microsoft y/o sus respectivos proveedores no garantizan la idoneidad de la información contenida en los
documentos y gráficos relacionados publicados como parte de los servicios para ningún propósito. Todos
estos documentos y gráficos relacionados se proporcionan "tal cual", sin garantía de ningún tipo. Microsoft
y/o sus respectivos proveedores renuncian por la presente a todas las garantías y condiciones con
respecto a esta información,
incluyendo todas las garantías y condiciones de comercialización, ya sean expresas, implícitas o legales, de
idoneidad para un fin determinado, de titularidad y de no infracción. En ningún caso Microsoft y/o sus
respectivos proveedores serán responsables de ningún daño especial, indirecto o consecuente, ni de ningún
daño resultante de la pérdida de uso, datos o beneficios, ya sea en una acción contractual, negligencia u otra
acción torticera, que surja de o en relación con el uso o rendimiento de la información disponible en los
servicios.
Los documentos y los gráficos relacionados contenidos en este documento podrían incluir inexactitudes
técnicas o errores tipográficos. Periódicamente se introducen cambios en la información contenida en este
documento. Microsoft y/o sus respectivos proveedores pueden realizar mejoras y/o cambios en los
productos y/o programas aquí descritos en cualquier momento. Las capturas de pantalla parciales pueden
verse en su totalidad dentro de la versión de software especificada.
Reconocimiento de marcas
Todos los términos mencionados en este libro que se conocen como marcas comerciales o de servicio han
sido debidamente capitalizados. Cisco Press o Cisco Systems, Inc. no pueden dar fe de la exactitud de esta
información. El uso de un término en este libro no debe considerarse que afecte a la validez de ninguna
marca comercial o de servicio.
iii
Microsoft® Windows® y Microsoft Office® son marcas registradas de Microsoft Corporation en EE.UU.
y otros países.
Ventas especiales
Para obtener información sobre la compra de este título en grandes cantidades, o para oportunidades de
ventas especiales (que pueden incluir versiones electrónicas; diseños de cubierta personalizados; y
contenidos particulares para su negocio, objetivos de formación, enfoque de marketing o intereses de
marca), póngase en contacto con nuestro departamento de ventas corporativas en
corpsales@pearsoned.com o (800) 382-3419.
Para consultas sobre ventas al gobierno, póngase en contacto con
governmentsales@pearsoned.com. Para preguntas sobre ventas fuera de Estados
Unidos, póngase en contacto con intlcs@pearson.com.
Información de retorno
En Cisco Press, nuestro objetivo es crear libros técnicos en profundidad de la más alta calidad y valor.
Cada libro se elabora con cuidado y precisión, sometiéndose a un riguroso desarrollo en el que
intervienen los conocimientos únicos de los miembros de la comunidad técnica profesional.
Los comentarios de los lectores son una continuación natural de este proceso. Si tiene algún comentario
sobre cómo podemos mejorar la calidad de este libro o modificarlo para que se adapte mejor a sus
necesidades, puede ponerse en contacto con nosotros a través del correo electrónico
feedback@ciscopress.com. Por favor, asegúrese de incluir el título del libro y el ISBN en su mensaje.
Apreciamos mucho su ayuda.
Redactor jefeMark Taub
Jefe de línea de producciónBrett Bartow
Director de Alianzas, Cisco PressArezou Gol
Editor principalJames Manly
Redactora jefeSandra Schroeder
Editor de desarrolloChris Cleveland
Editor del proyectoMandie Frank
EditoraKitty Wilson
Editor técnicoSteve Stiles
Asistente de redacciónCindy Teeters
DiseñadorChuti Prasertsith
ComposicióncódigoMantra
IndexadorCheryl Ann Lenser
CorrectorCharlotte Kughen
Sede de las Américas

Cisco Systems, Inc. Sede de Asia-Pacífico Cisco Sede de Europa
Systems (USA) Pte. Ltd. Cisco Systems International BV Amsterdam,
San José, CA
Singapur Países Bajos
Cisco tiene más de 200 oficinas en todo el mundo. Las direcciones, los números de teléfono y los números de fax se encuentran en el sitio web de Cisco en
www.cisco.com/go/offices.
Cisco y el logotipo de Cisco son marcas comerciales o marcas registradas de Cisco y/o sus filiales en Estados Unidos y otros países. Para ver una lista de las
marcas comerciales de Cisco, vaya a esta URL: www.cisco.com/go/trademarks. Las marcas comerciales de terceros mencionadas son propiedad de sus
respectivos dueños. El uso de la palabra socio no
no implica una relación de asociación entre Cisco y cualquier otra empresa. (1110R)
iv 31 días antes de su examen CCNA
Sobre el autor
Allan Johnson entró en el mundo académico en 1999, después de 10 años como empresario/operador
para dedicar sus esfuerzos a su pasión por la enseñanza. Tiene un MBA y un MEd en formación y
desarrollo laboral. Ha impartido diversos cursos de tecnología a estudiantes de secundaria y es instructor
adjunto en el Del Mar College de Corpus Christi, Texas. Desde 2006, Allan ha trabajado a tiempo
completo para Cisco Networking Academy en varias funciones. En la actualidad, se dedica a dirigir el
plan de estudios.
Acerca del revisor técnico

Steve Stiles es un instructor de la Academia de Redes de Cisco desde hace 20 años para
Rhodes State College y un entrenador instructor certificado de Cisco, habiendo obtenido las
certificaciones Cisco CCNA Security, CCNA CyberOps y CCNP, así como numerosas
certificaciones de CompTIA. Recibió el premio al Profesor Destacado del Año 2012 por la
Asociación de Colegios de Dos Años de Ohio y
co-receptor de la Facultad Sobresaliente del Año en Rhodes State College. Steve es licenciado por
Western Governors en Tecnología de la Información-Seguridad.
v
Dedicatorias
Para mi esposa, Becky. Gracias por todo tu apoyo durante este loco torbellino de año. Eres la
fuerza estabilizadora que me mantiene con los pies en la tierra.
vi 31 días antes de su examen CCNA
Agradecimientos
Como autor técnico, confío mucho en mi editor técnico; Steve Stiles me cubrió las espaldas para este
trabajo. Afortunadamente, cuando James Manly se puso en contacto con él, estaba dispuesto y era capaz
de realizar el arduo trabajo de revisión necesario para asegurarse de que se obtiene un libro
técnicamente preciso y sin ambigüedades.
La Guía Oficial del CCNA 200-301 de Wendell Odom, Volumen 1 y Volumen 2, fueron dos de
mis principales fuentes. Estos dos libros tienen la amplitud y la profundidad necesarias para dominar
los temas del examen CCNA.
Los autores de la Academia de Redes de Cisco para el plan de estudios en línea y la serie de
Guías de acompañamiento llevan al lector a profundizar, más allá de los temas del examen CCNA,
con el objetivo final de preparar al estudiante no sólo para la certificación CCNA, sino para la
tecnología de nivel universitario más avanzado
cursos y títulos también. Gracias especialmente a Rick Graziani, Bob Vachon, John Pickard, Dave
Holzinger, Jane Gibbons, Martin Benson, Suk-Yi Pennock, Allan Reid, Jane Brooke, Anna Bolen,
Telethia Willis y el resto del equipo de ACE. Su excelente tratamiento del material se refleja en todo el
libro.
James Manly, redactor jefe, ha asumido con eficacia el manto de hacer malabarismos con múltiples
proyectos simultáneamente, dirigiendo cada uno de ellos de principio a fin. Este es mi tercer proyecto
con James, y está llenando competentemente unos zapatos muy grandes. Gracias, James, por guiar este
proyecto por mí.
Gracias a la revisión profesional y minuciosa de este trabajo por parte del editor de desarrollo
Christopher Cleveland, la editora de proyectos Mandie Frank y la editora de textos Kitty Wilson. He
trabajado con los estelares Chris y Mandie en muchos proyectos anteriores. Sus esfuerzos combinados
garantizan que lo que escribí esté listo para su publicación. Es la primera vez que trabajo con Kitty. Su
atención a la claridad de lo que se lee contribuye en gran medida a que esta sea la mejor edición
hasta la fecha.
Y al resto de la familia Pearson, que contribuye de innumerables maneras a llevar un libro al
lector, gracias por todo su trabajo.
vii
Créditos
Figura 23-10 Captura de pantalla de Windows 10 © Microsft 2019
Figura 23-11 Captura de pantalla reimpresa con permiso de Apple

Inc. Figura 23-12 Captura de pantalla de Linux Ubuntu © Ubuntu
2019
PostExamMatthew Moran, Building Your I.T. Career: A Complete Toolkit for a Dynamic Career in Any
Economy, 2nd Edition (Pearson IT Certification, 2013, ISBN: 9780789749437)
viii 31 días antes de su examen CCNA
Un vistazo al contenido
Introducciónxxviii
Día 31: Modelos, dispositivos y componentes de red1
Día 30: Conmutación Ethernet29
Día 29: Fundamentos de la configuración de los conmutadores41
Día 28: Direccionamiento IPv455
Día 27: Direccionamiento IPv665
Día 26: Conceptos y configuraciones de VLAN y Trunking83
Día 25: STP99
Día 24: EtherChannel y HSRP113
Día 23: DHCP y DNS127
Día 22: Conceptos inalámbricos149
Día 21: Configuración de la WLAN163
Día 20: Seguridad de la LAN y endurecimiento de los dispositivos173
Día 19: Conceptos básicos de enrutamiento195
Día 18: Configuración básica del router209
Día 17: La tabla de rutas227
Día 16: Enrutamiento entre VLANs233
Día 15: Configuración de rutas estáticas y por defecto241
Día 14: Funcionamiento de OSPF255
Día 13: Implementación de OSPF de área única265
Día 12: Ajuste fino y solución de problemas de OSPF275
Día 11: Conceptos de seguridad en la red285

Resumen del contenido ix
Día 10: Conceptos de ACL295
Día 9: Implementación de ACL301
Día 8: NAT315
Día 7: WAN, VPN e IPsec325
Día 6: QoS343
Día 5: CDP y LLDP351
Día 4: Supervisión, gestión y mantenimiento de los

dispositivos361
Día 3: Nube, virtualización y SDN379
Día 2: SDA y Cisco DNA Center389
Día 1: Automatización de la red397
Día del examen407
Información posterior al examen409
Índice411
x 31 días antes de su examen CCNA
Contenido
Introducción xxviii
Día 31: Modelos, dispositivos y componentes de red 1

Temas del examen CCNA 200-301 1
Puntos clave 1
LosmodelosOSIyTCP/IP1
CapasOSI2
Capas y protocolos TCP/IP 3
Unidades de datos de protocolo y
encapsulación4 Lacapa deaplicaciónTCP/IP5

La capa de transporte TCP/IP 5
Cabecera TCP 6
Números de puerto 7
Recuperación de errores 7
Control de flujo 8
Establecimiento y terminación de la conexión9
UDP9
La capa de Internet TCP/IP 10

Lacapa deacceso a laredTCP/IP10
Resumen de la encapsulación de
datos12 Iconos dered13
Dispositivos 13
Interruptores 14
Conmutadores de la capa de
acceso14 Conmutadores de la
capa de distribución 14
Conmutadores dela capacentral14
Routers 15
Dispositivos especiales 16
Cortafuegos16
IDSeIPS17
Cortafuegos de nueva generación 17
Puntos de acceso y controladores de LAN inalámbrica 18
Capa física 20
Formasynormas de medios dered20
Directrices deconexión dedispositivosLAN22

Redes LAN y WAN 23
Índice xi
Pequeña oficina/oficina en casa

(SOHO)23 RoutersSOHO24
Topologíasfísicasylógicas24 Diseños
de campus jerárquicos25 Recursos
deestudio27
Día 30: Conmutación Ethernet 29

Temas clave 29
Evolucióna laconmutación29
Lógica de conmutación30
Dominios de colisión y difusión 31
Reenvío de tramas 31
Métodos de reenvío de conmutación 31
Conmutaciónsimétricayasimétrica32
Buffering dememoria32
Conmutación de capa 2 y capa 3 32
Visión general de Ethernet 32

Tecnologías Ethernet heredadas 33
CSMA/CD 34
Resumen
delaEthernetheredada35
TecnologíasEthernetactuales35
Cableado UTP 36
Ventajas del uso de
conmutadores37
DireccionamientoEthernet37
Encuadre Ethernet 38
Elpapelde la capa física 39 Recursos
deestudio40
Día 29: Fundamentos de la configuración de los conmutadores 41

Temas clave 41
Accesoynavegación porelIOS de Cisco41
Conexiónalos dispositivosde Cisco41
Sesiones CLI EXEC42 Uso
delaAyuda42
xii 31 días antes de su examen CCNA
Navegación en la CLIyaccesos directosde

edición43 Historial decomandos44
Comandos de examen del IOS44 Modos
desubconfiguración45
Comandosbásicosde configuracióndel
conmutador45 Dúplexmedio,dúplex
completoyvelocidad de los puertos47
Cruceautomáticointerfacesdependientes del medio(auto-MDIX)47
Verificación dela conectividad dela red48

Solucionar problemas de interfaz y de cables 50
Cuestiones relativas a los medios de comunicación 51
Estado de la interfaz yconfiguración del
conmutador51 Códigos deestado dela
interfaz51
Dúplex y desajustes de velocidad 52
Problemascomunes de la capa
1eninterfaces"ascendentes" 53 Recursos deestudio54
Día 28: Direccionamiento IPv4 55

Temas clave 55
Direccionamiento IPv4 55
Formato dela
cabecera55
Clasesdedirecciones56
Propósito de la máscara de subred 57
Direccionamiento IP privado y
público 58
Subredesencuatropasos58
Determinarcuántosbitstomar
prestados59 Determinar la nueva
máscara de subred60
Determinarelmultiplicador de subred60
Listadesubredes,rangos dehostsydirecciones dedifusión60 Ejemplo
desubred161
Ejemplo de subred 2 61
Ejemplo de subred 3 62
VLSM 62
Recursos de estudio 64
Día 27: Direccionamiento IPv6 65
Temas clave 65
Visión general y ventajas de IPv6 65
Índice xiii
El protocolo IPv6 66
Tipos dedireccionesIPv667
Unicast 68
Dirección Global Unicast68
DirecciónLink-Local71
Dirección de Loopback 71
Dirección no especificada71
Dirección local única72
DirecciónIPv4incrustada72
Multidifusión 73
Multidifusión asignada 73
Multidifusión de nodos solicitados 74
Anycast 75
Representación de la dirección IPv6 76

ConvencionesdireccionesIPv676
ConvencionesparaescribirprefijosIPv676
Subredes IPv6 77
Subredes enID de subred78
SubredesenelID deinterfaz78
EUI-64 Concepto 78
Autoconfiguración dedireccionessin estado79
MigraciónaIPv680
Día 26: Conceptos y configuraciones de VLAN y Trunking 83

Puntos clave 83
Conceptos de VLAN 83
Tipos detráfico84
TiposdeVLANs84
Ejemplo de VLAN de voz 85
Trunking VLANs 86
Protocolo de Trunking Dinámico87
ConfiguraciónyVerificación de VLANs88
Configuración y Verificación de Trunking 92
Solución de problemas de la VLAN 94
VLANs deshabilitadas 96
xiv 31 días antes de su examen CCNA
Solución de problemas de Trunking 96

Compruebe los dos extremos de un maletero 97
Comprobar los estadosoperativosdel
Trunking98 Recursos deestudio98
Día 25: STP 99

Temas clave 99
Conceptos y funcionamiento de
STP99 Algoritmo deSTP100
Convergencia STP 101
Variedades STP 102
Funcionamiento de PVST 103
Estados delos puertos104
ID del
sistemaextendido104
Funcionamiento rápido de PVST+ 105

Comportamiento dela
interfazRSTP105 Roles delos
puertosRSTP106
Puertos de borde 107
Configuración y verificación de variedades de

STP Descripción de la configuración de
STP108 Configuración y verificación del
BID108 Configuración
dePortFastyBPDUGuard110 Configuración
deRapidPVST+111
Verificación de STP 111
Día 24: EtherChannel y HSRP 113

Temas clave 113
Funcionamiento deEtherChannel113
VentajasdeEtherChannel114
Restricciones de aplicación 114
Protocolos EtherChannel 115

Protocolo de agregación de puertos 115
Protocolo decontrol deagregación deenlaces115
Configuración deEtherChannel116
Verificación de EtherChannel 117
Índice xv
Resolución de problemas de
EtherChannel119 Conceptos de
redundancia deprimer nivel119
FHRP120
Funcionamiento del HSRP 121
Versiones de HSRP 121
Prioridady preferencia deHSRP122
Configuración y verificación de HSRP
Equilibrio decarga deHSRP123
Solución de problemas de HSRP 126
Día 23: DHCP y DNS 127

Temas clave 127
DHCPv4 127
Opciones de configuración de DHCPv4 128
Configurar un router como servidor DHCPv4128
Configurar un router
pararetransmitirsolicitudesDHCPv4132
Configurarunrouter comoclienteDHCPv4133
DHCPv6 134
SLAAC 134
DHCPv6 sin estado 136
DHCPv6 con estado 136
Funcionamiento de DHCPv6 sin estado y con estado 136
Opciones de configuración de DHCPv6 137

Configuración de unuter como servidor DHCPv6 sin estado137
Configuración deunroutercomoservidorDHCPv6con estado139
Solución de problemas de DHCP 140

Resolución de conflictos de direcciones IPv4 140
Comprobación de la conectividad mediante una
dirección IP estática140 Verificación dela configuración
depuertosdel conmutador140
Probarel funcionamiento deDHCPv4en la
mismasubredoVLAN140 Funcionamiento deDNS140

Solución de problemas de DNS 142
Verificación dela configuración
IPdel host143
ConfiguraciónIP143
Configuración de la IP del host en Windows 143
xvi 31 días antes de su examen CCNA
Configuración de la IP del
hostenmacOS145 Configuración
dela IPdel hostenLinux146
Día 22: Conceptos inalámbricos 149

Temas clave 149
Normas inalámbricas 149
Espectro RF 149
Canales 150
Normas 802.11 151
Topologías inalámbricas 152

Modo Infraestructura152
IBSS,oModoAdHoc154
Malla154
Arquitecturas AP 155
Arquitectura de AP autónomos155
Arquitectura de AP basados en la
nube155 Arquitecturas de AP
ligeros156 Funcionamiento
deCAPWAP157
Protocolos de seguridad inalámbricos 158

Métodos de autenticación
inalámbrica158 WPAyWPA2160
802.1X/EAP 160
WPA3 160
Métodos
deencriptacióninalámbrica161 Recursos
deestudio162
Día 21: Configuración de la WLAN 163

Temas clave 163
Cómo iniciar sesión en un WLC de
Cisco163 Configuración
deunWLCconunaWLAN165
Configurar un servidor RADIUS166
Configurar una nueva interfaz166
ConfigurarunaWPA2EnterpriseWLAN168
Índice xvii
Día 20: Seguridad de la LAN y endurecimiento de los dispositivos 173

Temas clave 173
Seguridad de los puntos finales 173
Cisco ESA 173
Cisco WSA 174
Control de acceso 175

Autenticación local 175
Configuración de SSH176
Endurecimiento depuertos
deconmutación178 AAA178
802.1X 179
Protección portuaria 181

Configuración dela seguridad de
los puertos181 Envejecimiento
dela seguridad de los puertos183
Restauración del puerto tras una infracción 184
Mitigación de amenazas en la LAN 185

Modificación de la VLANnativay degestión185
Ataques ala VLAN186
Mitigación deataques
aVLANs187 Ataques aDHCPs188
Ataques de inaniciónDHCP188
Ataques desuplantaciónDHCP188
DHCP Snooping 188
Ataques ARP 190
Inspección dinámica de ARP191
Recursos deestudio193
Día 19: Conceptos básicos de enrutamiento 195

Temas clave 195
Reenvío de paquetes 195
Ejemplo de determinación de rutas y función de
conmutación196 Métodos deenrutamiento197

Clasificación de los protocolos de enrutamiento dinámico 198
IGP y EGP 198
Protocolos de enrutamiento de vector
de distancia198 Protocolos
deenrutamientode estado de
enlace199 Protocolos de enrutamiento
con clase200 Protocolos
deenrutamientosin clase200
xviii 31 días antes de su examen CCNA
Métricas de enrutamiento
dinámico200 Distancia
administrativa201
Resumencomparativo
deIGP203 Prevención debucles
deenrutamiento203
Características del protocolo de
enrutamiento de estado de
enlace204 Construcción de
laLSDB204
Cálculo del algoritmo de Dijkstra205
Convergencia con protocolos de estado de
enlace206
Día 18: Configuración básica del router 209

Temas clave 209
Configuración básica del router con IPv4209
Sintaxis decomandos 210
Ejemplo de configuración 210
Ejemplo de verificación 212
Configuraciónbásicadel routerconIPv6217
Sintaxis decomandos217
Ejemplo de configuración 218
Verificación de la conectividad dela redIPv4eIPv6220

Routers para oficinaspequeñasodomésticas223
DireccionamientoIPbásicoSolución de
problemas224 Puerta de enlacepor
defecto224
DireccionesIPduplicadas225
Día 17: La tabla de enrutamiento 227

Temas clave 227
Dos funciones del router 227
La coincidencia más larga determina la
mejor ruta227 Tresdecisiones dereenvío
depaquetes228
Componentes de la tabla de
enrutamiento228 Principios de la
tabla de enrutamiento231
Estructura delas entradas
deruta232

Índice xix
Día 16: Enrutamiento entre VLANs 233

Puntos clave 233
Conceptos de enrutamiento entre
VLANs233 Enrutamientoentre
VLANsheredado233 Enrutadoren
un palo234 Conmutación
multicapa235
Configuración y verificación del router en un palo 235

Conmutación Multicapa Configuración y Verificación del Enrutamiento Inter-
VLAN238 Creación de SVIsadicionales238
Configuración deunpuertoenrutadode
capa 3 240 Recursos deestudio240
Día 15: Configuración de rutas estáticas y por defecto 241

Temas clave 241
Visión general del
enrutamientoestáticoypor defecto241
Configuración derutas estáticasIPv4242
Rutas estáticas IPv4 utilizando el parámetro Next-Hop 244
Rutas estáticas IPv4 utilizando el parámetro Exit
Interface244 Configuración derutaspor defectoIPv4245
Configuración de la rutaestática de
resumenIPv4248 EnrutamientoestáticoIPv6249
Configuración de rutas estáticas IPv6
251 Configuración derutas por
defectoIPv6252
Configuración derutasestáticas de
resumenIPv6253 Recursos deestudio254
Día 14: Operación OSPF 255

Temas clave 255
Funcionamiento de OSPF de área
única255 Formato
demensajeOSPF255 Tipos de
paquetes OSPF256
Establecimiento
devecinos256
Anuncios de estado de
enlace258 OSPFDRyBDR259
Algoritmo OSPF 259
Proceso de enrutamiento de estado de enlace 260
xx 31 días antes de su examen CCNA
OSPFv2 frente a OSPFv3 261

Similitudes entre OSPFv2 yOSPFv3261
DiferenciasentreOSPFv2yOSPFv3262
Funcionamiento de OSPF
multiárea 262 Diseño
deOSPFmultiárea262
OSPF multiárea mejorael rendimiento264
Día 13: Implementación de OSPF de área única 265

Temas clave 265
Configuración de OSPFv2de área
única265 El comando router
ospf266 IDdel router266
El comando network267
Interfacespasivas268
Modificación
delamétricaOSPF268
Verificación de OSPFv2 270

Día 12: Ajuste fino y solución de problemas de OSPF 275

Temas clave 275
Ejemplo deconfiguración deOSPFv2 275
Modificación deOSPFv2277
Redistribución deunarutapor defecto
277 Modificación delos intervalos
debienvenidaymuerte278 Tipos
deredOSPF278
Elección DR/BDR 279
Control de la elección de DR/BDR 279
Solución de problemas de OSPF 281

Estados OSPF 281
Adyacencia OSPF 282
Comandos deresolución de
problemasOSPF282 Recursos deestudio283
Día 11: Conceptos de seguridad en la red 285

Temas clave 285
Índice xxi
Fundamentos de la seguridad 285

Términos de seguridad 285
Vectores deataqueyexfiltración dedatos286
Herramientas depruebas de penetración286
Tipos de ataques287
Tiposdemalware288
Ataques a la red 289

Ataques de reconocimiento 289
Ataques de acceso 290
Ataques de ingeniería social
290 AtaquesDoSyDDoS291
Ataques IP 291
Ataques a la capa
detransporte292 Programa
deseguridad293
Día 10: Conceptos de ACL 295

Temas clave 295
Funcionamiento de la
ACL 295 Definición
deunaACL295
Procesamiento deACL de
interfaz295 Lógica
delistasconACL deIP296
Planificación del uso de

ACLs297 Tipos
deACLs298
Identificación
deACLs298
Directrices dediseñoACL299
Día 9: Implementación de ACL 301

Temas clave 301
Configuración de ACLs IPv4 estándar numeradas 301
ACL IPv4 numerada estándar: Permitir una red específica302
ACL IPv4 numerada estándar: Denegar un host específico302
ACLIPv4numeradaestándar:Denegarunasubredespecífica303
ACL IPv4 estándar numerada: Denegar el acceso de Telnet o SSH
al router 303
xxii 31 días antes de su examen CCNA
Configuración de ACLs IPv4 numeradas extendidas 303

IPv4numeradaextendida:FTP
subredesACLIPv4numeradaextendida:DenegarsóloTelnetdesdesubre
des304
Configuración de ACLs IPv4 con nombre 305

Pasos y sintaxis de las ACL IPv4 con nombre estándar 305
ACL IPv4 con nombre
estándar:denegarunsolohostdeunasubreddeterminada305 Pasosysintaxis
de ACLIPv4con nombreextendida306
Adición decomentariosaACLsIPv4con nombreonumeradas306
Verificación deACLsIPv4307
Comparación de ACLs IPv4 e IPv6 308
Configuración de ACLs IPv6 309
Paso 1: Nombrar la ACL IPv6 309
Paso 2: Crear la ACL IPv6 309
Paso3:AplicarlaACLIPv6310
ACL IPv6 estándarPermitir el accesoremotoSSH310
ACLIPv6extendida:Permitirsólo el tráficoweb310
Verificación de ACLs IPv6311

Resolución de problemas de
ACLs313
Día 8: NAT 315

Temas clave 315
Conceptos NAT 315
Un ejemplo de NAT 317 NAT
dinámica y estática318
Sobrecarga deNAT318
Beneficios de NAT 319
Limitaciones de NAT 319
Configuración de NAT estático319

Configuración de NAT
dinámico320 Configuración
desobrecarga deNAT321
Verificación de NAT 322

Solución de problemas de NAT 323
Índice xxiii
Día 7: WAN, VPN e IPsec 325

Temas clave 325
Topologías WAN 325
Opciones de conexión WAN 326
Opciones deconexióndedicada327
Opciones de conexión con conmutación de
circuitos328 Opciones deconexión con
conmutación de paquetes329
Metro Ethernet 329
MPLS 330
Opciones deconexióna Internet330
DSL330
Módem por cable 331
Inalámbrico 332
Elección de una opción de enlace WAN 332
Tecnología VPN 333

Beneficios de la VPN 333
Tiposdeacceso ala
VPN333 Componentes
dela VPN336
Establecimiento
deconexionesVPNseguras337
TúnelVPN337
Algoritmos deencriptaciónVPN338
Hashes338
AutenticaciónVPN340
Protocolos
deseguridadIPsec340
Día 6: QoS 343

Temas clave 343
QoS 343
Clasificación y marcado344
DSCPeIPP345
EF y AF346 Gestión dela
congestión347
Vigilancia, modelado y descartes
TCP347 QoSyTCP349

xxiv 31 días antes de su examen CCNA
Día 5: CDP y LLDP 351

Temas clave 351
Visión general del CDP 351
Configuración CDP 352
Verificación CDP 354
Visión general de LLDP 357

Configuración de LLDP 357
Verificación de LLDP 358
Día 4: Supervisión, gestión y mantenimiento de dispositivos 361

Temas clave 361
Funcionamiento de SNMP 361
Componentes SNMP 361
Mensajes SNMP 361
Versiones SNMP 362
La Base de Información de Gestión362
Configuración deSNMP364
Verificación de SNMP 364
Syslog 365
Operación Syslog 366
Configuraciónyverificación de
Syslog367 Protocolo detiempo dered370

Sistema de archivos y dispositivos Cisco IOS 371
Comandos IFS 371
Prefijos de URL para especificar las ubicaciones de los
archivos373 Comandosparagestionarlos archivos
deconfiguración374
Gestión deimágenes de Cisco IOS 375

Copia de seguridad de unaimagen
de Cisco IOS 376 Restauración
deunaimagen deCiscoIOS376
Recuperación de contraseñas 377

Índice xxv
Día 3: Nube, virtualización y SDN 379

Temas clave 379
Computación en la nube 379
Virtualización de servidores 379
Servicios de computación en
nube381 Infraestructura
deredvirtual382
Redes definidas por software 383

Planos de datos, control y gestión383
Controladores384
Ejemplos de SDN: Open SDN y OpenFlow 385
SDN:Lainfraestructuracentrada enlas aplicacionesde Cisco386
Ejemplos de SDN:SpineyLeaf387
Ejemplos deSDN:ElmóduloCiscoAPICEnterprise(APIC-EM)387
Día 2: SDA y Cisco DNA Center 389

Temas clave 389
Arquitectura SDA 389
Tejido 390
Subyacente 390
Superposición 391
Centro de ADN de Cisco 391

Centro de ADN de Cisco y SDA 392
Plataforma degestión deredesCiscoDNACenter394
Día 1: Automatización de la red 397

Temas clave 397
Formatos de datos 397
Formato de datos
JSON398 Reglas
desintaxisJSON399
APIs RESTful 400

Implementación RESTful400
Solicitudes deAPIRESTful400
xxvi 31 días antes de su examen CCNA
Herramientas de gestión de la configuración 402

Ansible 403
Marioneta 403
Chef 405
Día del examen 407

Lo que necesita para el examen 407
Lo quedeberíarecibirtrasla finalización407
Resumen407
Información posterior al
examen409 Cómo recibir el
certificado409 Cómo determinar las
opciones profesionales409 Cómo
examinarlas opciones decertificación
410 Si no ha aprobado el examen
410Resumen
Índice 411
xxvii
Convenciones de sintaxis de comandos

Las convenciones utilizadas para presentar la sintaxis de los comandos en este libro son las
mismas convenciones utilizadas en la Referencia de comandos del IOS. La Referencia de
comandos describe estas convenciones de la siguiente manera:
■
La negrita indica los comandos y palabras clave que se introducen literalmente como se
muestran. En los ejemplos y salidas de configuración reales (no en la sintaxis general de los
comandos), la negrita indica los comandos introducidos manualmente por el usuario
(como un comando show).
■
La cursiva indica los argumentos para los que se suministran valores reales.
■
Las barras verticales (|) separan elementos alternativos que se excluyen mutuamente.
■
Los corchetes ([ ]) indican un elemento opcional.
■
Los corchetes ({ }) indican una opción obligatoria.
■
Los corchetes entre paréntesis ([{ }]) indican una opción obligatoria dentro de un elemento opcional.
Servicio de Lectura
Registre su copia en www.ciscopress.com/title/9780135964088 para acceder cómodamente a las
descargas, actualizaciones y correcciones a medida que estén disponibles. Para iniciar el proceso de
registro, vaya a www.ciscopress.com/register e inicie sesión o cree una cuenta. (Asegúrese de marcar la
casilla que indica que desea recibir noticias nuestras para recibir descuentos exclusivos en futuras
ediciones de este producto). Introduzca el ISBN del producto 9780135964088 y haga clic en
Enviar. Una vez finalizado el proceso, encontrará los contenidos adicionales disponibles en
Productos registrados.
xxviii 31 días antes de su examen CCNA
Introducción
Si estás leyendo esta introducción, probablemente ya hayas invertido una cantidad considerable de
tiempo y energía en la búsqueda de tu certificación CCNA 200-301. Independientemente de cómo
haya llegado a este punto en su viaje a través de sus estudios de CCNA, lo más probable es que 31 días
antes de su examen de CCNA represente la última etapa de su viaje en su camino hacia el destino:
convertirse en un Cisco Certified Network Associate. Sin embargo, si eres como yo, puede que estés
leyendo este libro al principio de tus estudios. Si es así, este libro proporciona una excelente visión
general del material que ahora debes dedicar mucho tiempo a estudiar y practicar. Pero debo
advertirle: A no ser que estés muy versado en tecnologías de red y tengas una experiencia
considerable en la configuración y resolución de problemas de routers y switches Cisco, este libro no
te servirá como único recurso para la preparación de tu examen. Por lo tanto, permítame dedicar algún
tiempo a discutir mis recomendaciones para los recursos de estudio.
Recursos de estudio
Cisco Press y Pearson IT Certification ofrecen una gran cantidad de libros relacionados con
CCNA que le servirán como fuente principal para aprender a instalar, configurar, operar y
solucionar problemas de redes pequeñas y medianas enrutadas y conmutadas.
Recursos primarios
El primero en la lista de recursos importantes es el CCNA 200-301 Official Cert Guide Library de
Wendell Odom (ISBN: 9781587147142). Si no compra ningún otro libro, compre éste. El método de
enseñanza de Wendell, combinado con su experiencia técnica y su estilo realista, es insuperable en
nuestra industria. Cuando lees sus libros, sientes que está sentado a tu lado, guiándote a través del
material. Con su compra, usted obtiene acceso a exámenes de práctica y materiales de estudio y otros
recursos en línea que valen el precio del libro. No hay mejor recurso en el mercado para un candidato
a CCNA.
Si eres un estudiante de la Academia de Redes de Cisco, tienes acceso a la versión en línea del plan de
estudios de la versión 7 de CCNA y al popularísimo simulador de red Packet Tracer. El plan de
estudios de la Academia de Redes de Cisco tiene tres cursos. Para obtener más información sobre los
cursos CCNAv7 y encontrar una Academia cerca de ti, visita http://www.netacad.com.
Sin embargo, si no eres un estudiante de la Academia pero quieres beneficiarte de la extensa autoría
realizada para estos cursos, puedes comprar cualquiera o todas las Guías de Acompañamiento (CGs) de
CCNAv7 y las Guías de Laboratorio y E s t u d i o (LSGs) del popular plan de estudios online de la
Academia. Aunque no tendrás acceso a los archivos del Packet Tracer, tendrás acceso al incansable
trabajo de un destacado equipo de instructores de la Academia Cisco dedicados a proporcionar a los
estudiantes un material de curso de preparación para el CCNA completo y atractivo. Los títulos e
ISBN de los CGs y LSGs de CCNAv7 son los siguientes:
■
Introduction to Networks v7 Companion Guide (ISBN: 9780136633662)
■
Introduction to Networks v7 Labs & Study Guide (ISBN: 9780136634454)
■
Switching, Routing, and Wireless Essentials v7 Companion Guide (ISBN: 9780136729358)
■
Switching, Routing, and Wireless Essentials v7 Labs & Study Guide (ISBN: 9780136634386)
Introducción xxix
■
Guía complementaria de Enterprise Networking, Security, and Automation v7 (ISBN: 9780136634324)
■
Enterprise Networking, Security, and Automation v7 Labs & Study Guide (ISBN: 9780136634690)
Puede encontrar estos libros en http://www.ciscopress.com haciendo clic en el enlace

Cisco Networking Academy.
Recursos complementarios
Además del libro que tienes en tus manos, te recomiendo tres recursos complementarios para
aumentar tus últimos 31 días de repaso y preparación.
La primera es la popular Guía de comandos portátil CCNA 200-301 de Scott Empson (ISBN:
9780135937822). Esta guía es mucho más que una simple lista de comandos y lo que hacen. Sí, resume
todos los comandos del IOS de nivel de certificación CCNA, las palabras clave, los argumentos de los
comandos y los avisos asociados.
También le ofrece consejos y ejemplos de cómo aplicar los comandos a escenarios del mundo real.
Los ejemplos de configuración a lo largo del libro le permiten comprender mejor cómo se utilizan
estos comandos en diseños de red sencillos.
En segundo lugar, el curso completo de vídeo y examen práctico CCNA 200-301 de Kevin Wallace (ISBN:
9780136582755) es un curso de formación completo que da vida a los temas del examen CCNA de
Cisco mediante el uso de
El curso incluye demostraciones del mundo real, animaciones, instrucciones en vivo y configuraciones,
lo que hace que el aprendizaje de estos temas fundamentales de redes sea fácil y divertido. El estilo de
Kevin y su amor por la tecnología son contagiosos.
En tercer lugar, IP Subnetting LiveLessons de Wendell Odom (ISBN: 9780135497777) y IP
Subnetting Practice Questions Kit (ISBN: 9780135647288) le ayudarán a dominar esta habilidad
crucial. La creación de subredes no es sólo una habilidad de diseño de direcciones IPv4, sino que
también es una habilidad crucial para la resolución de situaciones en las que el direccionamiento
IPv4 ha sido mal configurado.Es probable que tenga ambos tipos de preguntas en el examen
CCNA.
La red de aprendizaje de Cisco

Por último, si aún no lo ha hecho, debería registrarse en The Cisco Learning Network en
https://learningnetwork.cisco.com. Patrocinada por Cisco, The Cisco Learning Network es una red
social de aprendizaje gratuita en la que los profesionales de TI pueden participar en la búsqueda
común de mejorar y avanzar en sus carreras de TI. Aquí puedes encontrar muchos recursos que te
ayudarán a preparar tu examen CCNA, además de una comunidad de personas con ideas afines
dispuestas a responder a tus preguntas, ayudarte en tus dificultades y compartir tus triunfos.
Entonces, ¿qué recursos debe comprar? La respuesta a esta pregunta depende en gran medida de la
profundidad de sus bolsillos y de lo mucho que le gusten los libros. Si eres como yo, ¡debes tenerlo todo!
Lo admito;
mi estantería es un testimonio de mi "frikismo" Cisco. Pero si tienes un presupuesto limitado, elige
uno de los recursos de estudio principales y uno de los complementarios (como el de Wendell
Odom
biblioteca de certificación y la guía de comandos de Scott Empson). Elijas lo que elijas, estarás en
buenas manos. Cualquiera de estos autores, o todos ellos, le servirán.
xxx 31 días antes de su examen CCNA
Objetivos y métodos
El objetivo principal de este libro es proporcionarle un repaso claro y sucinto de los objetivos del
CCNA. Los temas del examen de cada día se agrupan en un marco conceptual común y utilizan el
siguiente formato:
■
Un título para el día que exponga de forma concisa el tema general
■
Una lista de uno o más temas del examen CCNA 200-301 que deben revisarse
■
Una sección de "Temas clave" que introduce el material de repaso y le orienta rápidamente
sobre el tema del día
■
Una amplia sección de revisión que consiste en párrafos cortos, listas, tablas, ejemplos y gráficos
■
Una sección de "Recursos de estudio" que le permitirá encontrar rápidamente un
tratamiento más profundo de los temas del día
El libro realiza una cuenta atrás a partir del día 31 y continúa hasta el día del examen para
proporcionar información posterior al mismo. En el interior de este libro también hay un calendario y
una lista de comprobación que puedes arrancar y utilizar durante la preparación del examen.
Utilice el calendario para introducir cada fecha real junto al día de la cuenta atrás y el día, la hora y el
lugar exactos de su examen CCNA. El calendario proporciona una visión del tiempo que puede dedicar a
cada tema del examen CCNA.
La lista de control destaca las tareas y los plazos importantes que preceden a su examen. Utilízala para
ayudarte a planificar tus estudios.
¿Quién debería leer este libro?

El público de este libro es cualquier persona que esté terminando de prepararse para hacer el examen CCNA
200-301.
Un público secundario es cualquier persona que necesite un repaso de los temas del examen
CCNA, posiblemente antes de intentar recertificar o presentarse a otra certificación para la que el
CCNA es un requisito previo.
Conocer el examen CCNA 200-301

Para la certificación actual anunciada en junio de 2019, Cisco creó el examen CCNA 200-301. Este
libro se centra en toda la lista de temas publicados para el examen CCNA 200-301.
El examen CCNA 200-301 es un examen de 120 minutos asociado a la certificación CCNA. Este
examen pone a prueba los conocimientos y habilidades del candidato relacionados con los fundamentos
de la red, el acceso a la red,
Conectividad IP, servicios IP, fundamentos de seguridad y automatización y programabilidad. Utilice
los siguientes pasos para acceder a un tutorial en casa que demuestre el entorno del examen antes
de ir a realizarlo:
Paso 1. Visite http://learningnetwork.cisco.com.
Paso 2. Busca "tutorial de exámenes de certificación de Cisco".
Paso 3. Busque en los resultados superiores para encontrar la página con los vídeos que le
guían por cada tipo de pregunta de examen.
Introducción xxxi
Cuando llegas al centro de exámenes y te registras, el supervisor verifica tu identidad, te da algunas

instrucciones generales y te lleva a una sala tranquila donde hay un ordenador. Cuando estés en el PC,
tienes que hacer algunas cosas antes de que empiece el cronómetro de tu examen. Por ejemplo,
puedes tomar el tutorial para acostumbrarte al PC y al motor de pruebas. Cada vez que me
presento a un examen, sigo el tutorial aunque sepa cómo funciona el motor de pruebas. Me ayuda a
calmar los nervios y a concentrarme. Cualquiera que tenga conocimientos de nivel de usuario para
desenvolverse en un PC no debería tener problemas con el entorno del examen.
Al comenzar el examen, se le plantean una serie de preguntas. Las preguntas se presentan de una en
una y deben responderse antes de pasar a la siguiente. El motor del examen no le permite volver atrás
y cambiar las respuestas. Cada pregunta del examen tiene uno de los siguientes formatos:
■
Opción múltiple
■
Rellene el espacio en blanco
■
Arrastrar y soltar
■
Testlet
■
Simlet
■
Simulación
El formato de opción múltiple simplemente requiere que señale y haga clic en un círculo o en una
casilla de verificación junto a la(s) respuesta(s) correcta(s). Tradicionalmente, Cisco le indica el
número de respuestas que debe elegir, y el software de evaluación evita que elija demasiadas o muy
pocas.
Las preguntas para rellenar los espacios en blanco suelen requerir que se escriban sólo números. Sin
embargo, si se solicitan palabras, las mayúsculas y minúsculas no importan, a menos que la
respuesta sea un comando que distinga entre mayúsculas y minúsculas (como las contraseñas y los
nombres de dispositivos, al configurar la autenticación).
Las preguntas de arrastrar y soltar requieren que hagas clic y mantengas pulsado, muevas un
botón o un icono a otra zona y sueltes el botón del ratón para colocar el objeto en otro lugar,
normalmente en una lista. Para algunos
preguntas, para acertar la pregunta, es posible que tengas que poner una lista de cinco cosas en el orden
adecuado.
Un testlet contiene un escenario general y varias preguntas de opción múltiple sobre el escenario.
Los testlets son ideales si confías en tu conocimiento del contenido del escenario porque puedes
aprovechar tu fuerza en múltiples preguntas.
Un simlet es similar a un testlet, en el sentido de que se le da un escenario con varias preguntas de
opción múltiple. Sin embargo, un simlet utiliza un simulador de red para permitirle acceder a una
simulación de la línea de comandos del software Cisco IOS.Puede utilizar los comandos show para
examinar el comportamiento actual de una red y responder a la pregunta.
En una simulación también se utiliza un simulador de red, pero se le asigna una tarea, como la
implementación de una solución de red o la resolución de problemas de una implementación de red
existente, para lo cual debe configurar uno o más enrutadores y conmutadores. El examen califica la
pregunta en función de la configuración que hayas cambiado o añadido. Una forma más reciente de la
pregunta de simulación es la simulación basada en GUI, que simula una interfaz gráfica como la que se
encuentra en un router Linksys o en el Cisco Security Device Manager.
xxxii 31 días antes de su examen CCNA
Temas cubiertos en el examen CCNA

La Tabla I-1 resume los siete dominios del examen CCNA 200-301:
Tabla I-1 Dominios del examen CCNA 200-301 y

ponderaciones
Dominio Porcentaje del examen
1.0 Fundamentos de la red 20%
2.0 Acceso a la red 20%
3.0 Conectividad IP 25%
4.0 Servicios IP 10%
5.0 Fundamentos de la seguridad 15%
6.0 Automatización y programabilidad 10%
Aunque Cisco describe los temas generales del examen, no todos los temas pueden aparecer en el
examen CCNA; asimismo, los temas que no se enumeran específicamente pueden aparecer en el
examen. Los temas de examen que Cisco proporciona y que este libro cubre proporcionan un marco
general para la preparación del examen. Asegúrese de consultar el sitio web de Cisco para conocer los
temas de examen más recientes.
Inscripción en el examen CCNA 200-301

Si va a empezar este libro 31 días antes de hacer el examen CCNA 200-301, inscríbase en el
examen ahora mismo. En mi experiencia con los exámenes, no hay mejor motivación que una fecha de
examen programada mirándome a la cara. Estoy dispuesto a apostar que lo mismo es cierto para usted.
No te preocupes por las circunstancias imprevistas: puedes cancelar tu inscripción en el examen y
obtener un reembolso completo hasta 24 horas antes de realizarlo. Así que si estás preparado, reúne
la siguiente información y regístrate ahora mismo.
■
Nombre legal
■
Número de la Seguridad Social o del pasaporte
■
Nombre de la empresa
■
Dirección de correo electrónico válida
■
Forma de pago
Puedes programar tu examen en cualquier momento visitando www.pearsonvue.com/cisco/. Le

recomiendo que lo programe para dentro de 31 días. El proceso y los horarios de examen
disponibles varían en función del centro de examen local que elijas.
Recuerda que no hay mejor motivación para estudiar que una fecha real de examen. Apúntate hoy mismo.
Modelos, dispositivos y
componentes de red
Temas del examen CCNA 200-301

■
Explicar el papel y la función de los componentes de la red
■
Describir las características de las arquitecturas de topología de red
■
Comparar los tipos de interfaz física y de cableado
■
Identificar los problemas de la interfaz y del cable (colisiones, errores, desajuste de dúplex y/o velocidad
■
Comparar TCP con UDP
Puntos clave
Los modelos de red de Interconexión de Sistemas Abiertos (OSI) y del Protocolo de Control de
Transmisión/Protocolo de Internet (TCP/IP) son marcos conceptuales importantes para entender
las redes. Hoy repasaremos las capas y funciones de cada modelo, junto con el proceso de flujo de datos
desde el origen hasta el destino. También dedicaremos algún tiempo al Protocolo de Control de
Transmisión (TCP) y al Protocolo de Datagramas de Usuario (UDP). A continuación, concluiremos el
día con un vistazo a los dispositivos utilizados en las redes actuales, los medios utilizados para
interconectar esos dispositivos y los diferentes tipos de topologías de red.
NOTA: Este día puede parecer un poco largo. Sin embargo, debes estar muy
familiarizado con todo este contenido. Analice el día, centrándose en las áreas en las
que se sienta menos seguro de sus conocimientos.
Los modelos OSI y TCP/IP

Para entender cómo se produce la comunicación a través de la red, se pueden utilizar modelos
por capas como marco para representar y explicar los conceptos y tecnologías de red. Capas
como los modelos TCP/IP y OSI, soportan la interoperabilidad entre las líneas de productos de
proveedores que compiten entre sí.
El modelo OSI sirve principalmente como herramienta para explicar los conceptos de las redes y la
resolución de problemas. Sin embargo, los protocolos del conjunto TCP/IP son las reglas por las que
funcionan las redes en la actualidad. Debido a que ambos modelos son importantes, usted debe estar
bien versado en cada una de las capas del modelo y saber cómo los modelos se relacionan entre sí.
La Figura 31-1 resume los dos modelos.
2 31 días antes de su examen CCNA
Figura 31-1 Modelos OSI y TCP/IP

Modelo OSIModelo TCP/IP
7Aplicación
6Presentación
Aplicación
5 Sesión
Transporte
4 Transporte
Internet
3 Red
2 Enlace de datos
Acceso a la red
1 Físico
El uso de dos modelos puede ser confuso; sin embargo, estas sencillas pautas pueden ayudar:
■
Cuando se habla de las capas de un modelo, se suele hacer referencia al modelo OSI.
■
Cuando se habla de protocolos, se suele hacer referencia al modelo TCP/IP.
Las siguientes secciones repasan rápidamente las capas OSI y los protocolos TCP/IP.
Capas OSI
La Tabla 31-1 resume las capas del modelo OSI y proporciona una breve descripción funcional.
Tabla 31-1 Capas y funciones del modelo

OSI CapaDescripción funcional
Aplicación (7) Se refiere a las interfaces entre la red y el software de aplicación. También incluye los
servicios de autenticación.
Presentación (6) Define el formato y la organización de los datos. Incluye la codificación.
Sesión (5) Establece y mantiene flujos bidireccionales de extremo a extremo entre puntos finales.
Incluye la gestión de los flujos de transacciones.
Transporte (4) Proporciona una variedad de servicios entre dos ordenadores centrales, incluyendo el
establecimiento y la terminación de la conexión, el control de flujo, la recuperación de errores
y la segmentación de grandes bloques de datos en partes más pequeñas para su
transmisión.
Red (3) Se refiere al direccionamiento lógico, el enrutamiento y la determinación de la ruta.
Enlace de datos (2) Formatea los datos en tramas apropiadas para su transmisión en algún medio físico. Define
las reglas sobre cuándo se puede utilizar el medio. Define los medios para reconocer los
errores de transmisión.
Físico (1) Define los detalles eléctricos, ópticos, de cableado, conectores y procedimientos
necesarios para la transmisión de bits, representados como una forma de energía que pasa
por un medio físico.
Día 31 3
La siguiente frase mnemotécnica, en la que la primera letra representa la capa (la A significa
), puede ayudar a memorizar el nombre y el orden de las capas de arriba a abajo:
Todas las personas parecen necesitar el procesamiento de datos
Capas y protocolos TCP/IP

El modelo TCP/IP define cuatro categorías de funciones que deben ocurrir para que las
comunicaciones tengan éxito. La mayoría de los modelos de protocolo describen pilas de protocolos
específicas de cada proveedor. Sin embargo, como el modelo TCP/IP es un estándar abierto, una
empresa no controla la definición del modelo.
La Tabla 31-2 resume las capas TCP/IP, sus funciones y los protocolos más comunes.
Tabla 31-2 Funciones de la capa TCP/IP

Capa TCP/IP Función Ejemplos de protocolos
Aplicación Representa los datos para el usuario y controla el DNS, Telnet, SMTP, POP3, IMAP,
diálogo DHCP, HTTP, FTP, SNMP
Transporte Admite la comunicación entre diversos TCP, UDP
dispositivos a través de diversas redes
Internet Determina la mejor ruta a través de la red IP, ARP, ICMP
Acceso a la red Controla los dispositivos de hardware y los medios Ethernet, inalámbrico
que componen la red
En los próximos días, revisaremos estos protocolos con más detalle. De momento, a continuación se
describen brevemente los principales protocolos TCP/IP:
■
Sistema de nombres de dominio (DNS): Proporciona la dirección IP de un sitio web o
nombre de dominio para que un host pueda conectarse a él
■
Telnet: Permite a los administradores iniciar sesión en un host desde una ubicación remota
■
Protocolo Simple de Transferencia de Correo (SMTP), Protocolo de Oficina Postal
(POP3) y Protocolo de Acceso a Mensajes de Internet (IMAP): Facilitan el envío de
mensajes de correo electrónico entre clientes y servidores
■
Protocolo de configuración dinámica de host (DHCP): Asigna direcciones IP a los
clientes que lo solicitan
■
Protocolo de transferencia de hipertexto (HTTP): Transfiere información entre clientes web
y servidores web
■
Protocolo de transferencia de archivos (FTP): Facilita la descarga y carga de archivos
entre un cliente FTP y un servidor FTP
■
Protocolo simple de gestión de redes (SNMP): Permite a los sistemas de gestión de red
supervisar los dispositivos conectados a la red
■
Protocolo de Control de Transmisión (TCP): Soporta conexiones virtuales entre hosts en la
red para proporcionar una entrega fiable de datos
■
Protocolo de Datagramas de Usuario (UDP): Admite una entrega más rápida y poco
fiable de datos ligeros o sensibles al tiempo
■
Protocolo de Internet (IP): Proporciona una dirección global única a los ordenadores para
comunicarse a través de la red
■
Protocolo de resolución de direcciones (ARP): Encuentra la dirección de hardware de
un host cuando sólo se conoce la dirección IP
■
Protocolo de mensajes de control de Internet (ICMP): Envía mensajes de error y control,
incluyendo la posibilidad de llegar a otro host y la disponibilidad de los servicios
■
Ethernet: Sirve como el estándar LAN más popular para enmarcar y preparar los datos
para su transmisión en los medios de comunicación
■
Inalámbrico: Incluye tanto los estándares IEEE 802.11 para redes de área local inalámbricas
(WLAN) como las opciones de acceso celular.
Unidades de datos de protocolo y encapsulación

A medida que los datos de la aplicación descienden por la pila de protocolos en su camino para
ser transmitidos a través de los medios de la red, varios protocolos le añaden información en cada
nivel. Esto se conoce comúnmente como el proceso de encapsulación. La estructura de datos en
cualquier capa dada se llama unidad de datos de protocolo (PDU). La Tabla 31-3 enumera las PDU en
cada capa del modelo OSI.
Tabla 31-3 PDUs en cada capa del modelo OSI

Capa OSIPDU
Datos de la aplicación
PresentaciónDatos
Datos de la sesión
Segmento de transporte
Paquete de red
Enlace de datosFrame
PhysicalBits
Los siguientes pasos resumen el proceso de comunicación desde cualquier origen a cualquier destino:
Paso 1. Los datos se crean en la capa de aplicación del dispositivo de origen.
Paso 2. A medida que los datos descienden por la pila de protocolos en el dispositivo de
origen, se segmentan y encapsulan.
Paso 3. Los datos se generan en el soporte en la capa de acceso a la red de la pila.
Paso 4. Los datos se transportan a través de la red interna, que está formada por los medios de
comunicación y cualquier dispositivo intermedio.
Paso 5. El dispositivo de destino recibe los datos en la capa de acceso a la red.
Día 31 5
Paso 6. A medida que los datos suben por la pila en el dispositivo de destino, se
desencapsulan y se vuelven a ensamblar.
Paso 7. Los datos se pasan a la aplicación de destino en la capa de aplicación del
dispositivo de destino.
La capa de aplicación TCP/IP

La capa de aplicación del modelo TCP/IP proporciona una interfaz entre programas informáticos como
un navegador web y la propia red. El proceso de solicitud y recepción de una página web funciona así:
Paso 1. Se envía una petición HTTP, que incluye una instrucción para "obtener" un
archivo (que suele ser la página de inicio de un sitio web).
Paso 2. El servidor web envía una respuesta HTTP con un código en la cabecera, que suele ser 200
(la solicitud se ha realizado correctamente y se devuelve información en la respuesta) o
404 (página no encontrada).
La solicitud HTTP y la respuesta HTTP se encapsulan en cabeceras. El contenido de las
cabeceras permite que las capas de aplicación de cada dispositivo final se comuniquen.
Independientemente de
el protocolo de la capa de aplicación (HTTP, FTP, DNS, etc.), todas las cabeceras utilizan el mismo
proceso general para comunicarse entre las capas de aplicación en los dispositivos finales.
La capa de transporte TCP/IP

La capa de transporte, a través de TCP, proporciona un mecanismo para garantizar la entrega de datos a
través de la red. TCP soporta la recuperación de errores a la capa de aplicación mediante el uso de una
lógica básica de reconocimiento. Añadiendo al proceso de solicitud de una página web, el
funcionamiento de TCP funciona así:
Paso 1. El cliente web envía una solicitud HTTP para un servidor web específico hasta la capa
de transporte.
Paso 2. TCP encapsula la petición HTTP con una cabecera TCP e incluye el número de puerto
de destino para HTTP.
Paso 3. Las capas inferiores procesan y envían la solicitud al servidor web.
Paso 4. El servidor web recibe las peticiones HTTP y envía un acuse de recibo TCP al cliente web
solicitante.
Paso 5. El servidor web envía la respuesta HTTP a la capa de transporte.
Paso 6. TCP encapsula los datos HTTP con una cabecera TCP.
Paso 7.Las capas inferiores procesan y envían la respuesta al cliente web solicitante.
Paso 8. El cliente web solicitante envía un acuse de recibo al servidor web.
Si los datos se pierden en algún momento de este proceso, TCP debe recuperarlos. HTTP en la capa de
aplicación no se involucra en la recuperación de errores.
Además de proporcionar TCP, la capa de transporte proporciona UDP, un protocolo sin conexión y poco
fiable para el envío de datos que no requiere ni necesita recuperación de errores. La Tabla 31-4 enumera
las principales funciones que soportan los protocolos de transporte. Tanto TCP como UDP soportan
la primera función; sólo TCP soporta el resto.
Tabla 31-4 Funciones de la capa de

transporte TCP/IP
FunciónDescripción
Multiplexación mediante puertosFunciónque permite a los hosts receptores elegir la
aplicación correcta para
al que se destinan los datos, en función del número de puerto de destino.
Recuperación de errores (fiabilidad)Proceso de numeración y acuse de recibo de los datos
con los campos de cabecera Sequence y Acknowledgment.
Control de flujo
Proceso que implica un tamaño de ventana deslizante que los dos dispositivos
mediante ventanas
finales acuerdan dinámicamente en varios puntos durante la conexión virtual. El
tamaño de la ventana, representado en bytes, es la cantidad máxima de datos que el
origen enviará antes de recibir un acuse de recibo del destino.
Establecimiento y
Proceso utilizado para inicializar los números de puerto y los campos de
finalización de la
secuencia y acuse de recibo.
conexión
Un flujo continuo de bytes de un proceso de capa superior que se "segmenta"
Transferencia de
para su transmisión y se entrega a los procesos de capa superior en el
datos ordenada y
dispositivo receptor, con los bytes en el mismo orden.
segmentación de
datos
Cabecera TCP
TCP proporciona recuperación de errores, pero para ello consume más ancho de banda y utiliza más
ciclos de procesamiento que UDP. TCP y UDP se basan en IP para la entrega de extremo a extremo.
TCP se ocupa de proporcionar servicios a las aplicaciones de los ordenadores emisores y receptores.
Para proporcionar todos estos servicios, TCP utiliza una serie de campos en su cabecera (ver Figura
31-2).
Figura 31-2 Cabecera TCP
Bit 0 Bit 15 Bit 16 Bit 31
Puerto de origen (16) Puerto de destino (16)
Número de secuencia (32)
20
Número de acuse de recibo (32)
Bytes
Longitud
de la Reservado (6) Bits de código Ventana (16)
cabecera (6)
(4)
Suma de comprobación Urgente (16)

(16)
Opciones (0 o 32 si hay)
Día 31 7
Números de puerto
Los dos primeros campos de la cabecera TCP -los puertos de origen y destino- también forman parte de
la cabecera UDP (mostrada más adelante, en la Figura 31-7). Los números de puerto proporcionan a
TCP (y a UDP) una forma de multiplicidad de aplicaciones en el mismo ordenador. Los navegadores
web ahora soportan múltiples pestañas o páginas. Cada vez que se abre una nueva pestaña y se solicita
otra página web, TCP asigna un número de puerto de origen diferente y a veces múltiples números de
puerto. Por ejemplo, puedes tener cinco páginas web abiertas. TCP casi siempre asigna el puerto de
destino 80 para las cinco sesiones. Sin embargo, el puerto de origen de cada una es diferente. Así es
como TCP (y UDP) multiplexan la conversación para que el navegador web sepa en qué pestaña
mostrar los datos.
TCP y UDP suelen asignar dinámicamente los puertos de origen, empezando por 1024 hasta un
máximo de 65535. Los números de puerto por debajo de 1024 están reservados para aplicaciones
conocidas. La Tabla 31-5 enumera varias aplicaciones populares y sus números de puerto bien
conocidos.
Tabla 31-5 Aplicaciones populares y sus números de puerto conocidos

Número de puerto Protocolo Aplicación
20 TCP Datos FTP
21 TCP Control FTP
22 TCP SSH
23 TCP Telnet
25 TCP SMTP
53 UDP, TCP DNS
67, 68 UDP DHCP
69 UDP TFTP
80 TCP HTTP (WWW)
110 TCP POP3
161 UDP SNMP
443 TCP HTTPS (SSL)
16384–32767 UDP Voz (VoIP) y vídeo basados en
RTP
Recuperación de errores
TCP proporciona recuperación de errores, también conocida como fiabilidad, durante las sesiones de
transferencia de datos entre dos dispositivos finales que han establecido una conexión. Los campos de
secuencia y acuse de recibo de la cabecera de TCP hacen un seguimiento de cada byte de la
transferencia de datos y garantizan la retransmisión de los bytes que faltan.
En la Figura 31-3, el campo de acuse de recibo enviado por el cliente web (4000) implica el
siguiente byte a recibir; esto se llama acuse de recibo positivo.
Figura 31-3 Reconocimiento TCP sin errores
Servid
or web Naveg
ador web
1000 Bytes de Datos, Secuencia = 1000

Tengo los 3000 Bytes. ¡Envía ACK!
1000 Bytes de Datos, Secuencia = 3000 Sin
Datos, Reconocimiento = 4000
La Figura 31-4 muestra el mismo escenario, excepto que ahora con algunos errores. El segundo
segmento TCP se perdió en la transmisión. Por lo tanto, el cliente web responde con un campo ACK
establecido en 2000. Esto se llama un acuse de recibo positivo con retransmisión (PAR) porque el
cliente web está solicitando que algunos de los datos sean retransmitidos. El servidor web vuelve a
enviar los datos a partir del segmento 2000. De este modo, se recuperan los datos perdidos.
Figura 31-4 Confirmación TCP con errores
Servid Naveg
or web ador web
1000 Bytes of Data, Sequence = 1000
Nunca recibió el segmento Nunca he recibido el segmento 2000. ACK el que falta!
con número de secuencia =
2000, vuelva a enviarlo. 1000 Bytes de Datos, Secuencia = 3000
Sin Datos, Confirmación = 2000
Sin Datos, Confirmación = 4000

Acabo de recibir 2000-2999,
y ya tenía 3000-3999. Pregunte por
4000 siguientes.
Aunque no se muestra, el servidor web también establece un temporizador de retransmisión y espera el

acuse de recibo, por si se pierde el acuse de recibo o se pierden todos los segmentos transmitidos. Si ese
temporizador expira, el servidor web vuelve a enviar todos los segmentos.
Control de flujo
TCP gestiona el control de flujo mediante un proceso denominado "windowing". Los dos dispositivos
finales negocian el tamaño de la ventana al establecer inicialmente la conexión; luego renegocian
dinámicamente el tamaño de la ventana durante la vida de la conexión, aumentando su tamaño hasta
que se alcanza el tamaño máximo de la ventana de 65.535 bytes o hasta que se producen errores. El
tamaño de la ventana se especifica en el campo Window de la cabecera TCP. Después de enviar la
cantidad de datos especificada en el tamaño de ventana, el origen debe recibir un acuse de recibo
antes de enviar el siguiente tamaño de ventana de datos.
Día 31 9
Establecimiento y terminación de la conexión

El establecimiento de la conexión es el proceso de inicialización de los campos de secuencia y acuse de
recibo y el acuerdo sobre los números de puerto y el tamaño de la ventana. La fase de establecimiento
de la conexión de tres vías que se muestra en la Figura 31-5 debe ocurrir antes de que se pueda
proceder a la transferencia de datos.
Figura 31-5 Establecimiento de la conexión TCP

SEQ=200
SYN, DPORT=80, SPORT=1027
SEQ=1450, ACK=201
SYN, ACK, DPORT=1027, SPORT=80
Naveg Servid
ador web SEQ=201, ACK=1451 or web
ACK, DPORT=80, SPORT=1027
En la figura, DPORT y SPORT son los puertos de destino y origen. SEQ es el número de
secuencia. En negrita están SYN y ACK, cada uno de los cuales representa una bandera de 1 bit en la
cabecera TCP utilizada para señalar el establecimiento de la conexión. TCP inicializa los campos
Número de Secuencia y Número de Confirmación con cualquier número que quepa en los campos de 4
bytes. El número de secuencia inicial es un número aleatorio
Número de 32 bits que se genera con cada nueva transmisión. El número de acuse de recibo se recibe
de vuelta y aumenta el número de secuencia del remitente en 1.
Cuando se completa la transferencia de datos, se produce una secuencia de terminación de cuatro vías.
Esta secuencia utiliza un indicador adicional, denominado bit FIN (véase la Figura 31-6).
Figura 31-6 Terminación de la conexión TCP
PCPC
UDP
TCP establece y termina las conexiones entre puntos finales, mientras que UDP no lo hace. Por lo tanto,
El UDP es un protocolo sin conexión. No proporciona fiabilidad, ni ventanas, ni reordenación de los datos.
Sin embargo, UDP proporciona transferencia de datos y multiplexación utilizando números de puerto,
y
lo hace con menos bytes de sobrecarga y menos procesamiento que TCP. Las aplicaciones que utilizan
UDP, como la VoIP, cambian la posibilidad de una cierta pérdida de datos por un menor retraso. La
Figura 31-7 compara las dos cabeceras.
Figura 31-7 Cabeceras TCP y UDP

22444 bits6 bits6 bits22231
Fuente Desti Número de Ack. Tamaño
Despla Reservado Bande Suma de Urgente Opcione PAD
Puerto no. secuencia Número zamient ras de la comprobaci s
Puert o ventan ón
o a
Cabecera TCP
2222
Fuente Desti Longitud Suma de
Puerto no. comprobaci
Puert ón
o
Cabecera UDP
A menos que se especifique, las longitudes

indicadas son números de bytes
La capa de Internet TCP/IP

La capa de Internet del modelo TCP/IP y su Protocolo de Internet (IP) definen las direcciones para que
cada ordenador pueda tener una dirección IP diferente. Además, la capa de Internet define el proceso de
enrutamiento para que los routers puedan determinar la mejor ruta para enviar los paquetes al destino.
Siguiendo con el ejemplo de la página web, el IP dirige los datos cuando pasan de la capa de transporte a
la capa de Internet:
Paso 1. El cliente web envía una petición HTTP.
Paso 2. TCP encapsula la petición HTTP.
Paso 3. IP encapsula el segmento de transporte en un paquete, añadiendo las direcciones de

origen y destino.
Paso 4. Las capas inferiores procesan y envían la solicitud al servidor web.
Paso 5. El servidor web recibe las peticiones HTTP y envía un acuse de recibo TCP al cliente web
solicitante.
Paso 7. TCP encapsula los datos HTTP.
Paso 8. IP encapsula el segmento de transporte en un paquete, añadiendo las direcciones de origen y destino.
Paso 9.Las capas inferiores procesan y envían la respuesta al cliente web solicitante.
Paso 10. El cliente web solicitante envía un acuse de recibo al servidor web.
El funcionamiento de IP no sólo incluye el direccionamiento, sino también el proceso de

enrutamiento de los datos desde el origen hasta el destino. En los próximos días se analizará y
revisará el IP.
La capa de acceso a la red TCP/IP

IP depende de la capa de acceso a la red para entregar paquetes IP a través de una red física. Por lo
tanto, la capa de acceso a la red define los protocolos y el hardware necesarios para entregar los
datos a través de alguna red física, especificando exactamente cómo conectar físicamente un
dispositivo en red a los medios físicos por los que se pueden transmitir los datos.
Día 31 11
La capa de acceso a la red incluye muchos protocolos para tratar los diferentes tipos de medios que
los datos pueden cruzar en su camino desde el dispositivo de origen al de destino. Por ejemplo, es
posible que los datos tengan que viajar primero por un enlace Ethernet y luego cruzar un enlace
Punto a Punto (PPP), luego un enlace Frame Relay, luego un enlace Multiprotocol Label Switching
(MPLS) y finalmente un enlace Ethernet para llegar al
destino. En cada transición de un tipo de medio a otro, la capa de acceso a la red proporciona los
protocolos, los estándares de cableado, las cabeceras y los remolques para enviar los datos a través de la
red física.
Muchas veces se necesita una dirección de enlace local para transferir datos de un salto a otro. Por
ejemplo, en una LAN Ethernet, se utilizan direcciones de control de acceso al medio (MAC) entre el
dispositivo emisor y su router pasarela local. En el router pasarela (dependiendo de las necesidades de la
interfaz de salida), la cabecera Ethernet puede ser sustituida por una etiqueta MPLS. La etiqueta tiene el
mismo propósito que las direcciones MAC en Ethernet: hacer que los datos atraviesen el enlace de
un salto a otro para que puedan continuar su viaje hasta el destino. Algunos protocolos, como el PPP,
no necesitan una dirección de enlace porque sólo otro dispositivo en el enlace puede recibir los
datos.
Con la capa de acceso a la red, ya podemos finalizar nuestro ejemplo de página web. Lo siguiente
simplifica y resume en gran medida el proceso de solicitud y envío de una página web:
Paso 1. El cliente web envía una petición HTTP.
Paso 2. TCP encapsula la petición HTTP.
Paso 3. IP encapsula el segmento de transporte en un paquete, añadiendo las direcciones de

origen y destino.
Paso 4. La capa de acceso a la red encapsula el paquete en una trama, direccionándolo para
el enlace local.
Paso 5. La capa de acceso a la red envía la trama en forma de bits en el soporte.
Paso 6. Los dispositivos intermedios procesan los bits en las capas de acceso a la red e Internet
y luego reenvían los datos hacia el destino.
Paso 7. El servidor web recibe los bits en la interfaz física y los envía a través de las capas
de acceso a la red e Internet.
Paso 8. El servidor web envía un acuse de recibo TCP al cliente web solicitante.
Paso 10. TCP encapsula los datos HTTP.
Paso 11. IP encapsula el segmento de transporte en un paquete, añadiendo las direcciones de origen
y destino.
Paso 12. La capa de acceso a la red encapsula el paquete en una trama, direccionándolo para el
enlace local.
Paso 13. La capa de acceso a la red envía la trama en forma de bits en el medio.
Paso 14. Las capas inferiores procesan y envían la respuesta al cliente web solicitante.
Paso 15. La respuesta viaja de vuelta a la fuente a través de múltiples enlaces de datos.
Paso 16. El cliente web solicitante recibe la respuesta en la interfaz física y envía los datos a
través de las capas de acceso a la red e Internet.
Paso 17. El cliente web solicitante envía un acuse de recibo TCP al servidor web.
Paso 18. La página web se muestra en el navegador del dispositivo solicitante.
Resumen de la encapsulación de datos

Cada capa del modelo TCP/IP añade su propia información de cabecera. A medida que los datos
descienden por las capas, se encapsulan con una nueva cabecera. En la capa de acceso a la red, también
se añade un tráiler. Este proceso de encapsulación se describe en cinco pasos:
Paso 1. Crear y encapsular los datos de la aplicación con las cabeceras de la capa de aplicación
que sean necesarias. Por ejemplo, el mensaje HTTP OK puede ser devuelto en una
cabecera HTTP, seguido de parte del contenido de una página web.
Paso 2. Encapsular los datos suministrados por la capa de aplicación dentro de una cabecera de la capa
de transporte. Para las aplicaciones de usuario final, se suele utilizar una cabecera TCP o
UDP.
Paso 3. Encapsular los datos suministrados por la capa de transporte dentro de una cabecera de la capa de
Internet (IP).
IP es el único protocolo disponible en el modelo de red TCP/IP en la capa de Internet.
Paso 4. Encapsular los datos suministrados por la capa de Internet dentro de una cabecera y
un tráiler de la capa de acceso a la red. Esta es la única capa que utiliza tanto una
cabecera como un tráiler.
Paso 5. Transmitir los bits. La capa física codifica una señal en el medio para transmitir la trama.
Los números de la Figura 31-8 corresponden a los cinco pasos de la lista, mostrando gráficamente el mismo
proceso de encapsulación.
Figura 31-8 Cinco pasos de la encapsulación de datos
Datos
1. Aplicación
TCP Datos
2. Transporte
3. Internet
IP TCP Datos
Red
4. LH IP TCP Datos LT Acceda a
Bits de transmisión
5.
NOTA: Las letras LH y LT significan cabecera de enlace y remolque de enlace,

respectivamente, y se refieren a la cabecera y al remolque de la capa de enlace de datos.
Día 31 13
Iconos de red
Para interpretar los diagramas o topologías de red, debe entender los símbolos o iconos utilizados
para representar los diferentes dispositivos y medios de red. Los iconos de la Figura 31-9 son los
símbolos de red más comunes en los estudios CCNA.
Figura 31-9 Iconos de red
Punto de
accesoPortátilServidorTeléfono IP
RouterSwitch Conmutador de HubBridge

capa 3
Cable (Varios)
Línea de Circuito WAN Ethernet Inalámbrico
serie virtual
SDN ASA Cortafuegos

IPS
ControllervSwitch
Nube de red Módem por DSLAM

cable
Disposi
tivos
En las redes cableadas actuales, los conmutadores se utilizan casi exclusivamente para conectar
dispositivos finales a una única LAN. Ocasionalmente, se puede ver un concentrador que conecte
dispositivos finales, pero los concentradores son realmente dispositivos heredados. A continuación se
exponen las diferencias entre un concentrador y un conmutador:
■
Los hubs solían elegirse como dispositivos intermedios dentro de redes LAN muy pequeñas, en las
que el uso del ancho de banda no era un problema o las limitaciones de coste eran un factor. En
las redes actuales, los conmutadores han sustituido a los hubs.
■
Los conmutadores sustituyeron a los concentradores como dispositivos intermediarios de las
redes de área local (LAN) porque un conmutador puede segmentar los dominios de colisión y
proporcionar una mayor seguridad.
Interruptores
A la hora de elegir un interruptor, estos son los principales factores a tener en cuenta:
■
Coste: El coste viene determinado por el número y el tipo de puertos, las capacidades de
gestión de la red, las tecnologías de seguridad integradas y las tecnologías de conmutación
avanzadas opcionales.
■
Características de la interfaz: El número de puertos debe ser suficiente tanto para el momento
actual como para futuras ampliaciones. Otras características son las velocidades de enlace
ascendente, una mezcla de UTP y fibra, y la modularidad.
■
Capa de red jerárquica: Los conmutadores de la capa de acceso tienen requisitos diferentes
a los de las capas de distribución o núcleo.
Conmutadores de la capa de acceso

Los conmutadores de capa de acceso facilitan la conexión de los dispositivos finales a la red. Las
características de los conmutadores de la capa de acceso son las siguientes:
■
Seguridad portuaria
■
VLANs
■
Fast Ethernet/Gigabit Ethernet
■
Alimentación a través de Ethernet (PoE)
■
Agregación de enlaces
■
Calidad de servicio (QoS)
Conmutadores de la capa de distribución

Los switches de la capa de distribución reciben los datos de los switches de la capa de acceso y los
reenvían a los switches de la capa central. Las características de los conmutadores de la capa de
distribución son las siguientes:
■
Soporte de capa 3
■
Alta tasa de reenvío
■
Gigabit Ethernet/10 Gigabit Ethernet
■
Componentes redundantes
■
Políticas de seguridad/listas de control de acceso
■
■
QoS
Conmutadores de la capa central

Los conmutadores de capa central conforman la red troncal y son los responsables de gestionar la
mayor parte de los datos de una LAN conmutada. Las características de los conmutadores de la capa
central son las siguientes:
■
Soporte de capa 3
■
Tasa de reenvío muy alta
■
Gigabit Ethernet/10 Gigabit Ethernet
Día 31 15
■
Componentes redundantes
■
■
QoS
Routers
Los routers son los principales dispositivos que se utilizan para interconectar las redes (LAN, WAN y
WLAN). A la hora de elegir un router, los principales factores a tener en cuenta son los siguientes:
■
Capacidad de ampliación: Proporciona flexibilidad para añadir nuevos módulos a medida que cambian
las necesidades.
■
Medios: Determina el tipo de interfaces que debe soportar el router para las distintas
conexiones de red.
■
Características del sistema operativo: Determina la versión de IOS cargada en el router.
Diferentes versiones de IOS soportan diferentes conjuntos de características. Las características a
tener en cuenta son la seguridad, la QoS, la VoIP y la complejidad del enrutamiento, entre otras.
La Figura 31-10 muestra un router Cisco 4321, que proporciona las siguientes conexiones:
■
Puertos de consola: Dos puertos de consola para la configuración inicial, utilizando un puerto RJ-45
normal y un conector USB Tipo-B (mini-B USB).
■
Puerto AUX: Un puerto RJ-45 para el acceso a la gestión remota.
■
Interfaces LAN: Dos interfaces Gigabit Ethernet para el acceso a la LAN (G0/0/0 y
G0/0/1). Si se utiliza el puerto RJ-45 G0/0/0, no se puede utilizar el puerto de factor de
forma pequeño (SFP). Los servicios WAN se proporcionarían entonces a través de una tarjeta
de expansión en las ranuras del módulo de interfaz de red (NIM).
■
Ethernet WAN: El otro puerto físico G0/0/0, un puerto SFP que soportaría varias
conexiones Ethernet WAN, normalmente de fibra. Si se utiliza, el puerto RJ-45 Gi0/0 se
desactiva.
■
Ranuras NIM: Dos ranuras que admiten diferentes tipos de módulos de interfaz, incluidos los de
serie (mostrados en la Figura 31-10), de línea de abonado digital (DSL), de puerto de
conmutación e inalámbricos.
Figura 31-10 Placa base del router de servicios integrados (ISR) Cisco 4321
Activado/desactivado Aux
Ranuras NIM
G0/0/12
USB RS-45
Consola
G0/0/0
(RJ-45 o SFP)
NIM serie de 2 puertos
Dispositivos especiales
Los conmutadores y routers constituyen la columna vertebral de una red. Además, muchas redes
integran diversos dispositivos de red especializados.
Cortafuegos
Un cortafuegos es un dispositivo de red, basado en hardware o software, que controla el acceso a la red
de la organización. Este acceso controlado está diseñado para proteger los datos y los recursos de las
amenazas externas.
Las organizaciones implementan cortafuegos de software a través de un sistema operativo de
red (NOS), como los servidores Linux/UNIX, Windows y macOS. El cortafuegos se configura en
el servidor para permitir o bloquear determinados tipos de tráfico de red. Los cortafuegos de
hardware suelen ser dispositivos de red dedicados que pueden implementarse con poca
configuración.
La Figura 31-11 muestra un firewall stateful básico.
Figura 31-11 La función de un cortafuegos
Solicitud inicial
Internet
PC Cambia Router Cortafuegos
Respuesta
Bloque Solicitud inicial
Internet
PC Cambia Router Cortafuegos
Un cortafuegos de estado permite que el tráfico se origine en una red interna de confianza y salga a una
red no fiable, como Internet. El cortafuegos permite el tráfico de retorno desde la red no fiable a la red
fiable. Sin embargo, el cortafuegos bloquea el tráfico que se origina en una red no fiable.
Día 31 17
IDS e IPS
Tanto los sistemas de detección de intrusos (IDS) como los sistemas de prevención de intrusos
(IPS) pueden reconocer los ataques a la red; se diferencian principalmente en su ubicación en la red.
Un dispositivo IDS recibe una copia del tráfico a analizar. Un dispositivo IPS se coloca en línea con el
tráfico, como muestra la Figura 31-12.
Figura 31-12 Comparación de IPS e IDS
Atacante
Despliegue de IPS activo
Internet Red de campus
RouterFirewallIPS SensorSwitch
Atacante
Despliegue de IDS pasivos

Cambia
Red de campus
Internet
RouterFirewall
Sensor IDS
Un IDS es un sistema de detección pasiva. Puede detectar la presencia de un ataque, registrar la

información y enviar una alerta.
Un IPS tiene la misma funcionalidad que un IDS, pero además, un IPS es un dispositivo activo que
escanea continuamente la red, buscando actividad inapropiada. Puede cerrar cualquier amenaza
potencial. El IPS busca cualquier firma conocida de ataques comunes e intenta automáticamente
prevenir esos ataques.
Cortafuegos de nueva generación

Aunque el término de próxima generación en relación con los cortafuegos ha existido al menos
desde principios de la década de 2010, puede ser engañoso. Los cortafuegos de nueva generación
(NGFW) o los IPS de nueva generación (NGIPS) son en realidad lo que Cisco vende actualmente en
sus líneas de productos Cisco Adaptative Security Appliance (ASA) y Firepower. No deje de visitar
www.cisco.com/go/firewalls para obtener más información sobre las ofertas actuales de
cortafuegos de Cisco.
Un NGFW suele tener las siguientes características:

■
Cortafuegos tradicional: Un NGFW realiza funciones de cortafuegos tradicionales, como el
filtrado de cortafuegos con estado, NAT/PAT y la terminación de VPN.
■
Visibilidad y control de aplicaciones (AVC): AVC hace posible mirar en profundidad los
datos de la capa de aplicación para identificar la aplicación y así defenderse de los ataques
que utilizan números de puerto aleatorios.
■
Protección avanzada contra el malware (AMP): AMP puede bloquear las transferencias
de archivos que instalarían malware y guardar copias de los archivos para su posterior
análisis.
■
Filtrado de localizadores uniformes de recursos (URL): El filtrado de URLs examina las
URLs en cada solicitud web, categoriza las URLs, y filtra o limita la tasa de tráfico basado en
reglas. El grupo de seguridad Cisco Talos supervisa y crea puntuaciones de reputación para cada
dominio conocido en Internet, y el filtrado de URL puede utilizar esas puntuaciones en sus
decisiones para categorizar, filtrar o limitar la tasa.
■
NGIPS: Los productos NGFW de Cisco también pueden ejecutar su función NGIPS junto con el
cortafuegos, como se muestra en la Figura 31-13.
Figura 31-13 NGFW con módulo NPIPS
Talos
Internet
NGIPS Y NGFW
Puntos de acceso y controladores de LAN inalámbrica

Las redes LAN inalámbricas (WLAN) se utilizan habitualmente en las redes. Los usuarios esperan poder
conectarse sin problemas cuando se desplazan de un lugar a otro dentro de una casa, una pequeña
empresa o una red de campus empresarial. Para permitir esta conectividad, los administradores de red
gestionan una colección de puntos de acceso inalámbricos (AP) y controladores de LAN inalámbrica
(WLC).
En las redes pequeñas, los AP se suelen utilizar cuando un router ya proporciona servicios de capa 3,
como en la Figura 31-14.
Día 31 19
Figura 31-14 Red pequeña con un AP

PortátilSmartphone
Punto de acceso inalámbrico
DSL
Módem
Proveedor de servicios de Internet
Cambia
Router
PC
Un AP tiene un puerto Ethernet que le permite conectarse a un puerto de conmutación. En una

red doméstica o de pequeña oficina, un AP puede ser otro router inalámbrico con todos los
servicios de capa 3 desactivados: basta con conectar uno de los puertos de conmutación del AP a
uno de los puertos de conmutación del router inalámbrico.
Los AP también se utilizan cuando es necesario ampliar el área de cobertura de una WLAN
existente. En redes más grandes, se suele utilizar un controlador de LAN inalámbrica (WLC) para
gestionar varios AP, como en la Figura 31-15.
Figura 31-15 Ejemplo de implementación de un controlador de LAN inalámbrica

Controlador de LAN
inalámbrica
Punto de acceso ligero Punto de acceso ligero
Punto de acceso ligero
Punto de Punto de
acceso ligero acceso ligero
Los WLC pueden utilizar el antiguo Protocolo de Puntos de Acceso Ligeros (LWAPP) o el más
actual Control y Aprovisionamiento de Puntos de Acceso Inalámbricos (CAPWAP). Con un WLC, se
puede utilizar la agrupación de VLAN para asignar direcciones IP a los clientes inalámbricos a partir de
un conjunto de subredes IP y sus VLAN asociadas.
Capa física
Antes de que pueda producirse cualquier comunicación de red, debe establecerse una conexión física
por cable o inalámbrica. El tipo de conexión física depende de la configuración de la red. En las redes
más grandes, los conmutadores y los puntos de acceso suelen ser dos dispositivos separados y
dedicados. En una empresa muy pequeña (tres o cuatro empleados) o en una red doméstica, las
conexiones inalámbricas y por cable se combinan en un solo dispositivo e incluyen un método de
banda ancha para conectarse a Internet. Estos routers inalámbricos de banda ancha ofrecen un
componente de conmutación con múltiples puertos y un AP, que permite que los dispositivos
inalámbricos también se conecten. La Figura 31-16 muestra el panel posterior de un router de banda
ancha inalámbrico Cisco WRP500.
Figura 31-16 Router VPN Cisco RV160W Wireless-AC
Formularios y normas de los medios de comunicación en red

Existen tres formas básicas de medios de red:
■
Cable de cobre: Las señales son patrones de pulsos eléctricos.
■
Cable de fibra óptica: Las señales son patrones de luz.
■
Inalámbrico: Las señales son patrones de transmisiones de microondas.
Los mensajes se codifican y luego se colocan en el soporte. La codificación es el proceso de convertir

los datos en patrones de energía eléctrica, luminosa o electromagnética para que puedan ser
transportados en el soporte.
La Tabla 31-6 resume los tres medios de red más comunes en uso hoy en día.
Día 31 21
Tabla 31-6 Medios de

comunicación en red Técnica de codificación de tramasMétodos
de señalización
Medios físicos
Componentes
Cable de
Codificación Manchester Cambios en el campo
cobreUTP electromagnético.
Técnicas de no retorno a cero
Conectores (NRZ) Intensidad del campo
electromagnético.
coaxiales Códigos 4B/5B utilizados con la
señalización de nivel de transición Fase de la onda
NIC multinivel 3 (MLT-3) electromagnética.
Puertos 8B/10B
Interfaces PAM5 Un pulso es
Cable de fibra óptica Fibra
monomodal Pulsos de luz igual a 1. Sin
Fibra Multiplexación de longitudes pulso es 0.

de onda utilizando diferentes
multimodo colores
Conectores NIC
Interfaces
Láseres y LEDs
Fotorreceptores
Puntos de acceso inalámbrico Ondas de radio.
Espectro ensanchado de
NICs
secuencia directa (DSSS)
Antenas
Multiplexación por división de
de radio frecuencia ortogonal (OFDM)
Cada tipo de soporte tiene ventajas y desventajas. A la hora de elegir el medio, hay que tener en cuenta
cada uno de los siguientes aspectos:
■
Longitud del cable: ¿Es necesario que el cable atraviese una habitación o vaya de un edificio a otro?
■
El coste: ¿El presupuesto permite utilizar un tipo de soporte más caro?
■
Ancho de banda: ¿La tecnología utilizada con los medios de comunicación proporciona un ancho de
banda adecuado?
■
Facilidad de instalación: ¿Tiene el equipo de implantación la capacidad de instalar el cable o es
necesario recurrir a un proveedor?
■
Susceptible a EMI/RFI: ¿Interferirá el entorno local con la señal?
La Tabla 31-7 resume los estándares de medios para el cableado de las redes LAN.
Tabla 31-7 Estándar de medios, longitud de cable y ancho de banda

Tipo de Ethernet Ancho de Tipo de cable Distancia máxima
banda
10BASE-T 10 Mbps Cat3/Cat5 UTP 100 m
100BASE-TX 100 Mbps Cat5 UTP 100 m
100BASE-TX 200 Mbps Cat5 UTP 100 m
100BASE-FX 100 Mbps Fibra multimodo 400 m
100BASE-FX 200 Mbps Fibra multimodo 2 km
1000BASE-T 1 Gbps Cat5e UTP 100 m
1000BASE-TX 1 Gbps Cat6 UTP 100 m
1000BASE-SX 1 Gbps Fibra multimodo 550 m
1000BASE-LX 1 Gbps Fibra monomodo 2 km
10GBASE-T 10 Gbps Cat6a/Cat7 UTP 100 m
10GBASE-SX4 10 Gbps Fibra multimodo 550 m
10GBASE-LX4 10 Gbps Fibra monomodo 2 km
Pautas de conexión de dispositivos LAN

Los dispositivos finales son equipos que son la fuente original o el destino final de un mensaje.
Los dispositivos intermedios conectan los dispositivos finales a la red para ayudar a llevar un mensaje
desde el dispositivo final de origen hasta el dispositivo final de destino.
La conexión de dispositivos en una LAN suele realizarse con cableado de par trenzado no apantallado
(UTP). Aunque muchos dispositivos nuevos disponen de una función de cruce automático que
permite conectar un cable directo o cruzado, es necesario conocer las siguientes reglas básicas:
Utilice cables rectos para las siguientes conexiones:
■
Conmutar al puerto Ethernet del router
■
Ordenador para cambiar
■
Ordenador al centro
Utilice cables cruzados para las siguientes conexiones:

■
Cambiar por cambiar
■
Cambiar a hub
■
De centro a centro
■
De router a router (puertos Ethernet)
■
De ordenador a ordenador
■
Puerto Ethernet del ordenador al router
Día 31 23
Redes LAN y WAN

Una red de área local (LAN) es una red de ordenadores y otros componentes situados relativamente
cerca en un área limitada. El tamaño de las LAN puede variar mucho, desde un ordenador conectado a
un router en una oficina doméstica hasta cientos de ordenadores en una oficina corporativa. Sin
embargo, en general, una LAN abarca un área geográfica limitada. Los componentes fundamentales de
una LAN son los siguientes:
■
Ordenadores
■
Interconexiones (NICs y los medios de comunicación)
■
Dispositivos de red (hubs, switches y routers)
■
Protocolos (Ethernet, IP, ARP, DHCP, DNS, etc.)
Una red de área amplia (WAN) suele conectar LANs que están separadas geográficamente. Un conjunto
de LANs conectadas por una o más WANs se denomina red interna; así tenemos Internet. El término
intranet se utiliza a menudo para referirse a una conexión privada de LANs y WANs.
Dependiendo del tipo de servicio, la conexión a la WAN funciona normalmente de una de las siguientes
maneras:
■
Conexión en serie de 60 pines a una CSU/DSU (heredada)
■
Conexión del controlador RJ-45 T1 a una CSU/DSU (heredada)
■
Conexión RJ-11 a un módem telefónico o DSL
■
Conexión coaxial por cable a un módem por cable
■
Conexión de fibra Ethernet al conmutador del proveedor de servicios
Pequeña oficina/oficina en casa (SOHO)

Con el creciente número de trabajadores remotos, las empresas tienen una necesidad cada vez mayor de
formas seguras, fiables y rentables de conectar a las personas que trabajan en pequeñas oficinas u
oficinas domésticas (SOHO) o en otras ubicaciones remotas con los recursos de los sitios corporativos.
En el caso de los trabajadores SOHO, esto se suele hacer a través de una conexión por cable o DSL,
como se muestra en la Figura 31-17.
Figura 31-17 Conexiones SOHO a Internet
Cable Ethernet CATV

Cable
Internet
Inalámbrico DSL
Entre las tecnologías de conexión remota para apoyar a los teletrabajadores se encuentran las siguientes:
■
Tecnologías WAN privadas tradicionales, como Frame Relay, ATM y líneas alquiladas, aunque estas
tecnologías se consideran ahora heredadas
■
Acceso remoto y seguro a la red privada virtual (VPN) mediante una conexión de banda ancha a
través de la Internet pública
Los componentes necesarios para la conectividad del teletrabajador son los siguientes
■
Componentes de la oficina en casa: Ordenador, acceso de banda ancha (cable o DSL) y un
router VPN o un software cliente VPN instalado en el ordenador
■
Componentes corporativos: Enrutadores con capacidad VPN, concentradores VPN,
dispositivos de seguridad multifunción, autenticación y dispositivos de gestión central para la
agregación y terminación resistente de las conexiones VPN
Routers SOHO
La puerta de entrada a Internet para una SOHO suele ser un router multifunción integrado. Los
routers SOHO tienen las siguientes características:
■
Utilizan Internet y la tecnología VPN para sus conexiones WAN para enviar datos de ida y vuelta al
resto de la empresa.
■
Utilice un dispositivo multifunción que gestione el enrutamiento, la conmutación LAN, la VPN,
la conexión inalámbrica y otras funciones, como se muestra en la Figura 31-18.
Figura 31-18 Funciones internas de un router SOHO
Funciones
internas del
router SOHO
Punto de acceso
UTP
CATV
Cable
ISP/Internet
UTP R1UTP
UTP RouterMódem por cable
Cambia
En realidad, el punto de acceso y el conmutador están integrados en el router.
Topologías físicas y lógicas

Los diagramas de red suelen denominarse topologías. Una topología muestra gráficamente los métodos de
interconexión utilizados entre los dispositivos.
Las topologías físicas se refieren a la disposición física de los dispositivos y a la forma en que están
cableados. Existen siete topologías físicas básicas (véase la Figura 31-19).
Día 31 25
Figura 31-19 Topologías físicas
Anillo
Point-to-PointMesh
Estrella
Malla BusParcial
Estrella extendida
Las topologías lógicas se refieren a la forma en que una señal viaja de un punto a otro de la red y
están determinadas en gran medida por el método de acceso: determinista o no determinista. Ethernet
es un método de acceso no determinista. Lógicamente, Ethernet funciona como una topología de bus.
Sin embargo, las redes Ethernet están casi siempre diseñadas físicamente como topologías de
estrella o estrella extendida.
Otros métodos de acceso utilizan un método de acceso determinista. Token Ring y Fiber Distributed
Data Interface (FDDI) funcionan lógicamente como topologías de anillo, pasando los datos de una
estación a la siguiente. Aunque estas redes pueden diseñarse como anillos físicos, como Ethernet, a
menudo se diseñan como topologías de estrella o estrella extendida. Sin embargo, lógicamente funcionan
como topologías de anillo.
Diseños de campus jerárquicos

El diseño jerárquico del campus implica la división de la red en capas discretas. Cada capa proporciona
funciones específicas que definen su papel dentro de la red global. Al separar las distintas funciones que
existen en una red, el diseño de ésta se vuelve modular, lo que facilita la escalabilidad y el rendimiento.
El modelo de diseño jerárquico se divide en tres capas:
■
Capa de acceso: Proporciona acceso local y remoto a los usuarios
■
Capa de distribución: Controla el flujo de datos entre las capas de acceso y núcleo
■
Capa central: Actúa como la red troncal redundante de alta velocidad
La Figura 31-20 muestra un ejemplo de diseño de red de campus jerárquico de tres niveles.
Figura 31-20 Diseño de campus de tres niveles

Edificio 1Edificio2
A11 A21
D11 Núcleo1 D21

A12A22
A13 A23
D12Core2D22
A14 A24
D31 D32
A31 A32 A33 A34
Edificio 3
En las redes más pequeñas, el núcleo se suele colapsar en la capa de distribución para un diseño de dos
niveles, como en la Figura 31-21.
Figura 31-21 Diseño de campus de dos niveles
A la WAN
R1 R2
2 x 10 GbE
Capa de
2 interruptores de distribución
distribución
D1 D1
Enlaces ascendentes
GigE GigE
40 InterruptoresCapa de
de acceso
A1 A2 ..... A39 A40
acceso
10/100/1000 10/100/1000 10/100/1000 10/100/1000 ≈ 1000 PCs

Día 31 27
Un diseño de dos niveles resuelve dos grandes necesidades de diseño:

■
Proporciona un lugar para conectar los dispositivos de los usuarios finales (la capa de acceso, con conmutadores
de acceso)
■
Conecta los conmutadores con un número razonable de cables y puertos de conmutación
conectando los 40 conmutadores de acceso a dos conmutadores de distribución
En el caso de las redes muy pequeñas y las redes domésticas, los tres niveles pueden verse en un solo
dispositivo, como el router de banda ancha inalámbrica mostrado anteriormente en la Figura 31-16.
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Recursos Módulo o capítulo

Introducción a las redes v7 1
3
4
Guía oficial del CCNA 200-301, volumen 1 1
2
3
5
15
26
13
Guía del mando portátil 6
Esta página se ha dejado intencionadamente en blanco
Conmutación Ethernet

■
■
Describir los conceptos de conmutación
Temas clave
Hoy repasamos los conceptos en los que se basa la conmutación de Ethernet, incluyendo la historia
del desarrollo de la conmutación, cómo funciona realmente la conmutación y la variedad de
características de los conmutadores. También repasaremos los detalles del funcionamiento de
Ethernet.
Evolución a la conmutación
Las redes LAN actuales utilizan casi exclusivamente conmutadores para interconectar los dispositivos
finales; sin embargo, no siempre fue así. Al principio, los dispositivos se conectaban a un bus físico, un
largo tramo de cableado troncal coaxial. Con la introducción de 10BASE-T y el cableado UTP, el hub
ganó popularidad como una forma más barata y sencilla de conectar dispositivos. Pero incluso 10BASE-
T con hubs tenía las siguientes limitaciones:
■
Una trama enviada desde un dispositivo puede colisionar con una trama enviada por otro
dispositivo conectado a ese segmento LAN. Los dispositivos estaban en el mismo dominio de
colisión compartiendo el ancho de banda.
■
Las emisiones enviadas por un dispositivo eran escuchadas y procesadas por todos los
demás dispositivos de la LAN. Los dispositivos estaban en el mismo dominio de difusión. Al
igual que los concentradores, los conmutadores reenvían las tramas de difusión por todos los
puertos excepto por el puerto entrante.
Pronto se desarrollaron los puentes Ethernet para resolver algunos de los problemas inherentes
a una LAN compartida. Un puente básicamente segmentaba una LAN en dos dominios de colisión,
lo que reducía el número de colisiones en un segmento de la LAN. Esto aumentó el rendimiento de
la red al disminuir el tráfico innecesario de otro segmento.
Cuando los conmutadores llegaron a la escena, estos dispositivos ofrecían las mismas ventajas que los
puentes, además de las siguientes:
■
Un mayor número de interfaces para dividir el dominio de colisión en más segmentos
■
Conmutación basada en hardware en lugar de utilizar software para tomar la decisión
En una LAN en la que todos los nodos están conectados directamente al conmutador, el rendimiento de
la red aumenta de forma espectacular. Con cada ordenador conectado a un puerto independiente del
conmutador, cada uno se encuentra en un dominio de colisión independiente y tiene su propio
segmento dedicado:
■
Ancho de banda dedicado a cada puerto
■
Entorno sin colisiones
■
Funcionamiento full-duplex
Lógica de conmutación
Los conmutadores Ethernet reenvían selectivamente tramas individuales desde un puerto de
recepción al puerto donde está conectado el nodo de destino. Durante este instante, el conmutador
crea una conexión lógica punto a punto de ancho de banda completo entre los dos nodos.
Los conmutadores crean esta conexión lógica basándose en las direcciones de control de acceso al medio
(MAC) de origen y destino de la cabecera Ethernet. Específicamente, el trabajo principal de un
conmutador LAN es recibir tramas Ethernet y luego tomar la decisión de reenviar la trama o ignorarla.
Para lograr esto, el switch realiza tres acciones:
Paso 1. Decide cuándo reenviar una trama o cuándo filtrar (no reenviar) una trama, basándose en
la dirección MAC de destino
Paso 2. Aprende las direcciones MAC examinando la dirección MAC de origen de cada trama
que recibe el switch
Paso 3. Crea un entorno libre de bucles (capa 2) con otros conmutadores mediante el protocolo
de árbol de expansión (STP)
Para tomar la decisión de reenviar o filtrar, el conmutador utiliza una tabla de direcciones MAC
construida dinámicamente y almacenada en la memoria RAM. Comparando la dirección MAC de
destino de la trama con los campos de la tabla, el conmutador decide cómo reenviar y/o filtrar la
trama.
Por ejemplo, en la Figura 30-1, el switch recibe una trama del Host A con la dirección MAC de
destino OC. El conmutador busca en su tabla MAC, encuentra una entrada para la dirección MAC y
reenvía la trama por el puerto 6. El conmutador también filtra la trama al no reenviarla por ningún
otro puerto, incluyendo el puerto en el que se recibió la trama.
Figura 30-1 Reenvío de conmutadores basado en la dirección MAC
1 6
Dirección MAC PUER

A C TO
OA 1
OB 3
B D OC 6
OD 9
Marco Preámbulo Dirección de destino Dirección de la Tipo Datos Pad CRC

fuente
OC OA
Además de reenviar y filtrar las tramas, el conmutador actualiza la marca de tiempo de la dirección
MAC de origen de la trama. En la Figura 30-1, la dirección MAC del Host A, OA, ya está en la tabla
MAC, por lo que el switch actualiza la entrada. Las entradas que no se actualizan eventualmente se
eliminan (después de los 300 segundos por defecto en Cisco IOS).
Día 30 31
Continuando con el ejemplo de la Figura 30-1, suponga que otro dispositivo, el Host E, está conectado al
puerto 10. El Host B envía una trama al nuevo Host E. El switch no sabe todavía dónde está el Host E,
por lo que reenvía la trama a todos los puertos activos (en un proceso conocido como flooding). El
anfitrión B envía una trama al nuevo anfitrión E. El conmutador aún no sabe dónde se encuentra el
anfitrión E, por lo que reenvía la trama a todos los puertos activos (en un proceso conocido como
inundación) excepto al puerto en el que se recibió la trama. El nuevo Host E recibe la trama. Cuando
responde al Host B, el switch aprende la dirección MAC y el puerto del Host E por primera vez y lo
almacena en la tabla de direcciones MAC. Las siguientes tramas destinadas al host E se envían sólo por
el puerto 10.
Por último, los conmutadores LAN deben disponer de un método para crear una ruta libre de bucles
para las tramas dentro de la LAN. El STP permite evitar los bucles en las redes Ethernet en las que
existen enlaces físicos redundantes.
Dominios de colisión y difusión

Un dominio de colisión es el conjunto de interfaces LAN cuyas tramas podrían colisionar entre sí.
Todos los entornos de medios compartidos, como los creados por el uso de concentradores, son
dominios de colisión. Cuando un host se conecta a un puerto de conmutación, el conmutador crea una
conexión dedicada, eliminando así la posibilidad de colisión. Los conmutadores reducen las
colisiones y mejoran el uso del ancho de banda en los segmentos de la red porque proporcionan un
ancho de banda dedicado y full-duplex a cada segmento de la red.
Sin embargo, un conmutador no puede aliviar el tráfico de difusión. Un conjunto de conmutadores
conectados forma un gran dominio de difusión. Si una trama con la dirección de destino FFFF.
FFFF.FFFF atraviesa un puerto de un conmutador, ese conmutador debe inundar la trama hacia todos
los demás puertos activos. Cada dispositivo conectado debe entonces procesar la trama de difusión al
menos hasta la capa de red. Los routers y las VLAN se utilizan para segmentar los dominios de
difusión. El día 26, "Conceptos y configuraciones de VLAN y Trunking", revisa el uso de las VLAN
para segmentar los dominios de broadcast.
Reenvío de tramas
Los conmutadores funcionan de varias maneras para reenviar las tramas. Pueden diferir en los métodos
de reenvío, las velocidades de los puertos, el almacenamiento en memoria y las capas OSI utilizadas
para tomar la decisión de reenvío. En las siguientes secciones se discuten estos conceptos con mayor
detalle.
Métodos de reenvío de conmutación

Los conmutadores utilizan uno de los siguientes métodos de reenvío para conmutar los datos entre los puertos
de la red:
■
Conmutación de almacenamiento y reenvío: el conmutador almacena las tramas recibidas en sus
búferes, analiza cada trama para obtener información sobre el destino y evalúa la integridad de los
datos mediante la comprobación de redundancia cíclica (CRC) en el tráiler de la trama. Se
almacena toda la trama y se calcula el CRC antes de reenviar cualquier parte de la trama. Si el
CRC es correcto, la trama se reenvía al destino.
■
Conmutación de paso: el conmutador almacena en la memoria intermedia lo suficiente de la
trama para leer la dirección MAC de destino y así poder determinar a qué puerto reenviar los
datos. Cuando el conmutador determina una coincidencia entre la dirección MAC de destino y
una entrada de la tabla de direcciones MAC, la trama se reenvía al puerto o puertos adecuados.
Esto ocurre mientras se sigue recibiendo el resto de la trama inicial. El conmutador no realiza
ninguna comprobación de errores en la trama.
■
Modo sin fragmentos: El switch espera a que pase la ventana de colisión (64 bytes) antes de
reenviar la trama. Esto significa que cada trama se comprueba en el campo de datos para
asegurarse de que no se ha producido ninguna fragmentación. El modo libre de fragmentos
proporciona una mejor comprobación de errores que el cut-through, sin aumentar
prácticamente la latencia.
Conmutación simétrica y asimétrica

La conmutación simétrica proporciona conexiones conmutadas entre puertos con el mismo ancho
de banda, como todos los puertos de 100 Mbps o todos los puertos de 1000 Mbps. Un conmutador
LAN asimétrico proporciona conexiones conmutadas
conexiones entre puertos de diferente ancho de banda, como una combinación de puertos de 10-Mbps,
100-Mbps y 1000-Mbps.
Buffering de memoria
Los conmutadores almacenan las tramas durante un breve periodo de tiempo en una memoria intermedia. Existen
dos métodos de almacenamiento en memoria intermedia:
■
Memoria basada en puertos: Las tramas se almacenan en colas vinculadas a puertos de entrada
específicos.
■
Memoria compartida: Las tramas se depositan en un buffer de memoria común que
comparten todos los puertos del switch.
Conmutación de nivel 2 y 3
Un conmutador LAN de capa 2 realiza la conmutación y el filtrado basándose únicamente en las
direcciones MAC. Un conmutador de capa 2 es completamente transparente para los protocolos de red
y las aplicaciones de usuario. Un conmutador de Capa 3 funciona de forma similar a un conmutador de
Capa 2. Pero en lugar de utilizar sólo la información de la dirección MAC de Capa 2 para las decisiones
de reenvío, el conmutador de Capa 3 se basa en las direcciones MAC. Pero en lugar de utilizar sólo la
información de la dirección MAC de capa 2 para las decisiones de reenvío, un conmutador de capa 3
también puede utilizar la información de la dirección IP. Los conmutadores de Capa 3 también son
capaces de realizar funciones de enrutamiento de Capa 3, reduciendo la necesidad de routers dedicados
en una LAN. Dado que los conmutadores de capa 3 cuentan con un hardware de conmutación
especializado, normalmente pueden enrutar los datos con la misma rapidez con la que los conmutan.
Visión general de Ethernet

802.3 es el estándar IEEE para Ethernet, y los dos términos se suelen utilizar indistintamente. Los
términos Ethernet y 802.3 se refieren a una familia de estándares que definen conjuntamente las
capas física y de enlace de datos de la tecnología LAN definitiva. La Figura 30-2 muestra una
comparación de los estándares Ethernet con el modelo OSI.
Ethernet separa las funciones de la capa de enlace de datos en dos subcapas distintas:
■
Subcapa de Control de Enlace Lógico (LLC): Definida en el estándar 802.2
■
Subcapa de control de acceso al medio (MAC): Definida en el estándar 802.3
Día 30 33
Figura 30-2 Estándares de Ethernet y el modelo OSI

Especificación OSI LayersLAN
LLC
Subcapa IEEE 802.2
Capa de enlace de datos
(GigabitEthernet sobre cobre)

MAC
Token Ring/iEEE 802.6

Subcapa
Ethernet
(GigabitEthernet)
IEEE 802.3ab
IEEE 802.3z
IEEE 802.3u
(FastEthernet)
IEEE 802.3
(Ethernet)
FDDI
Capa física Capa
física de la comunicación entre la capa de red y la subcapa MAC. En general,
La subcapa LLC se encarga
LLC proporciona una forma de identificar el protocolo que se pasa de la capa de enlace de datos a la
capa de red. De este modo, los campos de la subcapa MAC no se rellenan con información sobre el
tipo de protocolo, como ocurría en anteriores implementaciones de Ethernet.
La subcapa MAC tiene dos responsabilidades principales:
■
Encapsulación de datos: Aquí se incluye el ensamblaje de tramas antes de la transmisión, el análisis
sintáctico de tramas tras la recepción de una trama, el direccionamiento MAC de la capa de
enlace de datos y la detección de errores.
■
Control de acceso al medio: Dado que Ethernet es un medio compartido y todos los
dispositivos pueden transmitir en cualquier momento, el acceso al medio se controla
mediante un método denominado Acceso Múltiple con Sentido de la Portadora/Detección
de Colisiones (CSMA/CD) cuando se opera en modo semidúplex.
En la capa física, Ethernet especifica e implementa esquemas de codificación y decodificación que
permiten transportar los bits de las tramas como señales a través de cables de cobre de par trenzado
no apantallado (UTP) y cables de fibra óptica. En las primeras implementaciones, Ethernet utilizaba
cableado coaxial.
Tecnologías Ethernet heredadas

La mejor manera de entender Ethernet es considerar primero las dos primeras especificaciones de
Ethernet, 10BASE-5 y 10BASE-2. Con estas dos especificaciones, el ingeniero de redes instala una
serie de cables coaxiales que conectan cada dispositivo de la red Ethernet, como en la Figura 30-3.
La serie de cables crea un circuito eléctrico, llamado bus, que se comparte entre todos los dispositivos
de la Ethernet. Cuando un ordenador quiere enviar algunos bits a otro ordenador del bus, envía una
señal eléctrica, y la electricidad se propaga a todos los dispositivos de la Ethernet.
Figura 30-3 Topología de bus físico y lógico de Ethernet
Topología
Física: Bus
Lógica: Bus
Con el cambio de medio a UTP y la introducción de los primeros hubs, las topologías
físicas de Ethernet migraron a una estrella, como se muestra en la Figura 30-4.
Figura 30-4 Topología de estrella física y bus lógico de Ethernet
Topología
Física: Estrella
Lógica: Bus
Hub
Independientemente del cambio en la topología física de un bus a una estrella, los hubs funcionan
lógicamente de forma similar a una topología de bus tradicional y requieren el uso de CSMA/CD.
CSMA/CD
Dado que Ethernet es un medio compartido en el que todos los dispositivos tienen derecho a enviar en
cualquier momento, también define una especificación para garantizar que sólo un dispositivo envíe
tráfico a la vez. El algoritmo CSMA/CD define cómo se accede al bus lógico de Ethernet.
La lógica CSMA/CD ayuda a evitar las colisiones y también define cómo actuar cuando se
produce una colisión. El algoritmo CSMA/CD funciona así:
Paso 1. Un dispositivo con una trama para enviar escucha hasta que la Ethernet
no esté ocupada. Paso 2. Cuando la Ethernet no está ocupada, el/los emisor/es
comienza/n a enviar la trama. Paso 3. El emisor o emisores escuchan para
asegurarse de que no se produce ninguna colisión.
Día 30 35
Paso 4. Si se produce una colisión, los dispositivos que estaban enviando una trama envían cada
uno una señal de interferencia para asegurarse de que todas las estaciones reconocen la
colisión.
Paso 5. Cuando la interferencia se ha completado, cada emisor aleatoriza un temporizador y
espera hasta que el temporizador expire antes de intentar reenviar la trama
colisionada.
Paso 6. Cuando cada temporizador aleatorio expira, el proceso comienza de nuevo desde el principio.
Cuando CSMA/CD está en funcionamiento, la tarjeta de interfaz de red (NIC) de un dispositivo

funciona en modo semidúplex, ya sea enviando o recibiendo tramas. CSMA/CD se desactiva cuando
una NIC detecta automáticamente que puede funcionar en modo full-duplex o se configura
manualmente para hacerlo. En modo full-duplex, una NIC puede enviar y recibir simultáneamente.
Resumen de la Ethernet heredada

Los concentradores LAN aparecen ocasionalmente, pero generalmente se utilizan conmutadores en
lugar de concentradores. Tenga en cuenta los siguientes puntos clave sobre la historia de Ethernet:
■
Las LAN Ethernet originales creaban un bus eléctrico al que se conectaban todos los dispositivos.
■
Los repetidores 10BASE-2 y 10BASE-5 ampliaron la longitud de las redes LAN limpiando la
señal eléctrica y repitiéndola (una función de capa 1), pero sin interpretar el significado de la
señal eléctrica.
■
Los hubs son repetidores que proporcionan un punto de conexión centralizado para el
cableado UTP, pero siguen creando un único bus eléctrico que comparten los distintos
dispositivos, al igual que con 10BASE-5 y 10BASE-2.
■
Dado que las colisiones pueden producirse en cualquiera de estos casos, Ethernet define el algoritmo
CSMA/CD, que indica a los dispositivos cómo evitar las colisiones y actuar cuando éstas se
producen.
Tecnologías Ethernet actuales

Consulte la Tabla 30-1 y observe los diferentes estándares 802.3. Cada nuevo estándar de capa física del
IEEE requiere muchas diferencias en la capa física. Sin embargo, cada uno de estos estándares de capa
física utiliza la misma cabecera 802.3, y cada uno utiliza también la subcapa superior LLC. La Tabla 30-
1 enumera los estándares de capa física de Ethernet del IEEE más utilizados en la actualidad.
Tabla 30-1 Tipos de Ethernet más comunes en la actualidad

Nombre Velocida Nombre Nombre de la Tipo de cable,
común d alternativo norma IEEE longitud máxima
Ethernet 10 Mbps 10BASE-T 802.3 Cobre, 100 m
Ethernet rápida 100 Mbps 100BASE-TX 802.3u Cobre, 100 m
Gigabit Ethernet 1000 Mbps 1000BASE-LX 802.3z Fibra, 550 m
Gigabit Ethernet 1000 Mbps 1000BASE-T 802.3ab Cobre, 100 m
10GigE (Gigabit Ethernet) 10 Gbps 10GBASE-T 802.3an Cobre, 100 m
10GigE (Gigabit Ethernet) 10 Gbps 10GBASE-S 802.3ae Fibra, 400 m
Cableado UTP
Los tres estándares de Ethernet más utilizados en la actualidad -10BASE-T (Ethernet),
100BASE-TX (Fast Ethernet o FE) y 1000BASE-T (Gigabit Ethernet o GE)- utilizan cableado UTP.
Existen algunas diferencias clave, sobre todo en cuanto al número de pares de hilos necesarios en cada
caso y al tipo (categoría) de cableado.
El cableado UTP de los estándares Ethernet más conocidos incluye dos o cuatro pares de hilos. Los
extremos del cable suelen utilizar un conector RJ-45. El conector RJ-45 tiene ocho ubicaciones físicas
específicas en las que se pueden insertar los ocho hilos del cable; se denominan posiciones de pines o,
simplemente, pines.
La Asociación de la Industria de las Telecomunicaciones (TIA) y la Alianza de la Industria Electrónica
(EIA) definen los estándares para el cableado UTP, con la codificación de colores para los hilos y los
pinouts estándar en los cables. La Figura 30-5 muestra dos estándares de pines de la TIA/EIA, con la
codificación de colores y los números de pares enumerados.
Figura 30-5 Cableado Ethernet estándar TIA/EIA

Pareja 2Pareja 3
Pareja 3 Pareja 1 Pareja 4

Pareja 2 Pareja 1 Pareja 4
Pinouts
1 = G/W Pinouts 1
2 = Verde = O/W
3 = O/W 2 = Naranja
4 = Azul 3 = G/W
5 = Azul/W 4 = Azul
12 34 5 678 5 = Azul/W
6 = Naranja 12345678
7= 6 = Verde
Marrón/W 7 = Marrón/W
8 = Marrón 8 = Marrón
T568A T568B
Para el examen, debes estar bien preparado para elegir qué tipo de cable (recto o cruzado) se
necesita en cada parte de la red. En resumen, los dispositivos situados en los extremos opuestos de un
cable que utilizan el mismo par de patillas para transmitir necesitan un cable cruzado. Los dispositivos
que utilizan un par de pines opuestos para transmitir necesitan un cable directo. La Tabla 30-2 enumera
los dispositivos típicos y los pares de pines que utilizan, asumiendo que usan 10BASE-T y
100BASE-TX.
Tabla 30-2 Pares de pines 10BASE-T y 100BASE-TX utilizados

Dispositivos que transmiten en
Dispositivos que transmiten en 3,6 y
1,2 y reciben en 3,6
reciben en 1,2
PC NICsHubs
RoutersInterruptores
Puntos de acceso inalámbricos (interfaces Ethernet)-
Impresoras en red (impresoras que se conectan
directamente a la LAN)
1000BASE-T requiere cuatro pares de cables porque Gigabit Ethernet transmite y recibe en cada
uno de los cuatro pares de cables simultáneamente.
Día 30 37
Sin embargo, Gigabit Ethernet tiene un concepto de cables directos y cruzados, con una pequeña
diferencia en los cables cruzados. La disposición de las clavijas de un cable recto es la misma: la
clavija 1 con la clavija 1, la clavija 2 con la clavija 2, y así sucesivamente.
Un cable cruzado tiene la norma 568A en un extremo y la norma 568B en el otro. Esto cruza los pares
en los pines 1,2 y 3,6.
Ventajas del uso de interruptores

Un dominio de colisión es un conjunto de dispositivos cuyas tramas pueden colisionar. Todos los
dispositivos de una red 10BASE-2, 10BASE-5 o de otra red que utilice un concentrador corren el
riesgo de que se produzcan colisiones entre las tramas que envían. Así, los dispositivos de uno de
estos tipos de redes Ethernet están en el mismo dominio de colisión y utilizan CSMA/CD para
detectar y resolver las colisiones.
Los conmutadores LAN reducen significativamente, o incluso eliminan, el número de colisiones en
una LAN. A diferencia de un concentrador, un conmutador no crea un único bus compartido. En
cambio, un conmutador hace lo siguiente:
■
Interpreta los bits de la trama recibida para poder enviar normalmente la trama por el puerto
requerido en lugar de por todos los demás puertos.
■
Si un conmutador necesita reenviar varias tramas por el mismo puerto, el conmutador almacena las
tramas en la memoria, enviándolas de una en una y evitando así las colisiones.
Además, los conmutadores con un solo dispositivo cableado a cada puerto del conmutador permiten el uso de
funcionamiento full-duplex. El funcionamiento full-duplex significa que la NIC puede enviar y
recibir simultáneamente, lo que duplica el ancho de banda de un enlace de 100 Mbps a 200 Mbps:
100 Mbps para enviar y 100 Mbps para recibir.
Estas características aparentemente sencillas de los conmutadores proporcionan importantes
mejoras de rendimiento en comparación con el uso de concentradores. En particular, considere
estos puntos:
■
Si sólo hay un dispositivo conectado a cada puerto de un conmutador, no pueden producirse colisiones.
■
Los dispositivos conectados a un puerto del switch no comparten su ancho de banda con los
dispositivos conectados a otro puerto del switch. Cada uno tiene su propio ancho de banda, lo
que significa que un switch con
Los puertos de 100 Mbps tienen 100 Mbps de ancho de banda por puerto.
Direccionamiento Ethernet
El IEEE define el formato y la asignación de las direcciones LAN. Para garantizar una dirección MAC
única, la primera mitad de la dirección identifica al fabricante de la tarjeta. Este código se denomina
identificador único de la organización (OUI). Cada fabricante asigna una dirección MAC con su propio
OUI como primera mitad de la dirección. La segunda mitad de la dirección es asignada por el fabricante
y nunca se utiliza en otra tarjeta o interfaz de red con el mismo OUI. La Figura 30-6 muestra la
estructura de una dirección Ethernet unicast.
Figura 30-6 Estructura de una dirección Ethernet Unicast
Identificador único de la organización

Proveedor
(OUI)
asignado (tarjetas NIC, interfaces)
Tamaño, en bits 24 Bits 24 Bits
Tamaño, en 6 dígitos hexadecimales 6 dígitos hexadecimales
dígitos 00 60 2F 3A 07 BC
hexadecimales
Ejemplo
Ethernet también tiene direcciones de grupo, que identifican más de una NIC o interfaz de red. El IEEE
define dos categorías generales de direcciones de grupo para Ethernet:
■
Direcciones de difusión: Una dirección de difusión implica que todos los dispositivos de la LAN
deben procesar la trama y tiene el valor FFFF.FFFF.FFFF.
■
Direcciones de multidifusión: Una dirección de multidifusión permite que un subconjunto de
dispositivos de una LAN se comunique. Cuando IP hace multidifusión en una red Ethernet, las
direcciones MAC de multidifusión que utiliza IP siguen este formato: 0100.5exx.xxxx. La parte
xx.xxxx se divide entre la multidifusión IPv4 (00:0000-7F.FFFF) y la multidifusión MPLS
(80:0000-8F:FFFF). La conmutación de etiquetas multiprotocolo (MPLS) es un tema del
CCNP.
Encuadre Ethernet
La capa física ayuda a llevar una cadena de bits de un dispositivo a otro. El encuadre de los bits permite
al dispositivo receptor interpretar los bits. El término "framing" se refiere a la definición del
campos que se supone que están en los datos que se reciben. El encuadre define el significado de los bits
transmitidos y recibidos a través de una red.
El marco utilizado para Ethernet ha cambiado un par de veces a lo largo de los años. La Figura 30-7
muestra cada iteración de Ethernet, con la versión actual mostrada en la parte inferior.
Figura 30-7 Formatos de trama Ethernet

DIX
Preámbul Destino 6 Fuente Tipo Datos y Pad 46 FCS
o8 6 2 - 1500 4
IEEE 802.3 (original)

Preámbul SFD Destino 6 Fuente Longit Datos y Pad 46 FCS
o7 1 6 ud 2 - 1500 4
IEEE 802.3 (revisado en 1997)
Preámbul SFD Destino 6 Fuente Longitu Datos y Pad 46 FCS

Bytes
Día 30 39
La Tabla 30-3 explica con más detalle los campos de la última versión mostrada en la Figura 30-7.
Tabla 30-3 Descripciones de campos de Ethernet IEEE 802.3

Campo Longitud del Descripción
campo, en
bytes
Preámbulo 7 Sincronización
Delimitador de inicio de trama 1 Significa que el siguiente byte comienza el
(SFD) campo MAC de destino
Dirección MAC de destino 6 Identifica al destinatario de esta trama
Dirección MAC de origen 6 Identifica el remitente de esta trama
Longitud 2 Define la longitud del campo de datos de la
trama (puede estar presente la longitud o el
tipo, pero no ambos)
Tipo 2 Define el tipo de protocolo que aparece dentro de
la trama (puede estar presente la longitud o el tipo,
pero no ambos)
Datos y Pad 46–1500 Contiene datos de una capa superior, normalmente
una PDU de capa 3 (genérica) y a menudo un
paquete IP
Secuencia de comprobación de 4 Proporciona un método para que la NIC receptora
tramas (FCS) determine si la trama experimentó errores de
transmisión
El papel de la capa física

Ya hemos hablado del cableado más popular utilizado en las redes LAN: UTP. Para entender bien el
funcionamiento de la red, hay que conocer algunos conceptos básicos adicionales de la capa física.
La capa física OSI acepta una trama completa de la capa de enlace de datos y la codifica como
una serie de señales que se transmiten al medio local.
La entrega de tramas a través del medio local requiere los siguientes elementos de la capa física:
■
Los soportes físicos y los conectores asociados
■
Una representación de bits en el soporte
■
Codificación de datos e información de control
■
Circuitos transmisores y receptores en los dispositivos de la red
Los datos se representan en tres formas básicas de soportes de red:

■
Cable de cobre
■
Fibra
■
Inalámbrico (IEEE 802.11)
Los bits se representan en el soporte cambiando una o varias de las siguientes características de
una señal:
■
Amplitud
■
Frecuencia
■
Fase
La naturaleza de las señales reales que representan los bits en el soporte depende del método de
señalización utilizado. Algunos métodos utilizan un atributo de una señal para representar un único 0 y
utilizan otro atributo de una señal para representar un único 1. El método de señalización real y su
funcionamiento detallado no son importantes para la preparación del examen CCNA.
Recursos de estudio

6
7
8
Fundamentos de la configuración de
los conmutadores

■
Identificar los problemas de la interfaz y del cable (colisiones, errores, dúplex y/o velocidad inadecuados)
■
Configurar y verificar el direccionamiento y la subred IPv4
Temas clave
Hoy revisamos los fundamentos de Cisco IOS y los comandos necesarios para realizar una
configuración inicial básica de un switch. Aunque no se menciona explícitamente en los temas del
examen, puedes esperar ver preguntas que asumen que tienes esta habilidad. Revisamos las técnicas de
verificación como los comandos ping, traceroute y show. Y repasamos los problemas de la interfaz y
los cables.
Acceso y navegación por el IOS de Cisco

A estas alturas, ya está muy familiarizado con la conexión a los dispositivos Cisco y la configuración de
los mismos mediante la interfaz de línea de comandos (CLI). Aquí repasamos rápidamente los métodos
para acceder y navegar por la CLI.
Conexión a dispositivos Cisco

Puede acceder a un dispositivo directamente o desde una ubicación remota. En la Figura 29-1 se
muestran las múltiples formas de conectarse a los dispositivos Cisco.
Las dos formas de configurar los dispositivos Cisco son las siguientes:
■
Terminal de consola: Utilice un cable de rollover RJ-45 a RJ-45 y un ordenador con el
software de comunicaciones de terminal (como HyperTerminal o Tera Term) para establecer
una conexión directa. Opcionalmente, puede conectar un cable mini-USB al puerto de
consola mini-USB, si está disponible.
■
Terminal remoto: Utilice un módem externo conectado al puerto auxiliar (sólo routers) para
configurar el dispositivo de forma remota.
Una vez configurado un dispositivo, se puede acceder a él mediante tres métodos adicionales:
■
Establezca una sesión de terminal (vty) utilizando Telnet.
■
Configure el dispositivo a través de la conexión actual (consola o auxiliar) o descargue un
archivo de configuración de inicio previamente escrito desde un servidor de protocolo de
transferencia de archivos triviales (TFTP) en la red.
■
Descargue un archivo de configuración utilizando una aplicación de software de gestión de red.
Figura 29-1 Fuentes para la configuración de dispositivos Cisco
Telnet
Interfaces
Puerto de la consola Terminal virtual
TFTP
Puerto auxiliar (sólo router)
PC o servidor UNIX
Servidor de gestión web o de red
Sesiones CLI EXEC

Cisco IOS separa la sesión EXEC en dos niveles básicos de acceso:
■
Modo EXEC de usuario: Acceso sólo a un número limitado de comandos básicos de
supervisión y solución de problemas, como show y ping
■
Modo EXEC Privilegiado: Acceso completo a todos los comandos del dispositivo,
incluyendo la configuración y la gestión
Uso del servicio de ayuda

Cisco IOS cuenta con amplias facilidades de ayuda en la línea de comandos, incluyendo la ayuda
sensible al contexto. Hay dos tipos de ayuda disponibles:
■
Ayuda de Word: Introduzca una secuencia de caracteres de un comando incompleto
seguida inmediatamente de un signo de interrogación (por ejemplo, sh? ) para obtener una
lista de comandos disponibles que comienzan con la secuencia de caracteres.
■
Ayuda sobre la sintaxis de los comandos: Introduzca el comando ? para obtener ayuda
sobre la sintaxis de los comandos y ver todos los argumentos disponibles para completar un
comando (por ejemplo, show ? ). Cisco IOS muestra entonces una lista de argumentos
disponibles.
Como parte del servicio de ayuda, Cisco IOS muestra mensajes de error en la consola cuando se
introduce una sintaxis de comando incorrecta. La Tabla 29-1 muestra ejemplos de mensajes de error, su
significado y cómo obtener ayuda.
Día 29 43
Tabla 29-1 Mensajes de error de la consola

Ejemplo de
SignificadoCómo obtener ayuda
mensaje de
error
switch# cl %
Comando ambiguo: No has introducido Vuelva a introducir el comando, seguido de un
"cl" suficientes caracteres para signo de interrogación (?), sin espacio entre el
que tu dispositivo reconozca comando y el signo de interrogación. Aparecen las
el comando. posibles palabras clave que puede introducir con
switch# clock % el comando.
Comando incompleto.
No ha introducido todas las Vuelva a introducir el comando, seguido de un
palabras clave o valores signo de interrogación (?), con un espacio entre el
switch# clock ste ^ % requeridos por este comando y el signo de interrogación.
Entrada inválida comando.
detectada en el Introduzca un signo de interrogación (?)
marcador '^'. Ha introducido el comando para mostrar todos los comandos o
de forma incorrecta. El signo parámetros disponibles.
de interrogación (^) marca el
punto del error.
Accesos directos de navegación y edición de la CLI

La Tabla 29-2 resume los accesos directos para navegar y editar comandos en la CLI. Aunque no se
evalúan específicamente en el examen CCNA, estos accesos directos pueden ahorrarle tiempo cuando
utilice el simulador durante el examen.
Tabla 29-2 Teclas de acceso rápido y

atajos Comando de tecladoQué sucede
Secuencias de teclas de navegación
Flecha arriba o Ctrl+PDMuestra el último comando utilizado. Si pulsa la secuencia
de nuevo, aparecerá el siguiente comando más reciente, hasta que se agote
el búfer del historial. (La P significa anterior).
Flecha hacia abajo o Ctrl+NAvanza a los comandos introducidos más recientemente, en caso de que tenga
se ha ido demasiado lejos en el buffer de la historia. (La N significa siguiente).
Flecha izquierda o Ctrl+B Mueveel cursor hacia atrás en el comando que se muestra actualmente sin
borrando caracteres. (La B significa "atrás").
Flecha derecha o Ctrl+FMueveel cursor hacia adelante en el comando que se muestra actualmente sin
borrando caracteres. (La F significa adelante).
TabCompletauna entrada parcial del nombre del comando.
RetrocesoMueve el cursor hacia atrás en el comando que se muestra actualmente, borrando
caracteres.
Ctrl+AM Desplaza el cursor directamente al primer carácter del
comando que se está visualizando.
Ctrl+EM Mueve el cursor directamente al final del comando que se está visualizando.
Ctrl+RRedmuestra la línea de comandos con todos los caracteres. Este comando es útil cuando
los mensajes saturan la pantalla.
Ctrl+DD Elimina un solo carácter.
Esc+BRetrocede una palabra.
Esc+FAvanza una palabra.
Comando del tecladoQué ocurre

En el --Más Prompt
Tecla EnterMuestra la siguiente línea.
Barra espaciadoraMuestra la siguiente pantalla.
Cualquier otra tecla alfanuméricaVuelve al prompt EXEC.
Claves de ruptura
Ctrl+CCuando está en cualquier modo de configuración, termina el
modo de configuración y vuelve al modo EXEC privilegiado. Cuando
se encuentra en el modo de configuración, vuelve a la línea de
comandos.
Ctrl+ZCuando está en cualquier modo de configuración, termina el modo de
configuración y vuelve al modo EXEC privilegiado. Cuando está en
modo usuario o EXEC privilegiado, cierra la sesión del router.
Ctrl+Mayús+6Actúa como una secuencia de interrupción multiuso. Se utiliza para abortar
las búsquedas de DNS, los tracerouts y los pings.
Historial de comandos
Por defecto, el Cisco IOS almacena en un buffer de historial los 10 comandos que has introducido
más recientemente. Esto le ofrece una forma rápida de retroceder y avanzar en el historial de
comandos, elegir uno y editarlo antes de volver a emitir el comando. Para ver o configurar el buffer del
historial de comandos, utilice los comandos de la Tabla 29-3. Aunque esta tabla muestra el prompt del
switch, estos comandos también son apropiados para un router.
Tabla 29-3 Comandos de la memoria intermedia

del historial Comando SintaxisDescripción
switch# show historyMuestra los comandos actualmente almacenados en el buffer de historia.

switch# terminal historyHabilita el historial de la terminal. Este comando puede ser ejecutado desde
usuario o modo EXEC privilegiado.
switch# terminal history
tamaño 50 Configura el tamaño del historial del terminal. El historial del
terminal puede mantener de 0 a 256 líneas de comandos.
switch# terminal no history
size Restablece el tamaño del historial de la terminal al valor por
defecto de 20 líneas de comando en Cisco IOS 15.
switch# terminal no historyDesactiva el historial del terminal.
Comandos de examen del IOS

Para verificar y solucionar el funcionamiento de la red, se utilizan los comandos show. La Figura
29-2 delinea los diferentes comandos show, como sigue:
■
Comandos aplicables a Cisco IOS (almacenados en la RAM)
■
Comandos que se aplican al archivo de configuración de respaldo almacenado en la NVRAM
■
Comandos que se aplican a Flash o a interfaces específicas
Día 29 45
Figura 29-2 Comandos típicos de show y la información proporcionada

Router# show flash
Router# show Router# show
RAM
Sistema operativo de la red NVRAM
Flash
Copia de Sistemas Interfaces
Programas Archivo de Tablas y seguridad del operativo
configuración topes archivo de s
activo configuración
Router# show processes CPU Router# show

Router#
protocols
show memory Router# show stacks Router# show buffer
Router# show running-config Router# show startup-config
Modos de subconfiguración
Para entrar en el modo de configuración global, introduzca el comando configure terminal.
Desde el modo de configuración global, Cisco IOS proporciona una multitud de modos de
subconfiguración. La Tabla 29-4 resume los modos de subconfiguración más comunes
pertinentes para el examen CCNA.
Tabla 29-4 Modos de subconfiguración de los dispositivos Cisco

Prompt Nombre del modo Ejemplos de comandos
utilizados para llegar a este
modo
hostname(config)# Global Configurar el terminal
hostname(config-line)# Línea línea consola 0 línea vty 0 15
hostname(config-if)# Interfaz interfaz fastethernet 0/0
nombre de host(config- Router router rip router eigrp 100
router)#
Comandos básicos de configuración del

conmutador
La Tabla 29-5 revisa los comandos básicos de configuración del switch.
Tabla 29-5 Comandos básicos de configuración del conmutador

Descripción del comandoSintaxis del
comando
Entre en el modo de configuración global. Switch# configure
terminal
Configure un nombre para el dispositivo. Switch(config)# hostname S1
Entre en el modo de configuración de la

S1(config)# interfaz vlan 1
interfaz de la VLAN 1.
Configure la dirección IP de la interfaz. S1(config-if)# dirección ip
172.17.99.11 255.255.255.0

comando
Habilite la interfaz. S1(config-if)# no shutdown
Vuelve al modo de configuración global. S1(config-if)# exit
Introduzca la interfaz para asignar la VLAN. S1 (config)# interface fastethernet 0/6
Definir el modo de pertenencia a la VLAN para el puerto. S1( config-if)# switchport mode access
Asigne el puerto a una VLAN. S1( config-if)# switchport access
vlan 123
Configure el modo dúplex de la interfaz para

S1(config-if)# duplex auto
habilitar la configuración dúplex AUTO.
Configure la velocidad de la interfaz y active la
S1(config-if)# speed auto
configuración de velocidad AUTO.
Habilite el auto-MDIX en la interfaz. S1(config-if)# mdix auto

Configure la puerta de enlace por defecto en el conmutador. S1(config)# ip default-gateway
172.17.50.1
Configure el servidor HTTP para la

S1(config)# ip http authentication
autenticación utilizando la contraseña de
enable
habilitación, que es el método predeterminado
de autenticación de usuarios del servidor
HTTP.
Habilite el servidor HTTP. S1(config)# ip http server
Pasar del modo de configuración global al

S1(config)# línea consola 0
modo de configuración de línea para la
consola 0.
S1(config-line)# contraseña cisco
Establezca cisco como contraseña para la línea
de la consola 0 del conmutador.
S1(config-line)# login
Configure la línea de la consola para requerir la
introducción de la contraseña antes de conceder
el acceso.
Pasar del modo de configuración global al

S1(config)# línea vty 0 15
modo de configuración de línea para los
terminales vty 0-15.
S1(config-line)# contraseña cisco
Establezca cisco como contraseña para
las líneas vty del switch.
S1(config-line)# login
Configure la línea vty para que se
requiera la introducción de la contraseña
antes de conceder el acceso.
Vuelve al modo de configuración global. S1(config-line)# exit
Configure cisco como la contraseña de de habilitación.

habilitación para entrar en el modo EXEC
Cifrar todas las contraseñas del sistema que se
privilegiado.
almacenan en texto plano.
Configure la clase como la contraseña secreta
Configurar un banner de inicio de sesión. El carácter #
de habilitación para entrar en el modo EXEC
delimita el principio y el final del banner.
privilegiado. Esta contraseña anula la contraseña
S1(config)# enable contraseña cisco S1(config)# service password-encryption
S1(config)# habilitar clase secreta S1 (config)# banner login #¡Sólo personal

autorizado!
Día 29 47

comando
Configurar un banner de acceso al mensaje del día
S1(config)# banner motd #El
(MOTD). El carácter # delimita el principio y el final
mantenimiento del dispositivo se
del banner. realizará el viernes
Vuelva al modo EXEC privilegiado. S1(config)# end
Guarde la configuración en ejecución en la

S1# copy running-config startup-config
configuración de inicio del conmutador.
Para configurar varios puertos con el mismo comando, utilice el comando de rango de interfaz.
Por ejemplo, para configurar los puertos 6-10 como puertos de acceso pertenecientes a la VLAN 10, se
introduce lo siguiente:
Switch(config)# rango de interfaz FastEthernet 0/6 -
10 Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Medio dúplex, dúplex completo y velocidad

del puerto
La comunicación semidúplex es un flujo de datos unidireccional en el que un dispositivo puede
enviar o recibir en una LAN Ethernet, pero no ambas cosas a la vez. Los dispositivos de red LAN
actuales y las tarjetas de interfaz de red (NIC) de los dispositivos finales funcionan en dúplex
completo siempre que el dispositivo esté conectado a otro dispositivo capaz de comunicarse en
dúplex completo. La comunicación full-duplex aumenta el ancho de banda efectivo al permitir que
ambos extremos de una conexión transmitan y reciban datos simultáneamente; esto se conoce como
bidireccional. Esta LAN microsegmentada está libre de colisiones. Gigabit Ethernet
y las NIC de 10 Gbps requieren conexiones full-duplex para funcionar. La velocidad del puerto es
simplemente la clasificación del ancho de banda del puerto. Las velocidades más comunes hoy en
día son 100 Mbps, 1 Gbps y 10 Gbps.
Aunque la configuración predeterminada de dúplex y velocidad para los conmutadores Cisco
Catalyst 2960 y 3560 es automática, puede configurar manualmente la velocidad con los
comandos de velocidad y dúplex.

NOTA: La configuración del modo dúplex y de la velocidad de los puertos del
conmutador puede causar problemas si uno de los extremos está desajustado o
configurado en autonegociación. Además, todos los puertos de fibra óptica, como los
puertos 100BASE-FX, funcionan sólo a una velocidad preestablecida y son siempre
full dúplex.
Cruce automático de interfaces dependientes del

medio (auto-MDIX)
En el pasado, las conexiones de conmutador a conmutador o de conmutador a enrutador
requerían el uso de diferentes cables Ethernet (cruzados o directos). El uso de la función de cruce
automático de interfaz dependiente del medio (auto-MDIX) en una interfaz elimina este problema.
Cuando la función auto-MDIX está activada, la interfaz detecta automáticamente el tipo de
conexión de cable necesario (recto o cruzado) y configura la conexión adecuadamente.
La función auto-MDIX está activada por defecto en los conmutadores Catalyst 2960 y Catalyst 3560.
El estándar Gigabit Ethernet requiere auto-MDIX, por lo que cualquier puerto de 1000-Mbps tiene
esta capacidad. Cuando se utiliza auto-MDIX en una interfaz, la velocidad de la interfaz y el
dúplex deben establecerse en automático para que la función funcione correctamente.
Verificación de la conectividad de la red

Utilizar e interpretar la salida de varias herramientas de prueba es a menudo el primer paso para
aislar la causa de un problema de conectividad de la red. El comando ping puede probar
sistemáticamente la conectividad buscando respuestas a las siguientes preguntas, en este orden:
Paso 1. ¿Puede un dispositivo final hacer ping a sí mismo?
Paso 2. ¿Puede un dispositivo final hacer ping a su puerta de enlace por defecto?
Paso 3. ¿Puede un dispositivo final hacer ping al destino?
Si utiliza el comando ping en esta secuencia ordenada, podrá aislar los problemas más rápidamente.
Si la conectividad local no es un problema -en otras palabras, si el dispositivo final puede hacer ping a
su puerta de enlace predeterminada-, el uso de la utilidad traceroute puede ayudar a aislar el
punto en la ruta desde el origen hasta el destino donde se detiene el tráfico.
Como primer paso en la secuencia de pruebas, verifique el funcionamiento de la pila TCP/IP en el host
local haciendo ping a la dirección de bucle invertido, 127.0.0.1, como demuestra el Ejemplo 29-1.
Ejemplo 29-1 Prueba de la pila TCP/IP en un PC con Windows
C:\> ping 1 2 7 .0.0.1
Haciendo ping a 127.0.0.1 con 32 bytes de datos:
Respuesta desde 127.0.0.1: bytes=32 tiempo<1ms

TTL=64 Respuesta desde 127.0.0.1 : bytes=32
tiempo<1ms TTL=64 Respuesta desde 127. 0 . 0.1:
bytes=32 tiempo<1ms TTL=64
Estadísticas de ping para 127.0.0.1:

Paquetes: Enviados = 4, Recibidos = 4, Perdidos = 0 (0% de
pérdida), Tiempos aproximados de ida y vuelta en milisegundos:
Mínimo = 0ms, Máximo = 0ms, Media = 0ms
Esta prueba debería tener éxito independientemente de si el host está conectado a la red, por lo que
un fallo indica un problema de software o hardware en el propio host. O bien la interfaz de red no
está funcionando correctamente o se ha eliminado inadvertidamente el soporte para la pila
TCP/IP del sistema operativo.
A continuación, verifique la conectividad con la pasarela por defecto. Determine la dirección de la puerta de enlace
por defecto utilizando
ipconfig y luego intentar hacer ping, como en el Ejemplo 29-2.
Ejemplo 29-2 Comprobación de la conectividad con la puerta de enlace predeterminada en

un PC con Windows
C:\> ipconfig
Configuración de la IP de Windows
Día 29 49
Adaptador Ethernet Conexión de área local:
Sufijo DNS específico de la conexión . : cisco.com

Dirección IP. . . . . . . . . . . .: 192.168.1.25
Máscara de subred: 255.255.255.0
Puerta de enlace por defecto... : 192.168.1.1
C:\> ping 1 9 2 .168.1.1
Respuesta desde 192.168.1.1: bytes=32 tiempo=162ms

TTL=255 Respuesta desde 192.168.1.1: bytes=32
tiempo=69ms TTL=255 Respuesta desde 192.168.1.1:
bytes=32 tiempo=82ms TTL=255

Paquetes: Enviados = 4, Recibidos = 4, Perdidos = 0 (0%
de pérdida), Tiempos aproximados de ida y vuelta en
milisegundos:
Un fallo en este punto puede indicar varios problemas, que deben comprobarse en una secuencia
sistemática. Un posible orden podría ser el siguiente:
Paso 1. ¿Es correcto el cableado del PC al conmutador? ¿Están encendidas las luces de enlace?
Paso 2. ¿Es correcta la configuración en el PC según el mapa lógico de la red?
Paso 3. ¿Son las interfaces afectadas en el conmutador la causa del problema? ¿Hay un
desajuste de dúplex, velocidad o auto-MDIX? ¿Hay una mala configuración de la
VLAN?
Paso 4. ¿Es correcto el cableado del switch al router? ¿Están encendidas las luces de enlace?
Paso 5. ¿Es correcta la configuración en la interfaz del router según el mapa lógico de la red?
¿Está activa la interfaz?
Por último, verifique la conectividad con el destino haciendo un ping. Suponga que está tratando de
alcanzar un servidor en 192.168.3.100. El ejemplo 29-3 muestra una prueba de ping exitosa al
destino.
Ejemplo 29-3 Prueba de conectividad con el destino en un PC con Windows

PC> ping 1 9 2 .168.3.100
Respuesta desde 192.168.3.100: bytes=32 tiempo=200ms

TTL=126 Respuesta desde 192.168.3.100: bytes=32
tiempo=185ms TTL=126
Respuesta de 192.168.3.100: bytes=32 time=200ms TTL=126

Paquetes: Enviados = 4, Recibidos = 4, Perdidos = 0 (0% de
pérdida), Tiempos aproximados de ida y vuelta en milisegundos:
El fallo aquí indica un fallo en la ruta más allá de la interfaz de la puerta de enlace por defecto
porque ya ha probado con éxito la conectividad a la puerta de enlace por defecto. Desde un PC con
Windows, la mejor herramienta para encontrar la ruptura de la ruta es el comando tracert (ver
Ejemplo 29-4).
NOTA: Tanto macOS como Linux utilizan el comando traceroute en lugar de tracert.
Ejemplo 29-4 Seguimiento de la ruta desde un PC con Windows
C:\> t r a c e r t 1 9 2 .168.3.100
Rastreando la ruta a 192.168.3.100 en un máximo de 30 saltos:
1 97 ms75 ms72 ms 192.168.1.1

2 104 ms 119 ms 117 ms 192.168.2.2
3 ***Solicitud agotada.
6 ^C
C:\>
NOTA: El fallo en los saltos 3, 4 y 5 del Ejemplo 29-4 podría indicar que estos routers
están configurados para no enviar mensajes ICMP de vuelta al origen.
Como se muestra en el Ejemplo 29-4, el último salto exitoso en el camino al destino fue 192.168.2.2. Si
tiene derechos de administrador en 192.168.2.2, puede continuar su investigación accediendo
remotamente a la línea de comandos en 192.168.2.2 e investigando por qué el tráfico no va más allá.
Además, otros dispositivos entre 192.168.2.2 y 192.168.3.100 podrían ser el origen del problema. El
punto es que quieres usar tus pruebas de ping y tracert, así como tu documentación de red, para
proceder en una secuencia lógica desde el origen hasta el destino.
Independientemente de lo sencilla o compleja que sea su red, el uso de ping y tracert desde el
origen hasta el destino es una forma sencilla pero potente de verificar sistemáticamente la conectividad
de extremo a extremo, así como de localizar las interrupciones en una ruta de un origen a un destino.
Solucionar problemas de interfaz y de cables

La capa física es a menudo la razón por la que existe un problema de red: cortes de energía, cables
desconectados, dispositivos apagados, fallos de hardware, etc. En esta sección se examinan algunas
herramientas para la resolución de problemas,
Día 29 51
además del enfoque de acercarse realmente al armario de cableado o al dispositivo de red y

comprobar "físicamente" la capa 1.
Asuntos relacionados con los medios de comunicación

Además de los fallos del hardware, los problemas más comunes de la capa física se dan en los medios de
comunicación. Veamos algunos ejemplos:
■
Se instalan nuevos equipos que introducen fuentes de interferencia electromagnética (EMI) en el
entorno.
■
El cable pasa demasiado cerca de motores potentes, como un ascensor.
■
Una mala gestión de los cables pone en tensión algunos conectores RJ-45, provocando
la rotura de uno o varios cables.
■
Las nuevas aplicaciones cambian los patrones de tráfico.
■
Cuando se conectan nuevos equipos a un conmutador, la conexión funciona en modo
semidúplex o se produce un desajuste dúplex, lo que puede provocar un número excesivo de
colisiones.
La Figura 29-3 muestra un excelente diagrama de flujo de solución de problemas que puede
utilizar para solucionar los problemas de medios del conmutador.
Figura 29-3 Solución de problemas de medios de conmutación
mostrar interfaz mostrar interfaz mostrar interfaz
VerifyOperational Compruebe si hay ruido excesivo

No Compruebe si hayNoun exceso de colisiones
No hay conexión o es mala Conexión exitosa
estado de la interfaz
Abajo Sí Sí
Repare el cableado y losEliminar

conectores
la fuente
para que
de ruido
Verificar
no sufran ydaños
fijar la configuración dúplex
Compruebe la longitud del cable
A continuación, examine la salida de los comandos show interface y show interface status,
como se describe en la siguiente sección.
Estado de la interfaz y configuración del conmutador

Como hoy nos centramos en la resolución de problemas de los conmutadores, veremos los comandos
show que ayudan a resolver la configuración básica.
Códigos de estado de la interfaz

En general, las interfaces están "arriba" o "abajo". Sin embargo, cuando una interfaz está "abajo"
y no sabe por qué, el código del comando show interfaces proporciona más información para
ayudarle a determinar la razón. La Tabla 29-6 enumera las combinaciones de códigos y algunas
posibles causas para cada estado.
Tabla 29-6 Códigos de estado de la interfaz del conmutador LAN

Estado de la Estado Estado Causa típica de origen
línea del de la
protocol interfaz
o
Administrativamen Abajo discapacitados La interfaz está configurada con la opción de
te apagado
abajo comando.
Abajo Abajo no conectar No existe cable, el cable es malo, cable incorrecto
se utilizan pinouts, los dos dispositivos
conectados
tienen velocidades desiguales, o el dispositivo en
el
el otro extremo del cable está apagado o el
la otra interfaz está apagada.
Arriba Abajo no conectar No se espera un estado de subida/bajada de la
interfaz en
Interfaces de conmutación LAN. Esto indica una
capa 2
problema en los dispositivos de capa 3.
Abajo Abajo err-disabled La seguridad del puerto ha desactivado la interfaz.
La página web
(err- El administrador de la red debe volver a
desactivado) habilitar manualmente
la interfaz.
Arriba Arriba conectar La interfaz funciona.
Dúplex y desajustes de velocidad

Uno de los problemas más comunes son los problemas de desajuste de velocidad y/o dúplex. En los
conmutadores y enrutadores, el subcomando de interfaz {10 | 100 | 1000} y el subcomando de
interfaz dúplex {medio | completo} establecen estos valores. Tenga en cuenta que al configurar
tanto la velocidad como el dúplex en una interfaz de conmutador se desactiva el proceso de
autonegociación del estándar IEEE en esa interfaz.
Los comandos show interfaces status y show interfaces listan la configuración de
velocidad y dúplex de una interfaz, como muestra el Ejemplo 29-5.
Ejemplo 29-5 Comandos para verificar la configuración de velocidad y dúplex
S1# show interface status
Nombre del puerto Estado Vlan Dúplex Velocidad Tipo

Fa0/1 conectado trunk full 100 10/100BaseTX Fa0/2
conectado 1 half 100 10/100BaseTX Fa0/3 conectado 1 a-
full a-100 10/100BaseTX Fa0/4 desactivado 1 auto
10/100BaseTX Fa0/5 desactivado 1 auto 10/100BaseTX
Fa0/6 notconnect 1 auto 10/100BaseTX
S1# show interface fa0/3

FastEthernet0/1 está levantada, el protocolo de línea está levantado (conectado)
El hardware es Fast Ethernet, la dirección es 001b.5302.4e81 (bia
001b.5302.4e81) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
fiabilidad 255/255, txload 1/255, rxload 1/255
Encapsulación ARPA, loopback no configurado
Día 29 53
Juego de Keepalive (10 seg.)

Full-duplex, 100Mb/s, el tipo de medio es 10/100BaseTX
El control de flujo de entrada está desactivado, el control de
flujo de salida no es compatible Tipo de ARP: ARPA, ARP Timeout
04:00:00
Última entrada nunca, salida 00:00:00, salida colgada
nunca Última limpieza de los contadores de "show
interface" nunca
Cola de entrada: 0/75/0/0 (tamaño/máximo/caídas/descargas); Total de caídas de
salida: 0 Estrategia de colas: fifo
Cola de salida: 0/40 (tamaño/máximo)
Velocidad de entrada de 5 minutos 1000 bits/seg, 1 paquete/seg
Tasa de salida de 5 minutos 0 bits/seg, 0
paquetes/seg 2745 paquetes de entrada, 330885
bytes, 0 sin búfer Recibidas 1386 difusiones (0
multidifusión)
0 runts, 0 giants, 0 throttles
0 errores de entrada, 0 CRC, 0 trama, 0 rebasamiento, 0 ignorado
0 watchdog, 425 multicast, 0 pause input
0 paquetes de entrada con condición de regateo
detectados 56989 paquetes de salida, 4125809
bytes, 0 underruns 0 errores de salida, 0
colisiones, 1 reinicio de interfaz 0 balbuceos, 0
colisiones tardías, 0 diferidos
0 pérdida de portadora, 0 sin portadora, 0 salida de PAUSA
0 fallos en el búfer de salida, 0 búferes de salida intercambiados
Observe que ambos comandos muestran la configuración dúplex y de velocidad de la interfaz. Sin
embargo, el comando show interface status es preferible para solucionar problemas de desajuste
de dúplex o velocidad porque muestra exactamente cómo el conmutador determinó el dúplex y la
velocidad de la interfaz. En la columna dúplex, a-full significa que el conmutador autonegoció dúplex
completo. La configuración completa o media significa que el conmutador se configuró con esa
configuración dúplex. La autonegociación se ha desactivado. En la columna de velocidad, a-100
significa que el conmutador autonegoció 100 Mbps como velocidad. El ajuste 10 o 100 significa que
el conmutador se configuró con ese ajuste de velocidad.
Encontrar un desajuste de dúplex puede ser mucho más difícil que encontrar un desajuste de
velocidad, ya que si los ajustes de dúplex no coinciden en los extremos de un segmento
Ethernet, la interfaz del conmutador seguirá estando en estado de conexión (up/up). En este
caso, la interfaz funciona, pero la red puede funcionar mal, con hosts que experimentan un
rendimiento pobre y problemas de comunicación intermitentes. Para identificar los problemas de
desajuste dúplex, compruebe la configuración dúplex en cada extremo del enlace y observe el
incremento de los contadores de colisión y colisión tardía, como se destaca en la salida al final del
Ejemplo 29-5.
Problemas comunes de la capa 1 en las interfaces "ascendentes"

Cuando una interfaz de conmutación está "conectada", no significa necesariamente que la interfaz esté
funcionando en un estado óptimo. Por esta razón, Cisco IOS rastrea ciertos contadores para ayudar a
identificar problemas que pueden ocurrir aunque la interfaz esté en estado de conexión. La salida del
Ejemplo 29-5 destaca estos contadores. La Tabla 29-7 resume tres tipos generales de problemas de la
interfaz de capa 1 que pueden ocurrir mientras una interfaz está en el estado "up", conectado.
Tabla 29-7 Indicadores de problemas comunes de la capa 1 de la LAN

Tipo de Valores del contador que Causas comunes de origen
problem indican este problema
a
Ruido excesivo Muchos errores de entrada, pocas Categoría de cable incorrecta (Cat5, Cat5E,
colisiones Cat6), cables dañados, EMI
Colisiones Más del 0,1% de todas las tramas son Desajuste dúplex (visto en el lado
colisiones semidúplex), jabber, ataque DoS
Colisiones tardías Aumento de las colisiones tardías Dominio de colisión o cable único
demasiado largo, desajuste dúplex
Recursos de estudio

17
4
6
7
Direccionamiento IPv4

■
■
Describir la necesidad del direccionamiento IPv4 privado
Temas clave
Hoy nos centramos en repasar la estructura de una dirección IPv4, las clases y las direcciones IPv4
privadas y públicas. A continuación, nos centraremos en la creación de subredes IPv4.
A estas alturas, deberías ser capaz de hacer una subred rápidamente. Por ejemplo, debería ser capaz de
responder rápidamente a una pregunta como la siguiente: Si te dan una red /16, ¿qué máscara de subred
utilizarías para maximizar el número total de subredes y al mismo tiempo proporcionar suficientes
direcciones para la subred más grande con 500 hosts? La respuesta es 255.255.254.0, o / 2 3 . Esto le
da 128 subredes con 510 hosts utilizables por subred.Debería ser capaz de calcular rápidamente esta
información.
El examen CCNA promete contener muchas preguntas relacionadas con la creación de subredes. Por lo
tanto, dedicaremos algo de tiempo a esta habilidad necesaria y también veremos el diseño de
esquemas de direccionamiento utilizando máscaras de subred de longitud variable (VLSM).
Aunque el IPv6 está penetrando rápidamente en las redes del mundo, la mayoría de las redes siguen
teniendo grandes implementaciones de IPv4. Especialmente en las redes privadas, la migración fuera
de IPv4 tardará años en completarse. Está claro que el IPv4 y tu habilidad en su uso siguen siendo
demandados.
Formato de la cabecera
La Figura 28-1 muestra la disposición de la cabecera IPv4.
Tenga en cuenta que cada paquete IP lleva esta cabecera, que incluye una dirección IP de origen y
una dirección IP de destino.
Una dirección IP consta de dos partes:
■
ID de red: Los bits de orden superior, o más a la izquierda, especifican el componente de
dirección de red de la dirección.
■
ID de host: Los bits de orden inferior, o más a la derecha, especifican el componente de dirección del host de la
dirección.
Figura 28-1 Formato de cabecera IPv4

Bit 0
Bit 15 Bit 16 Bit 31
Longitud Prioridad y tipo

Versión (4) de la de servicio (8) Longitud total (16)
cabecera
(4)
Band
Identificación (16) eras Desplazamiento de fragmentos
(3) (13)
20
Tiempo de vivir (8) Protocolo (8) Suma de comprobación de la Bytes
cabecera (16)
Dirección IP de origen (32)
Dirección IP de destino (32)
Opciones de IP (0 o 32 si hay)
Clases de direcciones
Desde el principio, IPv4 se diseñó con una estructura de clases: Clases A, B, C, D y E. La clase D se
utiliza para las direcciones de multidifusión y la clase E se reserva para la experimentación. Las
clases A, B y C se asignan a los hosts de la red. Para proporcionar una estructura jerárquica, estas
clases se dividen en partes de red y de host, como muestra la Figura 28-2. Los bits de alto orden
especifican el ID de la red, y los bits de bajo orden especifican el ID del host.
Figura 28-2 Límite de red/host para cada clase de dirección IPv4

8 Bits 8 Bits 8 Bits 8 Bits
Clase A:
Red Anfitrión Anfitrión Anfit
rión
Clase B:
Red Red Anfitrión Anfit
Clase C: rión
Clase D: Multidifusión
Clase E: Investigación
En un esquema de direccionamiento de clase, los dispositivos que operan en la Capa 3 pueden

determinar la clase de dirección de una dirección IP a partir del formato de los primeros bits del primer
octeto. Inicialmente, esto era importante para que un dispositivo de red pudiera aplicar la máscara de
subred por defecto para la dirección y determinar la dirección del host. La Tabla 28-1 resume cómo
se dividen las direcciones en clases, la máscara de subred por defecto, el número de redes por clase y
el número de hosts por dirección de red de clase.
Día 28 57
Tabla 28-1 Clases de direcciones IPv4

Direcció Primer Primero Red (N) Subred por Número de
n octeto defecto
Clase Gama Bits de y Anfitrión Máscara Posible
octeto (H) (decimal)
(Decimal) (Resaltado Partes de y binario) Redes
Los bits no Direcciones y Hosts por
Cambio) Red
A 1–127 00000000– N.H.H.H 255.0.0.0 27
, o 128,
01111111 redes
11111111.00000000. 224-2, o 16.777.214,
00000000.00000000 hosts por red
B 128–191 10000000– N.N.H.H 255.255.0.0 214
, o 16.384,
10111111 redes
11111111.11111111. 216-2, o 65.534,
00000000.00000000 hosts por red
C 192–223 11000000– N.N.N.H 255.255.255.0 221
, o 2.097.152,
11011111 redes
11111111.11111111. 28-2, o 254, hosts
11111111.00000000 por red
D 224–239 11100000– No se utiliza
11101111 para el
direccionamien
to del host
E 240–255 11110000– No se utiliza
11111111 para el
direccionamien
to del host
En la última columna de la Tabla 28-1, la -2 para hosts por red da cuenta de las direcciones de red
y broadcast reservadas para cada red. Estas dos direcciones no se pueden asignar a los hosts.
NOTA: No revisamos el proceso de conversión entre binario y decimal. En este punto de tus
estudios, deberías sentirte cómodo moviéndote entre los dos sistemas de numeración. Si no es
así, tómate un tiempo para practicar esta habilidad necesaria. Puedes buscar en Internet
trucos, consejos y juegos de conversión binaria para practicar. La Red de Aprendizaje de Cisco
tiene un divertido juego al que puedes jugar, en
https://learningnetwork.cisco.com/docs/DOC-1803.
Propósito de la máscara de subred

Las máscaras de subred son siempre una serie de 1 bits seguida de una serie de 0 bits. El límite donde
la serie cambia de 1s a 0s es el límite entre la red y el host. Así es como un dispositivo que opera en
la Capa 3 determina la dirección de red para un paquete: encontrando el límite de bits donde la serie
de 1 bits termina y la serie de 0 bits comienza. El límite de bits para las máscaras de subred por
defecto se rompe en el límite del octeto. Determinar la dirección de red para una dirección IP que
utiliza una máscara por defecto es fácil.
Digamos que un router recibe un paquete destinado a 192.168.1.51. Al sumar la dirección IP y la
máscara de subred, el router determina la dirección de red del paquete. Por las reglas de ANDing, un 1
Y un 1 es igual a 1. Todas las otras posibilidades son iguales a 0. Todas las demás posibilidades son
iguales a 0. La Tabla 28-2 muestra los resultados de la operación ANDing. Observe que los bits del
host en el último octeto son ignorados.
Tabla 28-2 Cómo sumar una dirección IP y una máscara de subred para encontrar la
dirección de red
Dirección de destino 192.168.1.51 11000000.10101000.00000001.00110011

Máscara de subred 255.255.255.0 11111111.11111111.11111111.00000000
Dirección de la red 192.168.1.0 11000000.10101000.00000001.00000000
El límite de bits ahora puede ocurrir en casi cualquier lugar de los 32 bits. La Tabla 28-3 resume los
valores del último octeto no nulo de una máscara de subred.
Tabla 28-3 Valores binarios de la máscara de subred

Máscara (Decimal) Máscara (binaria) Bits de red Bits de acogida
0 00000000 0 8
128 10000000 1 7
192 11000000 2 6
224 11100000 3 5
240 11110000 4 4
248 11111000 5 3
252 11111100 6 2
254 11111110 7 1
255 11111111 8 0
Direccionamiento IP privado y público

El RFC 1918, "Address Allocation for Private Internets", alivió la demanda de direcciones IP
reservando las siguientes direcciones para su uso en redes internas privadas:
■
Clase A: 10.0.0.0/8 (10.0.0.0-10.255.255.255)
■
Clase B: 172.16.0.0/12 (172.16.0.0-172.31.255.255)
■
Clase C: 192.168.0.0/16 (192.168.0.0-192.168.255.255)
Si te diriges a una intranet no pública, estas direcciones privadas se utilizan normalmente en lugar de las
direcciones públicas únicas globales. Esto proporciona flexibilidad en el diseño del direccionamiento.
Cualquier organización puede aprovechar al máximo una dirección completa de Clase A (10.0.0.0/8). El
reenvío de tráfico a la Internet pública requiere la traducción a una dirección pública utilizando la
Traducción de Direcciones de Red (NAT). Pero al sobrecargar una dirección enrutable en Internet con
muchas direcciones privadas, una empresa sólo necesita un puñado de direcciones públicas. El día 8,
"NAT", revisa el funcionamiento y la configuración de NAT con más detalle.
La creación de subredes en cuatro pasos

Todo el mundo tiene un método preferido para la creación de subredes. Cada profesor utiliza una
estrategia ligeramente diferente para ayudar a los estudiantes a dominar esta habilidad crucial, y cada
uno de los recursos de estudio sugeridos tiene una forma ligeramente diferente de abordar este tema.
Día 28 59
El método que prefiero consta de cuatro pasos:
Paso 1. Determinar cuántos bits se van a pedir prestados, en función de los requisitos del host.
Paso 2. Determine la nueva máscara de subred.
Paso 3. Determinar el multiplicador de subred.

Paso 4. Enumere las subredes, incluyendo la dirección de subred, el rango de hosts y la dirección de difusión.
La mejor manera de demostrar este método es utilizar un ejemplo. Supongamos que se le da la

dirección de red 192.168.1.0 con la máscara de subred por defecto 255.255.255.0. La dirección de red
y la máscara de subred puede escribirse como 192.168.1.0/24. El / 2 4 representa la máscara de subred
en una notación más corta y significa que los primeros 24 bits son bits de red.
Supongamos además que se necesitan 30 hosts por red y que se quieren crear tantas subredes para
el espacio de direcciones dado como sea posible. Con estos requisitos de red, ahora puedes crear una
subred en el espacio de direcciones.
Determine cuántos bits debe pedir prestados

Para determinar el número de bits que puedes tomar prestados, primero debes saber cuántos bits de
host tienes para empezar. Como los primeros 24 bits son de red en este ejemplo, los 8 bits restantes son
de host.
Dado que nuestro requisito especifica 30 direcciones de host por subred, tenemos que determinar
primero el número mínimo de bits de host que hay que dejar. Los bits restantes se pueden tomar
prestados:
Bits del anfitrión = Bits prestados + Bits restantes
Para proporcionar suficiente espacio de direcciones para 30 hosts, necesitamos dejar 5 bits. Utilice la
siguiente fórmula: 2BL - 2 = número de direcciones de host
El exponente BL son los bits que quedan en la parte del host.
Recuerde que el -2 contabiliza las direcciones de red y de difusión que no se pueden asignar a los
hosts.
En este ejemplo, dejar 5 bits en la parte del host proporciona el número correcto de direcciones de
host: 25 - 2 = 30
Como nos quedan 3 bits en la parte original del host, tomamos prestados todos estos bits para satisfacer
el requisito de "crear tantas subredes como sea posible". Para determinar cuántas subredes podemos
crear, utiliza la siguiente fórmula:
2BB = número de subredes
El exponente BB son bits prestados de la porción del host.
En este ejemplo, al tomar prestados 3 bits de la parte del host se crean ocho subredes: 23 = 8.
Como muestra la Tabla 28-4, los 3 bits se toman prestados de los bits más a la izquierda de la parte
del host. Los bits resaltados en la tabla muestran todas las posibles combinaciones de
manipulación de los 8 bits prestados para crear las subredes.
Tabla 28-4 Valor binario y decimal del octeto de subred

Número de subred Último octeto valor Último octeto Valor decimal
binario
0 00000000 .0
1 00100000 .32
2 01000000 .64
3 01100000 .96
4 10000000 .128
5 10100000 .160
6 11000000 .192
7 11100000 .224
Determinar la nueva máscara de subred

Observe en la Tabla 28-4 que los bits de red incluyen ahora los 3 bits de host prestados en el último
octeto. Agregue estos 3 bits a los 24 bits de la máscara de subred original, y tendrá una nueva
máscara de subred, /27. En formato decimal, se activan los 128, 64 y 32 bits del último octeto, para un
valor de 224. La nueva máscara de subred es, pues, 255.255.255.224.
Determinar el multiplicador de subred

Observe en la Tabla 28-4 que el valor decimal del último octeto se incrementa en 32 con cada número
de subred. El número 32 es el multiplicador de subred. Puede encontrar rápidamente el
multiplicador de subred utilizando uno de los dos métodos:
■
Método 1: Reste a 256 el último octeto no nulo de la máscara de subred. En este ejemplo, el
último octeto no nulo es 224. Por tanto, el multiplicador de subred es 256 - 224 = 32.
■
Método 2: El valor decimal del último bit prestado es el multiplicador de subred. En este ejemplo,
hemos tomado prestados los 128 bits, los 64 bits y los 32 bits. El de 32 bits es el último que
tomamos prestado y es, por tanto, el multiplicador de subred.
Al utilizar el multiplicador de subred, ya no es necesario convertir los bits binarios de la subred en decimales.
Lista de subredes, rangos de hosts y direcciones de difusión

La lista de subredes, rangos de hosts y direcciones de difusión le ayuda a ver el flujo de direcciones
dentro de un espacio de direcciones. La Tabla 28-5 documenta nuestro esquema de direcciones de
subred para el espacio de direcciones 192.168.1.0/24.
Tabla 28-5 Esquema de direccionamiento de subred para 192.168.1.0/24: 30 hosts por subred
Número de Dirección de Alcance de los Dirección de
subred subred anfitriones difusión
0 192.168.1.0 192.168.1.1–192.168.1.30 192.168.1.31
1 192.168.1.32 192.168.1.33–192.168.1.62 192.168.1.63
2 192.168.1.64 192.168.1.65–192.168.1.94 192.168.1.95
Día 28 61
Número de Dirección de Alcance de los Dirección de

subred subred anfitriones difusión
3 192.168.1.96 192.168.1.97–192.168.1.126 192.168.1.127
4 192.168.1.128 192.168.1.129–192.168.1.158 192.168.1.159
5 192.168.1.160 192.168.1.161–192.168.1.190 192.168.1.191
6 192.168.1.192 192.168.1.193–192.168.1.222 192.168.1.223
7 192.168.1.224 192.168.1.225–192.168.1.254 192.168.1.255
A continuación se presentan tres ejemplos que utilizan los cuatro pasos de subred. Por razones de
brevedad, el paso 4 sólo enumera las tres primeras subredes.
Ejemplo de subred 1
Subreduzca el espacio de direcciones 172.16.0.0/16 para proporcionar al menos 80
direcciones de host por subred y crear tantas subredes como sea posible.
Paso 1. Hay 16 bits de host. Deja 7 bits para las direcciones de host ( 27 - 2 = 126 direcciones
de host por subred). Toma prestados los primeros 9 bits de host para crear tantas
subredes como sea posible
(29 = 512 subredes).
Paso 2. La máscara de subred original es /16, o 255.255.0.0. Active los siguientes 9 bits a partir del
segundo octeto, para obtener una nueva máscara de subred de /25 o 255.255.255.128.
Paso 3. El multiplicador de la subred es 128, que se puede encontrar como 256 - 128 = 128,
o porque el bit 128 es el último bit prestado.
Para el paso 4, la Tabla 28-6 enumera las tres primeras subredes, rangos de hosts y direcciones de difusión.
Tabla 28-6 Esquema de direccionamiento de subred para el ejemplo 1

Número de Dirección de Alcance de los Dirección
subred subred anfitriones de
difusión
0 172.16.0.0 172.16.0.1–172.16.0.126 172.16.0.127
1 172.16.0.128 172.16.0.129–172.16.0.254 172.16.0.255
2 172.16.1.0 172.16.1.1–172.16.1.126 172.16.1.127
Ejemplo de subred 2
Subnet el espacio de direcciones 172.16.0.0/16 para proporcionar al menos 80 direcciones de subred.
Paso 1. Hay 16 bits de host. Toma prestados los 7 primeros bits de host para crear al menos 80 subredes
(27 = 128 subredes). Esto deja 9 bits para las direcciones de host, o 29 - 2 = 510 direcciones
de host por subred.
Paso 2. La máscara de subred original es /16, o 255.255.0.0. Active los siguientes 7 bits a partir del
segundo octeto, para obtener una nueva máscara de subred de /23, o 255.255.254.0.
Paso 3. El multiplicador de subred es 2, que se puede encontrar como 256 - 254 = 2, o porque
el bit 2 es el último bit prestado.

Número de Dirección de Alcance de los Dirección de difusión
subred subred anfitriones
0 172.16.0.0 172.16.0.1–172.16.1.254 172.16.1.255
1 172.16.2.0 172.16.2.1–172.16.3.254 172.16.3.255
2 172.16.4.0 172.16.4.1–172.16.5.254 172.16.5.255
Ejemplo de subred 3
Subreduzca el espacio de direcciones 172.16.10.0/23 para proporcionar al menos 60
direcciones de host por subred y cree tantas subredes como sea posible.
Paso 1. Hay 9 bits de host. Deja 6 bits para las direcciones de host ( 26 - 2 = 62 direcciones de host
por subred). Toma prestados los 3 primeros bits de host para crear tantas subredes como sea
posible (23 = 8 subredes).
Paso 2. La máscara de subred original es / 2 3 , o 255.255.254.0. Enciende los siguientes 3 bits
empezando por el último bit del segundo octeto, para una nueva máscara de subred
de /26, o 255.255.255.192.
Paso 3. El multiplicador de la subred es 64, que se puede encontrar como 256 - 192 = 64,
o porque el 64 es el último bit prestado.

Número de Dirección de Alcance de los Dirección de difusión
subred subred anfitriones
0 172.16.10.0 172.16.10.1–172.16.10.62 172.16.10.63
1 172.16.10.64 172.16.10.65–172.16.10.126 172.16.10.127
2 172.16.10.128 172.16.10.129–172.16.10.190 172.16.10.191
VLSM
Probablemente haya notado que el espacio de direcciones inicial en el Ejemplo de
Subnetting 3 no es una dirección completa de clase. De hecho, es la subred 5 del Ejemplo de
Subnetting 2. En el Ejemplo de Subnetting 3, por lo tanto, "subneteamos una subred". En pocas
palabras, VLSM es subnetting una subred.
Con VLSM, puedes personalizar las subredes para adaptarlas a tu red. La creación de subredes funciona
de la misma manera, sólo que hay que hacerlo más de una vez para completar el esquema de
direccionamiento. Para evitar el solapamiento de los espacios de direcciones, comience con su mayor
requisito de host, cree una subred para él y luego continúe con el siguiente requisito de host más
grande.
Considere un pequeño ejemplo. Dado el espacio de direcciones 172.30.4.0/22 y los requerimientos de
la red en la Figura 28-3, aplique un esquema de direccionamiento que conserve la mayor cantidad de
direcciones para el crecimiento futuro.
Necesitamos cinco subredes: cuatro subredes LAN y una subred WAN. Empezando por el mayor
requisito de host en la LAN 3, comience a subredar el espacio de direcciones.
Día 28 63
Figura 28-3 Ejemplo de topología

VLSM
LAN 3
LAN 1
Espacio de direcciones 172.30.4.0/22 250
60 anfitriones
anfitriones
10 100
Anfitrione anfitriones
s LAN 4
LAN 2
Para satisfacer el requisito de 250 hosts, dejamos 8 bits de host ( 28 - 2 = 254 hosts por subred). Como
tenemos 10 bits de host en total, tomamos prestados 2 bits para crear la primera ronda de subredes (22
= 4 subredes). La máscara de subred inicial es / 2 2 , o 255.255.252.0. Activamos los siguientes 2 bits de
la máscara de subred para obtener /24, o 255.255.255.0. El multiplicador es 1. Las cuatro subredes
son las siguientes
■
Subred 0: 172.30.4.0/24
■
Subred 1: 172.30.5.0/24
■
Subred 2: 172.30.6.0/24
■
Subred 3: 172.30.7.0/24
Asignando la subred 0 a la LAN 3, nos quedan tres subredes /24. Siguiendo con la siguiente
necesidad de host en la LAN 4, seguimos con la subred 1, 172.30.5.0/24.
Para satisfacer el requisito de 100 hosts, dejamos 7 bits ( 27 - 2 = 128 hosts por subred). Como tenemos 8
bits de host en total, podemos tomar prestado sólo 1 bit para crear las subredes ( 21 = 2 subredes). La
máscara de subred inicial es /24, o 255.255.255.0. Activamos el siguiente bit de la máscara de
subred para obtener /25, o 255.255.255.128. El multiplicador es 128. Las dos subredes son las
siguientes:
■
Subred 0: 172.30.5.0/25
■
Subred 1: 172.30.5.128/25
Asignando la subred 0 a la LAN 4, nos queda una subred /25 y dos subredes /24. Continuando con
la siguiente necesidad de host en la LAN 1, seguimos con la subred 1, 172.30.5.128/25.
Para satisfacer el requisito de 60 hosts, dejamos 6 bits ( 26 - 2 = 62 hosts por subred). Como tenemos
7 bits de host en total, tomamos prestado 1 bit para crear las subredes ( 21 = 2 subredes). La máscara
de subred inicial es /25, es decir, 255.255.255.128. Activamos el siguiente bit de la máscara de
subred para obtener /26, o 255.255.255.192. El multiplicador es 64. Las dos subredes son las
siguientes:
■
Subred 0: 172.30.5.128/26
■
Subred 1: 172.30.5.192/26
Asignando la subred 0 a la LAN 1, nos queda una subred /26 y dos subredes /24. Terminando
nuestra subred LAN con la LAN 2, seguimos con la subred 1, 172.30.5.192/26.
Para satisfacer el requisito de 10 hosts, dejamos 4 bits ( 24 - 2 = 14 hosts por subred). Como tenemos 6
bits de host en total, tomamos prestados 2 bits para crear las subredes ( 22 = 4 subredes). La máscara
de subred inicial es /26, es decir, 255.255.255.192. Activamos los siguientes 2 bits de la máscara
de subred para obtener /28, o 255.255.255.240. El multiplicador es 16. Las cuatro subredes son
las siguientes
■
Subred 0: 172.30.5.192/28
■
Subred 1: 172.30.5.208/28
■
Subred 2: 172.30.5.224/28
■
Subred 3: 172.30.5.240/28
Asignando la subred 0 a la LAN 2, nos quedan tres subredes / 2 8 y dos subredes / 2 4 . Para finalizar
nuestro esquema de direccionamiento, necesitamos crear una subred para el enlace WAN, que sólo
necesita dos direcciones de host. Seguimos con la subred 1, 172.30.5.208/28.
Para satisfacer el requisito de dos hosts, dejamos 2 bits ( 22 - 2 = 2 hosts por subred). Como tenemos 4
bits de host en total, tomamos prestados 2 bits para crear las subredes ( 22 = 4 subredes). La máscara
de subred inicial es /28, es decir, 255.255.255.240. Activamos los siguientes 2 bits de la máscara
de subred para obtener /30, o 255.255.255.252. El multiplicador es 4. El multiplicador es 4. Las
cuatro subredes son las siguientes
■
Subred 0: 172.30.5.208/30
■
Subred 1: 172.30.5.212/30
■
Subred 2: 172.30.5.216/30
■
Subred 3: 172.30.5.220/30
Asignamos la subred 0 al enlace WAN. Nos quedan tres subredes /30, dos subredes /28 y dos
subredes /24.
Recursos de estudio

Academia de Redes Cisco: CCNA1 11
12
13
14
2
3
4

■
Configurar y verificar el direccionamiento y el prefijo IPv6
■
Comparar los tipos de direcciones IPv6
Temas clave
A principios de los años 90, el Grupo de Trabajo de Ingeniería de Internet (IETF) se preocupó por el
agotamiento de las direcciones de red IPv4 y comenzó a buscar un sustituto para este protocolo. Esta
actividad condujo al desarrollo de lo que hoy se conoce como IPv6. La revisión de hoy se centra en el
protocolo IPv6 y en los tipos de direcciones IPv6. También repasaremos las distintas formas de
implementar el direccionamiento IPv6, incluyendo la creación de subredes, la autoconfiguración de
hosts y la ejecución de IPv6 e IPv4 en una configuración de doble pila. La configuración de IPv6 en
routers se revisará en el día 18, "Configuración básica de routers".

NOTA: Si todavía no has comprado una copia de IPv6 Fundamentals de Rick Graziani
para añadirla a tu biblioteca de herramientas de estudio, ahora es el momento de
hacerlo. Su libro es mi fuente definitiva para todo lo relacionado con IPv6.
Visión general y ventajas de IPv6

La ampliación de las redes actuales requiere un suministro ilimitado de direcciones IP y una
movilidad mejorada que el direccionamiento privado y el NAT por sí solos no pueden satisfacer. IPv6
satisface los requisitos cada vez más complejos del direccionamiento jerárquico que IPv4 no
proporciona. Las principales ventajas y características de IPv6 son las siguientes
■
Espacio de direcciones ampliado: Un espacio de direcciones de 128 bits representa unos 340
trillones de trillones de direcciones.
■
Autoconfiguración de direcciones sin estado: IPv6 proporciona a los dispositivos host un
método para generar sus propias direcciones IPv6 enrutables. IPv6 también admite la
configuración con estado mediante DHCPv6.
■
Elimina la necesidad de NAT/PAT: NAT/PAT se concibió como parte de la solución al
agotamiento de las direcciones IPv4. Con IPv6, el agotamiento de las direcciones ya no es un
problema. Sin embargo, NAT64 desempeña un papel importante al proporcionar
compatibilidad con IPv4.
■
Cabecera más sencilla: Una cabecera más sencilla ofrece varias ventajas respecto a IPv4:
■
Mayor eficiencia de enrutamiento para el rendimiento y la escalabilidad de la tasa de reenvío
■
No hay emisiones y, por tanto, no hay amenaza potencial de tormentas de emisión
■
No es necesario procesar las sumas de comprobación
■
Mecanismos de cabecera de extensión más sencillos y eficaces
■
Movilidad y seguridad: La movilidad y la seguridad ayudan a garantizar el cumplimiento de
los estándares de IP móvil e IPsec:
■
IPv4 no permite automáticamente que los dispositivos móviles se desplacen sin
interrumpir las conexiones de red establecidas.
■
En IPv6, la movilidad está incorporada, lo que significa que cualquier nodo IPv6 puede
utilizar la movilidad cuando sea necesario.
■
IPsec está habilitado en todos los nodos IPv6 y está disponible para su uso, haciendo que la
Internet IPv6 sea más segura.
■
Estrategias de transición: Puede incorporar las capacidades existentes de IPv4 con las
características añadidas de IPv6 de varias maneras:
■
Puede implementar un método de doble pila, con IPv4 e IPv6 configurado en la
interfaz de un dispositivo de red.
■
Se puede utilizar la tunelización, que será más importante a medida que crezca la adopción de IPv6.
El protocolo IPv6
La Tabla 27-1 compara las representaciones binaria y alfanumérica de las direcciones IPv4 e IPv6.
Tabla 27-1 Comparación de direcciones IPv4 e IPv6

IPv4 (4 octetos) IPv6 (16 octetos)
Representación binaria 11000000.101010 10100101.00100100.01110010.11010011.0010110
00.00001010. 01100101 0.10000000.11011101.00000010.00000000.001010
01.11101100.01111010.00000000.00101011.11101
010.01110011
Representació 192.168.10.101 2001:0DB8:2C80:DD02:0029:EC7A:002B:EA73
n
alfanumérica
Total de direcciones IP 4.294.967.296, o sea 232 3,4 1038, o 2128
La Figura 27-1 compara la cabecera de IPv4 con la cabecera principal de IPv6. Observa que la cabecera
IPv6 se representa en palabras de 64 bits en lugar de las palabras de 32 bits utilizadas por IPv4.
NOTA: Consulte el RFC 2460 y la sección "Recursos de estudio" para conocer la

especificación completa de IPv6.
Día 27 67
Figura 27-1 Formato de

cabecera IPv6
Cabecera
IPv4
Bit 31
Bit 0
Bit 15 Bit 16
Longitud Prioridad y tipo

Versión (4) de la de servicio (8) Longitud total (16)
cabecera
(4)
Bande
Identificación (16) ras Desplazamiento de fragmentos
(3) (13) 20
Bytes
Tiempo de vivir (8) Protocolo (8) Suma de comprobación de la
cabecera (16)
Dirección IP de origen (32)
Dirección IP de destino (32)
Opciones de IP (0 o 32 si
Cabecera IPv6
0481216202428323640444852566063
Versión Clase de Etiqueta de Longitud de la carga Siguiente Límite de
tráfico flujo útil cabecera salto
Dirección de la
fuente
Dirección de destino
Tipos de direcciones IPv6

IPv4 tiene tres tipos de direcciones: unicast, multicast y broadcast. IPv6 no utiliza direcciones de
difusión. En su lugar, IPv6 utiliza direcciones unicast, multicast y anycast. La Figura 27-2 ilustra estos
tres tipos de direcciones IPv6.
Figura 27-2 Tipos de direcciones IPv6
Unicast Multidifusión Anycast
Nodo asignadoSolicitado
FF00::/8FF02::1:FF00:0000/104
Global UnicastLink-Local Loopback Dirección no especificada

Local único IPv4 integrado
2000::/3 FE80::/10 ::1/128 ::/128 FC00::/ 7 ::/80
Unicast
La primera clasificación de los tipos de direcciones IPv6 que se muestra en la Figura 27-2 es la
dirección unicast. Una dirección unicast identifica de forma única una interfaz en un dispositivo IPv6.
Un paquete enviado a una dirección unicast es recibido por la interfaz que está asignada a esa dirección.
Al igual que en IPv4, las direcciones IPv6 de origen deben ser direcciones unicast. Debido a que el
direccionamiento unicast -a diferencia del direccionamiento multicast y anycast- es el enfoque principal
para un candidato a CCNA, dedicamos algún tiempo a revisar la rama Unicast en la Figura 27-2.
Dirección global de unicast

IPv6 tiene un formato de dirección que permite la agregación hacia arriba, eventualmente hacia el
ISP. Una dirección unicast global IPv6 es única a nivel mundial. Al igual que una dirección IPv4
pública, puede ser enrutada en Internet sin modificaciones. Una dirección unicast global IPv6 está
formada por un prefijo de enrutamiento global de 48 bits, un ID de subred de 16 bits y un ID de
interfaz de 64 bits. Utilice el método de Rick Graziani para desglosar la dirección IPv6 con la regla 3-
1-4 (también conocida como la regla pi, por 3,14), que se muestra en la Figura 27-3.
Figura 27-3 Regla 3-1-4 de Graziani para recordar la estructura global de

direcciones Unicast
/48/64
16 bits 16 bits 16 bits 16 bits 16 bits 16 bits 16 bits 16 bits
Prefijo de enrutamiento globalIdentificación de subred
314
2001
: 0DB8 :AAAA : 1111 : 0000 : 0000 : 0000 :0100
Cada número se refiere al número de hextetos, o segmentos de 16 bits, de esa parte de la dirección:
■
3: Tres hextetos para el prefijo de enrutamiento global
■
1: Un hexteto para el ID de la subred
■
4: Cuatro hextetos para el ID de la interfaz
Las direcciones de unidifusión global asignadas actualmente por la Autoridad de Asignación de

Números de Internet (IANA) utilizan el rango de direcciones que comienza con el valor binario 001
(2000::/3). Este rango representa un octavo del espacio total de direcciones IPv6 y es el bloque más
grande de direcciones asignadas. La Figura 27-4 muestra cómo el espacio de direcciones IPv6 está
dividido en un pastel de ocho piezas basado en el valor del
los 3 primeros bits.
Día 27 69
Figura 27-4 Asignación del espacio de direcciones IPv6

Multidifu No especificado, Loopback, IPv4 integrado
Unicast local de
sión
enlace Unicast local único
000
111
110 Unicast global

001
101
010
100 011
Utilizando el trozo de pastel 2000::/3, la IANA asigna bloques de direcciones / 2 3 o más cortos a los
cinco Registros Regionales de Internet (RIR). A partir de ahí, a los ISP se les asignan bloques de
direcciones /23 o más cortos. A continuación, los ISP asignan a cada sitio -es decir, a cada cliente- un
bloque de direcciones /48 o más corto. La Figura 27-5 muestra el desglose de los prefijos de
enrutamiento global.
Figura 27-5 Clasificación de los tamaños de los prefijos de enrutamiento global

Prefijo de enrutamientoglobalIdentificación desubred
/23 /32/48 /56/64
*RIR
*Prefijo ISP
*Prefijo del sitio
Posible prefijo del sitio de origen Prefijo de la subred
*Esta es una asignación mínima. La longitud del prefijo puede ser menor si se
puede justificar.
En IPv6, una interfaz puede ser configurada con múltiples direcciones unicast globales, que pueden
estar en la misma o en diferentes subredes. Además, una interfaz no tiene que estar configurada con una
dirección unicast global, pero debe tener al menos una dirección link-local.
Una dirección global unicast puede clasificarse a su vez en las distintas opciones de configuración
disponibles, como muestra la Figura 27-6.
Figura 27-6 Opciones de configuración de la dirección unicast global
Unicast global
Manual Dinámica
IPv6 Autoconfiguración sin estado

Dirección IPv6 DHCPv6
Sin numerar
Estática EUI-64 EUI-64 Al azar
Revisaremos EUI-64 y la autoconfiguración de direcciones sin estado con más detalle más adelante
en este día. En los próximos días, revisaremos el resto de las opciones de configuración de la Figura
27-6 con más detalle. Por ahora, la Tabla 27-2 las resume.
Tabla 27-2 Resumen de las opciones de configuración global de

unicast Opción de configuración global de unicast
Descripción
ManualStaticAl igual que en IPv4, la dirección y el prefijo IPv6 se
configuran estáticamente en la interfaz.
EUI-64El prefijo se configura manualmente. El proceso EUI-64
utiliza la dirección MAC para generar el ID de interfaz
de 64 bits.
IPv6 no numeradoAl igual que con IPv4, una interfaz puede configurarse para utilizar
la dirección IPv6 de otra interfaz en el mismo dispositivo.
DinámicaAutoconfiguración de
direcciones sin SLAAC determina el prefijo y la longitud del prefijo a
estado partir de los mensajes de publicidad del router de
descubrimiento de vecinos y luego crea el ID de la
interfaz utilizando el método EUI-64.
DHCPv6Al igual que con IPv4, un dispositivo puede recibir parte o todo
su direccionamiento de un servidor DHCPv6.
Día 27 71
Enlace-dirección local
Como muestra la Figura 27-2, las direcciones link-local son un tipo de dirección unicast. Las direcciones
link-local están confinadas a un solo enlace. Tienen que ser únicas para ese enlace porque los paquetes
con una dirección de origen o destino de enlace local no son enrutables fuera del enlace.
Las direcciones link-local se configuran de una de estas tres maneras:
■
Dinámicamente, utilizando EUI-64
■
Utilizar un ID de interfaz generado aleatoriamente
■
De forma estática, introduciendo manualmente la dirección link-local
Las direcciones link-local ofrecen una ventaja única en IPv6. Un dispositivo puede crear su dirección
link-local completamente por sí mismo. Las direcciones link-local unicast están en el rango FE80::/10 a
FEBF::/10, como muestra la Tabla 27-3.
Tabla 27-3 Rango de direcciones Unicast Link-Local

Dirección Unicast de enlace Rango del primer hexteto Rango del primer hexteto en binario
FE80::/10FE801111 1110 10 00 0000
FEBF1111 1110 10 11 1111
La Figura 27-7 muestra el formato de una dirección unicast de enlace local.
Figura 27-7 Dirección Unicast de Enlace-Local

10 bits
Los 54 bits /64 64 bits
restantes
1111 1110 10 ID de la
interfaz
FE80::/10EUI-64, configuración aleatoria o manual
Dirección de bucle invertido

La dirección loopback para IPv6 es una dirección todo-0 excepto el último bit, que se pone a 1. Al igual
que en IPv4, un dispositivo final utiliza la dirección de bucle invertido IPv6 para enviar un paquete
IPv6 a sí mismo para probar la pila TCP/IP. La dirección loopback no puede ser asignada a una interfaz
y no es enrutable fuera del dispositivo.
Dirección no especificada
La dirección unicast no especificada es la dirección all-0s, representada como ::. No se puede asignar a
una interfaz, sino que se reserva para las comunicaciones cuando el dispositivo emisor no tiene
todavía una dirección IPv6 válida. Por ejemplo, un dispositivo utiliza :: como dirección de origen
cuando utiliza el proceso de detección de direcciones duplicadas (DAD). El proceso DAD garantiza una
dirección local de enlace única. Antes de que un dispositivo pueda empezar a utilizar su dirección local
de enlace recién creada, envía una multidifusión de todos los nodos a todos los dispositivos del enlace,
con su nueva dirección como destino. Si el dispositivo recibe una respuesta, sabe que la dirección local
de enlace está en uso y, por lo tanto, necesita crear otra dirección local de enlace.
Dirección local única

Las direcciones locales únicas (ULA) se definen en el RFC 4193, "Unique Local IPv6 Unicast
Addresses". La figura 27-8 muestra el formato de las ULA.
Figura 27-8 Dirección local única

7 bits1 bit
40 bits 16 bits 64 bits
1111 110 x Identificación ID de ID de la

global subred interfaz
FC00::/7 Algoritmo EUI-64, configuración aleatoria o manual

L bit pseudoaleatori
o
Se trata de direcciones privadas. Sin embargo, a diferencia de IPv4, las ULAs de IPv6 son
globalmente únicas. Esto es posible debido a la cantidad relativamente grande de espacio de
direcciones en la parte de ID global que se muestra en la Figura 27-8: 40 bits, o más de 1 billón de
ID globales únicas. Siempre que un sitio utilice el algoritmo de ID global pseudo-aleatorio, tendrá una
probabilidad muy alta de generar un ID global único.
Las direcciones locales únicas tienen las siguientes características:
■
Poseer un prefijo único a nivel mundial o al menos tener una probabilidad muy alta de ser único
■
Permitir que los sitios se combinen o se interconecten de forma privada sin conflictos de
dirección o renumeración de direcciones
■
Son independientes de cualquier proveedor de servicios de Internet y pueden utilizarse en un
sitio sin tener conexión a Internet
■
Si se filtran accidentalmente fuera de un sitio, ya sea por enrutamiento o por el Sistema de
Nombres de Dominio (DNS), no causan un conflicto con ninguna otra dirección
■
Puede utilizarse como una dirección global de unicast
Dirección IPv4 incorporada

Los paquetes IPv4 e IPv6 no son compatibles. Para traducir entre las dos familias de direcciones se
necesitan funciones como NAT-PT (ahora obsoleta) y NAT64. Las direcciones IPv6 mapeadas en IPv4
son utilizadas por los mecanismos de transición en hosts y routers para crear túneles IPv4 que
entreguen paquetes IPv6 sobre redes IPv4.
NOTA: NAT64 está fuera del alcance de los temas del examen CCNA.
Para crear una dirección IPv4 mapeada en IPv6, la dirección IPv4 se incrusta dentro del orden inferior
32 bits de IPv6. Básicamente, IPv6 sólo pone una dirección IPv4 al final, añade 16 bits todo-1 y
rellena el resto de la dirección. La dirección no tiene que ser globalmente única. La Figura 27-9 ilustra
esta estructura de dirección IPv6 mapeada en IPv4.
Día 27 73
Figura 27-9 Dirección IPv6 mapeada en

IPv4
16 bits32bits
80 bits
0000 ................................................................. 0000 FFFF w.x.y.z
Dirección IPv4
en decimal
punteado
Dirección IPv4 de 32 bits 192.168.10.10
80 bits16bits32bits
0000 0000 0000 0000 0000 FFFF 192.168.10.10
Formato comprimido IPv6 ::FFFF.192.168.10.10
Multidifu
sión
La segunda gran clasificación de los tipos de direcciones IPv6 en la Figura 27-2 es la multidifusión. La
multidifusión es una técnica mediante la cual un dispositivo envía un único paquete a varios destinos
simultáneamente. Una dirección de multidifusión IPv6 define un grupo de dispositivos conocido
como grupo de multidifusión y es equivalente a IPv4 224.0.0.0/4. Las direcciones de multidifusión
IPv6 tienen el prefijo FF00::/8.
Se utilizan dos tipos de direcciones de multidifusión IPv6:
■
Multidifusión asignada
■
Multidifusión de nodo solicitado
Multidifusión asignada
Las direcciones de multidifusión asignadas se utilizan en contexto con
protocolos específicos. Dos grupos comunes de multidifusión asignada
de IPv6 son los siguientes:
■
FF02::1 Grupo de multidifusión de todos los nodos: Se trata de un grupo de multidifusión al que
se unen todos los dispositivos habilitados para IPv6. Al igual que con una difusión en IPv4, todas
las interfaces IPv6 en el enlace procesan los paquetes enviados a esta dirección. Por ejemplo, un
router que envía un Anuncio de Enrutamiento (RA) ICMPv6 utiliza la dirección FF02::1 de todos
los nodos. Los dispositivos habilitados para IPv6 pueden entonces utilizar la información del RA
para aprender la información de la dirección del enlace, como el prefijo, la longitud del prefijo y
la puerta de enlace predeterminada.
■
FF02::2 Grupo de multidifusión de todos los routers: Este es un grupo de multidifusión al que se
unen todos los routers IPv6. Un router se convierte en miembro de este grupo cuando se
habilita como router IPv6 con el comando de configuración global ipv6 unicast-routing. Un
paquete enviado a este grupo es recibido y
procesado por todos los routers IPv6 en el enlace o red. Por ejemplo, los dispositivos habilitados
para IPv6 envían mensajes ICMPv6 de solicitud de enrutamiento (RS) a la dirección multicast
de todos los enrutadores solicitando un mensaje RA.
Multidifusión de nodos solicitados

Además de cada dirección unicast asignada a una interfaz, un dispositivo tiene una dirección multicast
especial conocida como dirección multicast de nodo solicitado (consulte la Figura 27-2). Estas
direcciones multicast se crean automáticamente utilizando un mapeo especial de la dirección unicast
del dispositivo con el prefijo multicast del nodo solicitado FF02:0:0:0:0:1:FF00::/104.
Como muestra la Figura 27-10, las direcciones multicast de nodo solicitado se utilizan para dos
mecanismos esenciales de IPv6, ambos parte del Protocolo de Descubrimiento de Vecinos (NDP):
Figura 27-10 Usos de Multicasts de nodos solicitados

Address Resolution
NDP Mensaje de Solicitud de Vecinos Destino: Multidifusión del nodo solicitado
"Quien tenga la dirección IPv6 2001:0DB8:AAAA:0001::0500, por favor envíeme su dirección MAC Eth
PC-A
PC-B
Detección de direcciones duplicadas (DAD)

NDP Mensaje de Solicitud de
Vecinos Destino: Multidifusión del
nodo solicitado
"Antes de utilizar esta dirección, ¿hay alguien más en
este enlace que utilice esta dirección local de enlace
■
Resolución de direcciones: En este mecanismo, que es equivalente a ARP en IPv4, un
dispositivo IPv6 envía un mensaje NS a una dirección multicast de nodo solicitado para
conocer la dirección de capa de enlace de un dispositivo en el mismo enlace. El dispositivo
reconoce la dirección IPv6 del destino en ese enlace pero necesita conocer su dirección de
enlace de datos.
■
Detección de direcciones duplicadas (DAD): Como se ha mencionado anteriormente, DAD
permite a un dispositivo verificar que su dirección unicast es única en el enlace. Se envía un
mensaje NS a la propia dirección de multidifusión del nodo solicitado del dispositivo para
determinar si alguien más tiene esta misma dirección.
Día 27 75
Como muestra la Figura 27-11, la dirección multicast del nodo solicitado consta de dos partes:
Figura 27-11 Estructura de la dirección multicast del nodo solicitado

Dirección Unicast/Anycast
104 bits24bits
ID de
Prefijo de enrutamiento ID de la
global subre interfaz
d
Copiar
Dirección de multidifusión del nodo solicitado
FF02 0000 0000 0000 0000 0001 FF
104 bits24bits
FF02:0:0:0:0:1:FF00::/104
■
Prefijo de multidifusión FF02:0:0:0:0:FF00::/104: Son los primeros 104 bits de la dirección
multicast de todos los nodos solicitados.
■
Los 24 bits menos significativos: Estos bits se copian de los 24 bits de la extrema derecha de
la dirección global unicast o link-local unicast del dispositivo.
Anycast
La última clasificación importante de los tipos de direcciones IPv6 en la Figura 27-2 es la dirección
anycast. Una dirección anycast puede ser asignada a más de un dispositivo o interfaz. Un paquete
enviado a una dirección anycast es enrutado al dispositivo "más cercano" que esté configurado con la
dirección anycast, como muestra la Figura 27-12.
Figura 27-12 Ejemplo de direccionamiento Anycast
El coste de 10 es mi
mejor camino hacia
2001:db8:abcd:1:1. Servidor
Coste para el servidor
A 2001:db8:abcd:1:1
Destino:
2001:db8:abcd:1:1. Servidor
Coste para el servidor
B 2001:db8:abcd:1:1
Coste para el servidor C = 10 Servidor

C
2001:db8:abcd:1:1
Representación de la dirección IPv6

Una dirección IPv6 puede parecer bastante intimidante para alguien que esté acostumbrado al
direccionamiento IPv4. Sin embargo, una dirección IPv6 puede ser más fácil de leer y es mucho más
sencilla de subredes que la IPv4.
Convenciones para escribir direcciones IPv6

Las convenciones de IPv6 utilizan 32 números hexadecimales, organizados en ocho hextetos de cuatro
dígitos hexadecimales separados por dos puntos, para representar una dirección IPv6 de 128 bits.
Por ejemplo:
2340:1111:AAAA:0001:1234:5678:9ABC
Para facilitar un poco las cosas, dos reglas permiten acortar lo que debe configurarse para una
dirección IPv6:
■
Regla 1: Omitir los 0 iniciales en cualquier hexteto.
■
Regla 2: Omita los hextetos de todos los 0s. Represente uno o más hextetos consecutivos de
todos los 0s hexadecimales con dos puntos dobles (::), pero sólo para una ocurrencia de este
tipo en una dirección dada.
Por ejemplo, en la siguiente dirección, los dígitos hexadecimales resaltados representan la parte de la
dirección que se puede abreviar:
FE00:0000:0000:0001:0000:0000:0000:0056
Esta dirección tiene dos ubicaciones en las que uno o más hextetos tienen cuatro 0s hexadecimales, por
lo que dos opciones principales funcionan para abreviar esta dirección con la abreviatura :: en una de las
ubicaciones. Las dos opciones siguientes muestran las dos abreviaturas válidas más breves:
■
FE00::1:0:0:0:56
■
FE00:0:0:1::56
En el primer ejemplo, los hextetos segundo y tercero que preceden a 0001 se han sustituido por ::. En
el segundo ejemplo, los hextetos quinto, sexto y séptimo se han sustituido por ::. En particular, hay
que tener en cuenta que la abreviatura ::, que significa "uno o más hextetos de todos los 0", no puede
utilizarse dos veces porque sería ambiguo. Por lo tanto, la abreviatura FE00::1::56 no sería válida.
Convenciones para escribir prefijos IPv6

Un prefijo IPv6 representa un rango o bloque de direcciones IPv6 consecutivas. El número que
representa el rango de direcciones, llamado prefijo, suele verse en las tablas de enrutamiento IP, al
igual que se ven los números de subred IP en las tablas de enrutamiento IPv4.
Al igual que en IPv4, cuando se escribe o teclea un prefijo en IPv6, los bits que pasan al final de la
longitud del prefijo son todos 0 binarios. La siguiente dirección IPv6 es un ejemplo de una dirección
asignada a un host:
2000:1234:5678:9ABC:1234:5678:9ABC:1111/64
El prefijo en el que reside esta dirección es el

siguiente
2000:1234:5678:9ABC:0000:0000:0000:0000/64
Cuando se abrevia, es:
2000:1234:5678:9ABC::/64
Día 27 77
Si la longitud del prefijo no cae en un límite de hexteto (es decir, no es un múltiplo de 16), el valor
del prefijo debe enumerar todos los valores del último hexteto. Por ejemplo, supongamos que la
longitud del prefijo en el ejemplo anterior es /56. Por convención, el resto del cuarto hexteto se
escribe, después de ser puesto en 0 binario, como sigue:
2000:1234:5678:9A00::/56
La siguiente lista resume algunos puntos clave sobre cómo escribir prefijos IPv6:
■
El prefijo tiene el mismo valor que las direcciones IP del grupo para el primer número de bits,
definido por la longitud del prefijo.
■
Los bits posteriores al número de bits de la longitud del prefijo son 0s binarios.
■
El prefijo puede ser abreviado con las mismas reglas que para las direcciones IPv6.
■
Si la longitud del prefijo no está en el límite de un hexteto, anote el valor para todo el hexteto.
La Tabla 27-4 muestra varios ejemplos de prefijos, sus formatos y una breve explicación.
Tabla 27-4 Ejemplo de prefijos IPv6 y su significado

Prefijo Explicación Alternativa incorrecta
2000::/3 Todas las direcciones cuyos 3 primeros bits 2000/3 (omite ::) 2::/3 (omite el
son iguales a los 3 primeros bits del número resto del primer hexteto)
hexadecimal 2000 (los bits son 001)
2340:1140::/26 Todas las direcciones cuyos primeros 26 2340:114::/26 (omite la última cifra
bits coinciden con el número hexadecimal del segundo hexteto)
indicado
2340:1111::/32 Todas las direcciones cuyos primeros 32 2340:1111/32 (omite ::)
bits coinciden con el número hexadecimal
indicado
Subredes IPv6
En muchos sentidos, la creación de redes de direcciones IPv6 es mucho más sencilla que la creación
de redes de direcciones IPv4. A un sitio típico se le asigna un espacio de direcciones IPv6 con una
longitud de prefijo de /48. Debido a que los bits menos significativos se utilizan para el ID de la
interfaz, eso deja 16 bits para el ID de la subred y una longitud de prefijo de subred de /64, como
muestra la Figura 27-13.
Figura 27-13 Prefijo de

subred /64
/64
/48
16 bits64bits
48 bits
Prefijo de enrutamiento
ID de ID de la
global (asignado por
subred interfaz
el ISP)
Prefijo de subred
/64
Para nuestros ejemplos de subredes, utilizamos 2001:0DB8:000A::/48, o simplemente
2001:DB8:A::/48, que incluye las subredes 2001:DB8:A::/64 hasta 2001:DB8:A:FFFF::/64. Son 216, o
65.536 subredes, cada una con 264, o 18 quintillones, de direcciones de interfaz.
Subnetting el ID de la subred
Para crear una subred en una pequeña o mediana empresa, basta con incrementar los bits menos
significativos del ID de subred (como en el ejemplo 27-1) y asignar subredes /64 a sus redes.
Ejemplo 27-1 Subnetting el ID de subred
2001:DB8:A:0001::/64
2001:DB8:A:0002::/64
2001:DB8:A:0003::/64
2001:DB8:A:0004::/64
2001:DB8:A:0005::/64
Por supuesto, si está administrando una implementación más grande, puede utilizar los cuatro dígitos
hexadecimales del ID de subred para diseñar una jerarquía de cuatro niveles rápida y sencilla. La
mayoría de las redes empresariales grandes tienen mucho espacio para diseñar un esquema de
direcciones lógicas que agregue direcciones para una configuración de enrutamiento óptima. Además,
solicitar y recibir otra dirección /48 no es difícil.
Subredes en el ID de la interfaz
Si extiendes tu subred a la parte del ID de la interfaz de la dirección, es una buena práctica hacer la
subred en el límite del nibble. Un nibble son 4 bits, o un dígito hexadecimal. Por ejemplo
tomar prestados los 4 primeros bits de la parte del ID de interfaz de la dirección de red
2001:DB8:A:1::/64. Esto significa que la red 2001:DB8:A:1::/64 tendría ahora 24, o 16,
subredes desde 2001:DB8:A:1:0000::/68 hasta 2001:DB8:A:1:F000::/68. Enumerar las subredes es
fácil, ya que
El ejemplo 27-2 lo muestra.
Ejemplo 27-2 Subredes en el ID de interfaz
2001:DB8:A:1:0000::/68
2001:DB8:A:1:1000::/68
2001:DB8:A:1:2000::/68
2001:DB8:A:1:3000::/68
a través de
2001:DB8:A:1:F000::/68
Concepto EUI-64
El día 18 revisa el direccionamiento IPv6 estático, incluyendo cómo configurar un router para usar
el direccionamiento EUI-64 (EUI significa Extended Unique Identifier). Hoy revisamos el concepto que
hay detrás de la configuración EUI-64.
Recuerda de la Figura 27-13 que la segunda mitad de la dirección IPv6 se llama ID de interfaz. El
valor de la porción del ID de interfaz de una dirección unicast global puede ser establecido a
cualquier valor, siempre y cuando ningún otro host en la misma subred intente usar el mismo valor.
Sin embargo, el tamaño del ID de la interfaz se eligió para permitir una fácil autoconfiguración de
las direcciones IP introduciendo la dirección MAC de una tarjeta de red en el campo del ID de la
interfaz en una dirección IPv6.
Día 27 79
Las direcciones MAC tienen 6 bytes (48 bits) de longitud. Para completar el ID de interfaz de 64
bits, IPv6 rellena 2 bytes más separando la dirección MAC en dos mitades de 3 bytes. Luego inserta
el hexágono FFFE entre las mitades y pone el séptimo bit del primer byte en 1 binario para
formar el campo de ID de interfaz. La Figura 27-14 muestra este formato, llamado formato
EUI-64.
Por ejemplo, las dos líneas siguientes enumeran la dirección MAC de un host y el correspondiente ID
de interfaz en formato EUI-64, asumiendo el uso de una opción de configuración de direcciones que
utiliza el formato EUI-64:
■
Dirección MAC: 0034:5678:9ABC
■
ID de interfaz EUI-64: 0234:56FF:FE78:9ABC
Figura 27-14 Formato de dirección IPv6 con ID de interfaz y EUI-64

Prefijo de subred
48 Bits 16 Bits 64 bits
Prefijo (asignado por el ISP) Subred ID de la interfaz
Formato EUI-64
Prefijo del sitio
1ª mitad 2ª mitad
de FFFE de MAC
Voltear el 7º bit
(lectura de izquierda a
derecha) del primer
byte a un 1 binario
NOTA: Para cambiar el séptimo bit (leyendo de izquierda a derecha) en el ejemplo,

convierta el hexágono 00 a binario 00000000, cambie el séptimo bit a 1 (00000010), y luego
vuelva a convertirlo a hexágono, para que el hexágono 02 sea los dos primeros dígitos.
Autoconfiguración de direcciones sin estado

IPv6 admite dos métodos de configuración dinámica de direcciones IPv6:
■
Autoconfiguración de direcciones sin estado (SLAAC): Un host aprende dinámicamente la dirección
/64
prefijo a través del Protocolo de Descubrimiento de Vecinos (NDP) IPv6 y luego calcula el
resto de su dirección utilizando el método EUI-64.
■
DHCPv6: Funciona conceptualmente igual que DHCP en IPv4. Revisamos DHCPv6 en el
día 23, "DHCP y DNS".
Al utilizar el proceso EUI-64 y el Protocolo de Descubrimiento de Vecinos (NDP), SLAAC permite
que un dispositivo determine su dirección unicast global completa sin ninguna configuración
manual y sin un
servidor DHCPv6. La Figura 27-15 ilustra el proceso SLAAC entre un host y un router configurado con
el comando ipv6 unicast-routing, lo que significa que enviará y recibirá mensajes NDP.
Figura 27-15 Descubrimiento de vecinos y proceso SLAAC
ipv6 unicast-routing
RouterA
1
Solicitud de router NDP
"Necesito información del router"MAC:00-19-D2-8C-E0-4C
2
Anuncio del enrutador NDP PC-B
Prefijo: 2001:DB8:AAAA:1::
Longitud del prefijo: /64
3
ID de interfaz EUI-64: 02-19-D2-FF-FE-8C-E0-4C
Dirección Global Unicast: 2001:DB8:AAAA:1:0219:D2FF:FE8C:E04C Prefix-length: /64
4
Mensaje de solicitud de vecinos NDP - DAD
"¿Hay alguien más en este enlace que utilice la dirección:
Dirección IPv6 de destino: 2001:DB8:AAAA:1:0219:D2FF:FE8C:E04C"
Migración a IPv6
Actualmente se utilizan dos grandes estrategias de transición para migrar a IPv6:
■
Dual-stacking: En este método de integración, un nodo tiene implementación y conectividad
tanto a una red IPv4 como a una red IPv6. Esta es la opción recomendada y consiste en ejecutar
IPv4 e IPv6 al mismo tiempo.
■
Tunneling: El tunneling es un método para transportar paquetes IPv6 a través de redes sólo IPv4
encapsulando el paquete IPv6 dentro de IPv4. Existen varias técnicas de tunneling.
Debido a la simplicidad de ejecutar el apilamiento dual, lo más probable es que sea la estrategia
preferida a medida que empiecen a desaparecer las redes sólo IPv4. Sin embargo, es probable que pasen
décadas antes de que veamos redes empresariales que funcionen exclusivamente con IPv6. La figura 27-
16 ilustra una forma de pensar de Wendell Odom sobre la transición a IPv6: "Pero ¿quién sabe cuánto
tiempo llevará?"
Recuerda este consejo: "Haz una pila doble donde puedas; haz un túnel donde debas". Estos dos
métodos son las técnicas más comunes para la transición de IPv4 a IPv6. El apilamiento dual es bastante
fácil: Basta con configurar todos los dispositivos para que utilicen tanto el direccionamiento IPv4 como
el IPv6. El tunelado es más complejo y va más allá del alcance de los temas del examen CCNA.
Día 27 81
Figura 27-16 Transición a IPv6 mediante el apilamiento dual
TCP/IP TCP/IP
IPv4 IPv4
TCP/IP
IPv6
TCP/IP TCP/IP
IPv6 IPv6
2010s2020s ???2030s ???
Recursos de estudio

Academia de Redes Cisco: CCNA 1 4
6
7
8
Conceptos y configuraciones
de VLAN y Trunking

■
Configurar y verificar las VLAN (rango normal) que abarcan varios conmutadores
■
Configurar y verificar la conectividad entre conmutadores
Puntos clave
Hoy en día, la mayoría de las grandes redes implementan redes de área local virtuales (VLAN). Sin VLANs,
un conmutador considera que todos los puertos están en el mismo dominio de difusión. Con las VLANs,
los puertos del switch pueden agruparse en diferentes VLANs, esencialmente segmentando el dominio
de difusión. Hoy repasaremos los conceptos de VLAN, consideraremos los tipos de tráfico, discutiremos
los tipos de VLAN y revisaremos el concepto de trunking, incluyendo el Protocolo de Trunking
Dinámico (DTP). Luego revisaremos los comandos para configurar y verificar las VLAN, el trunking y
el enrutamiento entre VLAN.
Conceptos de VLAN
Aunque un conmutador sale de la caja con una sola VLAN, normalmente un conmutador se configura
para tener dos o más VLAN. Con un conmutador de este tipo, se pueden crear múltiples dominios de
difusión poniendo algunas interfaces en una VLAN y otras interfaces en otras VLAN.
Tenga en cuenta estas razones para utilizar las VLAN:
■
Agrupar a los usuarios por departamento en lugar de por ubicación física
■
Segmentar los dispositivos en LANs más pequeñas para reducir la sobrecarga de procesamiento de todos los
dispositivos de la LAN
■
Reducción de la carga de trabajo del STP limitando una VLAN a un único switch de acceso
■
Mejora de la seguridad mediante el aislamiento de los datos sensibles en redes virtuales separadas
■
Separar el tráfico de voz IP del tráfico de datos
■
Ayudar a la resolución de problemas reduciendo el tamaño del dominio de fallo (es decir, el
número de dispositivos que pueden causar un fallo o que pueden ser afectados por uno)
Las ventajas de utilizar las VLAN son las siguientes:
■
Seguridad: Los datos sensibles pueden aislarse en una VLAN, separada del resto de la red.
■
Reducción de costes: La reducción de la necesidad de costosas actualizaciones de la red y
el uso más eficiente del ancho de banda y los enlaces ascendentes existentes conducen a
un ahorro de costes.
■
Mayor rendimiento: La división de las redes planas de capa 2 en múltiples dominios lógicos de
difusión reduce el tráfico innecesario en la red y aumenta el rendimiento.
■
Mitigación de las tormentas de difusión: La segmentación de la VLAN evita que las tormentas de
difusión se propaguen por toda la red.
■
Facilidad de gestión y resolución de problemas: Un esquema de direccionamiento jerárquico
agrupa las direcciones de red de forma contigua. Dado que un esquema de direccionamiento IP
jerárquico hace que los componentes problemáticos sean más fáciles de localizar, la gestión de la
red y la resolución de problemas son más eficientes.
Tipos de tráfico
La clave para el éxito de la implantación de una VLAN es entender los patrones de tráfico y los distintos
tipos de tráfico de la organización. La Tabla 26-1 enumera los tipos comunes de tráfico de red que hay
que evaluar antes de colocar los dispositivos y configurar las VLAN.
Tabla 26-1 Tipos de tráfico

Tipo de tráficoDescripción
Gestión de la redEn la red puede haber muchos tipos de tráfico de gestión de la red. Para
facilitar la resolución de problemas de la red, algunos diseñadores asignan una VLAN
separada para transportar ciertos tipos de tráfico de gestión de red.
Telefonía IPExisten dos tipos de tráfico de telefonía IP: la información de señalización entre
los dispositivos finales y los paquetes de datos de la conversación de voz. Los
diseñadores suelen configurar los datos hacia y desde los teléfonos IP en una VLAN
separada designada para el tráfico de voz, de modo que puedan aplicar medidas de
calidad de servicio para dar alta prioridad al tráfico de voz.
Multidifusión IPEl tráfico de multidifusión puede producir una gran cantidad de
datos que circulan por la red. Los conmutadores deben estar configurados para
evitar que este tráfico inunde los dispositivos que no lo han solicitado, y los routers
deben estar configurados para garantizar que el tráfico multicast se reenvía a las
zonas de la red donde se solicita.
Datos normalesEl tráfico de datosnormales el típico tráfico de aplicaciones
relacionado con los servicios de archivo e impresión, el correo electrónico, la
navegación por Internet, el acceso a bases de datos y otras aplicaciones de red
compartidas.
Clase ScavengerLa clase Scavenger incluye todo el tráfico con protocolos o patrones que exceden sus
flujos de datos normales. Las aplicaciones asignadas a esta clase contribuyen poco o
nada a los objetivos organizativos de la empresa y suelen estar orientadas al
entretenimiento.
Tipos de VLAN
Algunos tipos de VLAN se definen por el tipo de tráfico que soportan; otros se definen por las
funciones específicas que realizan. A continuación, los principales tipos de VLAN y sus descripciones:
■
VLAN de datos: configurada para transportar sólo el tráfico generado por el usuario,
asegurando que el tráfico de voz y de gestión esté separado del tráfico de datos.
■
VLAN por defecto: todos los puertos de un conmutador son miembros de la VLAN por defecto
cuando el conmutador se restablece a los valores de fábrica. La VLAN por defecto de los
conmutadores Cisco es la VLAN 1. La VLAN 1 tiene todas las características de cualquier VLAN,
excepto que no se le puede cambiar el nombre y no se puede eliminar. Es una buena práctica de
seguridad restringir la VLAN 1 para que sirva de conducto sólo para el tráfico de control de capa 2
(por ejemplo, CDP) y no admita ningún otro tipo de tráfico.
■
VLAN de agujero negro: Una buena práctica de seguridad es definir una VLAN de agujero negro
para que sea una VLAN ficticia distinta de todas las demás VLAN definidas en la LAN
conmutada. Todos los puertos de conmutación no utilizados
Día 26 85
se asignan a la VLAN de agujero negro para que cualquier dispositivo no autorizado que se
conecte a un puerto de switch no utilizado no pueda comunicarse más allá del switch al que está
conectado.
■
VLAN nativa: Este tipo de VLAN sirve como identificador común en los extremos opuestos de un
enlace troncal. Una buena práctica de seguridad es definir una VLAN nativa para que sea una
VLAN ficticia distinta de todas las demás VLAN definidas en la LAN conmutada. La VLAN
nativa no se utiliza para ningún tráfico en la red conmutada, a menos que haya dispositivos de
puente heredados en la red o que exista una interconexión multiacceso entre conmutadores
unidos por un concentrador.
■
VLAN de gestión: El administrador de la red define esta VLAN como medio para acceder a las
capacidades de gestión de un conmutador. Por defecto, la VLAN 1 es la VLAN de gestión. Una de
las mejores prácticas de seguridad es definir la VLAN de gestión como una VLAN distinta de todas
las demás VLAN definidas en la LAN conmutada.
■
VLAN de voz: Una VLAN de voz permite a los puertos del conmutador transportar el tráfico de voz
IP de un teléfono IP. El administrador de la red configura una VLAN de voz y la asigna a los
puertos de acceso. A continuación, cuando un teléfono IP se conecta al puerto del conmutador,
el conmutador envía mensajes CDP que indican al teléfono IP conectado que envíe tráfico de
voz etiquetado con el ID de la VLAN de voz.
Ejemplo de VLAN de voz

La figura 26-1 muestra un ejemplo de uso de un puerto de un switch para conectar el teléfono IP y el
PC de un usuario.El puerto del switch está configurado para transportar tráfico de datos en la VLAN 20
y tráfico de voz en la VLAN 150.El teléfono IP de Cisco contiene un switch 10/100 de tres puertos
integrado para proporcionar las siguientes conexiones dedicadas:
■
El puerto 1 se conecta al conmutador o a otro dispositivo VoIP.
■
El puerto 2 es una interfaz interna 10/100 que lleva el tráfico del teléfono IP.
■
El puerto 3 (puerto de acceso) se conecta a un PC u otro dispositivo.
Figura 26-1 Conmutación de tráfico de voz y datos del teléfono IP de Cisco

Un teléfono IP de Cisco es un conmutador.
Puerto del conmutador configurado para soportar el tráfico de voz:
Teléfono IP 7960 de Cisco
Indica al teléfono que etiquete las tramas de voz con la VLAN 150.
Prioriza las tramas de voz.
Reenvía tramas de datos en la VLAN 20. Configurado para etiquetar las tramas de tráfico de voz con la VLAN 150
Teléfono ASIC
Tráfico de datos no etiquetado
P2
F0/18 P1 P3 PC5
Conmutador de 3Puerto
puertos
de acceso
S2
En este puerto se envían y reciben tramas de voz etiquetadas y de datos no etiquetadas.

IP
El tráfico del PC5 conectado al teléfono IP pasa a través del teléfono IP sin etiquetar. El enlace entre S2
y el teléfono IP actúa como una troncal modificada para transportar tanto el tráfico de voz
etiquetado como el tráfico de datos no etiquetado.
Trunking VLANs
Un tronco VLAN es un enlace Ethernet punto a punto entre una interfaz de conmutación Ethernet
y una interfaz Ethernet de otro dispositivo de red, como un router o un conmutador, que transporta el
tráfico de varias VLAN a través de un único enlace. Un tronco VLAN permite extender las VLANs a
toda una red. Un tronco VLAN no pertenece a una VLAN específica; en cambio, sirve como conducto
para las VLAN entre los conmutadores. La Figura 26-2 muestra una pequeña red conmutada con un
enlace troncal entre S1 y S2 que transporta tráfico de varias VLAN.
Figura 26-2 Ejemplo de una VLAN Trunk

Facultad
VLAN10 -1 -
VLAN PC1
Tráfico de control - S1
172.17.10.21
172.17.1.0/24 VLAN 10 - 1 puerto de conmutación
Facultad/Personal - 172.17.10.0/24 VLAN 5 VLANs: 1, 10, 20, 30, 99
20 - Estudiantes - 172.17.20.0/24
Estudiante
VLAN 30 - Invitado (por defecto) - 172.17.30.0/24
PC2
VLAN 20 -
172.17.20.22 S2
VLAN de
invitados PC3
30 -
172.17.30.23
Cuando se coloca una trama en un enlace troncal, se debe añadir a la trama información sobre la VLAN
a la que pertenece. Esto se consigue utilizando el etiquetado de tramas IEEE 802.1Q. Cuando un
conmutador recibe una trama en un puerto configurado en modo de acceso y destinada a un
dispositivo remoto a través de un enlace troncal, el conmutador desmonta la trama e inserta una
etiqueta VLAN, recalcula la secuencia de comprobación de trama (FCS) y envía la trama etiquetada
por el puerto troncal. La Figura 26-3 muestra la etiqueta 802.1Q insertada en una trama Ethernet.
Figura 26-3 Campos de la etiqueta 802.1Q dentro de una trama Ethernet

Destino.DirecciónDirección
Destino. Dirección
dede
la la
fuente Etiquet Datos
Len./Tipo Len./Tipo Datos
FCS FCS
Dirección fuente a
(Nuevo)
Tipo (16 Bits, 0×8100) Prioridad (3 Bits) Bandera (1 ID de VLAN (12

Bit) bits)
Día 26 87
El campo de la etiqueta VLAN consta de un campo de tipo de 16 bits denominado EtherType y un

campo de información de control de la etiqueta. El campo EtherType se establece con el valor
hexadecimal 0x8100. Este valor se denomina valor de ID de protocolo de etiqueta (TPID). Con el
campo EtherType configurado con el valor TPID, el switch que recibe la trama sabe que debe buscar
información en el campo Tag control information. El campo de información de control de etiqueta
contiene lo siguiente:
■
3 bits de prioridad de usuario: Proporciona una transmisión acelerada de las tramas de capa 2,
como el tráfico de voz
■
1 bit de identificador de formato canónico (CFI): Permite que las tramas Token Ring se
transporten fácilmente a través de los enlaces Ethernet
■
12 bits de ID de VLAN (VID): Proporciona los números de identificación de la VLAN
NOTA: Aunque 802.1Q es el método recomendado para el etiquetado de tramas, debe

conocer el protocolo de trunking propietario de Cisco llamado Inter-Switch Link (ISL).
Protocolo de enlace dinámico

El Protocolo de Troncalidad Dinámica (DTP) es un protocolo propietario de Cisco que negocia tanto
el estado de los puertos troncales como la encapsulación de los mismos. El DTP gestiona la
negociación troncal sólo si el puerto del otro conmutador está configurado en un modo troncal que
admita DTP. Un puerto de un switch Cisco Catalyst admite varios modos troncales. El modo de
troncalización define cómo el
El puerto negocia mediante DTP para establecer un enlace troncal con su puerto homólogo. A
continuación se describe brevemente cada modo de enlace troncal:
■
Si el conmutador está configurado con el comando switchport mode trunk, el puerto del
conmutador envía periódicamente mensajes DTP al puerto remoto, anunciando que está en un
estado de trunking incondicional.
■
Si el conmutador está configurado con el comando switchport mode trunk dynamic auto, el
puerto local del conmutador anuncia al puerto remoto del conmutador que puede hacer trunk
pero no solicita pasar al estado de trunking. Después de una negociación DTP, el puerto local
termina en el estado
estado de trunking sólo si el modo de trunking del puerto remoto se ha configurado para que
el estado sea on o desirable. Si ambos puertos de los conmutadores están configurados en
automático, no negocian para estar en estado de trunking. Negocian para estar en el estado
de modo de acceso.
■
Si el conmutador está configurado con el comando switchport mode dynamic desirable, el
puerto local del conmutador anuncia al puerto remoto del conmutador que puede hacer trunk
y pide al puerto remoto del conmutador que pase al estado trunking. Si el puerto local detecta
que el puerto remoto ha sido configurado en modo on, desirable o auto, el puerto local
termina en el estado de trunking. Si el puerto de conmutación remoto está en modo no
negociado, el puerto de conmutación local permanece como puerto no troncal.
■
Si el conmutador está configurado con el comando switchport nonegotiate, se considera que el
puerto local está en un estado de trunking incondicional. Utilice esta función cuando necesite
configurar un tronco con un conmutador de otro proveedor.
La Tabla 26-2 resume los resultados de las negociaciones DTP basados en los diferentes
comandos de configuración DTP en los puertos locales y remotos.
Tabla 26-2 Resultados de la negociación de enlaces entre un puerto local y un puerto

remoto
Auto dinámico Dinámica Tronco Acceda a
deseable
Auto dinámico Acceda a Tronco Tronco Acceda a
Dinámica deseable Tronco Tronco Tronco Acceda a
Tronco Tronco Tronco Tronco No se recomienda
Acceda a Acceda a Acceda a No se recomienda Acceda a
Configuración y verificación de la VLAN

Consulte la topología de la Figura 26-4 mientras revisa los comandos de esta sección para
configurar, verificar y solucionar problemas de VLAN y trunking. La actividad de rastreo de paquetes
más adelante utiliza esta misma topología.
Figura 26-4 Topología de muestra del Día 26
Puertos
G0/1-2 son interfaces troncales
VLAN 1 - Tráfico de control - 172.17.1.0/24 802.1Q con VLAN nativa 99
VLAN 10PC1
- Facultad/Personal
172.17.10.21 - 172.17.10.0/24 S1 PC4 172.17.10.24
G0/1 G0/2
VLAN 10 - 172.17.20.0/24
VLAN 20 - Estudiantes VLAN
F0/11-17 10 en la
están
VLAN 30 - Invitado (por defecto) - 172.17.30.0/24 VLAN 15 F0/18-24
F0/11 F0/11 están en la VLAN 25
VLAN 99 - Gestión y nativa - 172.17.99.0/24
G0/1G0/2
F0/18S2 S3F0/18
F0/6 F0/6
PC2 172.17.20.22 PC5 172.17.20.25
VLAN 20 VLAN 20
PC3 PC6
172.17.30.23 172.17.30.26
VLAN 30 VLAN 30
La configuración por defecto de un conmutador Cisco es poner todas las interfaces en la VLAN 1.
Puede verificar esto con el comando show vlan brief, como se demuestra para S2 en el Ejemplo
26-1.
Día 26 89
Ejemplo 26-1 Configuración de la VLAN por defecto
S2# show vlan brief
Nombre de la VLAN Estado Puertos
1defaultactiveFa0/1, Fa0/2,
Fa0/3, Fa0/4 Fa0/5, Fa0/6,
Fa0/7, Fa0/8 Fa0/9, Fa0/10,
Fa0/11, Fa0/12 Fa0/13, Fa0/14,
Fa0/15, Fa0/16 Fa0/17, Fa0/18,
Fa0/19, Fa0/20 Fa0/21, Fa0/22,
Fa0/23, Fa0/24 Gig0/1, Gig0/2
1002 fddi-defaultactive
1003 token-ring-default activo
1004 fddinet-defaultactive
1005 trnet-
defaultactive S2#
Una VLAN se crea de dos maneras: en el modo de configuración global o directamente en la interfaz.
La ventaja de configurar en modo de configuración global es que se puede asignar un nombre con el
comando name vlan-name. La ventaja de configurar la VLAN en modo de configuración de interfaz
es que se asigna la VLAN a la interfaz y se crea la VLAN con un solo comando. Sin embargo, para
asignar un nombre a la VLAN, hay que volver a la configuración global
método. El ejemplo 26-2 muestra la creación de las VLANs 10 y 20 utilizando estos dos métodos.Se
nombra la VLAN 20 y se crean las restantes VLANs en el modo de configuración global.
Ejemplo 26-2 Creación de VLANs
S2# config t
Introduzca los comandos de configuración, uno por línea. Termine
con CNTL/Z. S2(config)# vlan 10
S2(config-vlan)# nombre Facultad/Personal
S2(config-vlan)# interfaz fa0/18
S2(config-if)# switchport access vlan 20
% La VLAN de acceso no existe. Crear vlan 20
S2(config-if)# vlan 20
S2(config-vlan)# nombre Estudiantes
S2(config-vlan)# vlan 30
S2(config-vlan)# nombre Guest(por defecto)
S2(config-vlan)# vlan 99
S2(config-vlan)# nombre Gestión&Nativa
S2(config-vlan)# end
%SYS-5-CONFIG_I: Configurado desde la consola por la
consola S2#
Observe en el Ejemplo 26-3 que se han creado todas las VLANs, pero sólo la VLAN 20 está asignada a
una interfaz.
Ejemplo 26-3 Verificación de la creación de la VLAN
S2# show vlan brief
Nombre de la VLANEstadoPuertos
1 defaultactiveFa0/1, Fa0/2,
Fa0/3, Fa0/4 Fa0/5, Fa0/6,
Fa0/7, Fa0/8 Fa0/9, Fa0/10,
Fa0/11, Fa0/12 Fa0/13, Fa0/14,
Fa0/15, Fa0/16 Fa0/17, Fa0/19,
Fa0/20, Fa0/21 Fa0/22, Fa0/23,
Fa0/24, Gig1/1 Gig1/2
10 Facultad/Personal Activo
20 AlumnosactivosFa0/18
30 Invitado (por defecto) activo
99 Management&Native activo
1002 fddi-default activo 1003
token-ring-default activo 1004
fddinet-default activo 1005
trnet-default activo S2#
Para asignar las interfaces restantes a las VLANs especificadas en la Figura 26-4, se puede configurar
una interfaz a la vez o se puede utilizar el comando range para configurar todas las interfaces
que pertenecen a una VLAN con un solo comando, como se muestra en el Ejemplo 26-4.
Ejemplo 26-4 Asignación de VLANs a interfaces
S2# config t
con CNTL/Z. S2(config)# interfaz rango fa 0/11 - 17
S2(config-if-range)# switchport access vlan 10
S2(config-if-range)# interface range fa 0/18 - 24
S2(config-if-range)# interface range fa 0/6 - 10
S2(config-if-range)# end
%SYS-5-CONFIG_I: Configurado desde la consola por la consola
S2#
Día 26 91
El comando show vlan brief del Ejemplo 26-5 verifica que todas las interfaces especificadas en la
Figura 26-4 han sido asignadas a la VLAN apropiada. Observe que las interfaces no asignadas siguen
perteneciendo a la VLAN 1 por defecto.
Ejemplo 26-5 Verificación de las asignaciones de VLAN a las interfaces
S2# show vlan brief
Nombre de la VLAN Estado Puertos
1 defaultactivo Fa0/1, Fa0/2, Fa0/3,

Fa0/4 Fa0/5, Gig0/1, Gig0/2
10 Facultad/Personal activo Fa0/11,
Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17
20 Estudiantes inactivos Fa0/18, Fa0/19,
Fa0/20, Fa0/21 Fa0/22,
Fa0/23, Fa0/24
30 Guest(Default)active Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10
99 Gestión&Actividad nativa
1002 fddi-defaultactive
1003 token-ring-defaultactive
1004 fddinet-defaultactive
1005 trnet-
defaultactive S2#
También puede verificar la asignación de la VLAN de una interfaz específica con el número de tipo de interfaces
show
switchport, como se muestra para FastEthernet 0/11 en el Ejemplo 26-6.
Ejemplo 26-6 Verificación de la asignación de la VLAN de una interfaz
S2# show interfaces fastethernet 0/11 switchport

Nombre: Fa0/11
Switchport: Enabled
Modo administrativo: dinámico automático Modo
operativo: acceso estático Encapsulación de
Trunking administrativo: dot1q Encapsulación
de Trunking operativo: nativo Negociación de
Trunking: En
Modo de acceso VLAN: 10
(Facultad/Personal) Modo Trunking Nativo
VLAN: 1 (por defecto) VLAN de voz:
ninguna
Vlan privada administrativa Asociación de host: ninguna
Mapeo administrativo de vlan privada: ninguno
VLAN nativa del tronco privado administrativo: ninguna

Encapsulación del tronco privado administrativo: dot1q VLAN
normal del tronco privado administrativo: ninguna VLAN privada
del tronco privado administrativo: ninguna VLAN privada
operativa: ninguna
Trunking VLANs Habilitado: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Captura de VLANs Permitidas: TODOS
Protegido: falso
Confianza en el aparato: ninguna
S2#
Para la topología de ejemplo mostrada en la Figura 26-4, también se configurarían las VLANs en S1 y
S3, pero sólo S3 necesita VLANs asignadas a interfaces.
Configuración y verificación de troncales

Siguiendo las mejores prácticas de seguridad, estamos configurando una VLAN diferente para la
VLAN de gestión y la VLAN por defecto. En una red de producción, sería conveniente utilizar una
diferente para cada una: una para la VLAN de gestión y otra para la VLAN nativa. Por conveniencia
aquí, estamos usando la VLAN 99 para ambas.
Primero definimos una nueva interfaz de gestión para la VLAN 99, como en el Ejemplo 26-7.
Ejemplo 26-7 Definición de una nueva interfaz de gestión
S1# config t
con CNTL/Z. S1(config)# interfaz vlan 99
%LINK-5-CHANGED: Interfaz Vlan99, ha cambiado el estado
a up S1(config-if)# dirección ip 172.17.99.31
255.255.255.0 S1(config-if)# end
%SYS-5-CONFIG_I: Configurado desde la consola por la consola
S1#
Luego repetimos la configuración en S2 y S3. La dirección IP se utiliza para probar la conectividad con
el conmutador, al igual que la dirección IP que el administrador de la red utiliza para el acceso remoto
(Telnet, SSH, SDM, HTTP, etc.).
Dependiendo del modelo de conmutador y de la versión de Cisco IOS, es posible que la DTP ya
haya establecido la conexión troncal entre dos conmutadores que están conectados directamente.
Por ejemplo, la configuración troncal por defecto de los switches 2950 es dinámica deseable. Por lo
tanto, un 2950 inicia las negociaciones troncales. Para nuestros propósitos, supongamos que los switches
son todos 2960. La configuración troncal por defecto del 2960 es dinámica automática, y en esta
configuración, la interfaz no inicia las negociaciones troncales.
Día 26 93
En el Ejemplo 26-8, las primeras cinco interfaces en S1 están configuradas para trunking. Observe
también que la VLAN nativa se ha cambiado a la VLAN 99.
Ejemplo 26-8 Configuración de troncales y asignación de VLAN nativa
S1# config t
con CNTL/Z. S1(config)# rango de interfaz g0/1 - 2
S1(config-if-range)# switchport mode trunk
S1(config-if-range)# switchport trunk native vlan 99
%SYS-5-CONFIG_I: Configurado desde la consola por la
consola S1#
%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/1
(99), with S2 FastEthernet0/1 (1).
%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/3
(99), con S3 FastEthernet0/3 (1).
Si espera la siguiente ronda de mensajes CDP, debería obtener el mensaje de error que se muestra
en el Ejemplo 26-8. Aunque el trunk está funcionando entre S1 y S2 y entre S1 y S3, los switches no
están de acuerdo con la VLAN nativa. Repita los comandos de trunking en S2 y S3 para corregir el
desajuste de la VLAN nativa.
NOTA: El tipo de encapsulación -dot1q o isl- puede necesitar ser configurado,

dependiendo del modelo de switch. La sintaxis para configurar el tipo de encapsulación
es la siguiente:
Switch(config-if)# switchport trunk encapsulation { dot1q | isl | negotiate }
La serie 2960 sólo soporta 802.1Q, por lo que este comando no está disponible.
Para verificar que el trunking está operativo, utilice los comandos del Ejemplo 26-9.
Ejemplo 26-9 Verificación de la configuración del tronco
S1# show interfaces trunk

PortModeEncapsulation
StatusNative vlan Gig0/1
on802.1qtrunking 99
Gig0/2 on802.1qtrunking 99
PortVlans permitidos
en el tronco Gig0/1 1-1005
Gig0/2 1-1005
PortVlans permitidos y activos en el dominio
de gestión Gig0/1 1,10,20,30,99
Gig0/2 1,10,20,30,99
PortVlans en estado de reenvío del árbol de expansión y

no podados Gig0/1 1,10,20,30,99
Gig0/2 1,10,20,30,99
S1# show interface g0/1 switchport

Nombre: Gig0/1
Switchport: Enabled
Modo administrativo: tronco Modo
operativo: tronco
Trunking administrativo Encapsulación: dot1q
Trunking operativo Encapsulación: dot1q Negociación
de Trunking: En
Modo de acceso VLAN: 1 (por defecto)
Trunking VLAN en modo nativo: 99 (gestión y nativo)
VLAN de voz: ninguna
Asociación de host de private-vlan administrativa:
ninguna Asignación de private-vlan administrativa:
ninguna VLAN nativa de private-vlan administrativa:
ninguna Encapsulación de private-vlan administrativa:
dot1q VLAN normal de private-vlan administrativa:
ninguna VLAN privada de private-vlan administrativa:
ninguna VLAN privada operativa: ninguna
Trunking VLANs Habilitado: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Captura de VLANs Permitidas: TODOS
Protegido: falso
Confianza en el aparato: ninguna
S1#
Recuerde que los hosts de la misma VLAN deben estar configurados con una dirección IP y una
máscara de subred en la misma subred. La prueba definitiva de su configuración, entonces, es verificar
que los dispositivos finales en la misma VLAN ahora pueden hacer ping entre sí. Si no pueden, utilice
los comandos de verificación para localizar sistemáticamente el problema de su configuración.
Solución de problemas de VLAN

Si surgen problemas de conectividad entre VLANs y ya se han resuelto los posibles problemas de
direccionamiento IP, se puede utilizar el diagrama de flujo de la Figura 26-5 para rastrear
metódicamente cualquier problema relacionado con errores de configuración de VLAN.
Día 26 95
Figura 26-5 Diagrama de flujo de resolución de problemas de la VLAN
mostrar vlan
mostrar vlan mostrar interfaces
mostrar tabla de direcciones mac mostrar interfaces switchport
Verificar la conexión entre dispositivos en la misma VLAN.

VLAN
No hay conexión entre dispositivos enellapuerto
¿Está Síla VLAN
mismaenVLAN. en la VLAN Sí
correcta?
presente
¿base de datos?
No No
Crear VLAN en la base de datos de VLAN.
Asigne el puerto a la VLAN correcta.
El diagrama de flujo de la Figura 26-5 funciona de esta manera:
Paso 1. Utilice el comando show vlan para comprobar si el puerto pertenece a la VLAN
esperada. Si el puerto está asignado a una VLAN incorrecta, utilice el comando
switchport access vlan para corregir la pertenencia a la VLAN. Paso 2. Utilice el
comando show mac address-table para comprobar qué direcciones se han
aprendido en un puerto concreto del switch y ver la VLAN a la que está asignado
ese puerto.
Paso 2. Si la VLAN a la que está asignado el puerto se borra, el puerto pasa a estar inactivo. Utilice
el comando show vlan o show interfaces switchport para descubrir los problemas de
las VLANs borradas. Si el puerto está inactivo, no será funcional hasta que se cree la
VLAN que falta mediante el comando vlan vlan_id.
La Tabla 26-3 resume estos comandos, que pueden ser especialmente útiles para solucionar problemas
de VLAN.
Tabla 26-3 Comandos de resolución de

problemas de la VLAN EXEC
ComandoDescripción
mostrar vlan Enumera cada VLAN y todas las interfaces asignadas a esa
show vlan brief VLAN (pero no incluye las troncales operativas)
show vlan id numLista los puertos de acceso y troncales en la VLAN
show interfaces switchport
Identifica la VLAN de acceso y la VLAN de voz de la interfaz, el
show interfaces type number modo configurado y operativo (acceso o troncal) y el estado del
switchport puerto (activado o desactivado)
show mac address-tableLista las entradas de la tabla MAC, incluyendo la VLAN asociada
show interface statusResume el listado de estado de todas las interfaces (conectadas, no con-
nect, err-disabled), la VLAN, el dúplex, la velocidad y el tipo de puerto
VLANs deshabilitadas
Las VLANs pueden ser deshabilitadas manualmente.Se puede verificar que las VLANs están activas
usando el comando show vlan. Como muestra el Ejemplo 26-10, las VLANs pueden estar en uno de
dos estados: activo o act/lshut. El segundo de estos estados significa que la VLAN está apagada.
Ejemplo 26-10 Activación y desactivación de VLANs en un switch
S1# show vlan brief

Nombre de la VLANEstadoPuertos
1 defaultactiveFa0/1, Fa0/2,
Fa0/3, Fa0/4 Fa0/5, Fa0/6,
Fa0/7, Fa0/8 Fa0/9, Fa0/10,
Fa0/11, Fa0/12 Fa0/14, Fa0/15,
Fa0/16, Fa0/17 Fa0/18, Fa0/19,
Fa0/20, Fa0/21 Fa0/22, Fa0/23,
Fa0/24, Gi0/1
10 VLAN0010act/lshutFa0/13
20 VLAN0020activa
30 VLAN0030act/lshut
40
VLAN0040active S1# configure

terminal
con CNTL/Z. S1(config)# no shutdown vlan 10
S1(config)# vlan 30
S1(config-vlan)# no shutdown
S1(config-vlan)#
Los comandos resaltados en el Ejemplo 26-10 muestran los dos métodos de configuración que se
pueden utilizar para habilitar una VLAN que había sido apagada.
Solución de problemas de Trunking

Para resumir los problemas con las VLAN y el trunking, hay que comprobar cuatro posibles problemas,
en este orden:
Paso 1. Identifique todas las interfaces de acceso y sus VLAN de acceso asignadas y reasígnelas a
las VLAN correctas, según sea necesario.
Paso 2. Determine si las VLAN existen y están activas en cada conmutador. Si es necesario,
configure y active las VLAN para resolver los problemas.
Paso 3. Compruebe las listas de VLAN permitidas en los conmutadores de ambos extremos del
tronco y asegúrese de que las listas de VLAN permitidas son las mismas.
Paso 4. Asegúrese de que, para cualquier enlace que deba usar trunking, un switch no crea
que es trunking, mientras que el otro switch no crea que es trunking.
En la sección anterior se revisaron los pasos 1 y 2. A continuación, repasamos los pasos 3 y 4.
Día 26 97
Compruebe los dos extremos de un tronco

Para el examen CCNA, deberías estar preparado para notar un par de rarezas que ocurren con
algunas opciones de configuración desafortunadas en los troncos.
Es posible configurar una lista de VLAN permitida diferente en los extremos opuestos de un tronco
VLAN. Como muestra la Figura 26-6, cuando las listas de VLAN no coinciden, el tronco no puede pasar
tráfico para esa VLAN.
Figura 26-6 Listas de VLAN permitidas no coincidentes en una troncal
1
2 Marco de descarte
VLAN 10 Eth. Marco
Gi0/1 Gi0/2
S1 Lista de permitidos: 1–10 Lista de permitidos: 1–9 S2
switchport trunk allowed vlan remove 10
Puede aislar este problema sólo comparando las listas permitidas en ambos extremos del
tronco. El ejemplo 26-9 muestra la salida del comando show interfaces trunk en S2.
Para comparar las VLANs permitidas en cada conmutador, necesita mirar la segunda de las tres listas
de VLANs listadas por el comando show interfaces trunk. Vea la salida en el Ejemplo 26-11.
Ejemplo 26-11 Verificación de las VLANs permitidas en S2
S2# show interfaces trunk

PortModeEncapsulation StatusNative vlan
Gi0/2desirable 802.1qtrunking 1
PortVlans permitidos
en la troncal Gi0/21-4094
PortVlans permitidos y activos en el dominio

de gestión Gi0/21-9
PortVlans en estado de reenvío del árbol de expansión y

no podados Gi0/21-9
Para añadir la VLAN 10 al tronco de S2, introduzca los siguientes comandos:

S2(config)# interfaz g0/2
S2(config-if)# switchport trunk allowed vlan add 10
La palabra clave add proporciona la capacidad de añadir una o más VLANs al tronco sin tener que
especificar de nuevo todas las VLANs existentes que ya están permitidas.
Comprobar los estados de funcionamiento del Trunking

Los troncales pueden estar mal configurados. En algunos casos, ambos conmutadores llegan a la
conclusión de que sus interfaces no son troncales. En otros casos, uno de los conmutadores cree que
su interfaz está troncalizando correctamente, mientras que el otro conmutador no.
La configuración incorrecta más común-que resulta en que ambos switches no hagan trunking-es
una configuración que usa el comando switchport mode dynamic auto en ambos switches en el
enlace. La palabra clave auto no significa que el trunking ocurra automáticamente. En su lugar, ambos
conmutadores esperan pasivamente a que el otro dispositivo del enlace comience las
negociaciones.
Con esta configuración incorrecta en particular, el comando show interfaces switchport en
ambos switches confirma tanto el estado administrativo (auto) como el hecho de que ambos
switches operan como puertos de acceso estático. El ejemplo 26-12 destaca esas partes de la salida
para S2.
Ejemplo 26-12 Verificación del estado del tronco para una interfaz específica
SW2# show interfaces gigabit0/2 switchport

Nombre: Gi0/2
Switchport: Enabled
Modo administrativo: dinámico automático Modo
operativo: acceso estático Encapsulación de
enlace administrativo: dot1q Encapsulación de
enlace operativo: nativo
Líneas omitidas por razones de brevedad
Compruebe siempre el estado operativo del tronco en ambos lados del mismo. Los mejores
comandos para comprobar los hechos relacionados con el tronco son show interfaces trunk y
show interfaces switchport.
Recursos de estudio

10
STP

■
Configurar, verificar y solucionar los problemas de los protocolos STP
■
Configurar, verificar y solucionar problemas de las características opcionales relacionadas con el STP
■
Describir las ventajas del apilamiento de conmutadores y la agregación de chasis
Temas clave
La revisión de hoy cubre el funcionamiento y la configuración del Protocolo de Árbol de expansión
(STP). El estándar original de STP IEEE 802.1D permitía la ejecución de una sola instancia de STP
para toda una red conmutada. Los administradores de redes actuales pueden implementar el árbol de
expansión por VLAN (PVST) y el STP rápido (RSTP), que mejoran el estándar original.
Conceptos y funcionamiento del STP

Una característica clave de una red de comunicaciones bien construida es su capacidad de recuperación.
Una red resistente es capaz de hacer frente a un fallo de dispositivo o de enlace mediante la redundancia.
Una topología redundante puede eliminar un único punto de fallo utilizando múltiples enlaces, múltiples
dispositivos o ambos. El STP ayuda a prevenir los bucles en una red conmutada redundante. La Figura
25-1 muestra un ejemplo de topología de tres capas (núcleo, distribución, acceso) con enlaces
redundantes.
Sin STP, la redundancia en una red conmutada puede introducir los siguientes problemas:
■
Tormentas de difusión: Cada conmutador inunda las emisiones sin cesar.
■
Transmisión de múltiples tramas: Se entregan múltiples copias de tramas de
unidifusión al destino, lo que provoca errores irrecuperables.
■
Inestabilidad de la base de datos MAC: La inestabilidad en el contenido de la tabla de
direcciones MAC es el resultado de que diferentes puertos del conmutador reciban
copias de la misma trama.
Figura 25-1 Topología conmutada redundante
Acceda a
Distribución
Núcleo
Distribución
Acceda a
Centro de datos
WAN Internet
Algoritmo STP
El STP es un estándar del Comité IEEE definido como 802.1D. El STP coloca ciertos puertos en estado
de bloqueo para que no escuchen, reenvíen o inunden tramas de datos. STP crea un árbol que asegura
que sólo existe una ruta para cada segmento de la red en cualquier momento. Si algún segmento
experimenta una interrupción en la conectividad, STP reconstruye un nuevo árbol activando la ruta
previamente inactiva pero redundante.
El algoritmo que utiliza STP elige las interfaces que deben pasar a estado de reenvío. En el caso de las
interfaces no elegidas para estar en estado de reenvío, el STP las coloca en estado de bloqueo.
Los switches intercambian mensajes de configuración del STP cada 2 segundos, por defecto, utilizando una
multidifusión
La trama llamada unidad de datos de protocolo de puente (BPDU). Los puertos bloqueados escuchan
estas BPDU para detectar si el otro lado del enlace está caído, lo que requiere un recálculo del STP.
Una de las informaciones incluidas en la BPDU es el ID del puente (BID).
Como muestra la Figura 25-2, el BID es único para cada switch. Consta de un valor de prioridad (2
bytes) y la dirección MAC del puente (6 bytes).
Prioridad del puente

Figura 25-2 ID del puente
ID del puente = 8 Bytes
2 Bytes 6 Bytes
Dirección
MAC
Día 25 101
La prioridad por defecto es de 32.768. El puente raíz es el puente con el BID más bajo. Por lo tanto, si
no se cambia el valor de la prioridad por defecto, el switch con la dirección MAC más baja se convierte
en la raíz.
Convergencia STP
La convergencia STP es el proceso por el cual los switches se dan cuenta colectivamente de que
algo ha cambiado en la topología de la LAN. Los switches determinan si necesitan cambiar qué
puertos bloquean y
qué puertos reenviar. Los siguientes pasos resumen el algoritmo STP utilizado para lograr la convergencia:
Paso 1. Elegir un puente raíz (es decir, el switch con el BID más bajo). Sólo puede existir un
puente raíz por red. Todos los puertos del puente raíz son puertos de reenvío.
Paso 2. Elija un puerto raíz para cada switch no raíz, basándose en el menor coste de la ruta
raíz. Cada conmutador no raíz tiene un puerto raíz. El puerto raíz es el puerto a través
del cual el puente no raíz tiene su mejor camino hacia el puente raíz.
Paso 3. Elegir un puerto designado para cada segmento, basándose en el menor coste de la ruta
raíz. Cada enlace tiene un puerto designado.
Paso 4. Los puertos raíz y los puertos designados pasan al estado de reenvío, y los demás
puertos permanecen en el estado de bloqueo.
La Tabla 25-1 resume las razones por las que el STP coloca un puerto en estado de reenvío o de bloqueo.
Tabla 25-1 STP: Motivos de reenvío o bloqueo

Caracterización del Estado del Descripción
puerto STP
Todos los puertos del switch raíz Reenvío El switch raíz es siempre el switch designado en
todos los segmentos conectados.
El puerto raíz de cada Reenvío Es el puerto a través del cual el switch tiene el menor
conmutador no raíz coste para llegar al switch raíz.
Cada puerto designado de la LAN Reenvío El conmutador que reenvía la BPDU de menor coste al
segmento es el conmutador designado para ese
segmento.
Todos los demás puertos de Bloqueo El puerto no se utiliza para el reenvío de tramas, ni se
trabajo consideran las tramas recibidas en estas interfaces
para su reenvío. Las BPDUs se siguen recibiendo.
El ancho de banda del puerto se utiliza para determinar el coste para alcanzar el puente raíz. La Tabla
25-2 enumera los costes de puerto por defecto definidos por el IEEE; éstos tuvieron que ser
revisados con la llegada de los puertos de 10 Gbps.
Tabla 25-2 Costes por defecto de los puertos IEEE

Velocidad Ethernet Coste original del IEEE Coste IEEE revisado
10 Mbps 100 100
100 Mbps 10 19
1 Gbps 1 4
10 Gbps 1 2
El STP utiliza los cuatro estados de la Figura 25-3 como transiciones de puertos de bloqueo a reenvío.
Figura 25-3 Estados de los puertos del árbol de expansión
Bloqueo
(Pérdida de BPDU
detectada) (Edad máxima
Un quinto Reenvío
estado, desactivado, se produce cuando un administrador de red desactiva manualmente el
puerto o cuando una violación de seguridad desactiva el puerto.
Bloqueo (se
mueve a la
Escucha (retardo escucha
Aparece el
de avance = 15 segundos) Después de
Variedades de STP decidir si es
un puerto raíz
Tras el IEEE 802.1D original surgieron varias variedades de STP:
■
STP: La Aprendizaje
especificación original de STP, definida en 802.1D, proporciona una topología sin bucles en
(retardo de con
una red avance = 15 redundantes. El STP se denomina a veces árbol de expansión común (CST)
enlaces
porque asume una instancia de árbol de expansión para toda la red puenteada, independientemente
del número de VLAN.
■
PVST+: Per-VLAN Spanning Tree Plus (PVST+) es una mejora de Cisco de STP que proporciona
una instancia de árbol de expansión 802.1D independiente para cada VLAN configurada en la
red.
■
RSTP: El STP rápido (RSTP), o IEEE 802.1w, es una evolución del STP que proporciona una
convergencia más rápida que el STP. Sin embargo, el RSTP sigue proporcionando una única
instancia de STP.
■
PVST+ rápido: Rapid PVST+ es una mejora de Cisco de RSTP que utiliza PVST+. Rapid
PVST+ proporciona una instancia independiente de 802.1w por VLAN.
■
MSTP y MST: El Protocolo de Árbol de Expansión Múltiple (MSTP) es un estándar IEEE
inspirado en la anterior implementación de STP de Instancia Múltiple (MISTP), propiedad de
Cisco. MSTP asigna varias VLAN a la misma instancia del árbol de expansión. La
implementación de MSTP de Cisco
es el árbol de expansión múltiple (MST), que proporciona hasta 16 instancias de RSTP y combina
muchas VLAN con la misma topología física y lógica en una instancia RSTP común.
Día 25 103
Parte de su conjunto de habilidades de administración del switch es la capacidad de decidir qué

tipo de STP implementar. La Tabla 25-3 resume las características de los distintos tipos de STP.
Tabla 25-3Características de las variedades

de STP
Protocolo EstándarRecursos necesarios Convergencia Cálculo del árbol
STP 802.1DBajo Lento Todas las VLANs
PVST+ CiscoAlto Lento Por VLAN
RSTP 802.1wMedio Rápido Todas las VLANs
PVST+ CiscoMuy alto Rápido Por VLAN
rápido
MSTP 802.1s, CiscoMedio o alto Rápido Por ejemplo
Funcionamiento de PVST
PVST Plus (PVST+) es la configuración predeterminada en todos los conmutadores Cisco Catalyst.
En un entorno PVST+, se pueden ajustar los parámetros de spanning-tree para que la mitad de las
VLAN se reenvíen por cada enlace ascendente.
de las VLANs en la red y un segundo switch para ser elegido como puente raíz para la otra mitad de las
VLANs. En el ejemplo de la Figura 25-4, S1 es el puente raíz para la VLAN 10, y S3 es el puente raíz
para la VLAN 20.
Figura 25-4 Ejemplo de topología PVST+

Raíz para VLAN
20 Raíz para VLAN 10
Tronco
F0/4 802.1Q F0/4
S3 S1
F0/1 F0/2
F0/3 F0/2
Puerto de reenvío VLAN 20 Puerto de bloqueo para VLAN 10 Puerto de reenvío para la VLAN 10 Puerto de bloqueo para
S2
VLAN 10
VLAN 20
Desde la perspectiva de S2, un puerto está reenviando o bloqueando dependiendo de la instancia VLAN.
Tras la convergencia, el puerto F0/2 reenviará tramas de la VLAN 10 y bloqueará tramas de la VLAN
20. El puerto F0/3 reenvía tramas de la VLAN 20 y bloquea tramas de la VLAN 10.
Las redes conmutadas que ejecutan PVST+ tienen las siguientes características:
■
La configuración de PVST por VLAN permite aprovechar al máximo los enlaces redundantes.
■
Cada instancia de árbol de expansión adicional para una VLAN añade más ciclos de CPU a todos
los conmutadores de la red.
Estados portuarios
El árbol de expansión se determina inmediatamente después de que un switch termine de arrancar. Si un
puerto del switch pasa directamente del estado de bloqueo al estado de reenvío sin información
sobre la topología completa durante la transición, el puerto puede crear temporalmente un bucle de
datos. Por esta razón, el STP introduce los cinco estados de puerto. La Tabla 25-4 describe los estados
de puerto que garantizan que no se creen bucles durante la creación del árbol de expansión lógico.
Tabla 25-4 Estados de puerto PVST

Operación permitida Bloqueo Escuchar Aprender Reenvío Discapa
citados
Puede recibir y procesar BPDUs Sí Sí Sí Sí No
Puede reenviar las tramas de No No No Sí No
datos recibidas en la interfaz
Puede reenviar tramas de datos No No No Sí No
conmutadas desde otra interfaz
Puede aprender direcciones MAC No No Sí Sí No
ID del sistema ampliado

PVST+ requiere una instancia separada del árbol de expansión para cada VLAN. El campo BID en la
BPDU debe llevar información de ID de VLAN (VID), como muestra la Figura 25-5.
Figura 25-5 ID de puente para PVST+ con ID de sistema extendido

ID del sistema = VLAN
ID de puente sin el ID
de sistema extendido Prioridad del puente
Dirección MAC
2 Bytes 6 Bytes
ID de puente extendido
con ID de sistema = Priorid ID del
VLAN Dirección MAC
ad del sistema
puente ampliado
4 Bits12 Bits48Bits
Día 25 105
El BID incluye los siguientes campos:

■
Prioridad de puente: Se sigue utilizando un campo de 4 bits para transportar la prioridad del
puente. Sin embargo, la prioridad se transmite en valores discretos en incrementos de 4096 en
lugar de valores discretos en incrementos de 1, ya que sólo están disponibles los 4 primeros
bits más significativos del campo de 16 bits.
■
Extended System ID: Campo de 12 bits que contiene el VID para PVST+.
■
Dirección MAC: Un campo de 6 bytes con la dirección MAC de un único switch.
Funcionamiento rápido de PVST+

En Rapid PVST+, se ejecuta una única instancia de RSTP para cada VLAN. Por ello, Rapid PVST+
tiene una demanda muy alta de recursos del switch (ciclos de CPU y RAM).
NOTA: Rapid PVST+ es simplemente la implementación de Cisco de RSTP por VLAN. En

el resto de esta reseña se utilizan los términos RSTP y Rapid PVST+ indistintamente.
Con el RSTP, el IEEE mejoró el rendimiento de convergencia del STP de 50 segundos a menos
de 10 segundos con su definición de STP rápido (RSTP) en el estándar 802.1w. RSTP es idéntico a STP
en los siguientes aspectos:
■
Elige el conmutador raíz utilizando los mismos parámetros y desempates.
■
Elige el puerto raíz en los switches que no son raíz utilizando las mismas reglas.
■
Elige los puertos designados en cada segmento de la LAN utilizando las mismas reglas.
■
Coloca cada puerto en estado de reenvío o de descarte, aunque el RSTP llama al estado de bloqueo
el estado de descarte.
Comportamiento de la interfaz RSTP

Los principales cambios con RSTP se pueden ver cuando se producen cambios en la red.
El RSTP actúa de forma diferente en algunas interfaces en función de lo que esté
conectado a la interfaz:
■
Comportamiento de tipo borde y PortFast: El RSTP mejora la convergencia de las
conexiones de tipo borde colocando inmediatamente el puerto en estado de reenvío cuando el
enlace está físicamente activo.
■
Tipo de enlace compartido: El RSTP no hace nada diferente del STP en los enlaces
compartidos de tipo enlace. Sin embargo, como la mayoría de los enlaces entre switches hoy en
día son full dúplex, punto a punto y no compartidos, esto no importa.
■
Tipo de enlace punto a punto: El RSTP mejora la convergencia en los enlaces full-duplex
entre switches. RSTP reconoce la pérdida de la ruta al puente raíz a través del puerto raíz
en 6 segundos (basado en tres veces el valor del temporizador de hola de 2 segundos). Por lo
tanto, RSTP reconoce una ruta perdida hacia la raíz mucho más rápidamente.
El RSTP utiliza una terminología diferente para describir los estados de los puertos. La Tabla
25-5 enumera los estados de los puertos para el RSTP y el STP.
Tabla 25-5 Estados de los puertos RSTP y STP

Estado Estado Estado ¿Realiza marcos de
operativo del STP RSTP datos en este
(802.1D) (802.1w) estado?
Activado Bloqueo Descartando No
Activado Escuchar Descartando No
Activado Aprender Aprender No
Activado Reenvío Reenvío Sí
Discapacitados Discapacitados Descartando No
El RSTP elimina la necesidad del estado de escucha y reduce el tiempo requerido para el estado
de aprendizaje descubriendo activamente el nuevo estado de la red. El STP espera pasivamente las
nuevas BPDU y reacciona a ellas durante los estados de escucha y aprendizaje. Con el RSTP, los
switches negocian con los switches vecinos enviando mensajes RSTP. Los mensajes permiten a los
conmutadores determinar rápidamente si una interfaz puede pasar inmediatamente a un estado de
reenvío. En muchos casos, el proceso dura sólo uno o dos segundos para todo el dominio RSTP.
Funciones de los puertos RSTP

El RSTP añade tres roles de puerto más además de los roles de puerto raíz y puerto designado
definidos en el STP. La Tabla 25-6 enumera y define los roles de puerto.
Tabla 25-6 Funciones de los puertos RSTP y STP

Rol RSTP Función de Definición
STP
Puerto raíz Puerto raíz Un único puerto en cada conmutador no raíz en el que el
conmutador escucha la mejor BPDU de todas las BPDU
recibidas
Puerto designado Puerto designado De todos los puertos de los conmutadores conectados al mismo
segmento/dominio de colisión, el puerto que anuncia la "mejor"
BPDU
Puerto alternativo -— Un puerto de un switch que recibe una BPDU subóptima
Puerto de reserva -— Un puerto no designado en un conmutador que está
conectado al mismo segmento/dominio de colisión que otro
puerto en el mismo conmutador
Discapacitados -— Un puerto que está deshabilitado administrativamente o que
no puede funcionar por otras razones
La Figura 25-6 muestra un ejemplo de estos roles de puerto RSTP.

Día 25 107
Figura 25-6 Funciones de los puertos RSTP
Puerto raíz (F) Puerto designado (F)
F0/4 F0/4
Puente raíz
S3 S1
F0/1 F0/2
Puerto designado (F) Puerto designado (F)
F0/3 F0/2
S2
Puerto alternativo (DIS) Puerto raíz (F)
Puertos de borde
Además de los roles de puerto que acabamos de describir, el RSTP utiliza un concepto de puerto
de borde que se corresponde con la función PVST+ PortFast. Un puerto de borde se conecta
directamente a un dispositivo final. Por lo tanto, el switch asume que ningún otro switch está conectado
a él. Los puertos de borde RSTP deben pasar inmediatamente al estado de reenvío, con lo que se saltan
los estados de escucha y aprendizaje del puerto original 802.1D, que tanto tiempo consumen. La única
advertencia es que el puerto debe ser un enlace punto a punto. Si se trata de un enlace compartido, el
puerto no es un puerto de borde y no debe configurarse PortFast. ¿Por qué? Otro conmutador podría
añadirse a un enlace compartido, a propósito o sin querer. La Figura 25-7 muestra ejemplos de puertos
de borde.
Figura 25-7 Puertos de borde en RSTP
Puente raíz
S3 S1
S2 S4
PC2 PC3
PC1
Base de datos
Configuración y verificación de
variedades de STP
Por defecto, todos los switches Cisco utilizan el STP sin necesidad de que el administrador de la red lo
configure. Sin embargo, dado que el STP se ejecuta por VLAN, se pueden aprovechar varias opciones
para equilibrar la carga del tráfico en los enlaces redundantes.
Resumen de la configuración del STP

Antes de configurar o alterar el comportamiento del STP, es importante conocer la configuración
actual por defecto que aparece en la Tabla 25-7.
Tabla 25-7 Configuración STP por defecto en el Cisco Catalyst

2960 Característica
Configuración por defecto
Enable stateHabilita el STP en la VLAN 1
Modo de árbol de expansiónPVST+ (PVST+ rápido y MSTP
desactivados)
Prioridad del interruptor32768
Prioridad del puerto del árbol de expansión
(configurable por interfaz) 128
Coste del puerto del árbol de expansión

(configurable por interfaz) 1000 Mbps: 4
100 Mbps: 19
10 Mbps: 100
Prioridad del puerto VLAN del árbol de
expansión (configurable por VLAN) 128
Coste del puerto VLAN del árbol de

expansión (configurable por VLAN) 1000 Mbps: 4
100 Mbps: 19
10 Mbps: 100
Temporizadores del árbol de expansiónTiempo de saludo : 2 segundos
Tiempo de retardo: 15 segundos

Tiempo máximo de
envejecimiento: 20 segundos
Recuento de retención de
transmisión: 6 BPDUs
Configuración y verificación del BID

Independientemente del PVST que utilice, hay dos opciones de configuración principales que pueden
ayudarle a conseguir el equilibrio de carga: el ID del puente y la manipulación del coste del puerto. El
ID del puente influye en la elección del switch raíz y puede configurarse por VLAN. El coste STP de
cada interfaz (por VLAN) para alcanzar la raíz influye en la elección del puerto designado en cada
segmento LAN. Dado que PVST requiere que se ejecute una instancia separada del árbol de expansión
para cada VLAN, se requiere que el campo BID lleve información de ID de VLAN (VID). Esto se
consigue reutilizando una parte del campo Prioridad como el ID de sistema extendido para llevar un
VID.
Día 25 109
Para cambiar el ID del puente, utilice uno de los siguientes comandos:

Switch(config)# spanning-tree vlan vlan-id root {primaria | secundaria}
Switch(config)# spanning-tree vlan vlan-id priority priority
Para cambiar el coste de la interfaz, utilice el siguiente comando:

Switch(config-if)# spanning-tree vlan vlan-id coste
La Figura 25-8 muestra una topología STP simple de tres switches sin enlaces redundantes.
Figura 25-8 Topología STP
Tronco3
S3F0/1 F0/2 F0/2S1 F0/1
Tronco2 Tronco1
F0/2 F0/1
S2
F0/11 F0/13
F0/12
PC1 PC2 PC3
El administrador de la red quiere asegurarse de que S1 sea siempre el puente raíz y que S2 sea el
puente raíz de reserva. Los siguientes comandos logran este objetivo:
S1(config)# spanning-tree vlan 1 root primary
!---------
S2(config)# spanning-tree vlan 1 root secondary
La palabra clave primary establece automáticamente la prioridad a 24576 o al siguiente valor

de incremento de 4096 por debajo de la prioridad de puente más baja detectada en la red.
La palabra clave secundaria establece automáticamente la prioridad a 28672, asumiendo que
el resto de la red está configurada con la prioridad por defecto de 32768.
Como alternativa, el administrador de la red puede configurar explícitamente el valor de la prioridad en
incrementos de 4096 entre 0 y 65536 utilizando el siguiente comando:
S1(config)# spanning-tree vlan 1 priority 24576
!---------
S2(config)# spanning-tree vlan 1 priority 28672
NOTA: En este ejemplo, estos comandos cambiaron los valores de prioridad sólo para
la VLAN 1. Se deben introducir comandos adicionales para cada VLAN para aprovechar
el equilibrio de carga.
Para verificar las instancias del árbol de expansión y los puentes raíz actuales, utilice el comando show
spanning-tree
(ver Ejemplo 25-1).
Ejemplo 25-1 Verificación de las configuraciones del árbol de expansión
S1# show spanning-tree
VLAN0001
Protocolo de árbol de expansión
habilitado i e e e Root
IDPriority24577
Address001b.5302.4e80
Este puente es la raíz
Tiempo de bienvenida 2 seg. Edad máxima 20 seg. Retraso de avance 15
seg.
Bridge ID Priority24577 (priority 24576 sys-id-ext 1)

Address001b.5302.4e80
Tiempo de bienvenida 2 seg. Edad máxima 20 seg. Retraso
en la transmisión 15 seg. Tiempo de envejecimiento 300
InterfaceRole Sts CostPrio.NbrType
Fa0/1Desg FWD 19128.1 P2p

Fa0/2Desg FWD 19128.2 P2p
Dado que se utiliza un ID de sistema ampliado en el BID, el valor de la prioridad incluye la adición del
ID de la VLAN. Por lo tanto, una prioridad de 24576 más una VLAN de 1 da como resultado una salida
de prioridad de 24577.
Configuración de PortFast y BPDU Guard

Para acelerar la convergencia de los puertos de acceso cuando se activan, puede utilizar la tecnología
PortFast, propiedad de Cisco. Una vez configurado PortFast y activado un puerto, éste pasa
inmediatamente del estado de bloqueo al de reenvío.
En una configuración válida de PortFast, nunca deben recibirse BPDU porque la recepción de una
BPDU indica que otro puente o conmutador está conectado al puerto, lo que podría provocar un bucle de
árbol de expansión. Cuando está activado, BPDU Guard pone el puerto en un estado errdisabled (error-
desactivado) al recibir una BPDU. Esto apaga el puerto de forma efectiva. La función BPDU Guard
proporciona una respuesta segura a las configuraciones no válidas, ya que debe volver a poner en
servicio la interfaz manualmente.
El ejemplo 25-2 muestra los comandos de interfaz para configurar PortFast y BPDU Guard en
S2 en la Figura 25-8.
Día 25 111
Ejemplo 25-2 Configuración de PortFast y BPDU Guard
S2# configurar terminal

con CNTL/Z. S2(config)# rango de interfaz f0/11 - f0/13
S2(config-if-range)# switchport mode access
S2(config-if-range)# spanning-tree portfast
S2(config-if-range)# spanning-tree bpduguard enable
Como alternativa, puede configurar los comandos globales spanning-tree portfast default y
spanning-tree bpduguard default, que habilitan PortFast y BPDU Guard en todos los puertos de acceso.
Configuración de Rapid PVST+

Recuerde que PVST+ es el funcionamiento por defecto de los switches Cisco. Para cambiar a Rapid
PVST+, utilice un único comando global en todos los switches: spanning-tree mode rapid-pvst.
La Tabla 25-8 resume todos los comandos relacionados con Rapid PVST+.
Tabla 25-8 Comandos para Rapid PVST+

DescripciónComando
Configurar Rapid PVST+ y el modo de árbol de Switch(config)# spanning-tree mode
expansión rapid-pvst
Especificar un tipo de enlace como punto a punto Switch(config-if)# spanning-tree
(normalmente no es necesario porque el tipo de link-type point-to-point
enlace compartido es inusual)
Switch# clear spanning-tree detected
Forzar la renegociación con los switches vecinos protocols [interface-id]
en todas las interfaces o en la interfaz especificada
Verificación del STP

Varios comandos le permiten verificar el estado de la implementación actual del STP. La Tabla 25-9
resume los comandos que probablemente aparezcan en el examen CCNA.
Tabla 25-9 Comandos de verificación de STP

DescripciónComando
Muestra la información del STPSwitch# show spanning-tree
Muestra información del STP sólo para las interfaces activasSwitch# show
spanning-tree active Muestra información abreviada para todas las instancias del STP Switch#
show spanning-tree bridge Muestra información detallada para todas las instancias
del STPSwitch# show spanning-tree
detail Muestra información del STP para la interfaz especificada Switch# show spanning-tree
interfaz interfaz-id
Muestra la información del STP para la VLANSwitch# show spanning-tree vlan vlan-id especificada
Muestra un resumen de los estados del puerto STPSwitch# show spanning-tree

summary
NOTA: Lo ideal es que revise la salida de estos comandos hoy en el equipo de

laboratorio o en un simulador. Como mínimo, consulta los ejemplos en tus
recursos de estudio.
Recursos de estudio

6
7
8
EtherChannel y HSRP

■
Configurar y verificar (Capa 2/Capa 3) EtherChannel (LACP)
■
Describa el propósito del protocolo de redundancia de primer salto
Temas clave
La tecnología EtherChannel permite agrupar varias interfaces físicas en un canal lógico para
aumentar el ancho de banda en los enlaces punto a punto. Además, EtherChannel proporciona
una forma de evitar la necesidad de convergencia del Protocolo de Árbol de Expansión (STP) cuando
se produce un solo puerto o un fallo de cable.
La mayoría de los dispositivos finales no almacenan rutas para llegar a redes remotas. En su lugar, un
dispositivo final suele estar configurado con una pasarela por defecto que se encarga del enrutamiento
del dispositivo. ¿Pero qué pasa si esa pasarela por defecto falla? Para garantizar que un dispositivo
siga teniendo acceso a las redes remotas, hay que implementar algún tipo de redundancia de pasarela
por defecto en la red. Esa es la función de los protocolos de redundancia de primer salto (FHRP).
Funcionamiento de EtherChannel
EtherChannel, una tecnología desarrollada por Cisco, puede agrupar hasta ocho enlaces de igual
velocidad entre dos conmutadores, como se puede ver entre los dos conmutadores de la capa de
distribución en la Figura 24-1.
Figura 24-1 Ejemplo de topología de EtherChannel

EtherChannel
EtherChannel EtherChannel
STP ve el conjunto de enlaces como una única interfaz. Como resultado, si al menos uno de los
enlaces está activo, la convergencia STP no tiene que producirse. De esta forma se aprovecha
mucho mejor el ancho de banda disponible y se reduce el número de veces que el STP debe
converger. Sin el uso de EtherChannel o la modificación de la configuración de STP, éste
bloquearía todos los enlaces excepto uno.
Ventajas de EtherChannel
Cuando se configura EtherChannel, la interfaz virtual resultante se denomina canal de puertos. Las
interfaces físicas se agrupan en una interfaz de canal de puertos. EtherChannel tiene las siguientes
ventajas:
■
La mayoría de las tareas de configuración pueden realizarse en la interfaz EtherChannel
en lugar de en cada puerto individual, lo que garantiza la coherencia de la
configuración en todos los enlaces.
■
EtherChannel se basa en los puertos de los conmutadores existentes para aumentar el ancho de banda.
No es necesario actualizar el hardware.
■
El equilibrio de carga es posible entre los enlaces que forman parte del mismo EtherChannel.
(La configuración del equilibrio de carga está fuera del alcance del examen CCNA).
■
EtherChannel crea una agregación que STP reconoce como un enlace lógico.
■
EtherChannel proporciona redundancia. La pérdida de un enlace físico no crea un cambio en la
topología.
Restricciones de aplicación
Tenga en cuenta algunas limitaciones al implementar EtherChannel en los conmutadores Cisco 2960
Catalyst:
■
Los tipos de interfaz, como Fast Ethernet y Gigabit Ethernet, no pueden mezclarse dentro del
mismo EtherChannel.
■
Cada EtherChannel puede constar de hasta ocho puertos Ethernet configurados de forma compatible.
■
El software Cisco IOS admite actualmente hasta seis EtherChannels.
■
Algunos servidores también admiten EtherChannel al conmutador para aumentar el ancho de banda;
sin embargo, el servidor necesita entonces al menos dos EtherChannels para proporcionar
redundancia, ya que sólo puede enviar tráfico a un conmutador a través del EtherChannel.
■
La configuración de EtherChannel debe ser coherente en los dos conmutadores. La
configuración de trunking (VLAN nativa, VLANs permitidas, etc.) debe ser la misma. Además,
todos los puertos deben ser de capa 2.
■
Todos los puertos del EtherChannel deben ser de capa 2, o todos los puertos del
EtherChannel deben ser de capa 3.
NOTA: Puede configurar EtherChannels de Capa 3 en conmutadores multicapa; sin

embargo, esto está fuera del alcance del examen CCNA.
Día 24 115
Protocolos EtherChannel
Puede configurar EtherChannel como estático o incondicional; sin embargo, también puede utilizar dos
protocolos para configurar el proceso de negociación: Port Aggregation Protocol (PAgP, que es
propiedad de Cisco) y Link Aggregation Control Protocol (LACP, que es IEEE 802.3ad). Estos dos
protocolos garantizan que los dos lados del enlace tengan configuraciones compatibles: la misma
velocidad, configuración dúplex e información VLAN. Los modos de cada uno difieren ligeramente.
Protocolo de agregación de puertos

PAgP es un protocolo propietario de Cisco que ayuda a la creación automática de enlaces
EtherChannel. PAgP comprueba la consistencia de la configuración y gestiona las adiciones y
fallos de los enlaces entre dos conmutadores. Asegura que cuando se crea un EtherChannel, todos
los puertos tienen el mismo tipo de configuración. PAgP utiliza los siguientes modos:
■
Activado: Este modo obliga a la interfaz a canalizar sin PAgP.
■
Deseable: La interfaz inicia las negociaciones con otras interfaces enviando paquetes PAgP.
■
Auto: La interfaz responde a los paquetes PAgP que recibe pero no inicia la negociación
PAgP.
Los modos deben ser compatibles en los dos lados del EtherChannel. Por ejemplo, Sw1 y Sw2 en la
Figura 24-2 deben ser configurados con una combinación particular de ajustes, como se muestra en la
Tabla 24-1.
Figura 24-2 Topología EtherChannel de dos conmutadores
G0/1 G0/1
Sw1 G0/2 G0/2 Sw2
Tabla 24-1 Configuración del modo PAgP

Sw1 Sw2 ¿Canal establecido?
En En Sí
Auto/Deseable Deseable Sí
Activado/Auto/Desactivado No está configurado No
En Deseable No
Auto/On Auto No
Protocolo de control de agregación de enlaces

El protocolo de control de agregación de enlaces (LACP) forma parte de una especificación IEEE
(802.3ad) que permite a un conmutador negociar un paquete automático enviando paquetes LACP al
peer. Realiza una función similar a PAgP con Cisco EtherChannel. Los dispositivos Cisco soportan
tanto PAgP como LACP. LACP utiliza los siguientes modos:
■
Activado: Este modo obliga a la interfaz a canalizar sin LACP.
■
Activo: La interfaz inicia las negociaciones con otras interfaces enviando paquetes LACP.
■
Pasivo: La interfaz responde a los paquetes LACP que recibe pero no inicia la negociación
LACP.
Al igual que con PAgP, los modos LACP deben ser compatibles en los dos lados del EtherChannel. Por
ejemplo, Sw1 y Sw2 en la Figura 24-2 deben ser configurados con una combinación particular de
ajustes, como se muestra en la Tabla 24-2.
Tabla 24-2 Configuración del

modo LACP
Sw1 Sw2 ¿Canal establecido?
En En Sí
Activo/Pasivo Activo Sí
Activado/Activo/Pasivo No está configurado No
En Activo No
Pasivo/Activo Pasivo No
NOTA: Para los protocolos PAgP y LACP, el modo on crea la configuración de

EtherChannel incondicionalmente, sin negociación dinámica de PAgP o LACP.
Probablemente deba memorizar las configuraciones de modo tanto para PAgP como para
LACP como preparación para el examen CCNA.
Configuración de EtherChannel
Para implementar EtherChannel, siga estos pasos:
Paso 1. Especifique las interfaces que desea agrupar en un solo enlace utilizando la opción
comando de rango de interfaces.
Paso 2. Cree un canal de puerto utilizando el comando channel-group identifier mode. el

identificador puede ser cualquier número entre 1 y 6, inclusive, y no tiene que coincidir
con el otro switch. El modo es on o uno de los modos PAgP o LACP.
Paso 3. Acceda al modo de configuración de la interfaz para el nuevo canal de puerto
con el comando interface port-channel identifier. identifier es el mismo número
utilizado con el comando channel-group.
Paso 4. Configure los ajustes de trunking y VLAN.
Utilizando la topología de la Figura 24-2, suponga que Sw1 ya está configurado para EtherChannel con
trunking G0/1 y G0/2. La VLAN nativa es la 86. Las VLANs permitidas son 1, 10, 20 y 86.
EtherChannel se activa de forma forzada. No se necesita PAgP o LACP. El ejemplo 24-1 muestra
la configuración para Sw2.
Día 24 117
Ejemplo 24-1 Configuración de EtherChannel
Sw2(config)# interfaz g0/1-2

Sw2(config-if-range)# channel-group 1 mode on
Creación de una interfaz port-channel Port-
channel 1 Sw2(config-if-range)# interface port-
channel 1 Sw2(config-if)# switchport mode trunk
Sw2(config-if)# switchport trunk native vlan 86
Sw2(config-if)# switchport trunk allowed vlan 1,10,20,86
Al configurar PAgP o LACP, utilice la palabra clave de modo apropiada para el comando channel-
group. Sólo hay que asegurarse de que los comandos de ambos lados del canal son compatibles, según
las Tablas 24-1 y 24-2.
Verificación de EtherChannel
Si ha configurado el direccionamiento de gestión, puede verificar rápidamente ambos lados de un
paquete EtherChannel haciendo ping a través del tronco. Los dos conmutadores deberían poder hacer
ping el uno al otro. Los dispositivos configurados como miembros de las distintas VLAN también
deberían poder hacer ping entre sí.
Para verificar la configuración, utilice el comando show run (ver Ejemplo 24-2).
Ejemplo 24-2 Verificación de la configuración de EtherChannel
Sw2# show run | begin interface Puerto

interface Port-channel1 switchport
trunk native vlan 86
switchport trunk allowed vlan 1,10,20,86
switchport mode trunk
!
<salida omitida>
interface GigabitEthernet0/1
switchport trunk native vlan 86
modo de grupo de canales 1 activado
!
interface GigabitEthernet0/2
switchport trunk native vlan 86
modo de grupo de canales 1 activado
Para obtener un resumen general de la configuración de EtherChannel, utilice el comando

show etherchannel summary (véase el Ejemplo 24-3).
Ejemplo 24-3 Verificación de que EtherChannel está operativo
Sw2# show etherchannel summary

Banderas: D - downP - bundled in port-channel I
- stand-alone s - suspended
H - Hot-standby (sólo LACP) R
- Layer3S - Layer2
U - en usof - fallo en la asignación del agregador
M - no está en uso, no se cumplen los

enlaces mínimos u - no apto para la
agrupación
w - en espera de ser agregado
d - puerto por defecto
Número de grupos de canales en uso 1

Número de agregadores:1
Grupo Puerto-Canal ProtocoloPuertos

------+-------------+-----------+-----------------------------------------------
1Po1(SU) -Gig0/1(P) Gig0/2(P)
Para verificar el estado operativo de una interfaz específica en el paquete EtherChannel, utilice el
comando show interface switchport (véase el Ejemplo 24-4).
Ejemplo 24-4 Verificación de la configuración del canal de puertos de una interfaz
Sw2# show interface fa0/1 switchport

Nombre: Fa0/1
Switchport: Enabled
Modo administrativo: troncal
Modo operativo: troncal (miembro del paquete Po1)
Encapsulación de Trunking Administrativo: dot1q
Encapsulación de Trunking Operativo: dot1q
Negociación de Trunking: En
Modo de acceso VLAN: 1 (por defecto)
Trunking VLAN en modo nativo: 86 (VLAN0086)
Etiquetado VLAN nativo administrativo: activado
VLAN de voz: ninguna
VLAN privada administrativa: ninguna VLAN privada
administrativa: ninguna VLAN nativa: ninguna
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Asociaciones administrativas private-vlan trunk: ninguna
Día 24 119
Mapeos administrativos de la VLAN privada: ninguno

VLAN privada operativa: ninguno
Trunking VLANs habilitado: 1,10,20,86
Poda de VLANs Activada: 2-1001
Solución de problemas de EtherChannel

Todas las interfaces dentro de un EtherChannel deben tener la misma configuración de
velocidad para el modo dúplex, VLAN nativa y permitida en los troncales, y VLAN de acceso en
los puertos de acceso:
■
Asigne todos los puertos del EtherChannel a la misma VLAN o configúrelos como troncales.
Los puertos con diferentes VLAN nativas no pueden formar un EtherChannel.
■
Cuando configure un tronco en un EtherChannel, verifique el modo de tronco en el
EtherChannel. No se recomienda configurar el modo trunking en los puertos individuales que
componen el EtherChannel. Sin embargo, si se hace, verifique que la configuración de trunking es
la misma en todas las interfaces.
■
Un EtherChannel admite el mismo rango permitido de VLANs en todos los puertos. Si el rango
permitido de VLANs no es el mismo, los puertos no forman un EtherChannel incluso cuando
PAgP está configurado en modo automático o deseable.
■
Las opciones de negociación dinámica para PAgP y LACP deben configurarse de forma
compatible en ambos extremos del EtherChannel.
Los problemas de configuración con el comando channel-group incluyen lo siguiente:
■
Configurar la palabra clave on en un switch y desirable, auto, active o passive en el otro
switch. La palabra clave on no habilita PAgP o LACP. Ambos conmutadores deben estar
configurados en uno de los modos PAgP o LACP aceptables.
■
Configurar la palabra clave auto en ambos conmutadores. Esto habilita el PAgP, pero cada
conmutador espera al otro para iniciar las negociaciones.
■
Configurar la palabra clave pasiva en ambos conmutadores. Esto habilita el LACP, pero cada
conmutador espera al otro para iniciar las negociaciones.
■
Mezclar palabras clave de PAgP y LACP, que no son compatibles (por ejemplo, configurar
activo (LACP) en un switch y deseable o automático (PAgP) en el otro).
Conceptos de redundancia de primer bucle

Los FHRP permiten instalar varios routers en una subred para que actúen colectivamente como un
único router por defecto. Estos routers comparten una dirección IP virtual, como muestra la Figura
24-3.
Figura 24-3 Ejemplo de pasarela por defecto redundante
Núcleo
G0/0 IP virtual 10.1.1.254 G0/0

R1 R2
10.1.1.1 10.1.1.2
En la figura, las interfaces G0/0 en R1 y R2 están configuradas con las direcciones IP mostradas.
Sin embargo, ambos routers también están configurados con la dirección IP virtual. Esta dirección IP
virtual es la dirección de la pasarela por defecto configurada en los dispositivos finales. Un protocolo de
redundancia proporciona el mecanismo para determinar qué router debe tomar el papel activo en el
reenvío de tráfico. También determina cuándo un router de reserva debe asumir el papel de reenvío. La
transición de un router de reenvío a otro es transparente para los dispositivos finales. Esta capacidad de
una red para recuperarse dinámicamente del fallo de un dispositivo que actúa como pasarela por
defecto se conoce como redundancia de primer salto.
Independientemente del FHRP que se implemente, los siguientes pasos tienen lugar cuando el router activo falla:
Paso 1. El router en espera deja de ver los mensajes hello del router de reenvío.
Paso 2. El router en espera asume el papel de router de reenvío.
Paso 3. Como el nuevo router de reenvío asume tanto las direcciones IP como MAC del
router virtual, las estaciones finales no reconocen una interrupción del servicio.
FHRP
La siguiente lista define las tres opciones disponibles para los FHRP:
■
Protocolo de router en espera en caliente (HSRP): Un FHRP propietario de Cisco diseñado
para permitir la conmutación por error transparente de un dispositivo IPv4 de primer salto. La
función del router en espera HSRP es supervisar el estado operativo del grupo HSRP y asumir
rápidamente la responsabilidad del reenvío de paquetes si el router activo falla. HSRP para IPv6
proporciona soporte para redes IPv6.
■
Protocolo de Redundancia de Enrutadores Virtuales (VRRP): Un estándar del IETF que
asigna dinámicamente la responsabilidad de uno o más routers virtuales a los routers VRRP de
una LAN IPv4. Su funcionamiento es similar al de HSRP. VRRPv3 es compatible con IPv4 e
IPv6.
■
Protocolo de equilibrio de carga de pasarela (GLBP): Un FHRP propietario de Cisco que
protege el tráfico de datos de un router o circuito fallido, como en HSRP y VRRP, a la vez que
permite el equilibrio de carga (también llamado reparto de carga) entre un grupo de routers
redundantes. GLBP para IPv6 proporciona soporte para redes IPv6.
El examen CCNA cubre el HSRP.
Día 24 121
Funcionamiento del HSRP

HSRP utiliza un modelo activo/en espera en el que un router asume activamente el papel de puerta
de enlace por defecto para los dispositivos de la subred. Uno o más routers de la misma subred
están entonces en modo de espera. El router activo HSRP implementa una dirección IP virtual y una
dirección MAC virtual correspondiente. Esta dirección IP virtual forma parte de la configuración
HSRP y pertenece a la misma subred que la dirección IP de la interfaz física, pero es una dirección
IP diferente. A continuación, el router crea automáticamente la dirección MAC virtual. Todos los
routers HSRP que cooperan conocen estas direcciones virtuales, pero sólo el router HSRP activo
utiliza estas direcciones en un momento dado.
Suponga que tiene dos routers HSRP similares a R1 y R2 en la Figura 24-3. Estos routers HSRP se
envían mensajes para negociar qué router debe estar activo. Luego continúan enviándose mensajes para
que el router en espera pueda detectar cuando el router activo falla. Si el router activo falla, el router en
espera asume automáticamente las direcciones IP y MAC virtuales y sirve como pasarela por defecto
para la LAN. El nuevo router activo envía entonces un ARP gratuito para que los switches de la
subred cambien sus tablas de direcciones MAC para reflejar el puerto correcto para alcanzar la
MAC virtual. Este proceso de conmutación por error es transparente para los dispositivos finales, que
están configurados con la dirección IP virtual como pasarela por defecto.
¿Y qué pasa con el equilibrio de carga? ¿No estamos desperdiciando la capacidad del router de
reserva y los enlaces que se conectan a él? Sí, si los routers están conectados a una sola subred. Sin
embargo, si se configuran VLANs, los routers pueden compartir la carga sirviendo cada uno como router
activo para algunas de las VLANs. Por ejemplo, en la Figura 24-3, el R1 es el enrutador activo para la
VLAN 10, y el R2 es el enrutador activo para la VLAN 20. Ambos enrutadores están configurados con
subredes de seguridad. Ambos enrutadores están configurados con subinterfaces para el enrutamiento
inter-VLAN y las dos direcciones IP virtuales para que cada uno pueda asumir el papel de enrutador
activo si el otro enrutador falla.
Versiones de HSRP
Cisco IOS utiliza por defecto la versión 1 de HSRP. La Tabla 24-3 compara la versión 1 y la versión 2 de HSRP.
Tabla 24-3 Características del HSRP versión 1 y versión 2

Función HSRP Versión 1 Versión 2
Números de 0–255 0–4095
grupo
admitidos
Autenticación Ninguno MD5
Direcciones de IPv4: 224.0.0.2 IPv4: 224.0.0.102
multidifusión
IPv6: FF02::66
Rangos de MAC 0000.0C07.AC00 a 0000.0C07.ACFF IPv4: 0000.0C9F.F000 a
virtuales 0000.0C9F.FFFF
IPv6: 0005.73A0.0000 a
0005.73A0.0FFF
NOTA: Los tres últimos dígitos hexadecimales de la dirección MAC virtual indican
el número de grupo configurado. Los números de grupo son importantes para
configuraciones HSRP más avanzadas, que están fuera del alcance del examen
CCNA.
Prioridad y preferencia de HSRP

Por defecto, el router con la dirección IPv4 numéricamente más alta es elegido como el router HSRP
activo. Para configurar un enrutador para que sea el enrutador activo, independientemente del
direccionamiento IPv4, utilice el comando de configuración de interfaz de prioridad en espera. La
prioridad por defecto es 100. El enrutador con la prioridad más alta será el enrutador HSRP activo,
asumiendo que no se ha producido ninguna elección.
Para forzar una nueva elección de HSRP, se debe habilitar el preemption con el comando de
configuración de interfaz standby preempt.
Configuración y verificación de HSRP

Veamos cómo configurar la topología de la Figura 24-3. HSRP requiere sólo un comando en
ambos routers:
Router(config-if)# grupo de espera ip dirección-ip
La interfaz debe estar en la misma subred que el otro u otros routers HSRP. El número de grupo y la
dirección IP virtual deben ser los mismos en todos los routers HSRP.
A menos que se utilice el comando de prioridad, el primer router configurado se convierte en el
router activo de HSRP. Por lo tanto, aunque en el Ejemplo 24-5 el R1 se configura primero, se incluye
una configuración de prioridad para asegurarse de que el R1 sea siempre el router activo. Además, para
asegurarse de que el R1 retome el rol de router activo después de perder la conectividad, se
configura el comando standby preempt.
Ejemplo 24-5 Configuración de HSRP
R1(config)# interfaz g0/0

R1(config-if)# dirección ip 10.1.1.1 255.255.0.0
R1(config-if)# standby 1 ip 10.1.1.254
R1(config-if)# standby 1 prioridad 200
R1(config-if)# standby 1 preempt

R2(config-if)# standby 1 ip 10.1.1.254
Para verificar que el HSRP está en funcionamiento, utilice el comando show standby o la
versión breve del comando, como en el Ejemplo 24-6.
Ejemplo 24-6 Verificación de HSRP
R1# show standby

GigabitEthernet0/0 - El estado
del grupo 1 es activo
2 cambios de estado, último cambio de estado
00:11:51 La dirección IP virtual es 10.1.1.254
La dirección MAC virtual activa es 0000.0c07.ac01
Día 24 123
La dirección MAC virtual local es 0000.0c07.ac01 (v1 por

defecto) Tiempo de bienvenida 3 segundos, tiempo de espera 10
segundos
Próximo hola enviado en 1.232
segs Preemption habilitado
El router activo es local
El router en espera es 10.1.1.2, prioridad 100 (expira en 9.808 seg.)
Prioridad 200 (configurado 200)
El nombre del grupo es "hsrp-Gi0/0-1"
(por defecto) R1# show standby brief
La P indica que está configurado para adelantarse.
|
InterfaceGrp Pri P StateActive
StandbyVirtual IP
Gi0/01200Active local 10.1.1.2 10.1.1.254
R2# show standby

GigabitEthernet0/0 - El estado
del grupo 1 es Standby
1 cambio de estado, último cambio de estado
00:15:23 La dirección IP virtual es 10.1.1.254
La dirección MAC virtual activa es 0000.0c07.ac01
La dirección MAC virtual local es 0000.0c07.ac01 (v1 por
defecto) Tiempo de bienvenida 3 segundos, tiempo de espera 10
segundos
Próximo hola enviado en 1.008 segs.
El router activo es 10.1.1.1, prioridad 200 (expira en 8.624 seg) El
router en espera es local
Prioridad 100 (por defecto 100)
El nombre del grupo es "hsrp-Gi0/0-1"
(por defecto) R2# show standby brief
|
InterfaceGrp Pri P StateActiveStandby IP virtual
Gi0/01100Standby
10.1.1.1local10.1.1.254
El comando show standby brief muestra la información más pertinente que puede necesitar en
unas pocas líneas de salida. El comando show standby, más verboso, proporciona información
adicional, como el número de cambios de estado, la dirección MAC virtual, los hellos y el nombre del
grupo.
Equilibrio de carga HSRP

Al igual que con el STP, es posible que desee que sus routers HSRP estén configurados en
estado activo/activo, con un router activo para un conjunto de VLANs y el otro router activo
para las VLANs restantes. La Figura 24-4 muestra una topología con múltiples VLANs.
Figura 24-4 Ejemplo de equilibrio de carga HSRP
Núcleo
IPs virtuales
R1 10.1.10.254 R2
Activo G0/0.10 10.1.10.1 10.1.20.254 G0/0.10 10.1.10.2 En espera
Standby G0/0.20 10.1.20.1 G0/0.20 10.1.20.2 Activo
PC1PC2
VLAN 10
VLAN 20
10.1.10.10
10.1.20.20
Para implementar el equilibrio de carga HSRP para diferentes VLANs, configure el R1 como el router
activo para la mitad de las VLANs y el R2 como el router activo para la otra mitad de las VLANs (ver
Ejemplo 24-7).
Ejemplo 24-7 Configuración del equilibrio de carga HSRP
R1# show run | begin interfaz G
interfaz GigabitEthernet0/0 no
ip address
duplex auto
velocidad
auto
!
interface GigabitEthernet0/0.10
encapsulation dot1Q 10
dirección ip 10.1.10.1 255.255.255.0
versión de espera 2
standby 1 ip 10.1.10.254
espera 1 prioridad 150
standby 1 preempt
!
dirección ip 10.1.20.1 255.255.255.0
standby 1 ip 10.1.20.254
Día 24 125
R2# show run | begin interfaz G
interfaz GigabitEthernet0/0 no
ip address
duplex auto
velocidad
auto
!
dirección ip 10.1.10.2 255.255.255.0
standby 1 ip 10.1.10.254
!
dirección ip 10.1.20.2 255.255.255.0
standby 1 ip 10.1.20.254
espera 1 prioridad 150
standby 1 preempt
!
Para verificar que el HSRP con equilibrio de carga está operativo, utilice el comando show standby o el
versión breve del comando (ver Ejemplo 24-8).
Ejemplo 24-8 Verificación del equilibrio de carga HSRP
R1# show standby brief

|
Interfaz Grp Pri P
StateActiveStandbyVirtual IP
1150Activelocal10.1. 210.1.10.254
1100Standby 10.1.20.2local10.1.20.254
R2# show standby brief

|
InterfaceGrp Pri P
StateActiveStandbyVirtual IP 1100Standby
10.1.10.1local10.1.20.254
1150Activelocal10.1.20.110.1.20.254
Solución de problemas de HSRP

Los problemas con el HSRP son probablemente el resultado de uno o más de los siguientes:
■
El router activo que controla la dirección IP virtual para el grupo no fue elegido con éxito.
■
El router en espera no ha podido seguir el rastro del router activo.
■
No se tomó ninguna decisión sobre cuándo entregar a otro router el control de la IP virtual del
grupo.
■
Los dispositivos finales no pudieron configurar correctamente la dirección IP virtual como puerta de enlace
predeterminada.
Los problemas de configuración de HSRP más comunes son los siguientes:

■
Los routers HSRP no están conectados al mismo segmento de red.
■
Los routers HSRP no están configurados con direcciones IPv4 de la misma subred.
■
Los routers HSRP no están configurados con la misma dirección IPv4 virtual.
■
Los routers HSRP no están configurados con el mismo número de grupo HSRP.
■
Los dispositivos finales no están configurados con la dirección correcta del gateway por defecto.
Recursos de estudio

9
10
17
DHCP y DNS

■
Explicar el papel de DHCP y DNS en la red
■
Configurar y verificar el cliente y el relé DHCP
■
Verificar los parámetros IP para el sistema operativo del cliente (Windows, Mac OS, Linux)
Temas clave
Imagina que tienes que configurar manualmente la dirección IP de cada dispositivo que quieras
conectar a la red. Además, imagina que tienes que escribir la dirección IP de cada sitio web que
quieres visitar. Hoy revisamos los dos protocolos que automatizan este proceso: El protocolo de
configuración dinámica de host (DHCP) y el sistema de nombres de dominio (DNS). DHCP y DNS
facilitan la vida de los usuarios de Internet. También repasamos cómo verificar la configuración IP de
los dispositivos finales para Windows, macOS y Linux.
DHCPv4
DHCPv4 permite a un host obtener una dirección IP de forma dinámica cuando se conecta a la red. El
cliente DHCPv4 se pone en contacto con el servidor DHCPv4 enviando una solicitud de dirección IP. El
servidor DHCPv4 elige una dirección de un rango configurado de direcciones llamado pool y la
asigna al cliente host por un periodo determinado. La Figura 23-1 muestra gráficamente el proceso por
el cual un servidor DHCPv4 satisface una solicitud de un cliente DHCPv4.
Cuando un dispositivo configurado con DHCPv4 arranca o se conecta a la red, el cliente emite un
paquete DHCPDISCOVER para identificar cualquier servidor DHCPv4 disponible en la red. Un
servidor DHCPv4 responde con un DHCPOFFER, que es un mensaje de oferta de arrendamiento con
una dirección IP asignada, una máscara de subred, un servidor DNS y la información de la puerta de
enlace predeterminada, así como la duración del arrendamiento.
El cliente puede recibir varios paquetes DHCPOFFER si la red local tiene más de un servidor
DHCPv4. El cliente elige la primera oferta y emite un paquete DHCPREQUEST que identifica el
servidor explícito y la oferta de arrendamiento que está aceptando.
Suponiendo que la dirección IP sigue siendo válida, el servidor elegido devuelve un mensaje
DHCPACK (acuse de recibo), finalizando el arrendamiento. Si la oferta ya no es válida por alguna
razón, el servidor elegido responde al cliente con un mensaje DHCPNAK (acuse de recibo negativo).
Una vez arrendado, el cliente renueva antes de la expiración del arrendamiento mediante otra
DHCPREQUEST. Si el cliente se apaga o se retira de la red, la dirección se devuelve al pool para
su reutilización.
Figura 23-1 Asignación de información de direcciones IP mediante DHCPv4
ServidorCliente
DHCP
DHCPDISCOVER Transmisión
1
Unicast DHCPOFFER
2 3
Difusión de DHCPREQUEST
"He examinado su oferta y me gusta".
4 Unicast DHCPACK
"¡Estamos listos! Aquí está su configuración".
Opciones de configuración de DHCPv4

Un router Cisco puede configurarse para gestionar las solicitudes DHCP de dos maneras: como
servidor DHCP o como agente de retransmisión DHCP. Un router Cisco también puede configurarse
como cliente DHCP, solicitando una IPv4
de un servidor DHCP para una o varias de sus interfaces. Todas estas opciones pueden configurarse al
mismo tiempo en el mismo dispositivo. Por ejemplo, un router podría ser el servidor DHCP para una
LAN conectada directamente y, al mismo tiempo, reenviar las solicitudes del servidor DHCP a otro
servidor DHCP para otras LAN. Además, el router podría tener una o varias de sus interfaces
configuradas para solicitar el direccionamiento DHCP a un servidor remoto.
Configuración de un router como servidor DHCPv4

Un router Cisco que ejecute el software Cisco IOS puede configurarse para actuar como servidor
DHCPv4. El servidor DHCPv4 de Cisco IOS asigna y gestiona direcciones IPv4 de grupos de
direcciones especificados dentro del router a clientes DHCPv4.
Los pasos para configurar un router como servidor DHCPv4 son los siguientes:
Paso 1. Utilice el comando ip dhcp excluded-address low-address [high-address] para

identificar una dirección o un rango de direcciones para excluirlas del pool DHCPv4.
Por ejemplo:
R1(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.9
R1(config)# ip dhcp excluded-address 192.168.10.254
Paso 2. Cree el pool DHCPv4 utilizando el comando ip dhcp pool pool-name, que le
sitúa en el modo de configuración DHCP:
R1(config)# ip dhcp pool LAN-POOL-10
R1(dhcp-config)#
Paso 3. Configure el parámetro de direccionamiento IP que necesita asignar

automáticamente a los clientes solicitantes. La Tabla 23-1 enumera los comandos
necesarios.
Día 23 129
Tabla 23-1 Comandos de configuración DHCPv4

requeridos TareaComando
Definir el pool de direccionesnetwork network-number [mask | /prefix-length]
Definir el router o pasarela por defectodirección del router por defecto

[dirección2...dirección8]
La Tabla 23-2 enumera algunas de las tareas opcionales más comunes de DHCPv4.
Tabla 23-2 Comandos opcionales de configuración de
DHCPv4 Opcional TaskCommand

Definir un servidor DNSdns-servidor dirección [dirección2...dirección8]
Definir el dominio namedomain-name domain
Definir la duración del contrato de arrendamiento DHCPv4 {días [horas] [minutos] |
infinito} Definir la dirección del servidor WINS NetBIOSetbios-name-server
[address2...address8] La Figura 23-2 muestra un

ejemplo de topología DHCPv4.
Figura 23-2 Topología de ejemplo de DHCPv4

Router configurado
como servidor
DHCP
R1
G0/0 G0/1
192.168.10.1/24 192.168.11.1/24
S S
PC1PC2
PCs configurados para obtener

automáticamente direcciones
IP
El ejemplo 23-1 muestra los comandos requeridos y opcionales de DHCPv4 para configurar R1
como servidor DHCPv4 para ambas LANs en la Figura 23-2.
Ejemplo 23-1 Ejemplo de configuración de DHCPv4
Configure las direcciones IP que desea excluir del pool de direcciones DHCPv4
R1 necesita dos pools DHCPv4 para las dos LANs. Cada pool está configurado con
comandos obligatorios y opcionales.
R1(config)# ip dhcp pool LAN-POOL-10
R1(dhcp-config)# red 192.168.10.0 255.255.255.0
R1(dhcp-config)# default-router 192.168.10.1
R1(dhcp-config)# dns-server 192.168.50.195 209.165.202.158
R1(dhcp-config)# nombre-dominio cisco.com
R1(dhcp-config)# lease 2
R1(dhcp-config)# netbios-name-server 192.168.10.254
R1(dhcp-config)# ip dhcp pool LAN-POOL-11
R1(dhcp-config)# red 192.168.11.0 255.255.255.0
R1(dhcp-config)# default-router 192.168.11.1
R1(dhcp-config)# dns-server 192.168.50.195 209.165.202.158
R1(dhcp-config)# nombre-dominio cisco.com
R1(dhcp-config)# lease 2
R1(dhcp-config)# netbios-name-server 192.168.11.254
R1(dhcp-config)# end
El software Cisco IOS soporta el servicio DHCPv4 por defecto. Para desactivarlo, utilice el comando
global no service dhcp.
Para verificar las operaciones DHCPv4 en R1 en la Figura 23-2, utilice los comandos del Ejemplo 23-2.
Ejemplo 23-2 Verificación del funcionamiento de DHCPv4
R1# show ip dhcp binding

Enlaces de todos los grupos no asociados a VRF:
Dirección IPClient-ID/Caducidad
del contrato de arrendamientoTipo
Dirección de hardware/
Nombre de usuario
192.168.10.10 0100.1641.aea5.a7Jul 18 2008 08:17 AM Automático
192.168.11.10 0100.e018.5bdd.35Jul 18 2008 08:17 AM
Automático
R1# show ip dhcp server statistics

Uso de la memoria26455
Dirección de las piscinas2
Agentes de la base de datos0
Fijaciones automáticas 2
Fijaciones manuales0
Fijaciones caducadas0
Mensajes malformados 0
Entradas arp seguras 0
MensajeRecibido
Día 23 131
BOOTREQUEST0
DHCPDISCOVER2
DHCPREQUEST2
DHCPDECLINE0
DHCPRELEASE0
DHCPINFORM0
MensajeEnviado
BOOTREPLY0
DHCPOFFER2
DHCPACK2
DHCPNAK0
R1#
Como PC1 y PC2 están conectados a las LANs, cada uno recibe automáticamente su información de
direccionamiento IP desde el servidor DHCPv4 del router. El ejemplo 23-3 muestra la salida del
comando ipconfig/all en PC1.
Ejemplo 23-3 Configuración del cliente DHCPv4
C:\> ipconfig/all
Nombre del Host . . . . . . . . : ciscolab

Sufijo Dns Primario . . . . . . . :
Tipo de nodo . . . . . . . . : Enrutamiento
IP híbrido habilitado. . . . . . : No
Proxy WINS habilitado. . . . . : No
Adaptador Ethernet Conexión de área local:

Descripción . . . . . . : Intel(R) PRO/1000 PL
Dirección física. . . . . . : 00-7-41-AE-A5-A7
Dhcp Habilitado. . . . . . . : Sí Autoconfiguración
habilitada. . . . : Sí
Dirección IP. . . . . . . . . . . . : 192.168.10.11
Máscara de subred ... ... ... ... : 255.255.255.0
Servidor DHCP . . . . . . . : 192.168.10.1

Servidores DNS... : 192.168.50.195 209.165.202.158
Servidor WINS primario . . . . . : 192.168.10.254

Contrato de arrendamiento obtenido. . . . . . . : Miércoles, 16 de julio de
2008 8:16:59 AM El contrato de arrendamiento expira . . . . . . . :
viernes, 18 de julio de 2008 8:16:59 AM
C:\>
Para liberar la configuración DHCPv4 en un cliente basado en Windows, introduzca el comando

ipconfig/release
comando. Para renovar la configuración DHCPv4, introduzca el comando ipconfig/renew.
Configuración de un router para retransmitir solicitudes

DHCPv4
En una red compleja, los servidores DHCPv4 suelen estar contenidos en una granja de servidores.
Por lo tanto, los clientes no suelen estar en la misma subred que el servidor DHCPv4, como en el
ejemplo anterior. Para asegurar que los mensajes DHCPDISCOVER difundidos se envíen al
servidor DHCPv4 remoto, utilice el comando ip helper-address.
Por ejemplo, en la Figura 23-3, el servidor DHCPv4 está localizado en la LAN 192.168.11.0/24
y está sirviendo información de direcciones IP para ambas LANs.
Figura 23-3 Topología de retransmisión DHCPv4

Router configurado para
retransmitir solicitudes
DCHP
R1
G0/0 G0/1
192.168.10.1/24 192.168.11.1/24
S1 S2
PC1 PC2 DHCP

Server
192.168.11.5/24
PCs configurados para obtener
automáticamente direcciones
IP
Sin el comando ip helper-address, R1 descartaría cualquier emisión de PC1 solicitando servicios

DHCPv4. Para configurar R1 para retransmitir mensajes DHCPDISCOVER, introduzca los
siguientes comandos:
R1(config)# interfaz gigabitethernet 0/0
R1(config-if)# ip helper-address 192.168.11.5
Día 23 133
Observe que los comandos se introducen en la interfaz que recibirá las difusiones DHCPv4.
R1 entonces reenvía los mensajes de difusión DHCPv4 como unicast a 192.168.11.5. Por defecto,
el comando ip helper-address reenvía los siguientes ocho servicios UDP:
■
Puerto 37: Tiempo
■
Puerto 49: TACACS
■
Puerto 53: DNS
■
Puerto 67: Servidor DHCP/BOOTP
■
Puerto 68: Cliente DHCP/BOOTP
■
Puerto 69: TFTP
■
Puerto 137: Servicio de nombres NetBIOS
■
Puerto 138: Servicio de datagramas NetBIOS
Para especificar puertos adicionales, utilice el comando global ip forward-protocolo u d p [número de puerto |
protocolo]. Para desactivar las emisiones de un protocolo concreto, utilice la forma no del comando.
Configuración de un router como cliente DHCPv4

Los routers Cisco en pequeñas oficinas o sucursales suelen estar configurados como clientes DHCPv4.
El método utilizado depende del ISP. Sin embargo, en su configuración más sencilla, la interfaz
utilizada para conectarse a un módem de cable o DSL se configura con el comando de
configuración de interfaz ip address dhcp.
Por ejemplo, en la Figura 23-4, la interfaz GigabitEthernet 0/1 del router BRANCH
puede ser configurada para solicitar el direccionamiento del router ISP.
Figura 23-4 Router como cliente DHCP
G0/1
RAMA ISP
Cliente DHCP
El ejemplo 23-4 muestra la configuración y verificación del direccionamiento DHCP en BRANCH.
Ejemplo 23-4 Configuración de un router como cliente DHCP
BRANCH(config)# interfaz g0/1

BRANCH(config-if)# dirección ip
dhcp BRANCH(config-if)# no
shutdown
*Mar 15 08:45:34.632: %DHCP-6-ADDRESS_ASSIGN: Interfaz GigabitEthernet0/1
asignada
Dirección DHCP 209.165.201.12, máscara 255.255.255.224, nombre de
host BRANCH BRANCH(config-if)# end
BRANCH# show ip interface g0/1

GigabitEthernet0/1 está levantada, el
protocolo de línea está levantado La
dirección de Internet es 209.165.201.12/27
La dirección de difusión es 255.255.255.255
La dirección está determinada por DHCP
<salida omitida>
SUCURSAL
DHCPv6
IPv6 tiene dos métodos para obtener automáticamente una dirección global unicast:
■
Autoconfiguración de direcciones sin estado (SLAAC)
■
Stateful DHCPv6 (Protocolo de configuración dinámica de host para IPv6)
SLAAC
SLAAC utiliza mensajes ICMPv6 Router Solicitation (RS) y Router Advertisement (RA) para
proporcionar direcciones y otra información de configuración. Un cliente utiliza entonces la
información RA para construir una dirección IPv6 y verificarla con un tipo especial de mensaje
Neighbor Solicitation (NS)
mediante la detección de direcciones duplicadas (DAD). Estos tres tipos de mensajes -RS, RA y NS-
pertenecen al Protocolo de Descubrimiento de Vecinos:
■
Mensaje de solicitud del router (RS): Cuando un cliente está configurado para obtener su
información de direccionamiento automáticamente usando SLAAC, el cliente envía un
mensaje RS al router. El mensaje RS se envía a la dirección multicast de todos los routers
IPv6, FF02::2.
■
Mensaje de Anuncio de Enrutamiento (RA): Un cliente utiliza esta información para crear su
propia dirección unicast global IPv6. Un router envía mensajes RA periódicamente o en respuesta
a mensajes RS. Un mensaje RA incluye el prefijo y la longitud del prefijo del segmento local. Por
defecto, los routers Cisco envían mensajes RA cada 200 segundos. Los mensajes RA se envían a la
dirección de multidifusión de todos los nodos IPv6, FF02::1.
■
Mensaje de Solicitud de Vecinos (NS): Un mensaje NS se utiliza normalmente para
conocer la dirección de la capa de enlace de datos de un vecino en la misma red. En el
proceso SLAAC, un host utiliza DAD insertando su propia dirección IPv6 como dirección
de destino en un mensaje NS.
El mensaje NS se envía a la red para verificar que una dirección IPv6 recién acuñada es única.
Si se recibe un mensaje Neighbor Advertisement, el host sabe que la dirección IPv6 no es única.
La Figura 23-5 muestra el proceso SLAAC utilizando tres mensajes de NDP.
Día 23 135
Figura 23-5 Descubrimiento de vecinos y proceso SLAAC
ipv6 unicast-routing
RouterA
1
Solicitud de router NDP
"Necesito información del router" MAC:00-19-D2-8C-E0-4C
2
Anuncio del enrutador NDP PC-B
Longitud del prefijo: /64
3
ID de interfaz EUI-64: 02-19-D2-FF-FE-8C-E0-4C
Dirección Global Unicast: 2001:DB8:AAAA:1:0219:D2FF:FE8C:E04C Prefix-length: /64
4
Mensaje de solicitud de vecinos NDP - DAD
"¿Hay alguien más en este enlace que utilice la dirección:
Dirección IPv6 de destino: 2001:DB8:AAAA:1:0219:D2FF:FE8C:E04C"
Repasemos brevemente los pasos de la Figura 23-5.
Paso 1. PC-B envía un mensaje RS a la dirección multicast de todos los routers, FF02::2, para
informar al router IPv6 local de que necesita un mensaje RA.
Paso 2. El routerA recibe el mensaje RS y responde con un mensaje RA. El mensaje RA incluye el
prefijo y la longitud del prefijo de la red. El mensaje RA se envía a la dirección multicast
de todos los nodos IPv6, FF02::1, con la dirección local de enlace del router como
dirección de origen IPv6.
Paso 3. El PC-B utiliza esta información para crear su propia dirección unicast global IPv6. Añade
la dirección de prefijo de 64 bits a su propio ID de interfaz de 64 bits generado localmente,
que crea utilizando el proceso EUI (ver Figura 23-5) o un generador de números aleatorios.
Utiliza la dirección link-local del RouterA como gateway por defecto.
Paso 4. Antes de que el PC-B pueda utilizar esta dirección IPv6 recién creada, utiliza el proceso
DAD, enviando un mensaje NS para verificar que la dirección es única.
NOTA: El sistema operativo de un cliente puede ser configurado para ignorar los
mensajes RA, en cuyo caso el cliente siempre opta por utilizar los servicios de un servidor
DHCPv6.
Un mensaje RA informa a un cliente de cómo obtener un direccionamiento IPv6 automático: utilizando

SLAAC, DHCPv6, o una combinación de ambos. El mensaje RA contiene dos banderas para indicar la
opción de configuración: la bandera de configuración de direcciones gestionadas (bandera M) y la
bandera de otra configuración (bandera O).
La configuración por defecto de estas banderas es 0, o ambos bits desactivados. Para el cliente, esto
significa que debe utilizar el proceso SLAAC exclusivamente para obtener toda su información de
direccionamiento IPv6. Si cualquiera de estas banderas se establece en 1 por alguna razón, puede utilizar
la forma no de los siguientes comandos ipv6 nd en el modo de configuración de la interfaz para
restablecerlos a 0:
Router(config-if)# no ipv6 nd managed-config-flag
Router(config-if)# no ipv6 nd other-config-flag
DHCPv6 sin estado

En el DHCPv6 sin estado, el cliente utiliza el mensaje RA del router para generar su dirección unicast
global. Sin embargo, el cliente envía entonces una solicitud al servidor DHCPv6 para obtener cualquier
información adicional que el RA no haya suministrado ya.
En el caso de DHCPv6 sin estado, el indicador O se establece en 1 para que el cliente sea informado de
que hay información de configuración adicional disponible en un servidor DHCPv6 sin estado. Utilice el
siguiente comando en la interfaz para modificar el mensaje RA:
Router(config-if)# ipv6 nd other-config-flag
DHCPv6 con estado

En el caso de DHCPv6 stateful, el mensaje RA indica al cliente que debe obtener toda su información de
direccionamiento de un servidor DHCPv6. La bandera M debe establecerse en la interfaz con el
siguiente comando:
Router(config-if)# ipv6 nd managed-config-flag
Funcionamiento de DHCPv6 sin estado y con estado

La Figura 23-6 muestra el funcionamiento completo de DHCPv6, independientemente del método
utilizado: SLAAC, DHCPv6 sin estado o DHCPv6 con estado.
Figura 23-6 Operaciones DHCPv6
PC1
R1 G0/0
Operaciones del Servidor DHCPv6

SLAAC
Solicitud de router
1
Anuncio del router

2
Operaciones DHCPv6
SOLICIT a todos los servidores DHCPv6

3
ANUNCIAR Unicast
4
SOLICITUD o INFORMACIÓN
SOLICITAR Unicast
5
REPLY Unicast
6
Día 23 137
En la Figura 23-6 se dan los siguientes pasos:
Paso 1. El PC1 envía un mensaje RS al arrancar para iniciar el proceso de

obtención del direccionamiento IPv6.
Paso 2. R1 responde con un mensaje RA. Si las banderas M y O no están establecidas, PC1
utiliza SLAAC. Si la bandera M o la bandera O están establecidas, PC1 comienza el
proceso DHCPv6.
Paso 3. PC1 envía un mensaje DHCPv6 SOLICIT a la dirección all-DHCPv6-servers,
FF02::1:2-una dirección link-local multicast que no será reenviada por los
routers.
Paso 4. Un servidor DHCPv6 responde con un mensaje DHCPv6 ADVERTISE unicast
informando al cliente de su presencia.
Paso 5. El cliente envía una DHCPv6 REQUEST unicast (la bandera M fue establecida, y el
cliente está usando DHCPv6 stateful) o una DHCPv6 INFORMATION-REQUEST
unicast (la bandera O fue establecida, y el cliente está usando DHCPv6 stateless).
Paso 6. El servidor responde con la información solicitada.
Opciones de configuración de DHCPv6

Un router puede ser configurado como un servidor DHCPv6 sin estado, un servidor DHCPv6 con estado
y un cliente DHCPv6. Al igual que en DHCPv4, el router puede configurarse con los tres, dependiendo
del papel que desempeñe para sus distintas interfaces.
Configuración de un router como

servidor DHCPv6 sin estado
Utilizamos la Figura 23-7 para todos los ejemplos de esta sección. R1 es el servidor DHCPv6 y R3 es
el cliente DHCPv6.
Figura 23-7 Topología de servidor y cliente DHCPv6
R1G0/1 R3
Servidor DHCPv6Cliente DHCPv6
Para configurar R1 como un servidor DHCP sin estado, debe asegurarse de que ipv6 unicast-routing
está activado. Luego, en el modo de configuración global, configure el nombre del pool, el servidor
DNS y el nombre de dominio. Finalmente, habilite el pool DHCPv6 en la interfaz apropiada y
establezca la bandera O para que los clientes en esa interfaz sepan que deben solicitar los servicios
DHCPv6 del router. El ejemplo 23-5 muestra la configuración para el R1.
Ejemplo 23-5 Configuración de un router como servidor DHCPv6 sin estado
R1(config)# ipv6 unicast-routing

R1(config)# ipv6 dhcp pool O-FLAG-SET
R1(config-dhcpv6)# dns-server 2001:db8:acad:1::5
R1(config-dhcpv6)# domain-name cisco.com
R1(config-dhcpv6)# exit
R1(config-if)# ipv6 address 2001:db8:1:1::1/64
R1(config-if)# ipv6 dhcp server O-FLAG-SET
R1(config-if)# ipv6 nd other-config-flag
R1(config-if)# end
R1# show ipv6 dhcp pool
Pool DHCPv6: O-FLAG-SET
Servidor DNS: 2001:DB8:ACAD:1::5
Nombre del dominio:
cisco.com Clientes
activos: 0
R1#
Para configurar una interfaz del router como cliente DHCPv6, habilite IPv6 en la interfaz e
introduzca el comando ipv6 address autoconfig, como en el Ejemplo 23-6. Verifique la
configuración con el comando show ipv6 interface.
Ejemplo 23-6 Configuración de una interfaz como cliente DHCPv6

R3(config-if)# ipv6 enable
R3(config-if)# ipv6 address autoconfig
R3(config-if)# end
R3# show ipv6 interface g0/1
GigabitEthernet0/1 está levantado, el protocolo de línea está levantado
IPv6 está habilitado, la dirección local de enlace es
FE80::32F7:DFF:FE25:2DE1 No hay dirección local de enlace
virtual:
Autoconfiguración de direcciones sin
estado activada Dirección(es) unicast
global(es):
2001:DB8:1:1:32F7:DFF:FE25:2DE1, la subred es 2001:DB8:1:1::/64 [EUI/CAL/PRE]
duración válida 2591935 duración preferida 604735
Dirección del grupo unido:
FF02::1
FF02::1:FF25:2DE1
La MTU es de 1500 bytes
Mensajes de error ICMP limitados a uno cada 100 milisegundos
Se habilitan las redirecciones ICMP
Se envían ICMP inalcanzables
Día 23 139
ND DAD está activado, número de intentos de DAD: 1

El tiempo de alcance ND es de 30000 milisegundos (usando
30000) El intervalo de retransmisión ND NS es de 1000
milisegundos
El router por defecto es FE80::D68C:B5FF:FECE:A0C1 en GigabitEthernet0/1
R3#
Configuración de un router como servidor DHCPv6 con estado

La principal diferencia entre una configuración sin estado y una configuración con estado es que un
servidor con estado incluye información de direcciones IPv6 y mantiene un registro de las
direcciones IPv6 que se alquilan. Además, para el lado del cliente, se utiliza el comando ipv6 address
dhcp en lugar del comando ipv6 address autoconfig. El ejemplo 23-7 muestra la configuración del
servidor DHCPv6 con estado, con la información de dirección con estado añadida y el bit M
establecido en lugar del bit O.
Ejemplo 23-7 Configuración de un router como servidor DHCPv6 con estado

R1(config)# ipv6 dhcp pool M-FLAG-SET
R1(config-dhcpv6)# prefijo de dirección 2001:db8:1:1::/64 lifetime infinite infinite
R1(config-dhcpv6)# dns-server 2001:db8:acad:1::5
R1(config-dhcpv6)# domain-name cisco.com
R1(config-dhcpv6)# exit
R1(config-if)# dirección ipv6
2001:db8:1:1::1/64 R1(config-if)# ipv6 nd
managed-config-flag R1(config-if)# end
Después de que R3 esté configurado como cliente DHCP, verifique el DHCP con los
siguientes comandos:
R1# show ipv6 dhcp pool
Pool DHCPv6: M-FLAG-SET
Prefijo de asignación de direcciones: 2001:DB8:1:1::/64 válido 4294967295
preferido 4294967295 (1 en uso, 0 conflictos)
Servidor DNS: 2001:DB8:ACAD:1::5
Nombre del dominio:
cisco.com Clientes
activos: 1
R1# show ipv6 dhcp binding
Cliente: FE80::32F7:DFF:FEA3:1640
DUID: 0003000130F70DA31640
Nombre de usuario: no asignado
IA NA: IA ID 0x00060001, T1 43200, T2 69120
Dirección: 2001:DB8:1:1:8902:60D6:E76:6C16
vida útil preferida INFINITY, , vida útil válida INFINITY,
R1#
Solución de problemas de DHCP

Los problemas de DHCP pueden surgir por multitud de razones, como defectos de software en los
sistemas operativos, controladores de NIC o agentes de retransmisión de DHCP. Sin embargo, los
problemas más comunes son los de configuración.
Resolución de conflictos de direcciones IPv4

Un contrato de arrendamiento de una dirección IPv4 puede expirar en un cliente que todavía está
conectado a la red. Si el cliente no renueva el alquiler, el servidor DHCP puede reasignar esa dirección
IPv4 a otro cliente. Cuando el cliente se reinicia, solicita una dirección IPv4. Si el servidor DHCP no
responde rápidamente, el cliente utiliza la última dirección IPv4. Entonces dos clientes empiezan a
utilizar la misma dirección IPv4, creando un conflicto.
El comando show ip dhcp conflict muestra todos los conflictos de direcciones registrados por el
servidor DHCP. El servidor utiliza el comando ping para detectar conflictos. El cliente utiliza el
Protocolo de Resolución de Direcciones (ARP) para detectar los clientes. Si se detecta un conflicto de
direcciones, la dirección se elimina del pool y no se asigna hasta que un administrador resuelva el
conflicto.
Probar la conectividad utilizando una dirección IP estática

Al solucionar cualquier problema de DHCP, verifique la conectividad de la red configurando la
información de la dirección IPv4 estática en una estación de trabajo cliente. Si la estación de trabajo no
puede alcanzar los recursos de la red con una dirección IPv4 configurada estáticamente, la causa raíz del
problema no es el servidor DHCP. En este punto, es necesario solucionar los problemas de
conectividad de la red.
Verificación de la configuración de los puertos del

conmutador
Si el cliente DHCP no puede obtener una dirección IPv4 del servidor DHCP al inicio, intente
obtener una dirección IPv4 del servidor DHCP forzando manualmente al cliente a enviar una
solicitud DHCP. Si hay un conmutador entre el cliente y el servidor DHCP y el cliente no puede
obtener la configuración DHCP, los problemas de configuración del puerto del conmutador pueden ser
la causa. Estas causas pueden incluir problemas desde el trunking y la canalización hasta el STP y el
RSTP. La configuración de PortFast y las configuraciones de los puertos de borde resuelven los
problemas más comunes de los clientes DHCPv4 que ocurren con la instalación inicial de un
switch Cisco.
Probar el funcionamiento de DHCPv4 en la misma

subred o VLAN
Distinguir si DHCP está funcionando correctamente es importante cuando el cliente está en la
misma subred o VLAN que el servidor DHCP. Si DHCP funciona correctamente cuando el cliente está
en la misma subred o VLAN, el problema podría ser el agente de retransmisión DHCP. Si el problema
persiste incluso cuando se prueba DHCP en la misma subred o VLAN que el servidor DHCP, el
problema podría estar en el servidor DHCP.
Funcionamiento del DNS
El DNS es un sistema distribuido de servidores que resuelven nombres de dominio a direcciones IP. El
nombre de dominio forma parte del identificador uniforme de recursos (URI), como muestra la
Figura 23-8.
Día 23 141
Figura 23-8 Estructura del URI

ProtocoloNombre de dominioPágina web
http://www.cisco.com/index.html
NOTA: Muchas personas utilizan los términos dirección web y localizador universal (o
uniforme) de recursos (URL). Sin embargo, identificador uniforme de recursos (URI) es el
término formal correcto.
Cuando escribes un nuevo URI en tu navegador, tu ordenador utiliza el DNS para enviar una
petición para resolver el URI en una dirección IP. La Figura 23-9 resume el proceso DNS.
Figura 23-9 Proceso DNS
1 El humano escribió este URI:
Servidor DNS 192.31.7.1

Solicitud de resolución de nombres
2
Encabezado IP EncabezadoUDP Solicitud de DNS
Fuente 64.100.1.1 Fuente 1030 ¿Cuál es la dirección IP de
Destino. 192.31.7.1 Destino. Puerto 53
Cliente 64.100.1.1
3 Respuesta a la resolución de nombres
Encabezado
Fuente 192.31.7.1 IPEncabezado UDPSolicitudDNS
Destino. 64.100.1.1 Fuente 53 La dirección IP es
Destino. 1030 198.133.219.25
Configuración de la conexión TCP

4
Cabecera IPCabecera TCP
Fuente 64.100.1.1 Fuente 1035
Destino. 198.133.219.25Destino. Puerto 80, SYN
www.cisco.com Servidor
web 198.133.219.25
El servidor DNS almacena diferentes tipos de registros de recursos utilizados para resolver nombres.
Estos registros contienen el nombre, la dirección y el tipo de registro. Algunos de estos tipos de
registros son los siguientes:
■
A: Una dirección IPv4 del dispositivo final
■
NS: Un servidor de nombres autoritativo
■
AAAA: Una dirección IPv6 del dispositivo final (se pronuncia "quad-A")
■
MX: Un registro de intercambio de correo
Cuando un cliente realiza una consulta, el proceso DNS del servidor busca primero en sus propios
registros para resolver el nombre. Si no puede resolver el nombre utilizando sus registros
almacenados, se pone en contacto con otros servidores para resolver el nombre.
Los servidores raíz del DNS gestionan los sufijos del dominio principal, como estos:
■
.com:Empresas comerciales
■
.edu:Organizaciones educativas
■
.gov:Organizaciones gubernamentales
■
.mil: Organizaciones militares
■
.net:Organizaciones de redes, como los ISP
■
.org:Organizaciones no comerciales
También existen servidores DNS de primer nivel para cada código de país, como .ca (Canadá), .de (Alemania),
.ru (Rusia) y .cn (China).
Solución de problemas de DNS

Como administrador de red, su control sobre las cuestiones de DNS se limita a dos cuestiones básicas:
Las configuraciones del servidor DHCP y las del servidor DNS.
En una pequeña sucursal, lo más probable es que utilice su ISP para todas sus resoluciones DNS. Por lo
tanto, lo más probable es que todos los clientes de su red tengan la dirección IP de la pasarela por
defecto configurada como servidor DNS, como se muestra en la salida de ipconfig /all en el
Ejemplo 23-8.
Ejemplo 23-8 Servidor DNS como puerta de enlace predeterminada
C:> ipconfig /all
<salida omitida>
DHCP Habilitado. . . . . . . . : Sí
Autoconfiguración habilitada . . .: Sí
Dirección IPv4. . . . . . . . : 10.10.10.2(Preferido)
Contrato de arrendamiento obtenido. . . . . . . : Domingo, 13 de noviembre
de 2016 1:28:51 PM El contrato de arrendamiento expira . . . . . . . :
lunes, 14 de noviembre de 2016 1:28:50 PM Puerta de enlace
predeterminada . . . . . . : 10.10.10.1
Servidor DHCP . . . . . . . : 10.10.10.1
Servidores DNS.......................:10.10.10.1
Por lo tanto, los problemas con el DNS se deben probablemente a problemas con el router de la puerta
de enlace por defecto o la conexión con su ISP. Si conoce la dirección IP de un servidor disponible
públicamente, puede verificar que el DNS es el problema si puede hacer ping a la dirección IP pero
no al URI.
En las organizaciones más grandes, el administrador de la red es responsable de asegurarse de que el servidor
DHCP
está configurado con direcciones IP DNS precisas. Lo más probable es que esos servidores DNS se
gestionen internamente para reducir la cantidad de tráfico saliente hacia los servidores DNS
públicos. Desconfiguración del servidor DNS
Día 23 143
podría ser la causa de que los dispositivos de los usuarios finales no puedan resolver los URI. Por lo
tanto, la jerarquía de los servidores DNS dentro de la organización debe garantizar que haya
servidores DNS de reserva y que, cuando un registro no exista, el servidor DNS pueda reenviar con
precisión la solicitud a otro servidor DNS.
Verificación de la configuración de la IP del

host
Tanto si se configura manualmente como si se aprende dinámicamente, todos los dispositivos de
la red deben tener una configuración de dirección IP válida. A continuación se muestran algunos
ejemplos de esas configuraciones en Windows, Linux y macOS.
Configuración IP
Para que funcione correctamente, un host IP necesita conocer estos valores:
■
Direcciones IP del servidor DNS
■
Dirección IP de la pasarela por defecto (router)
■
Dirección IP propia del dispositivo
■
Máscara de subred propia del dispositivo
Configuración de la IP del host en Windows

En Windows 10, puedes acceder a los detalles de la dirección IP desde el Centro de redes y recursos
compartidos, como se muestra en la Figura 23-10, para ver rápidamente las cuatro configuraciones
importantes: dirección, máscara, router y DNS.
Figura 23-10 Detalles de la conexión de red de Windows 10
Sin embargo, los administradores de red suelen abrir una ventana de línea de comandos para verificar la
configuración IP.
Todas las versiones de Windows soportan ipconfig e ipconfig /all, como se muestra en el Ejemplo
23-9. Ambos muestran la dirección, la máscara y la puerta de enlace predeterminada. Pero se necesita
ipconfig /all para ver la configuración del servidor DNS.
También observe en el Ejemplo 23-9 que el adaptador Ethernet no tiene una puerta de enlace por
defecto. Esto se debe a que el ordenador está utilizando actualmente el adaptador inalámbrico para
la conectividad de red.
Ejemplo 23-9 Verificación de la configuración IP en la línea de comandos de Windows
C:\> ipconfig
<alguna salida omitida>
Adaptador Ethernet Ethernet 2:

Dirección IPv6. . . . . . . : 2001:db8:acad:1008::3d
Dirección IPv6 de enlace local. . . . :
fe80::ad66:4abd:d554:f703%20 Dirección IPv4. . . . . . . . . . . :
10.24.247.53
Puerta de enlace predeterminada..:
0.0.0.0
Adaptador de LAN inalámbrica Wi-Fi:
Sufijo DNS específico de la conexión . : lan

Dirección IPv6 de enlace local. . . . : fe80::90cb:adf9:9331:8ded
%13 Dirección IPv4. . . . . . . . . . . : 10.10.10.73
C:> ipconfig /all

Nombre del anfitrión . . . . . . . . . . : ALLANJ

Sufijo Dns primario... : cisco.com Tipo de
nodo... : Híbrido
Enrutamiento IP activado. . . . . : No
Proxy WINS habilitado. . . . . : No
Lista de búsqueda de sufijos DNS. . . . : cisco.com
lan
Adaptador de LAN inalámbrica Wi-Fi:
Sufijo DNS específico de la conexión . : lan

Descripción . . . . . . . : Intel(R) Dual Band Wireless-AC 8265
Día 23 145
Dirección física. . . . . . : 88-B1-11-77-4A-D9

DHCP Habilitado. . . . . . . . : Sí
Autoconfiguración habilitada . . . : Sí
Dirección IPv6 de enlace local. . . . : fe80::90cb:adf9:9331:8ded
%13(Preferido) Dirección IPv4. . . . . . . . : 10.10.10.73(Preferida)
Contrato de arrendamiento obtenido. . . . . . . : Sábado, 31 de agosto de 2019
12:17:12 PM El contrato de arrendamiento expira . . . . . . . : Martes, 3 de
septiembre de 2019 11:03:11 AM Puerta de enlace por defecto . . . . . . . :
10.10.10.1
Servidor DHCP . . . . . . . : 10.10.10.1
DHCPv6 IAID . . . . . . . . : 92844305
Cliente DHCPv6 DUID. . . . . . : 00-01-00-01-21-8E-02-90-54-E1-AD-83-2C-77
Servidores DNS . . . . . . . . : 10.10.10.1
NetBIOS sobre Tcpip. . . . . : Activado
C:-Users\allan>
Configuración de la IP del host en macOS

En un Mac, abra Preferencias de Red > Avanzadas para o b t e n e r l a información de
direccionamiento IP que se muestra en la Figura 23-11. La dirección IP del router es la puerta de enlace
predeterminada y también sirve como servidor DNS para este dispositivo.
Figura 23-11 Configuración de red de macOS

En la línea de comandos para macOS, utilice el comando ifconfig para ver la información de
direccionamiento IP, como se muestra en el Ejemplo 23-10. Otros comandos útiles son
networksetup -listallnetworkservices, networksetup -getinfo <servicio de red> , y networksetup -
getdnsservers <servicio de red> (no se muestra).
Ejemplo 23-10 Verificación de la configuración IP de la línea de comandos de macOS
MacBook-Air:~ Becky$ ifconfig es0

es0: flags=8863 mtu 1500
éter c4:b3:01:a0:64:98
inet6 fe80::c0f:1bf4:60b1:3adb%en0 prefixlen 64 secured scopeid 0x5
inet 10.10.10.113 netmask 0xffff00 broadcast 10.10.10.255
nd6 options=201
medio:
autoselección
estado: activo
MacBook-Air:~ Becky$ networksetup -listallnetworkservices Un
asterisco (*) indica que un servicio de red está desactivado.
iPhone USB
Wi-Fi
Bluetooth PAN
Puente Thunderbolt
MacBook-Air:~ Becky$ networksetup -getinfo Wi-Fi
Configuración de DHCP
Dirección IP: 10.10.10.113
Máscara de subred: 255.255.255.0
Router: 10.10.10.1
Identificación del cliente:
IPv6: Automático
Dirección IPv6:
ninguna Router IPv6:
ninguno
ID Wi-Fi: c4:b3:01:a0:64:98
MacBook-Air:~ Becky$
Configuración de la IP del host en Linux

La verificación de la configuración IP utilizando la GUI en una máquina Linux difiere dependiendo
de la distribución de Linux y de la interfaz del escritorio. La Figura 23-12 muestra el cuadro de
diálogo de información de conexión en la distribución Ubuntu que ejecuta el escritorio Gnome.
Día 23 147
Figura 23-12 Información de conexión de Linux Ubuntu
El ejemplo 23-11 muestra los comandos para verificar la configuración IP en una máquina Linux.
Ejemplo 23-11 Verificación de la configuración IP de la línea de comandos del sistema

operativo Linux
allan@allan-VirtualBox:~$ ifconfig enp0s3

enp0s3Link encap:Ethernet HWaddr 08:00:27:b5:d6:cb
inet addr:10.0.2.15 Bcast:10.0.2.255 Mask:255.255.255.0
inet6 addr: fe80::57c6:ed95:b3c9:2951/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Paquetes RX:1332239 errores:0 abandonados:0
desbordamientos:0 trama:0 Paquetes TX:105910 errores:0
abandonados:0 desbordamientos:0 portadora:0 colisiones:0
txqueuelen:1000
RX bytes:1855455014 (1,8 GB) TX bytes:13140139 (13,1 MB)
allan@allan-VirtualBox:~$ dirección ip
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 6 5 5 3 6 qdisc noqueue state UNKNOWN group d e f a u l t
qlen 1000
link/loopback 00:00:00:00:00 brd 00:00:00:00:00 inet
127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 q d i s c pfifo_fast state UP

group default qlen 1000
link/ether 08:00:27:b5:d6:cb brd ff:ff:ff:ff:ff
inet 10.0.2.15/24 brd 10.0.2.255 scope global dynamic enp0s3
valid_lft 86130sec preferred_lft 86130sec
inet6 fe80::57c6:ed95:b3c9:2951/64 scope link
Recursos de estudio

6
7
8
Conceptos inalámbricos

■
■
Describir los principios de la tecnología inalámbrica
■
Comparar las arquitecturas inalámbricas de Cisco y los modos de AP
■
Describir las conexiones de la infraestructura física de los componentes de la WLAN (AP, WLC,
puertos de acceso/troncales, LAG)
■
Describir las conexiones de acceso a la gestión de AP y WLC (Telnet, SSH, HTTP, HTTPS, consola,
TACACS+/Radius)
■
Describir los protocolos de seguridad inalámbrica (WPA, WPA2 y WPA3)
Temas clave
Las especificaciones inalámbricas se detallan en la familia de normas IEEE 802.11, incluyendo
topologías inalámbricas, asignación de espectro y seguridad inalámbrica. Hoy repasamos los
conceptos básicos de las redes inalámbricas.
Normas inalámbricas
Las normas WLAN IEEE 802.11 definen cómo se utilizan las radiofrecuencias (RF) para los enlaces
inalámbricos. Para evitar las interferencias, se pueden utilizar diferentes canales dentro de una RF.
Espectro RF
El espectro de RF, que se muestra en la Figura 22-1, incluye todos los tipos de comunicaciones de
radio, incluidas las frecuencias de 2,4 GHz y 5 GHz utilizadas por los dispositivos inalámbricos.
Figura 22-1 Espectro de RF
Frecuencia Notación
(Hz) de Rayos cósmicos
frecuencia
1021
Rayos Gamma
1020
1019
1018 Rayos X
1017
1016
1015 Luz ultravioleta
1014
1013 Luz visible
1012 Luz infrarroja
1011 100 GHz Inalámbrico de 5 GHz
1010 10 GHz Microondas y radar
109
1 GHz
Inalámbrico de 2,4 GHz
108
100 MHz Televisión y radio FM
107
10 MHz Radio de onda corta
106
1 MHz Radio AM
105
100 kHz Sonido de radio de baja
104
10 kHz Radiofrecuencias (RF)
103
1 kHz frecuencia
102
100 Hz
101
10 Hz
Subsonic
0 0 Hz
Canales
Un rango de frecuencias suele denominarse banda de frecuencias. Por ejemplo, un dispositivo de LAN
inalámbrica con una antena de 2,4 GHz puede utilizar cualquier frecuencia entre 2,4000 y 2,4835 GHz.
La banda de 5 GHz se encuentra entre 5,150 y 5,825 GHz.
Las bandas se subdividen a su vez en canales de frecuencia. Los canales adquieren especial importancia
cuando los dispositivos inalámbricos de una zona concreta se saturan. Cada canal se conoce por un
número de canal y se asigna a una frecuencia concreta. Siempre que los canales estén definidos por un
organismo de normalización nacional o internacional, podrán utilizarse de forma coherente en todos los
lugares. La Figura 22-2 y la Figura 22-3 muestran la disposición de los canales para las bandas de
2,4 y 5 GHz, respectivamente.
Figura 22-2 Canales de 2,4 GHz
Canal 1 23456 78910111213 14
GHz 2.412 2.417 2.422 2.427 2.432 2.437 2.442 2.447 2.452 2.457 2.462 2.467 2.472 2.484
DSSS: 22 MHz
OFDM: 20
Día 22 151
Figura 22-3 Canales de 5 GHz

U-NII-1U-NII-2U-NII-2 ExtendedU-NII-3
Canal
36 40 44 48 52 56 60 64 100 104 108 112 116 120 124 128 132 136 140149 153 157 161
GHz
5.1805.240 5.2605.320 5.500 5.7005.745 5.825
20
MHz
Observe en la Figura 22-3 que la banda de 5 GHz consta de canales no superpuestos. A cada canal
se le asigna un rango de frecuencias que no invade ni solapa las frecuencias asignadas a ningún
otro canal. No ocurre lo mismo con la banda de 2,4 GHz de la Figura 22-2. La única forma de evitar
cualquier solapamiento entre canales adyacentes es configurar los puntos de acceso (AP) para que
utilicen sólo los canales 1, 6 y 11.
Normas 802.11
La mayoría de los estándares especifican que un dispositivo inalámbrico debe tener una antena
para transmitir y recibir señales inalámbricas en la radiofrecuencia especificada (2,4 GHz o 5 GHz).
Algunos de los estándares más recientes que transmiten y reciben a mayor velocidad requieren que los
puntos de acceso y los clientes inalámbricos tengan varias antenas utilizando la tecnología MIMO
(Multiple Input, Multiple Output). MIMO utiliza múltiples antenas como transmisor y receptor para
mejorar el rendimiento de la comunicación. Se pueden admitir hasta cuatro antenas.
A lo largo de los años se han desarrollado varias implementaciones del estándar IEEE
802.11. La Tabla 22-1 destaca estos estándares.
Tabla 22-1 Resumen de Normas 802.11

IEEE Radio Descripción
WLAN Frecuencia
Estándar
802.11 2,4 GHz Velocidades de hasta 2 Mbps
802.11a 5 GHz Velocidades de hasta 54 Mbps
Pequeña área de cobertura
Menos eficaz para penetrar en las estructuras de los edificios
No es interoperable con 802.11b y 802.11g

IEEE Radiofrec Descripción

WLAN uencia
Estándar
802.11b 2,4 GHz Velocidades de hasta 11 Mbps
Mayor alcance que 802.11a
Mejor capacidad para penetrar en las estructuras de los edificios
802.11g 2,4 GHz Velocidades de hasta 54 Mbps
Compatible con 802.11b con capacidad de ancho de banda reducida
802.11n 2,4 GHz Velocidades de datos que van de 150 Mbps a 600 Mbps con un rango de
distancia de hasta
hasta 70 m (230 pies)
5 GHz
Los puntos de acceso y los clientes inalámbricos necesitan varias antenas con
tecnología MIMO
Compatible con dispositivos 802.11a/b/g con velocidades de datos limitadas
802.11ac 5 GHz Proporciona velocidades de datos que van de 450 Mbps a 1,3 Gbps (1300
Mbps) mediante la tecnología MIMO
Se pueden admitir hasta ocho antenas
Compatible con dispositivos 802.11a/n con velocidades de datos limitadas

802.11ax 2,4 GHz Publicado en 2019 (última norma)
5 GHz También conocido como inalámbrico de alta eficiencia (HEW)
Mayor velocidad de datos y mayor capacidad
Maneja muchos dispositivos conectados
Mejora de la eficiencia energética
Capacidad de 1 GHz y 7 GHz cuando esas frecuencias estén disponibles
Topologías inalámbricas
El estándar 802.11 identifica dos modos principales de topología inalámbrica: el modo de
infraestructura y el conjunto de servicios básicos independientes (IBSS). El IBSS también se conoce
como modo ad hoc. Con la ubicuidad de las redes inalámbricas, las topologías de malla son ahora
comunes.
Modo Infraestructura
Con el modo infraestructura, los clientes inalámbricos se interconectan a través de un AP. La Figura
22-4 ilustra la terminología del modo infraestructura. Observe que la configuración de los AP para
compartir el mismo SSID permite a los clientes inalámbricos desplazarse entre BSAs.
Día 22 153
Figura 22-4 Ejemplo de modo de infraestructura ESS
DS
ESS VLAN 10
BSS-1 BSS-2
AP-1 AP-2
BSSID: d4:20:6d:90:ad:20 BSSID: e6:22:47:af:c3:70
SSID: "MiRed" SSID: "MiRed"
La terminología del modo infraestructura incluye lo siguiente:

■
Conjunto de servicios básicos (BSS): Consiste en un único AP que interconecta a todos los
clientes inalámbricos asociados.
■
Área de servicio básica (BSA): Es el área delimitada por el alcance de la señal del AP. La BSA
también se denomina célula (el área gris de la Figura 22-4).
■
Identificador del conjunto de servicios básicos (BSSID): Es el identificador único, legible
por la máquina, para el AP que tiene el formato de una dirección MAC y suele derivarse de la
dirección MAC inalámbrica del AP.
■
Identificador del conjunto de servicios (SSID): Se trata de un identificador legible por el
ser humano, no único, utilizado por el AP para anunciar su servicio inalámbrico.
■
Sistema de distribución (DS): Los AP se conectan a la infraestructura de red mediante el DS
cableado, como Ethernet. Un AP con conexión por cable al DS se encarga de traducir las tramas
entre los protocolos 802.3 Ethernet y 802.11 inalámbrico.
■
Conjunto de servicios ampliados (ESS): Cuando un único BSS no proporciona suficiente
cobertura, se pueden unir dos o más BSS a través de un DS común en un ESS. Un ESS es la
unión de dos o más BSS interconectados por un DS cableado. Cada ESS se identifica por su
SSID, y cada BSS por su BSSID.
Modo IBSS o Ad Hoc

En el estándar 802.11, el Conjunto de Servicios Básicos Independientes (IBSS) se define como dos
dispositivos conectados de forma inalámbrica de igual a igual (P2P) sin el uso de un AP. Un dispositivo
asume el papel
de anunciar la red inalámbrica a los clientes. El IBSS permite que dos dispositivos se comuniquen
directamente sin necesidad de otros dispositivos inalámbricos, como se muestra en la Figura 22-5. Los
IBSS no se adaptan bien a más de 8 ó 10 dispositivos.
Figura 22-5 Conjunto de servicios básicos independientes de 802.11

IBSS
Malla
Tener un DS cableado que conecte todos los AP no siempre es práctico o necesario. En su lugar, los
APs pueden ser configurados para conectarse en modo malla. En este modo, los AP hacen de puente
entre el tráfico de los clientes, como se muestra en la Figura 22-6.
Figura 22-6 Ejemplo de red inalámbrica de malla
LAN
Cada AP de la malla mantiene un BSS en un canal utilizado por los clientes inalámbricos. A
continuación, los AP hacen un puente entre ellos utilizando otros canales. La red de malla ejecuta su
propio protocolo de enrutamiento dinámico para determinar la mejor ruta hacia la red cableada.
Día 22 155
Arquitecturas AP
Los puntos de acceso pueden conectarse en red en una variedad de arquitecturas. El tamaño y la
escalabilidad de la red determinan qué arquitectura es la más adecuada para una implementación
determinada.
Arquitectura de AP autónomo
Un AP autónomo es un dispositivo autónomo con hardware tanto cableado como inalámbrico,
de modo que puede hacer un puente con la infraestructura de VLAN cableada de los clientes
inalámbricos que pertenecen a los SSID, como se muestra en
Figura 22-7. Cada AP autónomo debe configurarse con una dirección IP de gestión para que se pueda
acceder a él de forma remota mediante Telnet, SSH o una interfaz web. Cada AP debe ser gestionado y
mantenido individualmente a menos que se utilice una plataforma de gestión como Cisco DNA
Center.
Figura 22-7 APs autónomos
Capa central
VLAN 10: 10.10.10.1/24

Distribución VLAN 100: 192.168.100.1/24
VLAN 200: 192.168.200.1/24
Capa
Enlace troncal: VLANs 10, 100, 200
Capa de acceso
Enlace troncal: VLANs 10, 100,

200
Autónomo
APs Gestión: 10.10.10.10
SSIDs:
wlan100 SSIDs: SSIDs: SSIDs:
wlan200 wlan100 wlan100 wlan100
wlan200 wlan200 wlan200
Arquitectura de AP basada en la nube

La gestión de AP basada en la nube es una alternativa a la compra de una plataforma de gestión. La
función de gestión de los puntos de acceso se traslada a la nube de Internet. Por ejemplo, Cisco Meraki
es un servicio de gestión de AP basado en la nube que permite desplegar automáticamente los AP de
Cisco Meraki. Estos APs pueden ser gestionados desde la interfaz web de la nube de Meraki
(dashboard). En la Figura 22-8, los mismos AP mostrados en la Figura 22-7 se gestionan ahora en la
nube.
Figura 22-8 Gestión de AP basada en la nube de Cisco Meraki
Nube Cisco Meraki
Capa central Gestión
Distribución
Capa
Enlace troncal
Capa de acceso
Enlace troncal
Cisco Meraki
Datos
APs
Obsérvese que hay dos vías distintas para el tráfico de datos y para el tráfico de gestión, que
corresponden a las dos funciones siguientes:
■
Un plano de control: Tráfico utilizado para controlar, configurar, gestionar y supervisar el propio AP
■
Un plano de datos: El tráfico del usuario final que pasa por el AP
Arquitecturas ligeras de AP
Los controladores de LAN inalámbrica (WLCs) utilizan el Protocolo de Punto de Acceso Ligero
(LWAPP) para comunicarse con los APs ligeros (LAPs), como se muestra en la Figura 22-9. Los LAPs
son útiles en situaciones donde se requieren muchos APs en la red. Son "ligeros" porque sólo realizan la
operación inalámbrica 802.11 para los clientes inalámbricos. Cada LAP es configurado y gestionado
automáticamente por el WLC.
Día 22 157
Figura 22-9 Arquitectura de AP basada en controlador
LWAPP
LAG
WLC AP ligero (LAP)
Observe en la Figura 22-9 que el WLC tiene cuatro puertos conectados a la infraestructura de
conmutación. Estos cuatro puertos están configurados como un grupo de agregación de enlaces (LAG)
para que puedan agruparse. Al igual que EtherChannel, el LAG proporciona redundancia y
equilibrio de carga.
Funcionamiento del CAPWAP

La división del trabajo entre el WLC y los LAP se conoce como arquitectura split-MAC. El LAP debe
interactuar con los clientes inalámbricos en algún nivel bajo, conocido como capa de control de acceso al
medio (MAC). Estas funciones deben permanecer en el hardware del LAP, más cercano a los clientes.
Las funciones de gestión no son parte integral del manejo de las tramas, sino que son cosas que deben
ser administradas de forma centralizada. Por lo tanto, esas funciones pueden ser trasladadas a una
plataforma centralizada lejos del AP. La Tabla 22-2 resume las funciones MAC del LAP y del
WLC.
Tabla 22-2 Funciones Split-MAC del AP y del WLC

Funciones MAC del APFunciones MAC del
WLC
Balizas y respuestas a la sondaAutenticación
Acuses de recibo y retransmisiones de paquetesAsociación y reasociación de clientes itinerantes

Cola de tramas y priorización de paquetesTraducción de
tramas a otros protocolos
Cifrado y descifrado de datos de la capa MACTerminación del tráfico
802.11 en una interfaz cableada
LWAPP ha sido sustituido por el protocolo de túneles de Control y Aprovisionamiento de Puntos de

Acceso Inalámbricos (CAPWAP) para implementar estas funciones de split-MAC. CAPWAP utiliza
dos túneles, uno para el control y otro para los datos, como se muestra en la Figura 22-10 y se
describe en la lista siguiente:
Figura 22-10 Túneles de control y datos CAPWAP

WLC
Control CAPWAP - UDP 5246
Datos CAPWAP - UDP 5247
AP ligero
■
Túnel de mensajes de control CAPWAP: Lleva los intercambios que se utilizan para
configurar el LAP y gestionar su funcionamiento. Los mensajes de control están autenticados y
encriptados, por lo que el LAP es controlado de forma segura sólo por el WLC apropiado y luego
se transporta a través del túnel de control utilizando el puerto UDP 5246.
■
Túnel de datos CAPWAP: Se utiliza para los paquetes que viajan hacia y desde los clientes
inalámbricos que están asociados con el AP. Los paquetes de datos se transportan a través del
túnel de datos utilizando el puerto UDP 5247, pero no están cifrados por defecto. Cuando se activa
el cifrado de datos para un LAP, los paquetes se protegen con la seguridad de la capa de
transporte de datagramas (DTLS).
Protocolos de seguridad inalámbrica

El tráfico inalámbrico es intrínsecamente diferente del tráfico que viaja por una infraestructura
cableada. Cualquier dispositivo inalámbrico que opere en la misma frecuencia puede escuchar las
tramas y potencialmente leerlas. Por lo tanto, las WLAN deben estar protegidas para permitir sólo a
los usuarios y dispositivos autorizados y para evitar las escuchas y la manipulación del tráfico
inalámbrico.
Métodos de autenticación inalámbrica

Para que los dispositivos inalámbricos se comuniquen a través de una red, primero deben asociarse con
el punto de acceso. Una parte importante del proceso 802.11 es descubrir una WLAN y posteriormente
conectarse a ella.
Día 22 159
Durante este proceso, las tramas transmitidas pueden llegar a cualquier dispositivo dentro del alcance. Si
la conexión inalámbrica no está asegurada, otros pueden leer el tráfico, como se muestra en la Figura
22-11.
Figura 22-11 Red inalámbrica abierta
Su contraseña es
nihao123
Mi contraseña es
nihao123
Cliente nihao123
AP
Su contraseña es
nihao123
La mejor manera de asegurar una red inalámbrica es utilizar sistemas de autenticación y

cifrado. Con el estándar 802.11 original se introdujeron dos tipos de autenticación:
■
Autenticación de sistema abierto: Sólo debe utilizarse en situaciones en las que la
seguridad no sea motivo de preocupación. El cliente inalámbrico es responsable de
proporcionar seguridad, por ejemplo, utilizando una red privada virtual (VPN) para
conectarse de forma segura.
■
Autenticación de clave compartida: Proporciona los mecanismos mostrados en la Tabla 22-3 para
autenticar y encriptar datos entre un cliente inalámbrico y un AP. Sin embargo, la contraseña
debe ser precompartida entre las partes para permitir la conexión.
Tabla 22-3 Métodos de autenticación con clave compartida

Método de
Descripción
autenticación
Privacidad equivalente
La especificación original de 802.11 diseñó la seguridad de los datos mediante el
por cable (WEP)
método de cifrado Rivest Cipher 4 (RC4) con una clave estática. Sin embargo, la
clave nunca cambia cuando se intercambian paquetes. Esto hace que WEP sea fácil de
piratear. WEP ya no se recomienda y no debería utilizarse nunca.
Acceso Protegido Wi-Fi
Un estándar de la Alianza Wi-Fi que utiliza WEP pero asegura los datos con el
(WPA)
algoritmo de cifrado del Protocolo de Integridad de Clave Temporal (TKIP), mucho
más potente. El TKIP cambia la clave en cada paquete, lo que hace que sea mucho
más difícil de piratear.
Método de Descripción
autenticación
WPA2Es el estándar actual de la industria para asegurar las redes inalámbricas. Utiliza el estándar
de cifrado avanzado (AES) para el cifrado. AES se considera actualmente el protocolo
de cifrado más potente.
WPA3La próxima generación de seguridad Wi-Fi. Todos los dispositivos con WPA3 utilizan
los métodos de seguridad más recientes, no permiten los protocolos heredados
obsoletos y requieren el uso de marcos de gestión protegidos (PMF). Sin embargo,
los dispositivos con WPA3 aún no están disponibles.
WPA y WPA2
Los routers domésticos suelen tener dos opciones de autenticación: WPA y WPA2. WPA2 es la más
fuerte de las dos. Los métodos de autenticación de WPA2 son los siguientes:
■
Personal: Pensado para redes domésticas o de pequeñas oficinas, los usuarios se autentican
mediante una clave precompartida (PSK). Los clientes inalámbricos se autentican con el router
inalámbrico mediante una contraseña precompartida. No se requiere ningún servidor de
autenticación especial.
■
Empresa: Está pensada para redes empresariales, pero requiere un servidor de autenticación
RADIUS (Remote Authentication Dial-In User Service). Aunque es más complicado de
configurar, proporciona seguridad adicional. El dispositivo debe ser autenticado por el servidor
RADIUS y, a continuación, los usuarios deben autenticarse mediante el estándar 802.1X, que
utiliza el Protocolo de Autenticación Extensible (EAP) para la autenticación.
802.1X/EAP
Con la autenticación abierta y WEP, los clientes inalámbricos se autentican localmente en el punto de
acceso sin más intervención. El escenario cambia con 802.1X: el cliente utiliza la autenticación abierta
para asociarse con el AP, y luego el proceso de autenticación del cliente ocurre en un servidor de
autenticación dedicado. La Figura 22-11 muestra la disposición tripartita de 802.1X, que consta de las
siguientes entidades:
■
Solicitante: El dispositivo cliente que solicita el acceso.
■
Autenticador: El dispositivo de red que proporciona acceso a la red. En la Figura 22-11, el AP
reenvía el mensaje del suplicante al WLC.
■
Servidor de autenticación (AS): El dispositivo que permite o deniega el acceso a la red en
función de una base de datos de usuarios y políticas (normalmente un servidor RADIUS).
WPA3
WPA3 incluye cuatro características:
■
WPA3-Personal: En WPA2-Personal, los actores de las amenazas pueden escuchar el
"apretón de manos" entre un cliente inalámbrico y el AP y utilizar ataques de fuerza bruta
para intentar adivinar el PSK. WPA3-Personal frustra este tipo de ataques mediante el uso
de la Autenticación Simultánea de Iguales (SAE), una función especificada en la norma IEEE
802.11-2016. El PSK nunca se expone, lo que hace imposible que el actor de la amenaza lo
adivine.
Día 22 161
■
WPA3-Enterprise: WPA3-Enterprise sigue utilizando la autenticación 802.1X/EAP. Sin
embargo, requiere el uso de un conjunto criptográfico de 192 bits y elimina la mezcla
de seguridad
protocolos de los anteriores estándares 802.11. WPA3-Enterprise se adhiere al conjunto de
algoritmos de seguridad nacional comercial (CNSA), que se utiliza habitualmente en las redes Wi-
Fi de alta seguridad.
■
Redes abiertas: Las redes abiertas en WPA2 envían el tráfico del usuario en texto plano no
autenticado. En WPA3, las redes Wi-Fi abiertas o públicas siguen sin utilizar ninguna
autenticación. Sin embargo, utilizan el cifrado inalámbrico oportunista (OWE) para cifrar todo
el tráfico inalámbrico.
■
Incorporación de IoT: Aunque WPA2 incluía la Configuración Protegida de Wi-Fi (WPS) para
incorporar rápidamente los dispositivos que no estaban previamente configurados, WPS es
vulnerable a una serie de ataques y no se recomienda. Además, los dispositivos IoT suelen ser
headless, es decir, no tienen una interfaz gráfica de usuario integrada para la configuración y
necesitan cualquier forma fácil de conectarse a la red inalámbrica. El Protocolo de
Aprovisionamiento de Dispositivos (DPP) se diseñó para satisfacer esta necesidad. Cada
dispositivo sin cabeza tiene una clave pública codificada. La clave suele estar estampada en el
exterior del dispositivo o en su embalaje como un código de respuesta rápida (QR). El
administrador de la red puede escanear el código QR y subir rápidamente el dispositivo. Aunque
DPP no forma parte estrictamente de la norma WPA3, con el tiempo sustituirá a WPS.
Métodos de encriptación inalámbrica

El cifrado se utiliza para proteger los datos. Un intruso puede ser capaz de capturar los datos
encriptados, pero no podrá descifrarlos en un tiempo razonable. Los siguientes protocolos de
encriptación se utilizan con la autenticación inalámbrica:
■
Protocolo de integridad de la clave temporal (TKIP): TKIP es el método de cifrado utilizado
por WPA. Es compatible con los equipos WLAN heredados y soluciona los defectos originales
del método de cifrado 802.11 WEP. Utiliza WEP pero cifra la carga útil de la capa 2 utilizando
TKIP y realiza una comprobación de integridad del mensaje (MIC) en el paquete cifrado para
garantizar que el mensaje no ha sido alterado.
■
Estándar de cifrado avanzado (AES): AES es el método de cifrado utilizado por WPA2. Es el
método preferido porque es un método de encriptación muy fuerte. Utiliza el modo de
contracifrado con el protocolo de código de autenticación de mensajes en cadena (CCMP),
que permite a los hosts de destino reconocer si los bits cifrados y no cifrados han sido
alterados.
■
El Protocolo de Galois/Modo Contador (GCMP): Se trata de un robusto conjunto de cifrado
autentificado que es más seguro y eficiente que el CCMP. El GCMP se utiliza en WPA3.
La Tabla 22-4 resume las diferencias básicas entre WPA, WPA2 y WPA3. Cada versión sucesiva está
pensada para reemplazar las versiones anteriores y ofrecer mejores características de seguridad.
Debería evitar el uso de WPA y utilizar WPA2 en su lugar, al menos hasta que WPA3 esté
ampliamente disponible en los dispositivos cliente inalámbricos, APs y WLCs.
Tabla 22-4 Comparación de la autenticación y el cifrado inalámbricos

Característica WPA WPA2 WPA3
¿Autenticación con claves precompartidas? Sí Sí Sí
¿Autenticación con 802.1X? Sí Sí Sí
¿Encriptación y MIC con TKIP? Sí No No
¿Encriptación y MIC con AES y CCMP? Sí Sí No
¿Encriptación y MIC con AES y GCMP? No No Sí
Recursos de estudio

Fundamentos de conmutación, enrutamiento e inalámbricos 12
27
28
Configuración WLAN

■
Describir las conexiones de acceso a la gestión de AP y WLC (Telnet, SSH, HTTP, HTTPS, consola,
TACACS+/RADIUS)
■
Configurar los componentes de un acceso LAN inalámbrico para la conectividad del cliente
utilizando sólo la interfaz gráfica de usuario, como la creación de WLAN, la configuración
de seguridad, los perfiles de QoS y la configuración avanzada de WLAN
■
Configurar la WLAN con WPA2 PSK mediante la GUI
Temas clave
Hoy revisamos los pasos para configurar un controlador de LAN inalámbrica (WLC). Las figuras
muestran la interfaz gráfica de usuario (GUI) y los menús de un controlador inalámbrico Cisco 3504
(ver Figura 21-1). Sin embargo, otros modelos de WLC tienen menús y características similares.
Figura 21-1 Controlador inalámbrico Cisco 3504
Cómo iniciar sesión en un WLC de Cisco

Para configurar un WLC, es necesario poder acceder a él. El WLC requiere una configuración inicial y
una dirección IP de gestión antes de poder acceder a él con un navegador web a través de HTTP o
HTTPS. Esta configuración inicial requiere una conexión de consola. El WLC también puede ser
configurado desde la interfaz de línea de comandos (CLI) utilizando Telnet o SSH. Sin embargo, el
examen CCNA se centra en el acceso a la GUI del WLC. Por lo tanto, el resto de este día se centra en el
inicio de sesión y la configuración de un WLC que ya tiene su configuración básica.
Inicie sesión en la interfaz web del WLC, como se muestra en la Figura 21-2.
Figura 21-2 Ventana de inicio de sesión del WLC
La página de Resumen de Red es un panel que proporciona una rápida visión general del
número de redes inalámbricas configuradas, puntos de acceso (AP) asociados y clientes activos,
Figura 21-3 Panel de resumen de la red
En el menú de la izquierda de la página de Resumen de la Red, haga clic en Puntos de

Acceso para ver una imagen general de la información y el rendimiento del sistema de AP,
Día 21 165
Figura 21-4 Puntos de acceso
Haga clic en Avanzado para acceder a la página de Resumen avanzado, como se muestra en la Figura
21-5. Desde aquí se puede acceder a todas las funciones del WLC.
Figura 21-5 Características avanzadas del WLC
Configuración de un WLC con una WLAN

Puede configurar una WLAN directamente en el controlador inalámbrico Cisco 3504 para que sirva de
punto de acceso para los clientes inalámbricos. Sin embargo, un WLC se utiliza más comúnmente en las
redes empresariales para gestionar una serie de AP.
Configuración de un servidor RADIUS

Una WLAN empresarial suele utilizar un servidor RADIUS para la autenticación de usuarios y
dispositivos antes de permitir que los clientes inalámbricos se asocien con un AP. Para configurar el
WLC con la información del servidor RADIUS, haga clic en la pestaña SECURITY > RADIUS
> Authentication para navegar a la pa nt al la de la Figura 21-6. Haga clic en Nuevo para
añadir el servidor RADIUS.
Figura 21-6 Acceso a la configuración de un servidor de autenticación RADIUS
1
4
2
3
Configuración de una nueva interfaz

Cada WLAN configurada en el WLC necesita su propia interfaz virtual. El WLC dispone de cinco
puertos físicos para el tráfico de datos. Cada puerto físico puede ser configurado para soportar
múltiples WLANs, cada una en su propia interfaz virtual. La interfaz virtual se denomina normalmente
con un número de VLAN y se asocia a esa VLAN. Siga los siguientes pasos para configurar una
nueva interfaz:
Paso 1. Cree una nueva interfaz haciendo clic en CONTROLADOR > Interfaces > Nueva,
Figura 21-7 Creación de una nueva interfaz virtual
1
3
Paso 2. Configure un nombre de interfaz y un ID de VLAN como se muestra en la Figura 21-8,

que muestra el nombre de la interfaz establecido como vlan5 y el ID de VLAN
establecido como 5. Haga clic en Aplicar para crear la nueva interfaz.
Día 21 167
Figura 21-8 Configuración del nombre de la interfaz y del ID de la VLAN
Paso 3. En la página de edición de la interfaz, configure el número de puerto físico y la

información de direccionamiento IP (véase la Figura 21-9).
Figura 21-9 Configuración de puertos y direcciones IP
Paso 4. Para reenviar los mensajes DHCP a un servidor DHCP dedicado, configure la dirección
del servidor DHCP como se muestra en la Figura 21-10.
Figura 21-10 Configuración de la dirección del servidor DHCP

Paso 5. Desplácese hasta la parte superior y haga clic en Aplicar, como se muestra en la
Figura 21-11. Haz clic en OK en el mensaje de advertencia.
Figura 21-11 Aplicación de una nueva interfaz virtual
Paso 6. Para verificar la interfaz virtual recién configurada, haga clic en Interfaces. La
nueva interfaz vlan5 se muestra ahora en la lista de interfaces con su dirección IPv4,
Figura 21-12 Verificación de una nueva interfaz virtual
Configuración de una WPA2 Enterprise WLAN

Por defecto, todas las WLANs recién creadas en el WLC utilizan WPA2 con Sistema de Cifrado
Avanzado (AES). 802.1X es el protocolo de gestión de claves por defecto utilizado para
comunicarse con el servidor RADIUS. El WLC ya está configurado con la dirección IP del
servidor RADIUS.
La configuración de una nueva WLAN para la interfaz vlan5 en el WLC implica los siguientes pasos:
Paso 1. Para crear una nueva WLAN, haga clic en la pestaña WLANs y luego en Go, como se muestra en la
Figura 21-13.
Figura 21-13 Creación de una nueva WLAN

Día 21 169
Paso 2. Configurar el nombre de la WLAN y el SSID. En la Figura 21-14, el SSID se utiliza

también como nombre del perfil y utiliza el mismo ID que la vlan5, creada
anteriormente.
Figura 21-14 Configuración del nombre del perfil y del SSID
Paso 3. Para habilitar la WLAN para la vlan5, cambie el estado a Enabled y elija vlan5 en la
lista desplegable Interface/Interface Group(G). Haga clic en Aplicar y en Aceptar
para aceptar el mensaje emergente, como se muestra en la Figura 21-15.
Figura 21-15 Activación de la WLAN
Paso 4. Para verificar AES y los valores predeterminados de 802.1X, haga clic en la pestaña
Seguridad para ver la configuración de seguridad predeterminada para la nueva
WLAN, como se muestra en la Figura 21-16. La WLAN debería utilizar la seguridad
WPA2 con cifrado AES. El tráfico de autenticación se gestiona mediante 802.1X entre
el WLC y el servidor RADIUS.
Figura 21-16 Verificación de la seguridad
Paso 5. Para configurar la seguridad de la WLAN para utilizar el servidor RADIUS, haga clic
en la pestaña Servidores AAA, como se muestra en la Figura 21-17. En el cuadro
desplegable, seleccione el servidor RADIUS que fue configurado en el WLC
previamente.
Figura 21-17 Cómo asociar el servidor RADIUS a la WLAN
Paso 6. Para configurar un perfil QoS, haga clic en la pestaña QoS, como se muestra en la Figura
21-18. Desde aquí, puede configurar un perfil QoS que se adhiera a la política de la
empresa. Actualmente está seleccionado Silver (mejor esfuerzo). Haga clic en Apply
(Aplicar) para aplicar los cambios.
Día 21 171
Figura 21-18 Configuración de un perfil QoS
Paso 7. Para verificar que la nueva WLAN está listada y habilitada, haga clic en el submenú
WLANs de la izquierda. En la Figura 21-19, observe que la WLAN CompanyName
está habilitada y utiliza seguridad WPA2 con autenticación 802.1X.
Figura 21-19 Verificación de la nueva WLAN
Recursos de estudio

Fundamentos de conmutación, enrutamiento e 13
inalámbricos
Seguridad de la LAN y
endurecimiento de los
dispositivos

■
Configurar el control de acceso a los dispositivos mediante contraseñas locales
■
Configurar dispositivos de red para el acceso remoto mediante SSH
■
Diferenciar los conceptos de autenticación, autorización y contabilidad
■
Configurar las funciones de seguridad de capa 2 (DHCP snooping, inspección ARP
dinámica y seguridad de puertos)
Temas clave
El repaso de hoy es un torbellino de temas relacionados con la seguridad de la LAN y el
endurecimiento de los dispositivos. Revisaremos la seguridad de los puntos finales, el control de
acceso, la seguridad de los puertos y las técnicas de mitigación de las amenazas de la LAN.
Seguridad de los puntos finales

Los puntos finales son hosts que incluyen portátiles, ordenadores de sobremesa, servidores y teléfonos
IP. Además, una red que tiene una política de "traiga su propio dispositivo" (BYOD) incluye los
dispositivos propiedad de los empleados. Los puntos finales son particularmente susceptibles a los
ataques relacionados con el malware que se originan a través del correo electrónico o la navegación
web. Si un punto final se infiltra, puede convertirse en un punto desde el que un actor de la amenaza
puede obtener acceso a los dispositivos críticos del sistema, como los servidores y la información
sensible.
Los puntos finales se protegen mejor con el software Cisco Advanced Malware Protection (AMP)
basado en el host. Los productos AMP incluyen soluciones para puntos finales como Cisco AMP for
Endpoints. Además, los dispositivos de seguridad de contenidos proporcionan un control detallado
sobre el correo electrónico y la navegación web de los usuarios de una organización.
Cisco tiene dos productos de dispositivos de seguridad de contenidos:
■
Cisco Email Security Appliance (ESA)
■
Dispositivo de seguridad web de Cisco (WSA)
Cisco ESA
Cisco ESA es un dispositivo especial diseñado para supervisar el protocolo principal del correo
electrónico, el Protocolo Simple de Transferencia de Correo (SMTP). Cisco ESA puede hacer lo
siguiente:
■
Bloquear las amenazas conocidas
■
Remediar contra el malware sigiloso que evade la detección inicial
■
Descartar los correos electrónicos con enlaces erróneos
■
Bloquear el acceso a los sitios recién infectados
■
Cifrar el contenido del correo electrónico saliente para evitar la pérdida de datos
La Figura 20-1 muestra el proceso de Cisco ESA para descartar un ataque de phishing dirigido.
Figura 20-1 Cisco ESA descarta los correos electrónicos incorrectos
ESA 3
Ejecutivo de la empresa
El proceso que se muestra en la Figura 20-1 es el siguiente:
Paso 1. El actor de la amenaza envía un ataque de phishing a un host importante de la red.
Paso 2. El cortafuegos reenvía todo el correo electrónico al ESA.
Paso 3. El ESA analiza el correo electrónico, lo registra y lo descarta.
Cisco WSA
Cisco WSA combina la protección avanzada contra el malware, la visibilidad y el control de las
aplicaciones, los controles de la política de uso aceptable y la elaboración de informes. Cisco WSA
proporciona un control completo sobre cómo los usuarios acceden a Internet. Determinadas funciones y
aplicaciones, como el chat, la mensajería, el vídeo y el audio, pueden permitirse, restringirse con límites
de tiempo y ancho de banda, o bloquearse, según los requisitos de la organización. WSA puede realizar
listas negras de URLs, filtrado de URLs, escaneo de malware, categorización de URLs, filtrado de
aplicaciones web y cifrado y descifrado del tráfico web.
La Figura 20-2 muestra a un usuario corporativo intentando conectarse a un sitio conocido de la lista negra.
Figura 20-2 El WSA de Cisco descarta un paquete destinado a un sitio de la lista negra
WSA 3
Internet
1
Día 20 175
El proceso que se muestra en la Figura 20-2 es el siguiente:
Paso 1. Un usuario intenta conectarse a un sitio web.
Paso 2. El cortafuegos reenvía la solicitud del sitio web a la WSA.
Paso 3. La WSA evalúa la URL y determina que es un sitio conocido de la lista negra. La WSA
descarta el paquete y envía un mensaje de acceso denegado al usuario.
Control de acceso
Se pueden realizar muchos tipos de autenticación en los dispositivos de red para controlar el acceso, y
cada método ofrece distintos niveles de seguridad.
Autenticación local
El método más simple de autenticación de acceso remoto es configurar una combinación de nombre
de usuario y contraseña en la consola, las líneas vty y los puertos auxiliares, como se muestra en el
Ejemplo 20-1.Este método, sin embargo, no proporciona ninguna responsabilidad, y la contraseña se
envía en texto plano. Cualquiera con la contraseña puede entrar en el dispositivo.
Ejemplo 20-1 Autenticación local sólo con contraseña
R1(config)# línea vty 0 4

R1(config-line)# contraseña ci5c0
R1(config-line)# login
En lugar de utilizar una contraseña compartida sin nombre de usuario, puede utilizar el nombre de usuario secreto
para configurar pares de nombre de usuario/contraseña locales. Requiere un par de nombre de
usuario/contraseña con el comando de configuración de línea login local. Utilice el comando de
configuración de línea no password para eliminar cualquier contraseña configurada. En el Ejemplo
20-2, se configura un par de nombre de usuario/contraseña y se aplica a las líneas, y luego se prueba
el acceso Telnet desde un conmutador. Observe que el
La contraseña ha sido cifrada con MD5, indicada por el siguiente secreto en la salida del comando
show run.
Ejemplo 20-2 Autenticación local de nombre de usuario/contraseña
R1(config)# nombre de usuario allanj secreto 31díasCCNA

R1(config)# línea consola 0
R1(config-line)# login local
R1(config-line)# no contraseña
R1(config-line)# línea vty 0
15 R1(config-line)# login
local R1(config-line)# no
contraseña
S1# telnet 10.10.10.1

Intentando 10.10.10.1 ...Abrir
Verificación del acceso de los usuarios
Nombre de usuario:
allanj Contraseña:
R1> habilitar
Contraseña:
R1# show run | include username
username allanj secret 5 $1$mERr$e/edsAr7D0CyM/z3tMvyL/
R1#
Configuración SSH
Secure Shell (SSH) se considera una de las mejores prácticas de seguridad porque Telnet (puerto 23)
utiliza una transmisión insegura de texto plano tanto del inicio de sesión como de los datos a través de la
conexión. SSH (puerto 22) es una forma más segura de acceso remoto:
■
Requiere un nombre de usuario y una contraseña, ambos encriptados durante las transmisiones.
■
El nombre de usuario y la contraseña se pueden autenticar mediante el método de la base de datos local.
■
Proporciona más responsabilidad porque el nombre de usuario se registra cuando un usuario se conecta.
El ejemplo 20-3 ilustra los métodos SSH y de base de datos local de acceso remoto.
Ejemplo 20-3 Configuración del acceso remoto SSH en un conmutador
S1# show ip ssh

SSH Disabled-versión 1.99
%Por favor, cree claves RSA para habilitar SSH (de al menos 768 bits de tamaño) para
habilitar SSH v2. Tiempo de espera de autenticación: 120 segs; Reintentos de
autenticación:3
S1# conf t
S1(config)# ip domain-name cisco.com
S1(config)# crypto key generate rsa
El nombre de las claves será S1.cisco.com
Elija el tamaño del módulo de la clave en el rango de 360 a 4096 para sus
claves de propósito general. Elegir un módulo de clave superior a 512
puede llevar unos minutos.
Cuántos bits en el módulo [512]:1024

% Generando claves RSA de 1024 bits, las claves serán no
exportables... [OK] (el tiempo transcurrido fue de 4 segundos)
Día 20 177
*Mar 1 02:20:18.529: %SSH-5-ENABLED: SSH 1.99 ha sido habilitado

S1(config)# línea vty 0 15
S1(config-line)# login local
S1(config-line)# transporte entrada ssh
S1(config-line)# nombre de usuario allanj secreto 31díasCCNA
Los siguientes comandos son configuraciones opcionales de SSH.
S1(config)# ip ssh version2
S1(config)# ip ssh authentication-retries 5
S1(config)# ip ssh time-out 60
S1(config)# end
S1# show ip ssh
SSH Enabled - versión 2.0
Tiempo de espera de autenticación: 60 segundos; Reintentos
de autenticación: 5 S1#
En el ejemplo 20-3 se dan los siguientes pasos:
Paso 1. Verifique que el conmutador soporta SSH usando el comando show ip ssh. Si no se
reconoce el comando, sabrá que SSH no es compatible.
Paso 2. Configure un nombre de dominio DNS con el comando de configuración global
ip domain-name.
Paso 3. Configure el conmutador utilizando el comando crypto key generate rsa para
generar un par de claves RSA y habilitar automáticamente SSH. Cuando se generan
claves RSA, se le pide que introduzca una longitud de módulo. Cisco recomienda un
tamaño de módulo mínimo de 1024 bits, como en el Ejemplo 20-3.
NOTA: Para eliminar el par de claves RSA, utilice el comando crypto key zeroize rsa. Esto
desactiva el servicio SSH.
Paso 4. Cambie las líneas vty para utilizar nombres de usuario, con nombres de usuario
configurados localmente o con un servidor de autenticación, autorización y contabilidad
(AAA). En el Ejemplo 20-3, el subcomando login local vty define el uso de nombres de
usuario locales, reemplazando el subcomando login vty.
Paso 5. Configure el conmutador para que sólo acepte conexiones SSH con el subcomando
transport input ssh vty. (El valor por defecto es transport input telnet).
Paso 6. Añade uno o más comandos de configuración global de nombre de usuario y
contraseña para configurar los pares de nombre de usuario y contraseña.
Paso 7. Si lo desea, modifique la configuración SSH por defecto para cambiar la versión SSH a
2.0, el número de intentos de autenticación y el tiempo de espera, como en el Ejemplo
20-3.
Paso 8. Verifique sus parámetros SSH utilizando el comando show ip ssh.
Endurecimiento de puertos de conmutación

Las interfaces de los routers deben activarse con el comando no shutdown antes de que sean
operativas. Lo contrario ocurre con los switches Cisco Catalyst: una interfaz se activa cuando se
conecta un dispositivo al puerto. Para proporcionar una funcionalidad inmediata, Cisco eligió una
configuración por defecto que incluye interfaces que funcionan sin ninguna configuración, incluyendo
la negociación automática de la velocidad y el dúplex. Además, todas las interfaces están asignadas a la
VLAN 1 por defecto.
Esta configuración por defecto expone a los switches a algunas amenazas de seguridad. Las siguientes
son las mejores prácticas de seguridad para las interfaces no utilizadas:
■
Desactive administrativamente la interfaz mediante el subcomando de interfaz shutdown.
■
Evite el trunking de la VLAN haciendo que el puerto sea una interfaz no trunking utilizando
el subcomando switchport mode access interface.
■
Asigne el puerto a una VLAN no utilizada utilizando el subcomando de interfaz switchport
access vlan number.
■
Configure la VLAN nativa para que no sea la VLAN 1, sino una VLAN no utilizada, utilizando la opción
subcomando de interfaz switchport trunk native vlan vlan-id.
Incluso cuando se apagan los puertos no utilizados en los conmutadores, si un dispositivo está
conectado a uno de esos puertos y la interfaz está habilitada, puede producirse el trunking. Además,
todos los puertos están en la VLAN 1 por defecto. Una buena práctica es poner todos los puertos no
utilizados en una VLAN de agujero negro. El ejemplo 20-4 demuestra esta mejor práctica,
asumiendo que los puertos 20-24 están sin usar.
Ejemplo 20-4 Asignación de puertos no utilizados a una VLAN Black Hole
S1(config)# vlan 999

S1(config-vlan)# nombre BlackHole
S1(config-vlan)# rango de interfaz fa0/20 - 24
S1(config-if-range)# shutdown
S1(config-if-range)#
AAA
Configurar nombres de usuario y contraseñas en todos los dispositivos de la red no es muy escalable.
Una mejor opción es utilizar un servidor externo para centralizar y asegurar todos los pares de nombres
de usuario y contraseñas. Para solucionar este problema, los dispositivos Cisco admiten el marco de
autenticación, autorización y contabilidad (AAA) para ayudar a asegurar el acceso a los dispositivos.
Los dispositivos Cisco admiten dos protocolos de autenticación AAA:
■
Sistema de control de acceso a la terminal Plus (TACACS+, pronunciado como "tack-axe
plus")
■
Servicio de autenticación remota de usuarios (RADIUS)
Día 20 179
La elección de TACACS+ o RADIUS depende de las necesidades de la organización. Por ejemplo,

un gran ISP podría seleccionar RADIUS porque soporta la contabilidad detallada requerida para
facturar a los usuarios. Una organización con varios grupos de usuarios podría seleccionar TACACS+
porque requiere que las políticas de autorización sean aplicadas por usuario o por grupo. La Tabla 20-1
compara TACACS+ y RADIUS.
Tabla 20-1 Comparación de TACACS+ y RADIUS

Característica TACACS+ RADIUS
Se utiliza sobre todo para Dispositivos de red Usuarios
Protocolo de transporte TCP UDP
Número(s) de puerto de autenticación 49 1645, 1812
El protocolo encripta la contraseña Sí Sí
El protocolo encripta todo el paquete Sí No
Admite la función de autorizar a cada usuario a un Sí No
subconjunto de comandos CLI
Definido por Cisco RFC 2865
Tanto TACACS+ como RADIUS utilizan un modelo cliente/servidor, donde un dispositivo de

autenticación es el cliente que habla con un servidor AAA. La Figura 20-3 muestra una vista
simplificada del proceso, en el que un usuario intenta conectarse a un switch con fines de gestión.
Figura 20-3 Vista simplificada de AAA

Usuario
Cambia
Servidor AAA
¿Quién es usted?
Soy John Smith.

3. ¿Es John Smith?
5. OK, conéctate. 4. Sí, acéptalo.
802.1X
IEEE 802.1X es un protocolo estándar de control de acceso y autenticación basado en puertos. Es ideal
para restringir el acceso no autorizado a través de dispositivos LAN de acceso público, como
conmutadores y puntos de acceso inalámbricos.
802.1 X define tres roles para los dispositivos en la red, como muestra la Figura 20-4:
Figura 20-4 Roles 802.1X
PC1
R2 R110.1.1.1 SW1
DHCP
1 2 10.1.1.11
10.1.1.2 GW=10.1.1.2
Servidor
DHCP de Servidor DHCP erróneo
confianza
■
Cliente (suplicante): Suele ser el puerto habilitado para 802.1X en el dispositivo que solicita
acceso a los servicios de la LAN y del conmutador y responde a las solicitudes del conmutador.
En la Figura 20-4, el dispositivo es un PC que ejecuta un software cliente compatible con
802.1X.
■
Conmutador (autentificador): El conmutador controla el acceso físico a la red, basándose en el
estado de autenticación del cliente. El conmutador actúa como un proxy entre el cliente y el
servidor de autenticación. Solicita información de identificación al cliente, verifica esa
información con el servidor de autenticación y transmite una respuesta al cliente.
■
Servidor de autenticación: El servidor de autenticación realiza la autenticación real del
cliente. El servidor de autenticación valida la identidad del cliente y notifica al switch si el cliente
está autorizado a acceder a la LAN y a los servicios del switch. Como el switch actúa como
proxy, el servicio de autenticación es transparente para el cliente. RADIUS es el único servidor
de autenticación soportado.
La Figura 20-5 muestra los flujos de autenticación para un proceso típico de 802.1X.
Figura 20-5 Flujos de autenticación 802.1X

Autenticación
Solicitante Autentificador Servidor
SW1
1
Identifíquese
2
Usuario/Contraseña 3
Usuario/Contraseña
4
¡Autorizado!
El proceso 802.1X se resume como sigue:
■
El servidor de autenticación RADIUS está configurado con nombres de usuario y contraseñas.
■
Cada conmutador LAN está habilitado como autentificador 802.1X, está configurado con la
dirección IP del servidor de autentificación y tiene 802.1X habilitado en todos los puertos
necesarios.
Día 20 181
■
Los usuarios que conectan dispositivos a puertos habilitados para 802.1X deben conocer el
nombre de usuario/contraseña antes de poder acceder a la red.
Seguridad portuaria
Si sabe qué dispositivos deben estar cableados y conectados a determinadas interfaces de un
conmutador, puede utilizar la seguridad de los puertos para restringir esa interfaz de modo que sólo
puedan utilizarla los dispositivos previstos. Esto reduce la exposición a algunos tipos de ataques en
los que el atacante conecta un portátil a la toma de corriente o utiliza el cable conectado a otro
dispositivo final para acceder a la red.
Configuración de la seguridad de los puertos

La configuración de la seguridad de los puertos implica varios pasos. Básicamente, hay que convertir el
puerto en un puerto de acceso, lo que significa que el puerto no está haciendo ningún trunking VLAN.A
continuación, hay que habilitar la seguridad de los puertos y configurar las direcciones de control de
acceso a los medios (MAC) de los dispositivos que pueden utilizar ese puerto. La siguiente lista resume
los pasos de la configuración de la seguridad de los puertos, incluyendo los comandos de configuración
utilizados:
Paso 1. Configurar la interfaz para el modo de acceso estático utilizando el switchport mode access
subcomando de interfaz.
Paso 2. Habilite la seguridad del puerto mediante el subcomando switchport port-security interface.
Paso 3. (Opcional) Anule el número máximo de direcciones MAC permitidas asociadas a la

interfaz (1) utilizando el subcomando switchport port-security maximum number
interface.
Paso 4. (Opcional) Anular la acción por defecto cuando hay una violación de seguridad
(shutdown) utilizando el subcomando de interfaz switchport port-security
violation {protect | restrict | shutdown}.
Paso 5. (Opcional) Predefina cualquier dirección MAC de origen permitida para esta interfaz
utilizando el comando switchport port-security mac-address mac-address. Utilice el
comando varias veces para definir más de una dirección MAC.
Paso 6. (Opcional) En lugar de realizar el paso 5, configure la interfaz para aprender y
configurar dinámicamente las direcciones MAC de los hosts conectados
actualmente configurando el subcomando switchport port-security mac-address
sticky interface.
Cuando un dispositivo no autorizado intenta enviar tramas a la interfaz del conmutador, el conmutador
puede emitir mensajes informativos, descartar tramas de ese dispositivo o incluso descartar tramas de
todos los dispositivos
cerrando efectivamente la interfaz. La acción exacta que toma el puerto del switch depende de la
opción que configure en el comando switchport port-security violation. La Tabla 20-2 enumera
las acciones que tomará el switch en función de si configura la opción protect, restrict o
shutdown (por defecto).
Tabla 20-2 Acciones cuando se produce una violación de la seguridad del puerto
Opción en el comando switchport proteger restringir apagado
port-security violation
Descarta el tráfico infractor Sí Sí Sí
Envía mensajes de registro y SNMP No Sí Sí
Desactiva la interfaz, descartando todo el tráfico No No Sí
El ejemplo 20-5 muestra una configuración de seguridad de puertos en la que cada interfaz de
acceso tiene permitido un máximo de tres direcciones MAC. Si se detecta una cuarta dirección MAC,
sólo se descarta el tráfico del dispositivo infractor. Si la opción de violación no está configurada
explícitamente, el tráfico de los dispositivos permitidos en el puerto también se descarta porque el
puerto se cerraría por defecto.
Ejemplo 20-5 Ejemplo de configuración de seguridad de puertos
S1(config)# rango de interfaces fa 0/5 - fa

0/24 S1(config-if-range)# switchport mode
access S1(config-if-range)# switchport port-
security
S1(config-if-range)# switchport port-security maximum 3
S1(config-if-range)# switchport port-security violation restrict
S1(config-if-range)# switchport port-security mac-address sticky
Para verificar la configuración de seguridad del puerto, utilice el comando más general show
port-security o el comando más específico show port-security interface type number. El ejemplo
20-6 demuestra el uso de ambos comandos. En los ejemplos, observe que sólo un dispositivo está
actualmente conectado a un puerto de acceso en S1.
Ejemplo 20-6 Ejemplos de salida del comando de verificación de seguridad de puertos
S1# show port-security

Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count)(Count)(Count)
Fa0/5310Restrict
Fa0/6300Restrict
Fa0/7300Restrict
Fa0/8300Restrict
Fa0/9300Restrict
Fa0/10300Restrict
Fa0/11300Restrict
Fa0/12300Restrict
Fa0/13300Restrict
Fa0/14300Restrict
Fa0/15300Restrict
Fa0/16300Restrict
Fa0/17300Restrict
Fa0/18300Restrict
Fa0/19300Restrict
Día 20 183
Fa0/20300Restricto
Fa0/21300Restrict
Fa0/22300Restrict
Fa0/23300Restrict
Fa0/24300Restrict Total de direcciones en el sistema

(excluyendo una mac por puerto) : 0
Límite máximo de direcciones en el sistema (excluyendo una mac por
puerto) : 8320 S1# show port-security interface fastethernet 0/5
Seguridad portuaria :Activada
Estado del puerto :Seguro-abajo
Modo de violación :Restringir
Tiempo de envejecimiento : 0 minutos
Tipo de envejecimiento :Absoluto
SecureStatic Address
Aging:Disabled Máximo de
direcciones MAC3
Total de direcciones MAC1
Direcciones MAC configuradas0
Direcciones MAC pegajosas1
Última dirección de
origen :Vlan:0014.22dd.3
7a3:1 Recuento de
violaciones de seguridad0
Envejecimiento de la protección portuaria

El envejecimiento de la seguridad del puerto se puede utilizar para establecer el tiempo de
envejecimiento de las direcciones seguras estáticas y dinámicas en un puerto. Se admiten dos
tipos de envejecimiento por puerto:
■
Absoluto: Las direcciones seguras del puerto se eliminan después del tiempo de envejecimiento especificado.
■
Inactividad: Las direcciones seguras del puerto se eliminan sólo si están inactivas durante el
tiempo de envejecimiento especificado.
Utilice el comando switchport port-security aging para activar o desactivar el envejecimiento
estático del puerto seguro o para establecer el tiempo o tipo de envejecimiento:
Switch(config-if)# switchport port-security aging { static | time time |
tipo {absoluto | inactividad}}
La Tabla 20-3 describe los parámetros de este comando.
Tabla 20-3 Parámetros del comando port-security aging

ParámetroDescripción
staticHabilita el envejecimiento de las direcciones seguras configuradas estáticamente en este puerto.
time timeEspecifica el tiempo de envejecimiento de este puerto. El rango es de 0 a 1440 minutos.
Si el tiempo es 0, el envejecimiento está desactivado para este puerto.
type absoluteEstablezca el tiempo de envejecimiento absoluto. Todas las direcciones seguras de este
puerto envejecen exactamente después del tiempo (en minutos) especificado y se
eliminan de la lista de direcciones seguras.
type inactivityEstablezca el tipo de envejecimiento por inactividad. Las direcciones seguras de
este puerto envejecen sólo si no hay tráfico de datos desde la dirección de origen
segura durante el período de tiempo especificado.
El ejemplo 20-7 muestra a un administrador configurando el tipo de envejecimiento a 10

minutos de inactividad y utilizando el comando show port-security interface para verificar la
configuración.
Ejemplo 20-7 Configuración y verificación del envejecimiento de la seguridad de los puertos
S1(config)# interfaz fa0/1

S1(config-if)# switchport port-security aging time 10
S1(config-if)# switchport port-security aging type inactivity
S1(config-if)# end
S1# show port-security interface fa0/1
Seguridad portuaria : Activado
Estado del puerto : Cierre seguro
Modo de violación : Restringir
Tipo de
envejecimiento :
Inactividad Envejecimiento de
direcciones estáticas seguras :
Desactivado Direcciones
MAC máximas : 4
Direcciones MAC totales : 1
Direcciones MAC configuradas :
1 Direcciones MAC pegadas : 0
Última dirección de origen:Vlan : 0050.56be.e4dd:1
Recuento de violaciones de seguridad : 1
Restauración del puerto tras una infracción

Cuando la seguridad de los puertos está activada en una interfaz, la acción por defecto cuando se
produce una violación es apagar el puerto. Una violación de la seguridad puede ocurrir de dos
maneras:
■
El número máximo de direcciones MAC seguras se ha añadido a la tabla de direcciones para
esa interfaz, y una estación cuya dirección MAC no está en la tabla de direcciones intenta
acceder a la interfaz.
■
Una dirección aprendida o configurada en una interfaz segura se ve en otra interfaz segura de la
misma VLAN.
Cuando se produce una violación, se envía un mensaje syslog a la consola, indicando que la interfaz
está ahora en el estado err-disable. Los mensajes de consola incluyen el número de puerto y la
dirección MAC que causó la violación, como muestra el Ejemplo 20-8.
Ejemplo 20-8 Verificación y restauración de la violación de la seguridad de los puertos
S1#
Sep 20 06:44:54.966: %PM-4-ERR_DISABLE: Se ha detectado un error de violación de
seguridad en Fa0/18,
poner Fa0/18 en estado de err-disable
Sep 20 06:44:54.966: %PORT_SECURITY-2-PSECURE_VIOLATION: Violación de seguridad
causado por la dirección MAC 000c.292b.4c75 en el puerto FastEthernet0/18.
Sep 20 06:44:55.973: %LINEPROTO-5-PPDOWN: Protocolo de línea en la interfaz
Día 20 185
FastEthernet0/18, ha cambiado el estado a "down".

Sep 20 06:44:56.971: %LINK-3-UPDOWN: Interfaz FastEthernet0/18, ha cambiado el
estado a down
Los dos siguientes comandos se pueden utilizar para verificar el
estado del puerto. S1# show interface fa0/18 status
PortName StatusVlan Duplex Speed Type
Fa0/18err-
disabled5autoauto10/100BaseTX S1# show port-security interface
fastethernet 0/18
Seguridad portuaria : Activado
Estado del puerto : Cierre seguro
Modo de violación : Apagado
Tipo de envejecimiento : Absoluto
Envejecimiento de la dirección SecureStatic

:
Desactivado Máximo de
direcciones MAC : 1
Total de direcciones MAC : 0
Direcciones MAC configuradas : 0
Direcciones MAC pegajosas : 0
Última dirección de
origen : Vlan:
000c.292b.4c75:1 Recuento de
violaciones de seguridad : 1
Para restaurar un puerto, apáguelo manualmente y vuelva a activarlo.
S1(config)# interfaz FastEthernet 0/18
S1(config-if)# apagado
Sep 20 06:57:28.532: %LINK-5-CHANGED: Interfaz FastEthernet0/18, ha cambiado el
estado a administrativamente caído
S1(config-if)# no shutdown
Sep 20 06:57:48.186: %LINK-3-UPDOWN: Interfaz FastEthernet0/18, cambió el estado a
up Sep 20 06:57:49.193: %LINEPROTO-5-UPDOWN: Protocolo de línea en la interfaz
FastEthernet0/18, cambió el estado a up
Puede utilizar el comando show interface type number status o show port-security interface
type number para verificar el estado actual del puerto. Para restaurar el puerto, primero debe apagar
manualmente la interfaz y luego reactivarla, como en el Ejemplo 20-8.
Mitigación de amenazas en la LAN

Esta sección revisa las amenazas LAN y las técnicas de mitigación para los ataques VLAN, los ataques
DHCP y los ataques ARP.
Modificación de la VLAN nativa y de gestión

La especificación IEEE 802.1Q define una VLAN nativa para mantener la compatibilidad con el tráfico
no etiquetado que es común en los escenarios de las redes LAN heredadas. Una VLAN nativa sirve
como identificador común en los extremos opuestos de un enlace troncal.VLAN 1 es la VLAN nativa
por defecto.
Una VLAN de gestión es cualquier VLAN configurada para acceder a las capacidades de gestión de un
conmutador. La VLAN 1 es la VLAN de gestión por defecto. A la VLAN de gestión se le asigna una
dirección IP y una máscara de subred, lo que permite gestionar el conmutador a través de HTTP,
Telnet, SSH o SNMP.
Es una buena práctica configurar la VLAN nativa como una VLAN no utilizada, distinta de la VLAN 1
y de otras VLAN. De hecho, no es inusual dedicar una VLAN fija para servir el papel de la VLAN
nativa para todos los puertos troncales en el dominio conmutado. Asimismo, la VLAN de gestión debe
configurarse como algo distinto a la VLAN 1. La VLAN de gestión y la VLAN nativa pueden configurarse
como la misma VLAN, como en el ejemplo 20-9.
Ejemplo 20-9 Configuración de la VLAN nativa y de gestión
S1(config)# vlan 86
S1(config-vlan)# nombre Gestión&Nativa
S1(config-vlan)# interfaz vlan 86
*Jul 13 14:14:04.840: %LINEPROTO-5-UPDOWN: Protocolo de línea en la interfaz Vlan86,
ha cambiado el estado a down
S1(config-if)# dirección ip 10.10.86.10 255.255.255.0
S1(config-if)# no shutdown
S1(config-if)# ip default-gateway 10.10.86.254
S1(config)# interface range fa0/21 - 24
*Jul 13 14:15:55.499: %LINEPROTO-5-UPDOWN: Protocolo de línea en la interfaz Vlan86,
ha cambiado de estado a up
En primer lugar, se crea una VLAN que se utilizará para la gestión y la VLAN nativa. A continuación,
activando la interfaz VLAN 86, el switch puede ser gestionado remotamente. Por último, se configuran
estáticamente los puertos troncales y se establece la VLAN 86 como VLAN nativa para todo el tráfico
no etiquetado. Una vez configurada, se activa la interfaz VLAN 86.
Ataques VLAN
Los ataques a la VLAN pueden lanzarse de tres maneras:
■
Suplantación de mensajes del Protocolo de Troncalidad Dinámica (DTP): La suplantación
de mensajes DTP desde el host atacante puede hacer que el switch entre en modo trunking.
Desde aquí, el atacante puede enviar tráfico etiquetado con la VLAN de destino, y el conmutador
entonces entrega los paquetes al destino.
■
Introducir un switch falso y habilitar el trunking: Después de hacer esto, un atacante
puede acceder a todas las VLANs del switch víctima desde el switch rogue.
■
Montar un ataque de doble etiquetado (o doble encapsulado): Este tipo de ataque de salto de
VLAN se aprovecha del funcionamiento del hardware de la mayoría de los conmutadores. Un actor
de la amenaza en situaciones específicas podría incrustar una etiqueta 802.1Q oculta dentro de
la trama que ya tiene una etiqueta 802.1Q. Esta etiqueta permite que la trama vaya a una VLAN
que la etiqueta 802.1Q original no especificaba.
Día 20 187
Mitigación de ataques VLAN

Utilice los siguientes pasos para mitigar los ataques de salto de VLAN:
Paso 1. Desactivar las negociaciones DTP (auto trunking) en los puertos no trunking utilizando la opción
comando de configuración de la interfaz switchport mode access.
Paso 2. Desactivar los puertos no utilizados y ponerlos en una VLAN no utilizada.
Paso 3. Habilite manualmente el enlace troncal en un puerto de trunking utilizando el

comando switchport mode trunk.
Paso 4. Desactive las negociaciones DTP (auto trunking) en los puertos trunking utilizando el
comando switchport nonegotiate.
Paso 5. Establezca la VLAN nativa en una VLAN distinta de la VLAN 1 mediante el comando
switchport trunk native vlan vlan_number.
Por ejemplo, supongamos lo siguiente:
■
Los puertos FastEthernet 0/1 a fa0/16 son puertos de acceso activos.
■
Los puertos FastEthernet 0/17 a 0/24 no están actualmente en uso.
■
Los puertos FastEthernet 0/21 a 0/24 son puertos troncales.
El salto de VLAN se puede mitigar implementando la siguiente configuración, como se muestra en el

Ejemplo 20-10:
■
El trunking está desactivado en los puertos FastEthernet 0/1 a 0/16.
■
Los puertos FastEthernet 0/17 a 0/20 tienen asignada una VLAN no utilizada.
■
Los puertos FastEthernet 0/21 a 0/24 se habilitan manualmente como troncales con DTP desactivado.
La VLAN nativa también se cambia de la VLAN 1 por defecto a la VLAN 86.
Ejemplo 20-10 Mitigación de ataques de salto de VLAN
S1(config)# rango de interfaces fa0/1 - 16

S1(config-if-range)# exit
S1(config)#
S1(config-if-range)# exit
S1(config)#
S1(config-if-range)# switchport nonegotiate
S1#
Ataques al DHCP
Dos tipos de ataques a DHCP son el DHCP starvation y el DHCP spoofing. Ambos ataques se
mitigan implementando DHCP snooping.
Ataques de hambre de DHCP

El objetivo de un ataque de inanición de DHCP es crear una condición de denegación de servicio
para los clientes conectados. Los ataques de inanición DHCP requieren una herramienta de ataque
como Gobbler. Gobbler mira todo el ámbito de direcciones IP arrendables e intenta arrendarlas todas.
En concreto, crea mensajes de descubrimiento DHCP con direcciones MAC falsas.
Ataques de Spoofing DHCP

Un ataque de spoofing de DHCP ocurre cuando un servidor DHCP falso se conecta a la red y
proporciona parámetros de configuración IP falsos a clientes legítimos. Por ejemplo, en la Figura 20-6,
R1 está configurado para retransmitir las peticiones DHCP al servidor DHCP conectado a R2.
Figura 20-6 Servidor DHCP Rogue interceptando solicitudes DHCP

Servidor de
autenticaci
ón
Solicitante Autentificador (RADIUS)
Requiere acceso y Controla el acceso Realiza la

responde a las físico a la red en autenticación
solicitudes del función del estado de del cliente.
conmutador. autenticación del
cliente.
Sin embargo, el servidor DHCP falso conectado a SW1 responde primero a la solicitud DHCP de
PC1. PC1 acepta la oferta de DHCP y establece el servidor DHCP falso como puerta de enlace
predeterminada.
Snooping DHCP
Para protegerse de los ataques a DHCP, DHCP snooping utiliza el concepto de puertos de
confianza y no confianza. Como muestra la Figura 20-7, SW2, R1 y el servidor DHCP están
conectados a puertos de confianza en SW1. Los otros dispositivos, incluyendo el punto de acceso
inalámbrico, están conectados a puertos no confiables.
Figura 20-7 Puertos de confianza y no confianza
TrustedUntrusted
SW1
SW1
R1
DHCP
Servidor
Día 20 189
Algunas características críticas de una configuración de DHCP snooping son las siguientes:
■
Puertos de confianza: Los puertos de confianza permiten todos los mensajes DHCP entrantes.
■
Puertos no confiables, mensajes de servidor: Los puertos no confiables descartan todos los
mensajes entrantes que se consideran mensajes de servidor.
■
Puertos no confiables, mensajes de clientes: Los puertos no confiables aplican una lógica más
compleja para los mensajes considerados de cliente. Comprueban si cada mensaje DHCP
entrante entra en conflicto con la información de la tabla de vinculación DHCP existente; si es así,
descartan el mensaje DHCP. Si el mensaje no tiene conflictos, el conmutador permite el paso del
mensaje, lo que suele dar lugar a la adición de nuevas entradas en la tabla de vinculación
DHCP.
■
Limitación de velocidad: Esta función limita opcionalmente el número de mensajes DHCP
recibidos por segundo por puerto.
Siga los siguientes pasos para activar DHCP snooping:
Paso 1. Habilite el DHCP snooping mediante el comando de configuración global ip

dhcp snooping.
Paso 2. En los puertos de confianza, utilice el comando de configuración de interfaz ip dhcp snooping
trust.
Paso 3. Limite el número de mensajes de descubrimiento DHCP que se pueden recibir por
segundo en los puertos no confiables utilizando el comando de configuración de
interfaz ip dhcp snooping limit rate number. Esto ayuda a mitigar los ataques de
inanición de DHCP.
Paso 4. Habilite DHCP snooping por VLAN o por un rango de VLANs utilizando el
comando de configuración global ip dhcp snooping vlan.
Para un escenario sencillo, considere la topología de la Figura 20-8.
Figura 20-8 Topología de configuración de DHCP Snooping
Servidor
F0/5S1 F0/1
DHCP 192.168.10.10
Puerto de
confianza Puerto de
no confianza
El ejemplo 20-11 muestra cómo configurar y verificar DHCP snooping en S1.
Ejemplo 20-11 Configuración y verificación de DHCP Snooping

S1(config)# ip dhcp snooping
S1(config)# interfaz f0/1
S1(config-if)# ip dhcp snooping trust
S1(config-if)# exit
S1(config)# rango de interfaz f0/5 - 24
S1(config-if-range)# ip dhcp snooping limit rate 6

S1(config-if)# exit
S1(config)# ip dhcp snooping vlan 5,10,50-52
S1(config)# end
S1# show ip dhcp snooping
Switch DHCP snooping está activado
DHCP snooping está configurado en las siguientes VLAN:
5,10,50-52
DHCP snooping está operativo en las siguientes VLAN:
ninguno
DHCP snooping está configurado en las siguientes interfaces L3:
Se habilita la inserción de la opción 82
circuit-id formato por defecto: vlan-mod-
port remote-id: 0cd9.96d2.3f80 (MAC)
La opción 82 en un puerto no fiable no está
permitida La verificación del campo hwaddr está
activada La verificación del campo giaddr está
activada
DHCP snooping trust/rate se configura en las siguientes Interfaces:
InterfaceTrustedAllow
optionRate limit (pps)
FastEthernet0/1yesunlimited Circuitos
personalizados:
FastEthernet0/5nono6
Circuitos personalizados:
FastEthernet0/6nono6
Circuitos personalizados:
S1# show ip dhcp snooping binding
MacAddressIpAddressLease(sec) TipoVLAN
Interfaz
00:03:47:B5:9F:AD 192.168.10.10193185dhcp-snooping
5FastEthernet0/5 S1#
Ataques ARP
En las redes LAN Ethernet, se permite a los hosts enviar una respuesta no solicitada del Protocolo de
Resolución de Direcciones (ARP) llamada mensaje ARP gratuito. Estos mensajes ARP hacen que
todos los demás hosts de la LAN almacenen la dirección MAC y la dirección IP en sus cachés ARP. El
problema es que un atacante puede enviar un mensaje ARP gratuito que contenga una dirección MAC
falsa a un conmutador, y éste actualizará su tabla MAC en consecuencia. Por lo tanto, cualquier host
puede pretender ser el propietario de cualquier combinación de direcciones IP y MAC.
Por ejemplo, en la Figura 20-9, R1 y PC1 han eliminado la entrada correcta de la dirección MAC
del otro y la han sustituido por la dirección MAC de PC2. El actor de la amenaza ha envenenado las
cachés ARP de todos los dispositivos de la subred. El envenenamiento de ARP conduce a varios
ataques man-in-the-middle, planteando un
Día 20 191
una grave amenaza para la seguridad de la red. Todo el tráfico entre R1 y PC1 fluirá ahora a través del
PC2 del actor de la amenaza.
Figura 20-9 Ataque de envenenamiento de

ARP con éxito
PC2 ARP Cache
Dirección IP Dirección
IP: 10.0.0.12 MAC
MAC: CC:CC:CC PC2
10.0.0.1 AA:AA:AA
10.0.0.11 BB:BB:BB
PC1
IP: 10.0.0.11 IP: 10.0.0.1R1
MAC: BB:BB:BB
MAC: AA:AA:AA
PC1 ARP CacheR1 ARP Cache
Dirección IP Nota:
Dirección
Las direcciones MAC se muestran como 24 bits paraDirección IP
simplificar. Dirección
MAC MAC
10.0.0.1 CC:CC:CC 10.0.0.11 CC:CC:CC
Inspección
10.0.0.12 dinámica de ARP
CC:CC:CC 10.0.0.12 CC:CC:CC
Para evitar la suplantación de ARP y el envenenamiento de ARP, un conmutador debe asegurarse
de que sólo se retransmitan solicitudes y respuestas ARP válidas. La inspección dinámica de ARP
(DAI) requiere DHCP snooping y ayuda a prevenir los ataques ARP haciendo lo siguiente:
■
No retransmitir respuestas ARP inválidas o gratuitas a otros puertos de la misma VLAN
■
Interceptar todas las solicitudes y respuestas ARP en puertos no confiables
■
Verificación de cada paquete interceptado para un enlace válido entre IP y MAC
■
Descartar y registrar las respuestas ARP procedentes de una fuente no válida para evitar el envenenamiento
de ARP
■
Error al deshabilitar la interfaz si se excede el número de paquetes ARP configurado en el DAI
Para mitigar las posibilidades de suplantación de ARP y envenenamiento de ARP, siga estas
directrices de implementación de DAI:
■
Habilitar el DHCP snooping globalmente.
■
Activar DHCP snooping en las VLANs seleccionadas.
■
Habilitar DAI en las VLANs seleccionadas.
■
Configurar interfaces de confianza para DHCP snooping e inspección ARP.
La topología de la Figura 20-10 identifica los puertos de confianza y de no confianza
Figura 20-10 Puertos de confianza y de no confianza para la configuración de DAI
PC1
F0/1
F0/24
S1 R1
F0/2
Puerto de confianza
Puerto no fiable
PC2
En la Figura 20-10, S1 está conectando dos usuarios en la VLAN 10. En el Ejemplo 20-12, DAI está
configurado para mitigar los ataques de ARP spoofing y ARP poisoning. Observe que DHCP snooping
está habilitado porque DAI requiere la tabla de enlace de DHCP snooping para operar.
Ejemplo 20-12 Configuración DAI
S1(config)# ip dhcp snooping

S1(config)# ip dhcp snooping vlan 10
S1(config)# ip arp inspection vlan 10
S1(config)# interface fa0/24
S1(config-if)# ip dhcp snooping trust
S1(config-if)# ip arp inspection trust
DAI también puede configurarse para comprobar tanto las direcciones MAC como las IP de
destino o de origen con el comando ip arp inspection validate. Sólo se puede configurar un
comando. Introducir varios comandos ip arp inspection validate sobrescribe el comando anterior.
Para incluir más
más de un método de validación, introdúzcalos en la misma línea de comandos, como se muestra y
verifica en el Ejemplo 20-13.
Día 20 193
Ejemplo 20-13 Configuración de DAI para validar direcciones MAC e IP
S1(config)# ip arp inspection validate ?

dst-mac Validar la dirección MAC de
destino ipValidar las direcciones IP
src-mac Validar la dirección MAC de origen
S1(config)# ip arp inspection validate src-mac
S1(config)# ip arp inspection validate dst-mac
S1(config)# ip arp inspection validate ip
S1(config)# do show run | include validate
ip arp inspection validate ip
S1(config)# ip arp inspection validate src-mac dst-mac ip
S1(config)# do show run | include validate
ip arp inspection validate src-mac dst-mac ip
S1(config)#
Recursos de estudio

Academia de Redes Cisco: CCNA2 10
11
8
22
Conceptos básicos de enrutamiento

■
■
Determinar cómo un router toma una decisión de reenvío por defecto
Temas clave
Hoy repasaremos los conceptos básicos de enrutamiento, incluyendo exactamente cómo un paquete es
procesado por los dispositivos intermediarios (routers) en su camino desde el origen hasta el destino. A
continuación, revisaremos los métodos básicos de enrutamiento, incluyendo las rutas conectadas,
estáticas y dinámicas. Concluimos el repaso del día con una inmersión profunda en el funcionamiento
de los protocolos de enrutamiento dinámico.
Reenvío de paquetes
El reenvío de paquetes por parte de los routers se realiza a través de las funciones de
determinación de la ruta y de conmutación. La función de determinación de la ruta es el proceso
que utiliza el router para determinar la ruta que debe utilizar al reenviar un paquete. Para determinar
la mejor ruta, el router busca en su tabla de enrutamiento una dirección de red que coincida con la
dirección IP de destino del paquete.
Esta búsqueda da como resultado una de las tres determinaciones de la trayectoria:
■
Red conectada directamente: Si la dirección IP de destino del paquete pertenece a un
dispositivo en una red que está directamente conectada a una de las interfaces del router, ese
paquete se reenvía directamente a ese dispositivo. Esto significa que la dirección IP de destino del
paquete es una dirección de host en la misma red que la interfaz de este router.
■
Red remota: Si la dirección IP de destino del paquete pertenece a una red remota, el paquete se
reenvía a otro router. Sólo se puede acceder a las redes remotas reenviando los paquetes a otro
router.
■
No se ha determinado la ruta: Si la dirección IP de destino del paquete no pertenece a una red
conectada o remota y el router no tiene una ruta por defecto, el paquete se descarta. El router envía
un mensaje de protocolo de mensajes de control de Internet (ICMP) inalcanzable a la
dirección IP de origen del paquete.
En los dos primeros resultados, el router completa el proceso conmutando el paquete por la interfaz
correcta. Lo hace reencapsulando el paquete IP en el formato de trama de enlace de datos de Capa 2
apropiado para la interfaz de salida. El tipo de interfaz determina el tipo de encapsulación de Capa 2. Por
ejemplo, si la interfaz de salida es Fast Ethernet, el paquete se encapsula en una trama Ethernet. Si la
interfaz de salida es una interfaz serie configurada para PPP, el paquete IP se encapsula en una trama
PPP.
Ejemplo de determinación de la trayectoria y función de

conmutación
Repasemos el proceso de determinación de la ruta y las funciones de conmutación que realizan los
routers cuando un paquete viaja del origen al destino. Consideremos la topología de la Figura 19-1 y los
siguientes pasos:
Figura 19-1 Topología de ejemplo de reenvío de paquetes

192.168.1.0/24192.168.2.0/24192.168.3.0/24192.168.4.0/24
PC1
.1 .1 .2 .1 .1 PC2
S0/0/0 .2
G0/0 R1G0/1 G0/0 R2 S0/0/0 R3G0/0
00-10 00-20 0B-31 0C-22
192.168.1.10 192.168.4.10
0A-10 0B-20
NOTA: Por razones de brevedad, la Figura 19-1 muestra sólo los dos últimos octetos de la dirección
MAC.
Paso 1. PC1 tiene un paquete para enviar a PC2. Usando la operación AND en la dirección IP
de destino y la máscara de subred de PC1, PC1 ha determinado que las direcciones IP de
origen y destino están en diferentes redes. Por lo tanto, PC1 comprueba su tabla de
Protocolo de Resolución de Direcciones (ARP) para la dirección IP de la puerta de
enlace por defecto y su dirección MAC asociada. A continuación, encapsula el paquete
en una cabecera Ethernet y lo reenvía a R1.
Paso 2. El router R1 recibe la trama Ethernet. El router R1 examina la dirección MAC de
destino, que coincide con la dirección MAC de la interfaz receptora, G0/0. Por lo tanto, el
R1 copia la trama en su buffer para ser procesada.
R1 decapsula la trama Ethernet y lee la dirección IP de destino. Como no coincide con
ninguna de las redes conectadas directamente de R1, el router consulta su tabla de
enrutamiento para enrutar este paquete.
R1 busca en la tabla de enrutamiento una dirección de red y una máscara de subred que
incluyan la dirección IP de destino de este paquete como una dirección de host en esa red.
Selecciona la entrada con la coincidencia más larga (prefijo más largo). R1 encapsula el
paquete en el formato de trama apropiado para la interfaz de salida y conmuta la trama a
la interfaz (G0/1 en este ejemplo). A continuación, la interfaz la reenvía al siguiente
salto.
Paso 3. El paquete llega al router R2. R2 realiza las mismas funciones que R1, pero esta vez, la
interfaz de salida es una interfaz serie, no Ethernet. Por lo tanto, R2 encapsula el paquete en
el formato de trama apropiado para la interfaz serie y lo envía a R3. Para este ejemplo,
supongamos que la interfaz está utilizando el control de enlace de datos de alto nivel
(HDLC), que utiliza la dirección de enlace de datos 0x8F. Recuerda que las interfaces serie
no utilizan direcciones MAC.
Paso 4. El paquete llega a R3. R3 decapsula la trama HDLC del enlace de datos. La búsqueda en
la tabla de enrutamiento da como resultado una red que es una de las redes
conectadas directamente de R3.
Como la interfaz de salida es una red Ethernet conectada directamente, R3 necesita resolver
la dirección IP de destino del paquete con una dirección MAC de destino.
R3 busca la dirección IP de destino del paquete, 192.168.4.10, en su caché ARP. Si la
entrada no está en la caché ARP, R3 envía una solicitud ARP por su interfaz G0/0.
PC2 devuelve una respuesta ARP con su dirección MAC. R3 actualiza su caché ARP con
una entrada para 192.168.4.10 y la dirección MAC devuelta en la respuesta ARP.
Día 19 197
El paquete IP se encapsula en una nueva trama Ethernet de enlace de datos y se

envía por la interfaz G0/0 de R3.
Paso 5. La trama Ethernet con el paquete IP encapsulado llega a PC2. El PC2 examina la
dirección MAC de destino, que coincide con la dirección MAC de la interfaz receptora, es
decir, su propia NIC Ethernet. Por lo tanto, PC2 copia el resto de la trama. PC2 ve que el
campo Tipo de Ethernet es 0x800, lo que significa que la trama Ethernet contiene un
paquete IP en la parte de datos de la trama. PC2 decapsula la trama Ethernet y pasa el
paquete IP al proceso IP de su sistema operativo.
Métodos de enrutamiento
Un router puede aprender rutas de tres fuentes básicas:
■
Rutas conectadas directamente: Se introducen automáticamente en la tabla de enrutamiento
cuando se activa una interfaz con una dirección IP
■
Rutas estáticas: Configuradas manualmente por el administrador de la red e introducidas en la
tabla de enrutamiento si la interfaz de salida de la ruta estática está activa
■
Rutas dinámicas: Aprendidas por los routers al compartir rutas con otros routers que utilizan
el mismo protocolo de enrutamiento
En muchos casos, la complejidad de la topología de la red, el número de redes y la necesidad de que
la red se ajuste automáticamente a los cambios requieren el uso de un protocolo de enrutamiento
dinámico. El enrutamiento dinámico tiene ciertamente varias ventajas sobre el enrutamiento estático;
sin embargo, las redes siguen utilizando el enrutamiento estático. De hecho, las redes suelen utilizar
una combinación de enrutamiento estático y dinámico.
La Tabla 19-1 compara las características del enrutamiento dinámico y estático. A partir de esta
comparación, se pueden enumerar las ventajas de cada método de enrutamiento. Las ventajas de un
método son las desventajas del otro.
Tabla 19-1 Enrutamiento dinámico frente a estático

Característica Enrutamiento dinámico Enrutamiento estático
Complejidad de la En general, sigue siendo Aumenta con el tamaño de la red
configuración independiente del tamaño de la red
Conocimientos de Requiere conocimientos avanzados No requiere conocimientos
administrador adicionales
necesarios
Cambios en la topología Se adapta automáticamente a los cambios Requiere la
de topología intervención del
administrador
Escala Adecuado para topologías Adecuado para topologías sencillas
simples y complejas
Seguridad Menos seguro Más seguridad
Uso de recursos Utiliza la CPU, la memoria y el ancho de No requiere recursos adicionales
banda del enlace
Previsibilidad Utiliza una ruta que depende de la Utiliza siempre la misma ruta
topología actual hacia el destino
Clasificación de los protocolos de

enrutamiento dinámico
La Figura 19-2 muestra una línea de tiempo de los protocolos de enrutamiento IP, junto con una
tabla que le ayudará a memorizar las distintas formas de clasificar los protocolos de enrutamiento.
Figura 19-2 Evolución y clasificación de los protocolos de enrutamiento

19821985198819901992199519992000
OSPFv2RIPv2 RIPng
BGPv6 &
EGP IGRP RIPv1 IS-ISEIGRP BGP OSPFv3 IS-ISv6
1991 1994 1997
Protocolos de pasarela interiorProtocolos

de pasarela exterior
Protocolos de enrutamiento vectorial de distanciaProtocolos de

enrutamiento de estado de enlaceVector de ruta
RIP IGRP EGP

Clase
RIPv2 EIGRP OSPFv2IS-IS BGPv4

Sin clase
EIGRP para
RIPng OSPFv3IS-IS IPv6 MP BGP-4 (IPv6)
IPv6 para
IPv6
Los protocolos de enrutamiento se clasifican en diferentes grupos según sus características:

■
IGP o EGP
■
Vector de distancia o estado del enlace
■
Con o sin clase
IGP y EGP
Un sistema autónomo (AS) es un conjunto de routers bajo una administración común que presenta
una política de enrutamiento común y claramente definida a Internet. Los ejemplos típicos son la red
interna de una gran empresa y la red de un ISP. La mayoría de las redes empresariales no son sistemas
autónomos;
en la mayoría de los casos, la red de una empresa es una red dentro del sistema autónomo de su ISP.
Como Internet se basa en el concepto de sistema autónomo, se necesitan dos tipos de protocolos
de encaminamiento:
■
Protocolos de pasarela interior (IGP): Se utiliza para el enrutamiento intra-AS, es decir, el enrutamiento
dentro de un AS
■
Protocolos de pasarela exterior (EGP): Se utiliza para el enrutamiento entre sistemas
autónomos.
Protocolos de enrutamiento por vector distancia

El vector distancia significa que las rutas se anuncian como vectores de distancia y dirección. La
distancia se define en términos de una métrica, como el número de saltos, y la dirección es el
enrutador del siguiente salto o la cara de salida. Los protocolos de vector distancia suelen utilizar el
algoritmo de Bellman-Ford para determinar la mejor ruta.
Día 19 199
Algunos protocolos de vector distancia envían periódicamente tablas de enrutamiento completas a

todos los vecinos conectados. En las redes grandes, estas actualizaciones de enrutamiento pueden
llegar a ser enormes, causando un tráfico significativo en los enlaces.
Aunque el algoritmo de Bellman-Ford acaba acumulando suficiente conocimiento para
mantener una base de datos de redes alcanzables, el algoritmo no permite que un router conozca
la topología exacta de una red interna. El enrutador sólo conoce la información de
enrutamiento recibida de sus vecinos.
Los protocolos de vector distancia utilizan los routers como señales a lo largo del camino hacia el
destino final. La única información que un router conoce sobre una red remota es la distancia o
métrica para llegar a esa red y qué camino o interfaz utilizar para llegar a ella. Un protocolo de
enrutamiento de vector distancia no tiene un mapa de la topología de la red.
Los protocolos de vectores de distancia funcionan mejor en estas situaciones:
■
Cuando la red es simple y plana y no requiere un diseño jerárquico
■
Cuando los administradores no tienen suficientes conocimientos para configurar y
solucionar los protocolos de estado de enlace
■
Cuando se implementan tipos específicos de redes, como las redes hub-and-spoke
■
Cuando los tiempos de convergencia en el peor de los casos en una red no son una preocupación
Protocolos de enrutamiento de estado de enlace

A diferencia del funcionamiento del protocolo de enrutamiento vectorial de distancia, un router
configurado con un protocolo de enrutamiento de estado de enlace puede crear una visión completa, o
topología, de la red mediante la recopilación de información de todos los demás routers. Piensa en un
protocolo de enrutamiento de estado de enlace como si tuviera un mapa completo de la topología de la
red. Las señales a lo largo del camino desde el origen hasta el destino no son necesarias porque
todos los routers link-state utilizan un mapa idéntico de la red. Un router de estado de enlace utiliza la información
de estado de enlace para crear un mapa de topología y seleccionar la mejor ruta a cada red de destino en
la topología.
Con algunos protocolos de enrutamiento de vector distancia, los routers envían periódicamente
actualizaciones de su información de enrutamiento a sus vecinos. Los protocolos de enrutamiento
de estado de enlace no utilizan actualizaciones periódicas. Una vez que la red ha convergido, sólo
se envía una actualización de estado de enlace cuando cambia la topología.
Los protocolos de estado de enlace funcionan mejor en estas situaciones:
■
Cuando el diseño de la red es jerárquico, como suele ocurrir en las grandes redes
■
Cuando los administradores tienen un buen conocimiento del protocolo de
enrutamiento de estado de enlace implementado
■
Cuando la convergencia rápida de la red es crucial
Protocolos de enrutamiento de clase

Los protocolos de enrutamiento de clase no envían información sobre la máscara de subred en las
actualizaciones de enrutamiento. Los primeros protocolos de enrutamiento, como el Protocolo de
Información de Enrutamiento (RIP), eran de clase. Cuando se crearon estos protocolos, las direcciones
de red se asignaban en función de la clase: Clase A, B o C. Un protocolo de enrutamiento no necesitaba
incluir la máscara de subred en la actualización de enrutamiento porque la máscara de red podía
determinarse basándose en el primer octeto de la dirección de red.
Los protocolos de enrutamiento de clase todavía pueden utilizarse en algunas redes actuales, pero
como no incluyen la máscara de subred, no pueden utilizarse en todas las situaciones. Los protocolos
de enrutamiento con clase no pueden utilizarse cuando una red está sujeta a más de una máscara de
subred. En otras palabras, los protocolos de enrutamiento con clase no admiten el
enmascaramiento de subred de longitud variable (VLSM).
Los protocolos de enrutamiento de clase tienen otras limitaciones, como su incapacidad para soportar
redes discontinuas y superredes. Los protocolos de enrutamiento de clase incluyen el Protocolo de
Información de Enrutamiento versión 1 (RIPv1) y el Protocolo de Enrutamiento de Pasarela Interior
(IGRP). Los temas del examen CCNA no incluyen ni RIPv1 ni IGRP.
Protocolos de enrutamiento sin clase

Los protocolos de enrutamiento sin clase incluyen la máscara de subred con la dirección de red en
las actualizaciones de enrutamiento. Las redes actuales ya no se asignan en función de la clase, y la
máscara de subred no puede determinarse por el valor del primer octeto. Los protocolos de
enrutamiento sin clase son necesarios en la mayoría de las redes de hoy en día debido a su
compatibilidad con VLSM y las redes y superredes discontinuas. Los protocolos de enrutamiento sin
clase incluyen el Protocolo de Información de Enrutamiento versión 2 (RIPv2), IGRP mejorado
(EIGRP), Open Shortest Path First (OSPF), Sistema Intermedio a Sistema Intermedio (IS-IS) y el
Protocolo de Pasarela Fronteriza (BGP).
Métricas de enrutamiento dinámico

En algunos casos, un protocolo de enrutamiento conoce más de una ruta hacia el mismo destino
desde la misma fuente de enrutamiento. Para seleccionar la mejor ruta, el protocolo de enrutamiento
debe ser capaz de evaluar y diferenciar entre las rutas disponibles. Para ello se utiliza una métrica. Dos
protocolos de enrutamiento diferentes pueden elegir caminos diferentes hacia el mismo destino
porque utilizan métricas diferentes. Las métricas utilizadas en los protocolos de enrutamiento IP
incluyen las siguientes:
■
Recuento de saltos RIP: El mejor camino se elige por la ruta con el menor número de saltos.
■
IGRP y EIGRP: ancho de banda, retraso, fiabilidad y carga: La mejor ruta es elegida por
la ruta con el menor valor métrico compuesto calculado a partir de estos múltiples
parámetros. Por defecto, sólo se utilizan el ancho de banda y el retardo.
■
IS-IS y OSPF-Cost: El mejor camino se elige por la ruta con el menor coste. La
implementación de Cisco de OSPF utiliza el ancho de banda para determinar el coste.
La métrica asociada a una determinada ruta puede verse mejor utilizando el comando show ip
route. El valor de la métrica es el segundo valor entre paréntesis de una entrada de la tabla de
enrutamiento. En el Ejemplo 19-1, R2 tiene una ruta a la red 192.168.8.0/24 que está a dos saltos.
Día 19 201
Ejemplo 19-1 Tabla de enrutamiento para R2
R2# show ip route
<salida omitida>
La pasarela de último recurso no está configurada
R192.168.1.0/24 [120/1] vía 192.168.2.1, 00:00:20, Serial0/0/0

192.168.2.0/24 tiene una subred variable, 2 subredes, 2
máscaras C192.168.2.0/24 está conectada directamente,
Serial0/0/0
L192.168.2.2/32 está conectada directamente,
Serial0/0/0 192.168.3.0/24 tiene una subred variable, 2
subredes, 2 máscaras
C192.168.3.0/24 está conectada directamente,
GigabitEthernet0/0 L192.168.3.1/32 está conectada
directamente, GigabitEthernet0/0 192.168.4.0/24 está sujeta a
una subred variable, 2 subredes, 2 máscaras
C192.168.4.0/24 está conectado directamente,
Serial0/0/1 L192.168.4.2/32 está conectado
directamente, Serial0/0/1
R 192.168.5.0/24 [120/1] vía 192.168.4.1, 00:00:25, Serial0/0/1 R
192.168.6.0/24 [120/1] vía 192.168.2.1, 00:00:20, Serial0/0
[120/1] vía 192.168.4.1, 00:00:25, Serial0/0/1
R 192.168.7.0/24 [120/1] vía 192.168.4.1, 00:00:25, Serial0/0/1 R
192.168.8.0/24 [120/2] vía 192.168.4.1, 00:00:25, Serial0/0/1
Observe en la salida que una red, 192.168.6.0/24, tiene dos rutas. RIP equilibrará la carga entre
estas rutas de igual coste. Todos los demás protocolos de enrutamiento son capaces de equilibrar
automáticamente la carga del tráfico para un máximo de cuatro rutas de igual coste, por defecto. EIGRP
también es capaz de equilibrar la carga entre rutas de coste desigual.
Distancia administrativa
A veces un router aprende una ruta a una red remota desde más de una fuente de enrutamiento.
Por ejemplo, una ruta estática puede haber sido configurada para la misma red/máscara de subred
que fue aprendida dinámicamente por un protocolo de enrutamiento dinámico, como RIP. El router
debe elegir qué ruta instalar.
Aunque es menos común, se puede desplegar más de un protocolo de enrutamiento dinámico en la
misma red. En algunas situaciones, puede ser necesario enrutar la misma dirección de red usando
múltiples protocolos de enrutamiento, como RIP y OSPF. Debido a que los diferentes protocolos de
enrutamiento utilizan diferentes métricas-por ejemplo, RIP utiliza el conteo de saltos y OSPF utiliza el
ancho de banda-no es posible comparar las métricas para determinar la mejor ruta.
La distancia administrativa (AD) define la preferencia de una fuente de enrutamiento. Cada fuente de
enrutamiento -incluidos los protocolos de enrutamiento específicos, las rutas estáticas e incluso las
redes conectadas directamente- se prioriza en orden de mayor a menor preferencia, utilizando un valor
de AD. Los routers de Cisco utilizan la función AD para seleccionar la mejor ruta cuando conocen la
misma red de destino a través de dos o más fuentes de enrutamiento diferentes.
El valor AD es un valor entero de 0 a 255. Cuanto más bajo sea el valor, más preferida será la fuente de
la ruta. Una distancia administrativa de 0 es la más preferida. Sólo una red conectada directamente tiene
una AD de 0, que no se puede cambiar. Una AD de 255 significa que el router no creerá la fuente de esa
ruta, y no se instalará en la tabla de enrutamiento.
En la tabla de enrutamiento del Ejemplo 19-1, el valor AD es el primer valor que aparece entre
paréntesis.Puede ver que el valor AD para las rutas RIP es 120.También puede verificar el valor
AD con el comando show ip protocols, como lo demuestra el Ejemplo 19-2.
Ejemplo 19-2 Verificación del valor AD con el comando show ip protocols
R2# show ip protocols
El protocolo de enrutamiento es "rip"

La lista de filtros de actualización saliente para todas las
interfaces no está configurada La lista de filtros de
actualización entrante para todas las interfaces no está
configurada Envío de actualizaciones cada 30 segundos, la
próxima debe realizarse en 21 segundos No válida después de
180 segundos, mantener 180, eliminar después de 240
Redistribución: rip
Control de versión por defecto: enviar versión 1, recibir
cualquier versión InterfaceSend Recv Triggered RIP Key-
chain GigabitEthernet0/0 11 2
Serial0/0/011 2
Serial0/0/111 2
La integración automática de la red está en vigor
Ruta máxima: 4
Enrutamiento para redes:
192.168.2.0
192.168.3.0
192.168.4.0
Fuentes de información de rutas:
GatewayDistance Última
actualización 192.168.2. 112000
:00:01
192.168.4. 112000:00:01
Distancia: (por defecto es 120)
R2#
La Tabla 19-2 muestra los diferentes valores de distancia administrativa para varios protocolos de
enrutamiento.
Tabla 19-2 Distancias administrativas por defecto

Fuente de la rutaAD
Conectado0
Estática1
Ruta resumen EIGRP5
Día 19 203
Fuente de la ruta AD
BGP externo 20
EIGRP interno 90
IGRP 100
OSPF 110
IS-IS 115
RIP 120
EIGRP externo 170
BGP interno 200
Resumen de la comparación del IGP

La Tabla 19-3 compara varias características de los IGPs más populares en la actualidad: RIPv2,
OSPF y EIGRP.
Tabla 19-3 Comparación de las características de los IGP: RIPv2, OSPF y EIGRP
Características RIPv2 OSPF EIGRP
Métrica Recuento de Ancho de banda Función de ancho de
saltos banda, retardo
Envía actualizaciones Sí (30 segundos) No No
periódicas
Actualizaciones de Completo Parcialmente Parcialmente
enrutamiento completas o
parciales
Dónde se envían las (224.0.0.9) (224.0.0.5, 224.0.0.6) (224.0.0.10)
actualizaciones
Ruta considerada inalcanzable 16 saltos Depende de MaxAge de Un retraso de todos los 1s
LSA, que nunca se
incrementa más allá de 3600
segundos
Admite el equilibrio de No No Sí
carga de coste desigual
Prevención de bucles de enrutamiento

Si no se toman medidas preventivas, los protocolos de enrutamiento por vector distancia pueden
provocar graves bucles de enrutamiento en una red. Un bucle de enrutamiento es una condición en la
que un paquete se transmite continuamente dentro de una serie de enrutadores sin llegar nunca a su red
de destino. Un bucle de enrutamiento puede ocurrir cuando dos o más enrutadores tienen información
de enrutamiento inexacta hacia una red de destino.
Existen varios mecanismos para eliminar los bucles de enrutamiento, principalmente con los
protocolos de enrutamiento de vector distancia. Entre estos mecanismos se encuentran los
siguientes:
■
Una métrica máxima para evitar que se cuente hasta el infinito: Para detener
eventualmente el incremento de una métrica durante un bucle de enrutamiento, se define el
infinito estableciendo un valor de métrica máxima. Por ejemplo, RIP define el infinito como 16
saltos, una métrica inalcanzable. Cuando los routers "cuentan hasta el infinito", marcan la ruta
como inalcanzable.
■
Temporizadores de retención: Los routers tienen instrucciones de retener cualquier cambio
que pueda afectar a las rutas durante un periodo de tiempo determinado. Si una ruta se identifica
como caída o posiblemente caída, cualquier otra información para esa ruta que contenga el mismo
estado, o peor, se ignora durante una cantidad de tiempo predeterminada (el periodo de
retención) para que la red tenga tiempo de converger.
■
Horizonte dividido: Se evita un bucle de enrutamiento al no permitir que los anuncios se
envíen de vuelta a través de la interfaz donde se originaron. La regla de horizonte dividido
impide que un router incremente una métrica y luego envíe la ruta de vuelta a su origen.
■
Envenenamiento de rutas o envenenamiento inverso: La ruta se marca como
inalcanzable en una actualización de enrutamiento que se envía a otros routers.
Inalcanzable se interpreta como una métrica que se ajusta al máximo.
■
Actualizaciones desencadenadas: Una actualización de la tabla de enrutamiento se envía
inmediatamente en respuesta a un cambio de enrutamiento. Las actualizaciones activadas
no esperan a que expiren los temporizadores de actualización. El router detector envía
inmediatamente un mensaje de actualización a los routers adyacentes.
■
Campo TTL en la cabecera IP: El campo TTL (Time To Live) evita una situación en la que un
paquete que no se puede entregar circula interminablemente por la red. Con el TTL, el
dispositivo de origen del paquete establece el campo de 8 bits con un valor. Este valor TTL se
reduce en 1 por cada router en la ruta hasta que el paquete llega a su destino. Si el valor TTL
llega a 0 antes de que el paquete llegue a su destino, el paquete se descarta y el router envía un
mensaje de error ICMP a la fuente del paquete IP.
Características del protocolo de enrutamiento

por estado de enlace
Al igual que los protocolos vectoriales de distancia envían actualizaciones de enrutamiento a sus
vecinos, los protocolos de estado de enlace envían actualizaciones de estado de enlace a los routers
vecinos, que a su vez reenvían esa información a sus vecinos, y así sucesivamente. Al igual que con
los protocolos vectoriales de distancia, al final del proceso, los routers que utilizan protocolos de estado
de enlace añaden las mejores rutas a sus tablas de enrutamiento, basándose en las métricas. Sin embargo,
más allá de este nivel de explicación, estos dos tipos de algoritmos de protocolo de enrutamiento
tienen poco en común.
Construir la LSDB
Los routers de estado de enlace envían información detallada sobre la red interna a todos los
demás routers, de modo que todos ellos tengan la misma información sobre la red interna. Los routers
utilizan esta base de datos de estado de enlace (LSDB) para calcular las mejores rutas actuales hacia
cada subred.
OSPF, el protocolo de enrutamiento IP de estado de enlace más popular, anuncia información en
mensajes de actualización de enrutamiento de varios tipos. Las actualizaciones contienen información
denominada anuncios de estado de enlace (LSA).
La Figura 19-3 muestra la idea general del proceso de inundación. El R8 está creando e inundando su
LSA de enrutador. Obsérvese que la Figura 19-3 muestra sólo un subconjunto de la información en
el LSA del router del R8.
La Figura 19-3 muestra el proceso básico de inundación. El R8 está enviando el LSA original para sí
mismo, y los otros routers están inundando el LSA reenviándolo hasta que cada router tenga una
copia.
Día 19 205
Figura 19-3 Inundación de LSAs usando un protocolo de enrutamiento de estado de enlace
R8 R8 R2R3R4
R8 LSAR8LSA
R8 LSA
R8
R8 LSA Subred X
Fa0/0
R1 R5 R6 R8 172.16.3.1/24
Coste 10
R8 LSA R8 LSA
R7
R8 Router LSA - Contenido parcial
ID del router:8.8.8.8
Una vez que se ha inundado el LSA, incluso si los LSA no cambian, losInt. protocolos
Dirección IP: de estado de
172.16.3.1/24
Estado:UP
enlace requieren un reflote periódico de los LSA por defecto cada 30 minutos. Sin embargo, si un
Coste:10
LSA cambia, el router inunda inmediatamente el LSA cambiado. Por ejemplo, si la interfaz LAN del
router R8 fallara, el R8 tendría que volver a inundar el LSA R8, indicando que la interfaz está
ahora caída.
Cálculo del algoritmo de Dijkstra

El proceso de inundación por sí solo no hace que un router aprenda qué rutas debe añadir a la
tabla de enrutamiento IP. Los protocolos de estado de enlace deben entonces encontrar y añadir
rutas a la tabla de enrutamiento IP utilizando el algoritmo Dijkstra shortest path first (SPF).
El algoritmo SPF se ejecuta en la LSDB para crear el árbol SPF. La LSDB contiene toda la información
sobre todos los posibles routers y enlaces. Cada router debe verse a sí mismo como el punto de partida y
a cada subred como el destino, y debe utilizar el algoritmo SPF para construir su propio árbol SPF
para elegir la mejor ruta a cada subred.
La Figura 19-4 muestra una vista gráfica de las posibilidades de ruta a partir de los resultados
del algoritmo SPF ejecutado por el enrutador R1 al tratar de encontrar la mejor ruta para
alcanzar la subred 172.16.3.0/24 (basada en la Figura 19-3).
Para elegir la mejor ruta, el algoritmo SPF de un router suma el coste asociado a cada enlace entre él y la
subred de destino sobre cada posible ruta. La Figura 19-4 muestra los costes asociados a cada ruta junto
a los enlaces. Las líneas discontinuas muestran las tres rutas que R1 encuentra entre sí y la subred X
(172.16.3.0/24).
Figura 19-4 Árbol SPF para encontrar la ruta de R1 a 172.16.3.0/24
Coste 10 Coste 30
R1
Coste 20
R2
Coste 60
R5
Coste 30
R7 R3
Coste 180 Coste 20
R6
Coste 40
R4
Coste 5
R8
Coste 10
Posible ruta Subred X

(172.16.3.0/24)
La Tabla 19-4 enumera las tres rutas mostradas en la Figura 19-2, con sus costos acumulados.Puede
ver que la mejor ruta de R1 hacia 172.16.3.0/24 comienza pasando por R5.
Tabla 19-4 Comparación de las tres alternativas de R1 para la ruta a 172.16.3.0/24

Ruta Ubicación en la Figura 19- Coste acumulado
2
R1-R7-R8 Izquierda 10 + 180 + 10 = 200
R1-R5-R6-R8 Medio 20 + 30 + 40 + 10 = 100
R1-R2-R3-R4-R8 A la derecha 30 + 60 + 20 + 5 + 10 = 125
Como resultado del análisis del algoritmo SPF de la LSDB, R1 añade a su tabla de enrutamiento una
ruta a la subred 172.16.3.0/24, con R5 como enrutador de siguiente salto.
Convergencia con protocolos de estado de enlace

Recuerde que cuando un LSA cambia, los protocolos de estado de enlace reaccionan rápidamente,
convergiendo la red y utilizando las mejores rutas actuales tan rápido como sea posible. Por ejemplo,
imagine que el enlace entre R5 y R6 falla en la red interna de las Figuras 25-3 y 25-4. R1 entonces
utiliza el siguiente proceso para cambiar a una ruta diferente:
Paso 1. R5 y R6 inundan LSAs, indicando que sus interfaces están ahora en un estado de baja.
Paso 2. Todos los routers ejecutan de nuevo el algoritmo SPF para ver si ha cambiado alguna ruta.
Día 19 207
Paso 3. Todos los routers reemplazan las rutas, según sea necesario, basándose en los
resultados del SPF. Por ejemplo, R1 cambia su ruta para la subred X
(172.16.3.0/24) para utilizar R2 como el router de siguiente salto.
Estos pasos permiten que el protocolo de enrutamiento de estado de enlace converja
rápidamente, mucho más rápido que los protocolos de enrutamiento de vector distancia.
Recursos de estudio

Introducción a las redes v7.0 8
Redes empresariales, seguridad y automatización 1
Configuración básica del router

■
■
Identificar los problemas de la interfaz y del cable (colisiones, errores, desajuste de dúplex y/o velocidad)
■
■
Configurar y verificar el direccionamiento y el prefijo IPv6
Temas clave
Hoy revisamos la configuración básica del router. En primer lugar, nos centramos en la configuración y
verificación de los ajustes iniciales, incluyendo el direccionamiento IPv4. Veremos los detalles del
comando show interface
para entender cómo puede ayudar a identificar los problemas de la interfaz y de los cables. Luego
revisamos el direccionamiento IPv6 y la verificación de la conectividad de la red. La mayor parte de
esto debería ser muy familiar en este punto de sus estudios porque estas habilidades son fundamentales
para todas las demás tareas de configuración del router. También repasamos la configuración de
pequeñas oficinas u oficinas domésticas (SOHO).

La Figura 18-1 muestra la topología y el esquema de direccionamiento IPv4 que utilizamos
hoy para revisar las tareas básicas de configuración y verificación del router.
Figura 18-1 Ejemplo de topología

IPv4
192.168.2.0/24 192.168.3.0/24
192.168.1.0/24
G0/0 S0/0/0 G0/0

PC1 PC2
R1DCE S0/0/0R2
Dispositiv Interfaz Dirección IP Máscara de subred Pasarela por

o defecto
G0/0 192.168.1.1 255.255.255.0 N/A
R1
S0/0/0 192.168.2.1 255.255.255.0 N/A
G0/0 192.168.3.1 255.255.255.0 N/A
R2
S0/0/0 192.168.2.2 255.255.255.0 N/A
PC1 N/A 192.168.1.10 255.255.255.0 192.168.1.1
PC2 N/A 192.168.3.10 255.255.255.0 192.168.3.1
Cuando se configura un router, se realizan ciertas tareas básicas:
■
Cómo nombrar el router
■
Establecer las contraseñas
■
Configuración de interfaces
■
Configurar un banner
■
Guardar los cambios en un router
■
Verificación de la configuración básica y de las operaciones del router
Sintaxis del comando

La Tabla 18-1 muestra la sintaxis de los comandos básicos de configuración del router
utilizados para configurar R1 en el siguiente ejemplo.
Tabla 18-1 Sintaxis de comandos de configuración básica

del router Tareas de configuración
Nombrar el routerRouter (config)# nombre de host
Configuración de contraseñasRouter(config )# enable secret password Router(config)#

line console 0 Router(config-line)#
password password Router(config-line)#
login Router(config)# line vty 0 15
Router(config-line)# transport input
ssh Router(config-line)# login local
Router(config)# nombre de usuario contraseña contraseña
Configurar un banner de mensaje
Router(config)# banner motd # mensaje #
del día
Configurar una interfazRouter (config)# número de tipo de interfaz
Router(config-if)# dirección ip máscara

Router(config-if)# descripción descripción
Router(config-if)# no shutdown
Guardar los cambios en un routerRouter# copy running-config startup-config
Examinar la salida de show
Router# show running-config
comandos
Router# show ip route
Router# show ip interface brief
Router# show interfaces
Ejemplo de configuración
Vamos a recorrer una configuración básica para R1. Primero, entre en el modo EXEC privilegiado y luego en el
modo de configuración global:
Router> habilitar
Router# config t
Día 18 211
A continuación, nombra el router e introduce la contraseña cifrada para entrar en el modo EXEC
privilegiado. Este comando anula el anterior comando enable password password, por lo que no vas a
introducir ese:
Router(config)# hostname R1
R1(config)# habilitar clase secreta
A continuación, configure la contraseña de la consola y exija que se introduzca con la contraseña de acceso:
R1(config)# línea consola 0
R1(config-line)# contraseña
cisco R1(config-line)# login
Configurar SSH y deshabilitar Telnet son las mejores prácticas de seguridad, así que configura las
líneas vty para usar sólo SSH:
NOTA: La configuración de SSH no se muestra aquí; se supone que ya está configurada.

R1(config-line)# transport input ssh
R1(config-line)# login local
R1(config-line)# exit
R1(config)# nombre de usuario admin contraseña cisco
Encripta todas las contraseñas en texto plano de la configuración en ejecución mediante el

comando service-password encryption:
R1(config)# servicio-contraseña de encriptación
Configure el banner del mensaje del día (MOTD). Se utiliza un carácter delimitador como el # tanto
al principio como al final del mensaje. Como mínimo, un banner debe advertir contra el acceso no
autorizado. Una buena política de seguridad prohíbe configurar un banner que dé la bienvenida a un
usuario no autorizado:
R1(config)# banner motd
Introduzca un mensaje de texto . Termine con el carácter '#'.
******************************************
WARNING!! Prohibido el acceso no autorizado!!
******************************************
#
Ahora configure las interfaces individuales del router con direcciones IP y otra información. En primer
lugar, entre en el modo de configuración de la interfaz especificando el tipo y el número de interfaz
y, a continuación, configure la dirección IP y la máscara de subred:
R1(config)# interfaz Serial0/0/0
Es una buena práctica configurar una descripción en cada interfaz para ayudar a documentar
la información de la red:
R1(config-if)# description Ciruit#VBN32696-123 (help desk:1-800-555-1234)
Activar la interfaz:
R1(config-if)# no shutdown
Asumiendo que el otro lado del enlace está activado en R2, la interfaz serie está ahora levantada.
Termina R1 configurando la interfaz GigabitEthernet 0/0:
R1(config-if)# interfaz GigabitEthernet0/0
R1(config-if)# dirección ip 192.168.1.1
255.255.255.0 R1(config-if)# descripción R1 LAN
Supongamos que el R2 está totalmente configurado y puede enrutar a la LAN 192.168.1.0/24

conectada al R1. Debe agregar una ruta estática a R1 para garantizar la conectividad con la LAN de
R2. El enrutamiento estático se revisa con más detalle en el Día 19, "Conceptos básicos de
enrutamiento". Por ahora, introduzca el siguiente comando para configurar una ruta estática
directamente conectada a la LAN de R2:
R1(config)# ip route 192.168.3.0 255.255.255.0 Serial 0/0/0
NOTA: Generalmente se recomienda utilizar una dirección de siguiente salto cuando se

configuran rutas estáticas. Las rutas estáticas conectadas directamente deben utilizarse
sólo con interfaces seriales punto a punto, como en este ejemplo.
Para guardar la configuración, introduzca el comando copy running-config startup-config o el

comando copy run start.
Ejemplo de verificación
Puedes utilizar el comando show running-config para verificar toda la configuración actual del
router. Sin embargo, algunos otros comandos básicos pueden ayudarte a verificar la configuración y
también a empezar a solucionar cualquier problema potencial.
Asegúrese de que las redes de sus interfaces están ahora en la tabla de enrutamiento utilizando el
comando show ip route, como se muestra en el Ejemplo 18-1.
Ejemplo 18-1 El comando show ip route
R1# show ip route

Códigos: L - local, C - conectado, S - estático, R - RIP, M - móvil, B - BGP
D - EIGRP, EX - EIGRP externo, O - OSPF, IA - OSPF interárea
N1 - OSPF NSSA externo tipo 1, N2 - OSPF NSSA externo tipo 2 E1
- OSPF externo tipo 1, E2 - OSPF externo tipo 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia
- IS-IS inter area, * - candidate default, U - per-user static route o -
ODR, P - periodic downloaded static route, H - NHRP, l - LISP
+ - ruta replicada, % - anulación del siguiente salto
Día 18 213

GigabitEthernet0/0 L192.168.1.1/32 está conectada
directamente, GigabitEthernet0/0
Serial0/0/0
L192.168.2.1/32 está directamente conectada,
Serial0/0/0 S192.168.3.0/24 está directamente
conectada, Serial0/0/0
R1#
Si falta una red, compruebe el estado de su interfaz con el comando show ip interface brief, como
se muestra en el Ejemplo 18-2.
Ejemplo 18-2 El comando show ip interface brief
R1# show ip interface brief

InterfaceIP-AddressOK?Método
Estado Protocolo Embedded-Service-Engine0/0 unassigned YES unset
administratively down GigabitEthernet0/0192.168.1.1 YES manual up up
GigabitEthernet0/1unassigned YES unset
administrativamente down down Serial0/0/0192.168.2.1 YES manual up up
Serial0/0/1unassigned YES unset administrativelydown
down
R1#
La salida del comando show ip interface brief proporciona tres datos importantes:
■
Dirección IP
■
Estado de la línea (columna 5)
■
Estado del protocolo (columna 6)
La dirección IP debe ser correcta y los códigos de estado deben ser up y up. La Tabla 18-2 resume los
dos códigos de estado y sus significados.
Tabla 18-2 Códigos de estado de la interfaz

CódigoLocalizaciónSignificado general
Estad Primer Se refiere al estado de la capa 1, por ejemplo, si el cable está instalado, si
o de código de es el cable correcto o incorrecto, si el dispositivo del otro extremo está
la estado encendido.
línea
Segundo Se refiere generalmente al estado de la capa 2. Si el estado de la línea es
Estado código de "down", siempre es "down". Si el estado de la línea es arriba, un estado de
del estado protocolo de abajo suele estar causado por una configuración de la capa de
protocol enlace de datos que no coincide.
o
Hay cuatro combinaciones de ajustes posibles para los códigos de estado cuando se soluciona
un problema en la red. La Tabla 18-3 enumera las cuatro combinaciones y explica las razones
típicas por las que una interfaz puede estar en ese estado.
Tabla 18-3 Combinaciones de códigos de estado de

la interfaz Estado de la línea y del protocolo
Razón(es) típica(s)
Administrativamente caído, downLa interfaz tiene un comando de apagado configurado en ella.
down, abajoLa interfaz tiene configurado el comando no shutdown, pero la capa física
tiene un problema. Por ejemplo, no se ha conectado ningún cable a la
interfaz (o con Ethernet), la interfaz del conmutador en el otro extremo
del cable está apagada o el conmutador está apagado.
arriba, abajoEsto casi siempre se refiere a problemas de la capa de enlace de datos, casi
siempre problemas de configuración. Por ejemplo, los enlaces serie tienen
esta combinación cuando un router fue configurado para usar PPP y el
otro por defecto para usar HDLC.
Sin embargo, un problema de sincronización o de hardware también puede ser el
culpable.
up, upTodo está bien y la interfaz funciona.
Si es necesario, utilice el comando show interface más detallado si necesita rastrear un problema con
una interfaz y obtener la salida para cada interfaz física y virtual.También puede especificar una
interfaz. El ejemplo 18-3 muestra la salida para GigabitEthernet 0/0.
Ejemplo 18-3 El comando show interface gigabitethernet 0/0
R1# show interface gigabitethernet 0/0

GigabitEthernet0/0 está levantada, el protocolo de línea está levantado
El hardware es CN Gigabit Ethernet, la dirección es 30f7.0da3.0da0 (bia
30f7.0da3.0da0) Descripción: R1 LAN
La dirección de Internet es 192.168.1.1/24
MTU 1500 bytes, BW 100000 Kbit/seg, DLY 100 usec,
fiabilidad 255/255, txload 1/255, rxload 1/255
Encapsulación ARPA, bucle de retorno
no configurado Keepalive configurado
(10 seg)
Full Duplex, 100Mbps, el tipo de medio es RJ45
El control de flujo de salida no está soportado, el control de flujo de
entrada no está soportado Tipo de ARP: ARPA, ARP Timeout 04:00:00
Última entrada 00:00:00, salida 00:00:01, salida colgada
nunca Última limpieza de los contadores "show interface"
nunca
Cola de entrada: 0/75/0/0 (tamaño/máximo/caídas/descargas); Total de caídas de
salida: 0 Estrategia de colas: fifo
Cola de salida: 0/40 (tamaño/máximo)
Tasa de entrada de 5 minutos 0 bits/seg, 0 paquetes/seg
Tasa de salida de 5 minutos 0 bits/seg, 0 paquetes/seg
387 paquetes de entrada, 59897 bytes, 0 sin
búfer Recibidos 252 difusiones (0
multidifusiones IP)
0 runts, 0 giants, 0 throttles
0 errores de entrada, 0 CRC, 0 trama, 0 rebasamiento, 0 ignorado
0 watchdog, 86 multicast, 0 pause input
Día 18 215
281 paquetes de salida, 35537 bytes, 0 sub-pasos

0 errores de salida, 0 colisiones, 1 reinicio de interfaz
56 caídas de protocolo desconocidas
0 balbuceos, 0 colisiones tardías, 0 aplazamientos
0 pérdida de portadora, 0 ausencia de portadora, 0 salida de pausa
0 fallos en el búfer de salida, 0 búferes de salida intercambiados
R1#
Este comando tiene una gran cantidad de resultados. Sin embargo, a veces es la única manera de
encontrar un problema. La Tabla 18-4 analiza y explica cada parte importante de la salida de show
interface.
Tabla 18-4 Mostrar interfaz Explicación de la

salida Descripción de la
salida
GigabitEthernet...es Si el hardware de la interfaz está actualmente activo o inactivo o si un
{arriba | abajo | administrador lo ha retirado.
administrativamente
abajo}
Si los procesos de software que manejan el protocolo de línea consideran que la
el protocolo de la línea interfaz es utilizable (es decir, si los keepalives tienen éxito). Si la interfaz pierde
es tres keepalives consecutivos, el protocolo de línea se marca como caído.
{arriba | abajo}
HardwareTipo de hardware (por ejemplo, MCI Ethernet, interfaz de comunicaciones en serie [SCI], cBus
Ethernet) y dirección.
DescripciónCadena de texto de descripción configurada para la interfaz (con un máximo de 240 caracteres).
Dirección de InternetDirección IP seguida de la longitud del prefijo
(máscara de subred).
MTUMáxima unidad de transmisión (MTU) de la interfaz.
BWAncho de banda de la interfaz, en kilobits por segundo. El parámetro BW se utiliza para calcular las
métricas del protocolo de enrutamiento y otros cálculos.
DLYRetraso de la interfaz, en microsegundos.
relyRelación de la interfaz como una fracción de 255 (donde 255/255 es el 100%
de fiabilidad), calculada como una media exponencial durante 5 minutos.
loadCargaen la interfaz como una fracción de 255 (donde 255/255 es
completamente saturada), calculada como una media exponencial durante 5
minutos.
EncapsulaciónMétodo de encapsulación asignado a una interfaz.
LoopbackSi el loopback está activado. Puede indicar un problema con la
portadora. KeepaliveSi los keepalives están configurados.
Tipo de ARPTipo de protocolo de resolución de direcciones (ARP) asignado.
Última entradaNúmero de horas, minutos y segundos desde que el último paquete fue recibido con
éxito por una interfaz. Útil para saber cuándo falló una interfaz muerta.
outputNúmero de horas, minutos y segundos desde que el último paquete fue transmitido con
éxito por una interfaz. Útil para saber cuándo ha fallado una interfaz muerta.
output hangNúmero de horas, minutos y segundos (o nunca) desde que la interfaz se reinició por última vez
debido a una transmisión que tardó demasiado. Cuando el número de horas en
cualquiera de los campos anteriores excede de 24, se imprime el número de días y
horas. Si ese campo se desborda, se imprimen asteriscos.
OutputDescription
Última limpiezaHoraen la que los contadores que miden las estadísticas acumulativas
mostradas en este informe (como el número de bytes transmitidos y recibidos) se
pusieron a cero por última vez. Tenga en cuenta que las variables que podrían afectar
al enrutamiento (por ejemplo, la carga y la fiabilidad) no se borran cuando se borran
los contadores. Los asteriscos indican que el tiempo transcurrido es demasiado grande
para ser mostrado. Reinicie los contadores con el comando clear interface.
Cola de salida, cola de
Número de paquetes en las colas de salida y entrada. Cada número va seguido de una
entrada, cola de caída
barra (/), el tamaño máximo de la cola y el número de paquetes descartados debido a una
cola llena.
Velocidad de entrada
Número medio de bits y paquetes transmitidos por segundo en los últimos 5 minutos. Si
de cinco minutos,
la interfaz no está en modo promiscuo, detecta el tráfico de red que envía y recibe (en
velocidad de salida de
lugar de todo el tráfico de red). Las tasas de entrada y salida de 5 minutos deben
cinco minutos
utilizarse sólo como una aproximación del tráfico por segundo durante un periodo de
5 minutos determinado. Estas tasas son medias ponderadas exponencialmente con una
constante de tiempo de
5 minutos. Debe transcurrir un periodo de cuatro constantes de tiempo para que la
media se sitúe dentro del 2% de la tasa instantánea de un flujo de tráfico uniforme
durante ese periodo.
entrada de paquetesNúmero total de paquetes sin errores que ha recibido el sistema.
bytes inputNúmero total de bytes, incluyendo datos y encapsulación MAC, en los paquetes sin errores
recibidos por el sistema.
no buffersNúmero de paquetes recibidos descartados porque el sistema principal no
tenía espacio en el buffer. Compárese con el recuento de ignorados. Las tormentas
de difusión en Ethernet son a menudo responsables de los eventos de ausencia de
búfer de entrada.
Número total de paquetes de difusión o multidifusión recibidos por la interfaz. El número de
difusiones debe mantenerse tan bajo como sea posible. Un umbral aproximado es
menos del 20% del número total de paquetes de entrada.
runtsNúmero de tramas Ethernet que se descartan porque son más pequeñas que el
tamaño mínimo de la trama Ethernet. Cualquier trama Ethernet que sea inferior a 64
bytes se considera un runt. Los runts suelen estar causados por colisiones. Si se recibe
más de un runt por millón de bytes, debe investigarse.
gigantesNúmero de tramas Ethernet descartadas por exceder el tamaño máximo de
la trama Ethernet. Cualquier trama Ethernet que supere los 1518 bytes se considera
gigante.
error de entradaRunts , gigantes, sin búfer, comprobación de redundancia cíclica (CRC), trama,
desbordamiento y recuentos ignorados. Otros errores relacionados con la entrada
también pueden aumentar el recuento de errores de entrada, y algunos datagramas
pueden tener más de un error. Por lo tanto, esta suma puede no estar equilibrada con
la suma de los recuentos de errores de entrada enumerados.
La CRCCRC generada por la estación LAN de origen o el dispositivo de extremo
lejano no coincide con la suma de comprobación calculada a partir de los datos
recibidos. En una LAN, esto suele indicar problemas de ruido o de transmisión en la
interfaz LAN o en el propio bus LAN. Un valor alto de
número de CRC suele ser el resultado de colisiones o de una estación que transmite datos
erróneos.
frameNúmero de paquetes recibidos como incorrectos que tienen un error de
CRC y un número no entero de octetos. En una LAN, esto suele ser el resultado de
colisiones o de un mal funcionamiento del dispositivo Ethernet.
overrunNúmerode veces que el hardware del receptor no pudo recibir datos
en un búfer de hardware porque la tasa de entrada superó la capacidad del receptor
para manejar los datos.
ignoradoNúmero de paquetes recibidos ignorados por la interfaz porque el
hardware de la interfaz se quedó sin búferes internos. Estos búferes son diferentes de
los búferes del sistema mencionados en la descripción del búfer. Las tormentas de
difusión y las ráfagas de ruido pueden hacer que el recuento de ignorados aumente.
Día 18 217
OutputDescription
paquetes de
El error de bit de goteo indica que una trama es ligeramente demasiado larga. Este
entrada con
contador de errores de trama se incrementa sólo con fines informativos; el router acepta
condición de
la trama.
regateo
detectados
salida de paquetesNúmero total de mensajes transmitidos por el sistema.
bytesNúmero total de bytes, incluyendo datos y encapsulación MAC, transmitidos por el sistema.
underrunsNúmero de veces que el transmisor ha estado funcionando más rápido de lo que el
router puede manejar.
Es posible que nunca se informe de ello en algunas interfaces.
errores de salidaSuma de todos los errores que impidieron la transmisión final de
los datagramas fuera de la interfaz examinada. Tenga en cuenta que esto podría no
cuadrar con la suma de los errores de salida enumerados porque algunos
datagramas podrían tener más de un error y otros podrían tener errores que no
entran en ninguna de las categorías específicamente tabuladas.
colisionesNúmero de mensajes retransmitidos debido a una colisión Ethernet. Esto suele ser el resultado
de una LAN demasiado extensa (cable Ethernet o transceptor demasiado largo, más
de dos repetidores entre estaciones o demasiados transceptores multipuerto en
cascada). Un paquete que colisiona se cuenta sólo una vez en los paquetes de
salida.
interface resetsNúmero de veces que una interfaz se ha reiniciado completamente. Esto puede ocurrir si los
paquetes en cola para la transmisión no se enviaron en varios segundos. En una línea
serie, esto puede ser causado por un módem que funciona mal y no suministra la
señal de reloj de transmisión, o puede ser causado por un problema de cable. Si el
sistema observa que la línea de detección de portadora de una interfaz serie está
activada pero el protocolo de la línea está desactivado, reinicia periódicamente la
interfaz en un esfuerzo por reiniciarla. Los reinicios de la interfaz también pueden
producirse cuando se produce un bucle de retorno o un cierre de la interfaz.

En esta sección, usamos la topología mostrada en la Figura 18-2 para revisar los comandos
básicos para habilitar IPv6 en un router.
Figura 18-2 Topología de muestra de IPv6

2001:0DB8:ACAD:1::/64
PC1
2001:0DB8:ACAD:3::/64
G0/0
R1S0/0/0
R2
PC2 G0/1
2001:0DB8:ACAD:2::/64
Sintaxis del comando

El enrutamiento IPv6 se habilita mediante el siguiente comando en el modo de configuración global:
Entre otras acciones, este comando configura el router para comenzar a escuchar y responder a los
mensajes de descubrimiento de vecinos (ND) en todas las interfaces IPv6 activas.
Para configurar una dirección IPv6 en la interfaz de un router, tiene una de varias opciones:
■
Configure la interfaz para utilizar el método de direccionamiento EUI-64:
Router(config)# dirección ipv6 ipv6-prefix/longitud de prefijo eui-64
■
Configure la dirección unicast global completa. Para configurar manualmente una dirección IPv6
completa, utilice la siguiente sintaxis de comando:
Router(config)# dirección ipv6 dirección ipv6/longitud de prefijo
■
Configurar la interfaz como no numerada (ver Día 27, "Direccionamiento IPv6").
■
Configurar la interfaz como cliente DHCPv6 (ver Día 23, "DHCP y DNS").
NOTA: Para configurar manualmente la dirección link-local de una interfaz, utilice la

siguiente sintaxis de comando:
Router(config)# dirección ipv6 dirección ipv6/longitud de prefijo link-local
Ejemplo de configuración
El método de configuración de IPv6 preferido a menudo es configurar manualmente la dirección
IPv6 completa porque se puede controlar el número de dígitos hexadecimales que se deben escribir
cuando se prueba la conectividad o se soluciona un problema.Se puede ver esto comparando el
método EUI-64 con una configuración completa. En el Ejemplo 18-4, las interfaces en R1 están
todas configuradas usando el método EUI-64.
Ejemplo 18-4 Configuración de interfaces con el método EUI-64

R1(config-if)# dirección ipv6 2001:db8:acad:1::/64 eui-64
R1(config-if)# interfaz g0/1
R1(config-if)# dirección ipv6 2001:db8:acad:2::/64 eui-64
R1(config-if)# interfaz s0/0/0
R1(config-if)# ipv6 address 2001:db8:acad:3::/64 eui-64
R1(config-if)# do show ipv6 interface brief
GigabitEthernet0/0 [up/up]
FE80::2D0:97FF:FE20:A101
2001:DB8:ACAD:1:2D0:97FF:FE20:A101
GigabitEthernet0/1[up/up]
FE80::2D0:97FF:FE20:A102
2001:DB8:ACAD:2:2D0:97FF:FE20:A102
Serial0/0/0[down/down]
FE80::20C:CFFF:FE77:A401
2001:DB8:ACAD:3:20C:CFFF:FE77:A401
<salida omitida>
Observe el número de dígitos hexadecimales en las direcciones IPv6 resaltadas en la salida del
comando show ipv6 interface brief. Imagina que tienes que hacer ping a la dirección
GigabitEthernet 0/0 2001:DB8:ACAD:1:2D0:97FF:FE20:A101.
Día 18 219
Además, observe que las direcciones link-local también son bastante complejas. Para reducir la
complejidad de la configuración, verificación y resolución de problemas del router, es una buena
práctica configurar manualmente la dirección link-local así como la dirección global unicast IPv6. En el
Ejemplo 18-5, R1 es reconfigurado con direcciones IPv6 más simples y con FE80::1 como dirección
link-local en todas las interfaces. Recuerde que la dirección link-local necesita ser única sólo en el
enlace de esa interfaz.
Ejemplo 18-5 Configuración de la dirección IPv6 completa y de la dirección Link-Local

R1(config-if)# no ipv6 address 2001:db8:acad:1::/64 eui-64
R1(config-if)# ipv6 address 2001:db8:acad:1::1/64
R1(config-if)# ipv6 address fe80::1 link-local
R1(config-if)# interfaz s0/0/0
R1(config-if)# do show ipv6 interface brief
FE80::1
2001:DB8:ACAD:1::1
FE80::1
2001:DB8:ACAD:2::1
Serial0/0/0[down/down] FE80::1
2001:DB8:ACAD:3::1
<salida omitida>
NOTA: Si no se elimina la configuración anterior de direcciones IPv6, cada interfaz

tendrá dos direcciones unicast globales IPv6. Esto es diferente a lo que ocurre en IPv4,
donde la simple configuración de otra dirección IPv4 con el comando ip address
sobrescribe cualquier configuración anterior. Sin embargo, sólo puede existir una
dirección link-local por interfaz.
Compare la salida resaltada del comando show ipv6 interface brief en el Ejemplo 18-5 con la
salida en el Ejemplo 18-4. Puede ver que simplificar la implementación del direccionamiento IPv6
puede hacer su trabajo de verificación y solución de problemas mucho más fácil.
Para verificar la configuración completa de una interfaz, utilice el comando show ipv6
interface. El Ejemplo 18-6 muestra la salida para la interfaz GigabitEthernet 0/0 de R1.
Ejemplo 18-6 El comando show ipv6 interface gigabitethernet 0/0
R1# show ipv6 interface gigabitethernet 0/0

GigabitEthernet0/0 está levantada, el protocolo
de línea está levantado IPv6 está habilitado,
la dirección link-local es FE80::1 No hay
dirección link-local virtual:
Dirección(es) global(es) de unicast:
2001:DB8:ACAD:1::1, la subred es 2001:DB8:ACAD:1::/64
Dirección del grupo unido:
FF02::1
FF02::1:FF00:1
Se envían ICMP inalcanzables
ND DAD está activado, número de intentos de
DAD: 1 El tiempo de alcance de ND es de 30000
milisegundos
El tiempo de alcance anunciado por ND es de 0 milisegundos
El intervalo de retransmisión anunciado por ND es de
0 milisegundos Los anuncios del enrutador ND se
envían cada 200 segundos Los anuncios del enrutador
ND viven durante 1800 segundos
La preferencia del router por defecto anunciada por ND es Media
Los hosts utilizan la autoconfiguración sin estado para las direcciones.
Concéntrese en la salida resaltada en el Ejemplo 18-6. IPv6 está habilitado en esta interfaz con una
bonita y corta dirección link-local. La dirección global unicast y su subred están listadas, así como la
dirección de los grupos multicast a los que esta interfaz se unió automáticamente. ¿Recuerdas para qué
se utilizan las direcciones FF02::1 y FF02::1:FF00:1? Si no es así, vuelve a visitar el día 27.
Esas son todas las configuraciones de IPv6 por hoy. A medida que continuemos revisando los temas del
examen en los próximos días, incorporaremos temas de IPv6.
Verificación de la conectividad
de las redes IPv4 e IPv6
Como se revisó en el Día 29, "Fundamentos de la configuración del conmutador", ping y traceroute
son herramientas útiles para verificar la conectividad de la red. El Ejemplo 18-7 demuestra la salida de
ping exitosa en el router.
Ejemplo 18-7 Salida de ping exitosa en un router
R1# ping 192.168.3.10
Escriba la secuencia de escape para abortar.

Enviando 5 Echos ICMP de 100 bytes a 192.168.3.10, el tiempo de espera es de 2
segundos:
!!!!!
La tasa de éxito es del 100% (5/5), ida y vuelta min/avg/max = 1/2/4 ms
Hacer ping a un destino IPv6
Día 18 221
R1# ping 2001:db8:acad:1:290:dff:fee5:8095

Enviando 5 ecos ICMP de 100 bytes a 2001:DB8:ACAD:1:290:CFF:FEE5:8095, el tiempo de
espera es de 2 segundos:
!!!!!
R1#
La salida del ping sin éxito muestra puntos (. ) en lugar de signos de exclamación (! ), como demuestra
el Ejemplo 18-8. La salida sería la misma en IPv6.
Ejemplo 18-8 Salida de ping sin éxito en un router
R1# ping 192.168.3.2

segundos:
.....
La tasa de éxito es del 0% (0/5)
R1#
El ejemplo 18-9 muestra la salida de un comando traceroute exitoso.
Ejemplo 18-9 Salida de traceroute exitosa en un router
R1# traceroute 192.168.3.10

Escriba la secuencia de escape para
abortar. Rastreando la ruta a
192.168.3.10
1 192.168.2.271 mseg70 mseg 72 mseg

2 192.168.3.10 111 mseg 133 mseg 115 mseg R1#
Rastreo a un destino IPv6.
R2# traceroute 2001:db8:acad:1:290:cff:fee5:8095
Rastreando la ruta a 2001:DB8:ACAD:1:290:CFF:FEE5:8095
1 2001:DB8:ACAD:3::1 1 mseg 1 mseg 1 mseg

2 2001:DB8:ACAD:1:290:CFF:FEE5:8095 1 mseg 1 mseg 0 mseg
R2#
Los trazados sin éxito muestran el último salto con éxito y los asteriscos de cada intento hasta que
el usuario lo cancele. Para cancelar el comando traceroute en un router, utilice la combinación de
teclas Ctrl+Mayús+6 y luego presione la tecla x. El ejemplo 18-10 muestra la salida del traceroute
sin éxito. La salida sería la misma con IPv6.
Ejemplo 18-10 Salida de traceroute sin éxito en un router
R1# traceroute 192.168.3.2

Escriba la secuencia de escape para
abortar. Rastreando la ruta a
192.168.3.2
1 192.168.2.2 71 mseg 70 mseg 72 mseg

2 ***
3 ***
4 ***
5 *
R1#
El uso de Telnet o SSH para acceder remotamente a otro dispositivo también prueba la conectividad. Y
lo que es más importante, estos métodos de acceso remoto comprueban si un dispositivo se ha
configurado correctamente para poder acceder a él con fines de gestión. Esto puede ser importante
cuando un dispositivo es realmente remoto (por ejemplo, al otro lado de la ciudad o en otra ciudad). El
día 20, "Seguridad de la LAN y endurecimiento de los dispositivos" revisa la configuración y
verificación de SSH con mayor detalle.
Durante las tareas de configuración básica anteriores, usted introdujo los comandos para configurar
correctamente las líneas vty para el acceso remoto SSH. Si está accediendo a un dispositivo
configurado con SSH desde un PC, utilizará la configuración SSH en su cliente de terminal. Sin
embargo, puede utilizar el comando ssh en un router o switch para acceder a otro dispositivo
configurado con SSH. El Ejemplo 18-11 muestra cómo usar SSH para acceder remotamente a R2
desde R1.
Ejemplo 18-11 Acceso remoto mediante SSH
R1# ssh ?
-c Seleccionar el algoritmo de encriptación
-l Iniciar sesión con este nombre de usuario
-m Seleccionar el algoritmo HMAC
-o Especificar opciones
-p Conectar con este puerto
-v Especifica la versión del protocolo SSH
-vrf Especifica el nombre de la vrf
WORD Dirección IP o nombre de host de un sistema remoto
R1# ssh -l ?
WORD Nombre de
usuario R1# ssh -l
admin ?
-c Seleccionar el algoritmo de encriptación
-m Seleccionar el algoritmo HMAC
-o Especificar opciones
-p Conectar con este puerto
-v Especifica la versión del protocolo SSH
-vrf Especifica el nombre de la vrf
WORD Dirección IP o nombre de host de un sistema remoto
Día 18 223
R1# ssh -l admin 192.168.2.2

Contraseña:
******************************************
WARNING!! Prohibido el acceso no
autorizado!!
******************************************
R2>
NOTA: Durante sus estudios y prácticas de laboratorio de CCNA, lo más probable es que
haya utilizado una configuraciónde Telnet para acceder de forma remota a su equipo de
laboratorio. Aunque Telnet es más fácil de usar que SSH, recuerde que el uso de SSH se
considera la mejor práctica. Por lo tanto, durante el examen CCNA, prepárese para
utilizar SSH para acceder remotamente a los dispositivos en las preguntas de simulación,
ya que Telnet podría no estar configurado o permitido.
Routers para oficinas pequeñas o domésticas

La Figura 18-3 muestra las opciones más comunes para las conexiones a Internet de pequeñas oficinas u
oficinas domésticas (SOHO).
Figura 18-3 Conexiones comunes de Internet para SOHO
DSL
Usuario doméstico Cable
Internet
Celular
Teletrabajador
Proveedor de servicios de Internet
Satélite
Teléfono de acceso telefónico

Pequeña oficina
Las opciones de conexión que se muestran en la Figura 18-3 son las siguientes:
■
Cable: Ofrecido normalmente por los proveedores de servicios de televisión por cable (CATV), el
cable transmite la señal de datos de Internet por el mismo cable que suministra la televisión por
cable. Ofrece un gran ancho de banda, alta disponibilidad y una conexión permanente a Internet.
■
DSL: La línea de abonado digital, que funciona a través de las líneas telefónicas, proporciona un
gran ancho de banda, alta disponibilidad y una conexión permanente a Internet.
■
Celular: El acceso a Internet por móvil utiliza una red de telefonía celular para conectarse.
Dondequiera que haya una señal de telefonía móvil, se puede tener acceso a Internet por celular. El
rendimiento está limitado por las capacidades del teléfono y la torre celular a la que está
conectado.
■
Satélite: el acceso a Internet por satélite se utiliza en zonas que, de otro modo, no
tendrían ninguna conexión a Internet. Las antenas parabólicas requieren una línea de visión
clara hacia el satélite.
■
Teléfono de acceso telefónico: El acceso telefónico es una opción de bajo ancho de
banda que utiliza cualquier línea telefónica y un módem. La marcación se considera una
tecnología heredada, pero es posible que la veas en el examen.
Un router SOHO se utiliza normalmente para crear la conexión con el usuario doméstico y las
conexiones de la pequeña oficina en la Figura 18-4. Los routers SOHO suelen tener dos
características que un router de empresa no suele tener:
■
Los routers SOHO casi siempre utilizan Internet y la tecnología de red privada virtual (VPN)
para sus conexiones WAN para enviar datos de ida y vuelta al resto de la empresa.
■
Un router SOHO es casi siempre un dispositivo multifuncional que realiza tareas de
enrutamiento, conmutación de LAN, VPN, conexión inalámbrica y quizás otras funciones.
La Figura 18-4 muestra un típico sitio SOHO. Los tres iconos que representan un router, un switch y
un punto de acceso existen en realidad dentro de una caja. Los cables UTP se muestran sólo para
indicar que estos dispositivos están conectados. La conexión real está en el hardware del router
SOHO. A la izquierda, el router SOHO proporciona servidores LAN alámbricos e inalámbricos, y a la
derecha, proporciona acceso WAN a través de una conexión a Internet por cable.
Figura 18-4 Funciones internas del router SOHO
Funciones
internas del
router SOHO
Punto de acceso
UTP
CATV
Cable
ISP/Internet
UTP R1UTP
UTP RouterMódem por cable
Cambia
Solución de problemas de direccionamiento IP

básico
Si está seguro de haber configurado manualmente la dirección IP y la máscara de subred correctas
(IPv4) o el prefijo de red (IPv6), entonces cualquier problema de direccionamiento IP básico es
probablemente el resultado de una puerta de enlace predeterminada mal configurada o de direcciones
duplicadas.
Pasarela por defecto
Un gateway por defecto mal configurado es uno de los problemas más comunes en un esquema de
direccionamiento IP estático o dinámico. Para que un dispositivo se comunique a través de varias
redes, debe estar configurado con una dirección IP, una máscara de subred o prefijo de red y una puerta
de enlace predeterminada.
Día 18 225
La pasarela por defecto se utiliza cuando el host quiere enviar un paquete a un dispositivo de otra
red. La dirección de la pasarela por defecto suele ser la dirección de la interfaz del router conectada
a la red local a la que está conectado el host.
Para resolver una puerta de enlace por defecto configurada manualmente de forma incorrecta,
consulte la documentación de topología y direccionamiento para verificar cuál debería ser la puerta
de enlace por defecto del dispositivo; normalmente es un router conectado a la misma LAN.
NOTA: Un servidor DHCP mal configurado también puede causar un problema de puerta de enlace
predeterminada.
Algunas configuraciones del servidor DHCP, como la función Easy IP IOS, pueden
requerir que el administrador configure manualmente la dirección de la puerta de
enlace predeterminada. Si esto se configura incorrectamente, ningún dispositivo
tendrá acceso más allá de la LAN. El DHCP se revisa en el día 23.
Direcciones IP duplicadas
En algunas circunstancias, pueden producirse conflictos de direcciones IP duplicadas entre un
dispositivo de red configurado estáticamente y un PC que obtiene información de direccionamiento IP
automático del servidor DHCP. Para resolver dicho conflicto de direcciones IP, puede realizar una de
las siguientes acciones:
■
Convertir el dispositivo de red con la dirección IP estática en un cliente DHCP
■
En el servidor DHCP, excluya la dirección IP estática del dispositivo final del conjunto de
direcciones DHCP
La primera solución es un arreglo rápido que se puede hacer sobre el terreno. Sin embargo, es más que
probable que el dispositivo necesite una configuración estática. La segunda solución puede ser la mejor
opción a largo plazo. Sin embargo, requiere que usted tenga privilegios administrativos para
configurar el servidor DHCP.
También puede encontrarse con conflictos de direccionamiento IP al configurar manualmente la
IP en un dispositivo final en una red que sólo utiliza direcciones IP estáticas. En este caso, debe
determinar qué direcciones IP están disponibles en la subred IP particular y configurar en
consecuencia. Este caso ilustra por qué es tan importante para un administrador de red mantener una
documentación detallada, incluyendo las asignaciones de direcciones IP y topologías, para los
dispositivos finales.
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para
estudiar más.
17
La tabla de enrutamiento

■
Interpretar los componentes de la tabla de enrutamiento
■
Temas clave
Hoy repasamos las dos funciones del router: la determinación de la ruta y el reenvío de paquetes. Los
routers utilizan tablas de enrutamiento para determinar la mejor ruta. Un router utiliza una ruta
conectada directamente, una ruta a una red remota o una ruta por defecto. Hoy revisamos la estructura de
la tabla de enrutamiento y sus entradas.
Dos funciones del router

Cuando un router recibe un paquete IP en una interfaz, determina qué interfaz debe utilizar
para reenviar el paquete al destino. Las funciones principales de un router son
■
Determinar la mejor ruta para el reenvío de paquetes, basándose en la información de su tabla de enrutamiento
■
Reenviar los paquetes hacia sus destinos
La coincidencia más larga determina el mejor camino

La mejor ruta de la tabla de enrutamiento también se conoce como la coincidencia más larga.El
enrutador utiliza el proceso de coincidencia más larga para encontrar una coincidencia entre la
dirección IP de destino del paquete y una entrada de enrutamiento en la tabla de enrutamiento.La
longitud del prefijo de la ruta en la tabla de enrutamiento se utiliza para determinar el número
mínimo de bits lejanos a la izquierda que deben coincidir. La coincidencia más larga es la ruta en la
tabla de enrutamiento que tiene el mayor número de bits lejanos a la izquierda que coinciden con la
dirección IP de destino del paquete. La ruta con el mayor número de bits equivalentes en el extremo
izquierdo, o la coincidencia más larga, es siempre la ruta preferida.
En la Tabla 17-1, un paquete IPv4 tiene la dirección IPv4 de destino 172.16.0.10. El router tiene tres
entradas de ruta en su tabla de enrutamiento IPv4 que coinciden con este paquete: 172.16.0.0/12,
172.16.0.0/18, y 172.16.0.0/26. De las tres rutas, la 172.16.0.0/26 tiene la coincidencia más larga y sería
la elegida para reenviar el paquete.
Tabla 17-1 Ejemplo de coincidencia más larga de direcciones IPv4

Dirección IPv4 de destinoDirección
en binario
172.16.0.10 10101100.00010000.00000000.00001010
Entrada de la Prefijo/Longitud del Dirección en binario
ruta prefijo
1 172.16.0.0/12 10101100.00010000.00000000.00001010
2 172.16.0.0/18 10101100.00010000.00000000.00001010
3 172.16.0.0/26 10101100.00010000.00000000.00001010
En la Tabla 17-2, un paquete IPv6 como dirección IPv6 de destino 2001:db8:c000::99. Este ejemplo
muestra tres entradas de ruta, pero sólo dos de ellas son coincidencias válidas; una de ellas es la
coincidencia más larga. Las dos primeras entradas de ruta tienen longitudes de prefijo que tienen el
número requerido de bits de coincidencia, como indica la longitud del prefijo. La tercera entrada de
ruta no es una coincidencia porque su prefijo /64 requiere 64 bits de coincidencia. Para que el prefijo
2001:db8:c000:5555::/64 coincida, los primeros 64 bits deben coincidir con la dirección IPv6 de
destino del paquete. Sólo los primeros 48 bits coinciden, por lo que esta entrada de ruta no se considera
una coincidencia.
Tabla 17-2 Ejemplo de coincidencia más larga de direcciones IPv6

Entrada de la ruta Prefijo/Longitud del prefijo ¿Coincide?
1 2001:db8:c000::/40 Coincidencia de 40 bits
2 2001:db8:c000::/48 Coincidencia de 48 bits
(coincidencia más larga)
3 2001:db8:c000:5555::/64 No coincide con los 64 bits
Tres decisiones de reenvío de paquetes

Después de que un router haya determinado la mejor ruta basándose en la coincidencia más larga de la
tabla de enrutamiento, puede hacer una de estas tres cosas:
■
Reenviar el paquete a un dispositivo de una red conectada directamente
■
Reenvía el paquete a un router de siguiente salto
■
Descarta el paquete porque no hay ninguna coincidencia en la tabla de enrutamiento
La principal responsabilidad de la función de reenvío de paquetes es encapsularlos en el tipo de

trama de enlace de datos apropiado para la interfaz de salida. Por ejemplo, el formato de trama de enlace
de datos para un enlace serie podría ser el protocolo punto a punto (PPP), el protocolo de control de
enlace de datos de alto nivel (HDLC) o algún otro protocolo de capa 2.
Componentes de la tabla de enrutamiento

Un router examina la dirección IP de destino de un paquete y busca en su tabla de enrutamiento
para determinar a dónde reenviar el paquete. La tabla de enrutamiento contiene una lista de todas las
direcciones de red conocidas (prefijos) y dónde reenviar el paquete. Estas entradas se conocen como
entradas de ruta, o rutas. El router reenvía un paquete utilizando la mejor entrada de ruta (la más
larga) que coincida.
Recordemos que una tabla de enrutamiento almacena tres tipos de entradas de enrutamiento:
■
Redes conectadas directamente: Estas entradas de ruta de red son interfaces de router
activas. En la Figura 17-1, las redes directamente conectadas en la tabla de enrutamiento
IPv4 del R1 son 10.0.1.0/24, 10.0.2.0/24 y 10.0.3.0/24.
■
Redes remotas: Estas entradas de ruta de red están conectadas a otros routers. Los routers
aprenden acerca de las redes remotas ya sea configuradas explícitamente por un
administrador o mediante el intercambio de información de ruta utilizando un protocolo de
enrutamiento dinámico. En la Figura 17-1, las redes remotas en la tabla de enrutamiento
IPv4 del R1 son 10.0.4.0/24 y 10.0.5.0/24.
Día 17 229
■
Ruta por defecto: La ruta por defecto se utiliza cuando no hay una coincidencia mejor (más
larga) en la tabla de enrutamiento IP. En la Figura 17-1, la tabla de enrutamiento IPv4 de R1
tiene una ruta por defecto para reenviar todos los paquetes a R2 para cualquier red remota
para la que no tenga una ruta más explícita.
Figura 17-1 Topología de los tipos de ruta

Red conectada directamente
Red remota
10.0.4.0/24
PC1 .10 10.0.1.0/24 Red conectada directamente PC3

.10
::10
S1 10.0.3.0/24
S3 ::10
2001:db8:acad:1::/64 G0/0/0 G0/0/0 2001:db8:acad:4::/64
S0/1/1 S0/1/0 .1
.1
.1
::1 ::1
.2
R1::1 ::2 R2
(&
.1
.1 S0/1/1
10.0.2.0/24 ::1 2001:db8:acad:3::/64 .225 ::1 ::1 10.0.5.0/24
G0/0/1 G0/0/1 .10
PC2 .10 209.165.200.224/30 ::10 PC4
::10 S2 2001:db8:feed:224::/64 S4
2001:db8:acad:2::/64 S0/1/1 2001:db8:acad:5::/64
Red remota .226 ::2
Red remota
Red conectada directamente ISP
Redes remotas Internet
En la Figura 17-1, R1 y R2 están usando el enrutamiento OSPF para anunciar redes conectadas
directamente. R2 está conectado a Internet. El administrador configuró una ruta por defecto en R2
y la propagó a R1 en el proceso de enrutamiento OSPF. R1 utiliza esta ruta por defecto propagada
(O*E2) para enviar paquetes a R2 cuando no hay una entrada más específica en la tabla de
enrutamiento que coincida con la dirección IP de destino. La tabla de enrutamiento en el Ejemplo
17-1 muestra todas las rutas de destino IPv4 conocidas para R1.
Ejemplo 17-1 Tabla de enrutamiento IPv4 para R1
R1# show ip route

Códigos: L - local, C - conectado, S - estático, R - RIP, M - móvil, B - BGP
D - EIGRP, EX - EIGRP externo, O - OSPF, IA - OSPF interárea
N1 - OSPF NSSA externo tipo 1, N2 - OSPF NSSA externo tipo 2 E1
- OSPF externo tipo 1, E2 - OSPF externo tipo 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia
- IS-IS inter area, * - candidate default, U - per-user static route o -
ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - ruta de aplicación
+ - ruta replicada, % - anulación del siguiente salto, p - anulación del
PfR La puerta de último recurso es 209.165.200.226 a la red 0.0.0.0
O*E2 0.0.0.0/0 [110/1] vía 10.0.3.2, 00:51:34, Serial0/1/1
10.0.0.0/8 tiene una subred variable, 8 subredes, 2 máscaras
C10.0.1.0/24 está conectado directamente, GigabitEthernet0/0/0
L 10.0.1.1/32 está directamente conectada, GigabitEthernet0/0/0 C

10.0.2.0/24 está directamente conectada, GigabitEthernet0/0/1 L
10.0.2.1/32 está directamente conectada, GigabitEthernet0/0/1 C
10.0.3.0/24 está directamente conectada, Serial0/1/1
L 10.0.3.1/32 está conectado directamente, Serial0/1/1
O 10.0.4.0/24 [110/50] vía 10.0.3.2, 00:24:22, Serial0/1/1 O
10.0.5.0/24 [110/50] vía 10.0.3.2, 00:24:15, Serial0/1/1 R1#
La tabla de enrutamiento IPv6 para R1 se muestra en el Ejemplo 17-2.
Ejemplo 17-2 Tabla de enrutamiento IPv6 para R1
R1# show ipv6 route

Tabla de enrutamiento IPv6 - 10 entradas
Códigos: C - Conectado, L - Local, S - Estático, R - RIP, B -
BGP U - Ruta estática por usuario
I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interárea, ISIS resumen O -
OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 -
OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
D - EIGRP, EX - EIGRP externo
OE2 ::/0 [110/1], etiqueta 2
vía FE80::2:C, Serial0/0/1
C2001:DB8:ACAD:1::/64 [0/0]
a través de GigabitEthernet0/0/0, conectado
directamente L2001:DB8:ACAD:1::1/128 [0/0]
a través de GigabitEthernet0/0/0,
recibe C2001:DB8:ACAD:2::/64 [0/0]
a través de GigabitEthernet0/0/1, conectado
directamente L2001:DB8:ACAD:2::1/128 [0/0]
a través de GigabitEthernet0/0/1,
recibe C2001:DB8:ACAD:3::/64 [0/0]
a través de Serial0/1/1, conectado
directamente L2001:DB8:ACAD:3::1/128
[0/0]
a través de Serial0/1/1, recibir
O2001:DB8:ACAD:4::/64 [110/50]
O2001:DB8:ACAD:5::/64
[110/50]
LFF00::/8 [0/0]
a través de Null0, recibir
R1#
Día 17 231
Al principio de cada entrada de la tabla de enrutamiento hay un código que se utiliza para
identificar el tipo de ruta o cómo se aprendió la ruta. Las fuentes de ruta más comunes (códigos)
son las siguientes:
■
L: Dirección IP de la interfaz local conectada directamente
■
C: Red conectada directamente
■
S: Ruta estática configurada manualmente por un administrador
■
O: OSPF
■
D: EIGRP
Para las rutas conectadas directamente, R1 añade tres entradas de ruta con los códigos C (para la
red conectada) y L (para la dirección IP de la interfaz local de la red conectada). Las entradas de ruta
también identifican la interfaz de salida que se debe utilizar para llegar a la red.
R1 y R2 también están utilizando el protocolo de enrutamiento dinámico OSPF para intercambiar
información de enrutamiento. Por lo tanto, R1 tiene una entrada de ruta, designada con el código
O, para las redes 10.0.4.0/24 y 10.0.5.0/24.
Una ruta por defecto tiene una dirección de red de todos los ceros. Por ejemplo, la dirección de red IPv4
es 0.0.0.0. En lugar de estar configurada estáticamente, la ruta por defecto se aprendió a través de OSPF
y se codificó como O*E2 para IPv4 y OE2 para IPv6. El asterisco (*) en IPv4 significa que se trata
de un candidato a ruta por defecto. El E2 en IPv6 designa esta ruta como una ruta externa de tipo 2. En
OSPF, esto significa que la ruta es hacia otro dominio de enrutamiento fuera de OSPF. En este caso, la
ruta es hacia el router del ISP conectado a la red, como se muestra en la topología de la Figura 17-1.
R2 está configurado con una ruta estática por defecto y está propagando esa ruta en OSPF con el
comando default-information originate configurado en el modo de configuración de
enrutamiento.
Principios de la tabla de enrutamiento

La Tabla 17-3 describe tres principios de la tabla de enrutamiento. Estos problemas se abordan
mediante la configuración adecuada de protocolos de enrutamiento dinámico o rutas estáticas en
todos los routers entre los dispositivos de origen y destino. Los ejemplos de la tabla se refieren a
los R1 y R2 de la Figura 17-1.
Tabla 17-3 Principios y ejemplos de

enrutamiento Tabla de enrutamiento
PrincipioEjemplo
Cada router toma su decisión solo, basándose R1 sólo puede reenviar paquetes utilizando su propia tabla de
en la información que tiene en su propia enrutamiento.
tabla de enrutamiento.
R1 no sabe qué rutas hay en las tablas de enrutamiento de
otros routers.
La información de la tabla de enrutamiento de un
router no tiene por qué coincidir con la El hecho de que R1 haya enrutado en su tabla de
información de la tabla de enrutamiento de otro enrutamiento a una red de Internet a través de R2 no
router. significa que R2 conozca esa misma red.
La información de enrutamiento sobre una ruta R1 recibe un paquete con la dirección IP de destino de
no proporciona información de enrutamiento de PC1 y la dirección IP de origen de PC3. El hecho de que R1
retorno. sepa que debe reenviar el paquete por su interfaz G0/0/0
no significa necesariamente que R1 sepa cómo la red remota de PC3.
reenviar los paquetes que se originan en PC1 a
Estructura de entrada de la ruta

La Figura 17-2 muestra las entradas de la tabla de enrutamiento IPv4 e IPv6 en R1 para la ruta
a la red remota 10.0.4.0/24 y 2001:db8:acad:4::/64. Ambas rutas fueron aprendidas
dinámicamente desde el protocolo de enrutamiento OSPF.
Figura 17-2 Ejemplos de entradas de rutas IPv4 e IPv6

Entrada de la tabla de enrutamiento IPv4
1 2 34 5 6 7
O10.0.4.0/24 [110/50] vía 10.0.3.2, 00:13:29, Serial0/1/1
Entrada de la tabla de enrutamiento IPv6

1 2 3 4
O2001:DB8:ACAD:4::/64 [110/50]
5 7
En la Figura 17-2, los números identifican la siguiente información:
1. Origen de la ruta: Indica cómo se aprendió la ruta.
2. Red de destino (prefijo y longitud del prefijo): Identifica la dirección de la red remota.
3. Distancia administrativa: Identifica la fiabilidad de la fuente de la ruta. Los valores más bajos
indican las fuentes de ruta preferidas.
4. Métrica: Identifica el valor asignado para alcanzar la red remota. Los valores más bajos indican
rutas preferidas.
5. Siguiente salto: Identifica la dirección IP del siguiente router al que se reenvía el paquete.
6. Marca de tiempo de la ruta: Identifica el tiempo transcurrido desde que se aprendió la ruta.
7. Interfaz de salida: Identifica la interfaz de salida que se utilizará para que los paquetes
salientes lleguen a su destino final.
Recursos de estudio

Fundamentos de conmutación, enrutamiento e 14
inalámbricos
Enrutamiento entre VLANs

■
■
Configurar y verificar la conectividad entre conmutadores
Puntos clave
Hoy revisamos el enrutamiento entre VLANs. Como los switches de capa 2 no pueden realizar la
función de enrutamiento, es necesario implementar un dispositivo de capa 3 para enrutar entre VLANs.
Conceptos de enrutamiento entre VLANs

Las comunicaciones entre VLANs no pueden ocurrir sin un dispositivo de capa 3. Hay tres opciones
disponibles cuando se implementa el enrutamiento inter-VLAN:
■
Enrutamiento inter-VLAN tradicional o heredado
■
Router en un palo
■
Conmutación multicapa
Repasemos brevemente el concepto de cada método.
Enrutamiento Inter-VLAN heredado

El enrutamiento inter-VLAN heredado requiere múltiples interfaces físicas tanto en el router como
en el switch. Cuando se utiliza un router para facilitar el enrutamiento inter-VLAN, las interfaces
del router pueden estar conectadas a VLANs separadas. Los dispositivos de esas VLANs envían el
tráfico a través del router para llegar a otras VLANs.
Por ejemplo, en la Figura 16-1, cada interfaz S2 conectada a R1 está asignada a una VLAN. El router
ya está configurado con el direccionamiento IP apropiado en cada una de sus interfaces, por lo que no
se requiere ninguna configuración adicional. Sin embargo, se puede ver que si se utiliza una interfaz
separada para cada VLAN en un router, rápidamente se quedaría sin interfaces.
Figura 16-1 Enrutamiento Inter-VLAN heredado
R1
VLAN 10 VLAN 30
G0/0 G0/1
G0/1 G0/2
S2
F0/11 F0/6
VLAN 10 VLAN 30
PC1 PC3
172.17.10.21172.17.30.23
Router en un palo
Hoy en día el software del router hace posible configurar una interfaz del router como múltiples
troncales utilizando subinterfaces. En la Figura 16-2, la interfaz física GigabitEthernet 0/0 está
lógicamente subdividida en dos interfaces lógicas. El tronco de un conmutador está configurado para
enlazar tanto la VLAN 10 como la VLAN 30, y a cada subinterfaz del router se le asigna una VLAN
distinta. El router realiza el enrutamiento entre VLANs aceptando el tráfico con etiqueta VLAN en la
interfaz troncal procedente del switch adyacente. A continuación, el router reenvía el tráfico enrutado,
con etiqueta VLAN para la VLAN de destino, por la misma interfaz física que utilizó para recibir el
tráfico.
Figura 16-2 Router on a Stick
R1
VLAN 10 G0/0,10 G0/0,30 VLAN 30
F0/11 S2F0/6
VLAN 10 VLAN 30
PC1 PC3
172.17.10.21172.17.30.23
Día 16 235
Conmutación multicapa
El router en un palo funciona bien en una pequeña empresa con uno o dos routers. Pero la solución
más escalable en las redes empresariales de hoy en día es utilizar un conmutador multicapa para
reemplazar tanto el router como el conmutador, como en la Figura 16-3. Un conmutador multicapa
realiza ambas funciones: conmutar el tráfico dentro de la misma VLAN y enrutar el tráfico entre
VLANs.
Figura 16-3 Conmutación multicapa
F0/11 F0/6
VLAN 10 VLAN 30
PC1 PC3
172.17.10.21172.17.30.23
La conmutación multicapa es más escalable que cualquier otra implementación de enrutamiento

inter-VLAN por dos razones principales:
■
Los routers tienen un número limitado de interfaces disponibles para conectarse a las redes.
■
En el enlace físico se pueden acomodar cantidades limitadas de tráfico a la vez.
Con un conmutador multicapa, los paquetes se reenvían por una única línea troncal para obtener nueva
información de etiquetado VLAN. Un conmutador multicapa no sustituye por completo la
funcionalidad de un router, sino que puede considerarse como un dispositivo de capa 2 que se
actualiza para tener algunas capacidades de enrutamiento.
Configuración y verificación del Router on a

Stick
Cuando se configura el enrutamiento inter-VLAN utilizando el router en un modelo de stick, la interfaz física
del router debe estar conectado a un enlace troncal en el switch adyacente. En el router, se crean
subinterfaces para cada VLAN única en la red. A cada subinterfaz se le asigna una dirección IP
específica para su subred/VLAN y también se configura para etiquetar tramas para esa VLAN. De este
modo, el router puede mantener el tráfico de las diferentes subinterfaces separado mientras atraviesa
el enlace troncal de vuelta al conmutador.
La configuración del enrutamiento inter-VLAN es bastante sencilla. Consulte la topología
de ejemplo de la Figura 16-4 para revisar los comandos.
Figura 16-4 Topología para el enrutamiento entre VLANs
R1
G0/0
Subinterfaces:
G0/0.10: 172.17.10.1/24 G0/0.30: 172.17.30.1/24
Trunking Todas las VLAN
G0/1
S2
F0/11 F0/6
PC1 PC3
172.17.10.21 172.17.30.23
VLAN 10 VLAN 30
Este router en una topología de palo se configura utilizando los siguientes pasos en el router:
Paso 1. Active la interfaz física que está haciendo trunking con el switch utilizando el
comando no shutdown.
Paso 2. Entrar en el modo de configuración de la subinterfaz para la primera VLAN que necesita
ser enrutada. Una convención es utilizar el número de la VLAN como número de
subinterfaz. Por ejemplo, el comando interface g0/1.10 entra en el modo de
configuración de subinterfaz para la VLAN 10.
Paso 3. Configure el tipo de encapsulación de trunking mediante el comando de
configuración de subinterfaz encapsulation {dot1q | isl} vlan-number [native].
Configure la encapsulación como dot1q.
■
La encapsulación de enlaces entre conmutadores (ISL), un método de trunking
propietario de Cisco, existía antes del estándar IEEE 802.1Q, que es ahora la mejor
práctica recomendada. Sin embargo, es posible que los switches más antiguos que
aún se utilizan sólo admitan ISL. En esos casos, se sustituye la palabra clave dot1q
por isl.
■
En algunos enrutadores, la palabra clave opcional nativa debe ser configurada para
la VLAN nativa antes de que el enrutador enrute el tráfico de la VLAN nativa. Los
siguientes ejemplos no utilizan el enrutamiento de la VLAN nativa; consulte sus
recursos de estudio para obtener más información sobre este tema.
Paso 4. Configurar la dirección IP y la máscara de subred.
Paso 5. Repita los pasos 2-4 para cada VLAN adicional que necesite ser enrutada.
Asumiendo que el switch ya está configurado con VLANs y trunking, el Ejemplo 16-1 muestra los
comandos para configurar R1 para proporcionar enrutamiento entre la VLAN 10 y la VLAN 30.
Día 16 237
Ejemplo 16-1 Configuración de R1 para enrutar entre VLANs

R1(config-if)# interfaz g0/0.10
R1(config-subif)# encapsulation dot1q 10
R1(config-subif)# dirección ip 172.17.10.1 255.255.255.0
R1(config-subif)# interfaz g0/0.30
R1(config-subif)# encapsulation dot1q 30
R1(config-subif)# dirección ip 172.17.30.1 255.255.255.0
Para verificar la configuración, utilice los comandos show vlans, show ip route y show ip
interface brief para asegurarse de que las nuevas redes están en la tabla de enrutamiento y las
subinterfaces están en funcionamiento, como en el Ejemplo 16-2.
Ejemplo 16-2 Verificación de la configuración de enrutamiento entre VLANs
R1# show vlans

<salida omitida>
ID de LAN virtual: 10 (encapsulación IEEE
802.1Q) Interfaz troncal vLAN:
GigabitEthernet0/0.10
Protocolos configurados: Dirección:Recibida:
Transmitido:
IP172.17.10.100
<salida omitida>
ID de LAN virtual: 30 (encapsulación IEEE
802.1Q) vLAN Trunk Interface:
GigabitEthernet0/0.30
Protocolos configurados: Dirección:Recibida:
Transmitido:
IP172.17.30.100
<salida omitida>
R1# show ip route
<salida omitida>

C 172.17.10.0/24 está directamente conectada,
GigabitEthernet0/0.10 L 172.17.10.1/32 está directamente
conectada, GigabitEthernet0/0.10 C 172.17.30.0/24 está
directamente conectada, GigabitEthernet0/0.30 L 172.17.30.1/32
está directamente conectada, GigabitEthernet0/0.30 R1# show ip
interface brief
InterfaceIP-Address OK? Método Estado Protocolo
upup GigabitEthernet0/0.10 172.17.10.1
YES manual upup
GigabitEthernet0/0.30 172.17.30.1 YES manual upup
GigabitEthernet0/1 sin asignar SÍ sin configurar administrativamente

abajo Serial0/0/0 sin asignar SÍ manual
administrativamente abajo Serial0/0/1 sin asignar SÍ manual
administrativamente abajo Vlan1 sin asignar SÍ manual
administrativamente abajo
R1#
Asumiendo que el switch y los PCs están configurados correctamente, los dos PCs deberían ser capaces
de hacer ping el uno al otro. R1 debería enrutar el tráfico entre la VLAN 10 y la VLAN 30.
Conmutación multicapa Configuración y

verificación del enrutamiento entre
VLANs
La mayoría de las redes empresariales utilizan conmutadores multicapa para lograr altas
velocidades de procesamiento de paquetes mediante la conmutación basada en hardware. Todos
los conmutadores multicapa Catalyst admiten los siguientes tipos de interfaces de capa 3:
■
Interfaz virtual de conmutación (SVI): Interfaz virtual VLAN utilizada para el enrutamiento inter-VLAN.
■
Puerto enrutado: Similar a una interfaz física en un router Cisco IOS
Todos los conmutadores Cisco Catalyst de capa 3 (series 3500, 4500 y 6500) admiten protocolos de
enrutamiento. Los conmutadores Catalyst 2960 Series que ejecutan Cisco IOS versión 12.2(55) o
posterior admiten el enrutamiento estático.
Creación de IVS adicionales

El SVI para la VLAN por defecto (VLAN 1) ya existe para permitir la administración remota del
switch. Para una topología como la de la Figura 16-5, se deben crear explícitamente SVIs adicionales.
Figura 16-5 Interfaces virtuales conmutadas
Internet
Servidor web
G0/1 64.100.10.10
192.0.2.2/24
Interfaz SVI
Interfaz SVI
VLAN 10
VLAN 30
172.17.10.1
172.17.30.1
F0/11 F0/6
PC PC
172.17.10.21
172.17.30.23
VLAN 10
VLAN 30
Día 16 239
Cree una SVI utilizando el comando interface vlan vlan-id. El vlan-id utilizado corresponde a la
etiqueta VLAN asociada a las tramas de datos procedentes de esa VLAN. Por ejemplo, al crear un SVI
como puerta de enlace para la VLAN 10, utilice el comando interface VLAN 10. Asigne una dirección
IP y habilite el nuevo SVI con el comando no shutdown.
Además, el conmutador debe estar configurado para hacer enrutamiento de capa 3 con el
comando de configuración global ip routing.
A continuación se exponen algunas ventajas de los IVS (y la única desventaja es que los
conmutadores multicapa son más caros):
■
Son mucho más rápidos que los routers en un palo porque todo está conmutado y enrutado
por hardware.
■
No se necesitan enlaces externos desde el switch al router para el enrutamiento.
■
No están limitados a un solo enlace. Se pueden utilizar EtherChannels de capa 2 entre los
conmutadores para obtener más ancho de banda.
■
La latencia es mucho menor porque no necesita salir del conmutador.
El ejemplo 16-3 muestra la configuración para el switch de capa 3 de la Figura 16-5.
Ejemplo 16-3 Configuración de un conmutador para utilizar SVIs para el enrutamiento
MLS(config)# ip routing
MLS(config)# vlan 10
MLS(config)# vlan 30
MLS(config)# interfaz vlan 10
MLS(config-if)# dirección ip 172.17.10.1 255.255.255.0
MLS(config-if)# interfaz vlan 30
MLS(config-if)# interfaz f0/11 MLS(config-
if)# switchport mode access MLS(config-
if)# switchport access vlan 10 MLS(config-
if)# interfaz f0/6
MLS(config-if)# switchport mode access
MLS(config-if)# switchport access vlan 30
MLS(config-if)# end
MLS# show ip route
<Salida de código omitida>
172.17.0.0/24 está subredado, 2 subredes

C 172.17.10.0 está conectado directamente,
Vlan10 C 172.17.30.0 está conectado
directamente, Vlan30 MLS#
Como el comando ip routing está configurado, MLS tiene una tabla de enrutamiento. Ahora PC1 y
PC3 pueden hacer ping entre sí.
Configuración de un puerto enrutado de capa 3

En la Figura 16-5, observe que la interfaz GigabitEthernet 0/1 tiene una dirección IP asignada.
Para configurar esta interfaz como un puerto enrutado, desactive la conmutación con el comando de
configuración de interfaz no switchport. A continuación, configure la dirección IP de forma normal. El
comando de enrutamiento ip fue habilitado en el paso anterior. Sin embargo, el switch de capa 3
todavía necesita una ruta por defecto para enviar el tráfico a Internet. El Ejemplo 16-4 muestra los
comandos para configurar el puerto enrutado y la ruta por defecto.
Ejemplo 16-4 Configuración de un conmutador con un puerto enrutado
MLS(config)# interfaz g0/1

MLS(config-if)# no switchport
El comando no shutdown no es necesario porque las interfaces del switch ya están
activadas.
MLS(config-if)# exit
MLS(config)# ip route 0.0.0.0 0.0 g0/1
MLS(config)# salida
MLS# show ip route
<Salida de código omitida>
La pasarela de último recurso es 0.0.0.0 a la red 0.0.0.0
172.17.0.0/24 está subredificada, 2 subredes

C172 .10.0 está directamente
conectada, Vlan10 C172.17.30.0 está
directamente conectada, Vlan30
C192.0.2.0/24 está conectado directamente, GigabitEthernet0/1
S*0.0.0.0/0 está conectado directamente,
GigabitEthernet0/1 MLS#
El comando show ip route verifica que el switch de capa 3 tiene una ruta a Internet. PC1 y PC3
pueden ahora acceder al servidor web.
Recursos de estudio

Configuración de rutas estáticas y
por defecto

■
Configurar y verificar el enrutamiento estático IPv4 e IPv6
Temas clave
Hoy nos centramos en el enrutamiento estático y por defecto para IPv4 e IPv6. Las rutas estáticas son
una parte común de la política de enrutamiento de una empresa. Las rutas estáticas pueden utilizarse
para forzar el tráfico a utilizar una ruta específica o para establecer una ruta por defecto fuera de la
empresa. El administrador de la red codifica las rutas estáticas en la tabla de enrutamiento. Por lo tanto,
un administrador de red debe supervisar y mantener las rutas estáticas para garantizar la conectividad.
Visión general del enrutamiento estático y por

defecto
Cuando un enrutador configurado con un protocolo de enrutamiento dinámico puede aprender
rutas de otros enrutadores sin necesidad de que el administrador de la red aporte algo más, ¿por
qué utilizar el enrutamiento estático?
Las situaciones varían, y otras razones pueden ser únicas para una implementación particular, pero, en
general, se utiliza el enrutamiento estático en estos casos:
■
En una red pequeña que sólo requiere un enrutamiento simple
■
En una topología de red hub-and-spoke
■
Cuando quiera crear una ruta rápida ad hoc
■
Como respaldo cuando la ruta principal falla
En general, no se utilizan rutas estáticas en estos casos:

■
En una gran red
■
Cuando se espera que la red se amplíe
Las rutas estáticas se suelen utilizar cuando se enruta desde una red más grande a una red stub
(una red a la que se accede por un único enlace). Las rutas estáticas también pueden ser útiles para
especificar una ruta por defecto o una pasarela de último recurso. Por ejemplo, en la Figura 15-1,
R2 está conectado a una red stub.
En la Figura 15-1, no existe ninguna otra ruta que salga de la red stub salvo para enviar paquetes
a HQ. Por lo tanto, tiene sentido configurar el R2 con una ruta por defecto que apunte a la interfaz
conectada al HQ. Del mismo modo, el HQ sólo tiene una forma de enrutar los paquetes destinados a la
red stub conectada al R2. Por lo tanto, tiene sentido configurar el HQ con una ruta estática que
apunte a la interfaz conectada al R2. Sí, podría configurar ambos routers con un protocolo de
enrutamiento dinámico, pero eso podría introducir un nivel de complejidad que podría no ser
necesario en una situación de red stub.
Figura 15-1 Ejemplo de una red de enlace (Stub)

Red de Relleno
Red Coporate
Ruta estática
HQ R2
Ruta por defecto

Para configurar una ruta estática, utilice el comando ip route con la siguiente sintaxis pertinente:
Router(config)# ip route dirección de red máscara de subred {dirección IP |
interfaz de salida} [distancia administrativa]
A continuación se explica cada parámetro:

■
dirección de red: La dirección de red de destino de la red remota que debe añadirse a la tabla de
enrutamiento.
■
máscara de subred: La máscara de subred de la red remota que se va a añadir a la tabla de
enrutamiento. La máscara de subred se puede modificar para resumir un grupo de redes.
Se utiliza uno o ambos de los siguientes parámetros:
■
dirección ip: Comúnmente referido como la dirección IP del router del siguiente salto
■
interfaz de salida: La interfaz de salida utilizada en el reenvío de paquetes a la red de destino
Además, el parámetro opcional de distancia administrativa se utiliza cuando se configura una ruta
estática flotante, como se verá más adelante en la revisión de hoy.
La Figura 15-2 muestra la topología que utilizamos hoy en día para revisar el enrutamiento estático y por
defecto de IPv4.
Figura 15-2 Topología de enrutamiento estático y por defecto IPv4

10.10.10.0/24
S0/1/0 172.16.1.0/24
G0/0
HQ PC2
R2
S0/0/0 S0/0/1
172.16.2.0/24 192.168.0.0/24
172.16.3.0/24 192.168.1.0/24
G0/0 S0/0/0S0/0/1 G0/0

PC1 PC3
R1R3
Día 15 243
La Tabla 15-1 muestra el esquema de direccionamiento IPv4 utilizado con la topología de la Figura 15-2.
Tabla 15-1 Esquema de direccionamiento IPv4

Dispositi Interfaz Dirección IP Máscara de Pasarela por defecto
vo subred
HQ S0/0/0 10.10.10.1 255.255.255.0 -—
R1 G0/0 172.16.3.1 255.255.255.0 -—
S0/0/0 172.16.2.2 255.255.255.0 -—
R2 G0/0 172.16.1.1 255.255.255.0 -—
S0/0/0 172.16.2.1 255.255.255.0 -—
S0/0/1 192.168.0.1 255.255.255.0 -—
S0/1/0 10.10.10.2 255.255.255.0 -—

R3 G0/0 192.168.1.1 255.255.255.0 -—
S0/0/1 192.168.0.2 255.255.255.0 -—
PC1 NIC 172.16.3.10 255.255.255.0 172.16.3.1
PC2 NIC 172.16.1.10 255.255.255.0 172.16.1.1
PC3 NIC 192.168.2.10 255.255.255.0 192.168.2.1
Supongamos que R1 está configurado y conoce sus propias redes conectadas directamente. El ejemplo
15-1 muestra la tabla de enrutamiento de R1 antes de que se configure cualquier enrutamiento
estático.
Ejemplo 15-1 Tabla de enrutamiento R1 antes de configurar las rutas estáticas
R1# show ip route

<salida omitida>

máscaras C 172.16.2.0/24 está conectada directamente,
Serial0/0/0
C 172.16.3.0/24 está conectado directamente, GigabitEthernet0/0
L 172.16.3.1/32 está conectado directamente, GigabitEthernet0/0
R1#
R1 no conoce estas redes remotas:

■
172.16.1.0/24: La LAN en R2
■
192.168.0.0/24: La red en serie entre R2 y R3
■
192.168.1.0/24: La LAN en R3
■
10.10.10.0/24: La red en serie entre R2 y HQ
■
0.0.0.0/0: Todas las demás redes accesibles a través de la sede central
Rutas estáticas IPv4 utilizando el parámetro Next-Hop

Usando el parámetro next-hop, R1 puede ser configurado con tres rutas estáticas-una para cada
red que R1 aún no conoce. El ejemplo 15-2 muestra la sintaxis del comando.
Ejemplo 15-2 Configuración de la ruta estática con el parámetro Next-Hop
R1(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1

R1(config)# ip route 192.168.0.0 255.255.255.0 172.16.2.1
R1(config)# ip route 192.168.1.0 255.255.255.0 172.16.2.1
R1(config)# ip route 10.10.10.0 255.255.255.0 172.16.2.1
La interfaz que se dirige al siguiente salto debe estar activa y en funcionamiento antes de que las
rutas estáticas puedan ser introducidas en la tabla de enrutamiento. El ejemplo 15-3 verifica que las
rutas estáticas están ahora en la tabla de enrutamiento.
Ejemplo 15-3 Tabla de enrutamiento del R1 después de configurar las rutas estáticas
R1# show ip route

<salida omitida>
10.0.0.0/24 está subredado, 1 subred

S 10.10.10.0/24 [1/0] vía 172.16.2.1
172.16.0.0/16 tiene subredes variables, 5 subredes, 2
máscaras S 172.16.1.0/24 [1/0] vía 172.16.2.1
C 172.16.2.0/24 está conectado directamente,
Serial0/0/0 L 172.16.2.2/32 está conectado
S 192.168.0.0/24 [1/0] vía 172.16.2.1
S 192.168.1.0/24 [1/0] vía 172.16.2.1
R1#
Cuando se utiliza el parámetro de siguiente salto, el router debe tener una ruta en la tabla hacia la
red a la que pertenece la dirección de siguiente salto. En la línea resaltada en el Ejemplo 15-3, vemos
que R1 tiene efectivamente una ruta a la red 172.16.2.0/24, que incluye la dirección de siguiente
salto 172.16.2.1. Sin embargo, la configuración de una dirección de siguiente salto requiere que el
router realice una búsqueda recursiva para encontrar la interfaz de salida antes de que pueda enviar el
paquete por la interfaz Serial 0/0/0.
Rutas estáticas IPv4 utilizando el parámetro de interfaz de

salida
Para evitar una búsqueda recursiva y hacer que el router envíe inmediatamente los paquetes a la
interfaz de salida, configure la ruta estática utilizando el parámetro exit-interface en lugar del
parámetro ip-address next-hop.
Por ejemplo, en R2, podemos configurar rutas estáticas hacia las LAN de R1 y R3 especificando la
interfaz de salida:
R2(config)# ip route 172.16.3.0 255.255.255.0 serial 0/0/0
R2(config)# ip route 192.168.1.0 255.255.255.0 serial 0/0/1
Día 15 245
Cualquier ruta estática anterior a esta red que utilice una dirección IP de siguiente salto debe ser
eliminada. El R2 tiene ahora dos rutas estáticas en su tabla de enrutamiento (véase el Ejemplo 15-4)
que puede utilizar inmediatamente para dirigirse a las redes 172.16.3.0/24 y 192.168.1.0/24 sin
tener que hacer una búsqueda recursiva de rutas.
Ejemplo 15-4 Tabla de enrutamiento R2 después de configurar la ruta estática
R2# show ip route

<salida omitida>

Serial0/1/0
L 10.10.10.2/32 está conectada directamente, Serial0/1/0
máscaras
C 172.16.1.0/24 está conectado directamente,
GigabitEthernet0/0 L 172.16.1.1/32 está conectado
directamente, GigabitEthernet0/0 C 172.16.2.0/24 está
conectado directamente, Serial0/0/0
L 172.16.2.1/32 está directamente conectada,
Serial0/0/0 S 172.16.3.0/24 está directamente
Serial0/0/1
L192.168.0.1/32 está conectado directamente, Serial0/0/1
S 192.168.1.0/24 está conectado directamente,
Serial0/0/1 R2#
NOTA: Aunque la salida resaltada en el Ejemplo 15-4 muestra que las rutas están
directamente conectadas, técnicamente, eso no es cierto. Sin embargo, en lo que
respecta a R2, la interfaz de salida es la forma de llegar al destino, al igual que con las
rutas verdaderamente conectadas directamente. Otra ventaja de utilizar la
configuración de la interfaz de salida en lugar de la configuración de la dirección del
siguiente salto es que la ruta estática no depende de la estabilidad de la dirección IP
del siguiente salto. La mayoría de las veces, utilizar la configuración de la interfaz de
salida es la mejor práctica, por lo que utilizaremos la configuración de la interfaz de
salida para todas las rutas estáticas y por defecto mientras continuamos con las
revisiones.
Configuración de la ruta por defecto IPv4

Una ruta por defecto es un tipo especial de ruta estática que se utiliza para representar todas
las rutas con cero o ninguna coincidencia de bits. En otras palabras, cuando ninguna ruta tiene
una coincidencia más específica en la tabla de enrutamiento, la ruta por defecto es una
coincidencia.
La dirección IP de destino de un paquete puede coincidir con varias rutas en la tabla de enrutamiento.
Por ejemplo, considere tener las siguientes dos rutas estáticas en la tabla de enrutamiento:
172.16.0.0/24 está subredado, 3 subredes
S 172.16.1.0 está conectado directamente, Serial0/0/0
S 172.16.0.0/16 está conectado directamente, Serial0/0/1
Un paquete destinado a 172.16.1.10, la dirección IP de destino del paquete, coincide con ambas rutas.
Sin embargo, la ruta 172.16.1.0 es la más específica porque el destino coincide con los primeros 24
bits, mientras que el destino sólo coincide con los primeros 16 bits de la ruta 172.16.0.0. Por lo tanto, el
router utiliza la ruta con la coincidencia más específica.
Una ruta por defecto es una ruta que coincide con todos los paquetes. Comúnmente llamada ruta
cuádruple cero, una ruta por defecto utiliza 0.0.0.0 (de ahí el término cuádruple cero) para los
parámetros de dirección de red y máscara de subred, como en esta sintaxis:
Router(config)# ip route 0.0.0.0 0.0 0.0 {dirección-ip | interfaz-salida}
Refiriéndose a la topología de la Figura 15-2, suponga que la sede central tiene una conexión a
Internet. Desde la perspectiva de R2, todo el tráfico por defecto puede enviarse a HQ para su
enrutamiento fuera del dominio conocido por R2.
El siguiente comando configura el R2 con una ruta por defecto que apunta al HQ:
R2(config)# ip route 0.0.0.0 0.0.0 serial 0/1/0
R2 tiene ahora una pasarela de último recurso en la tabla de enrutamiento, una ruta candidata por
defecto indicada por el asterisco (*) junto al código S (véase el ejemplo 15-5).
Ejemplo 15-5 Tabla de enrutamiento R2 después de configurar la ruta por defecto
R2# show ip route

<algunos códigos omitidos>
* - candidato por defecto, U - ruta estática por usuario, o
- ODR P - ruta estática descargada periódicamente

Serial0/1/0
máscaras
C 172.16.2.0/24 está conectado directamente, Serial0/0/0
L 172.16.2.1/32 está directamente conectada,
Serial0/0/0 S 172.16.3.0/24 está directamente
Serial0/0/1
L 192.168.0.1/32 está conectado directamente,
Serial0/0/1 S 192.168.1.0/24 está conectado
directamente, Serial0/0/1 S* 0.0.0.0/0 está conectado
R2#
Día 15 247
Desde la perspectiva de R1 y R3, R2 es la ruta por defecto. Los siguientes comandos configuran R1 y
R3 con una ruta por defecto que apunta a R2:
R1(config)# ip route 0.0.0.0 0.0 serial 0/0/0
!
R3(config)# ip route 0.0.0.0 0.0 serial 0/0/1
De nuevo, podemos verificar que la ruta por defecto está ahora en la tabla de enrutamiento de R1 (ver Ejemplo
15-6).
Ejemplo 15-6 Tablas de enrutamiento de R1 y R3 después de configurar la ruta por defecto
!R1!!!!!!!!!!!
R1# show ip route

Serial0/0/0
S* 0.0.0.0/0 está conectado directamente, Serial0/0/0
R1#
!
!R3!!!!!!!!!!!!
R3# show ip route

Serial0/0/1
máscaras
S* 0.0.0.0/0 está conectado directamente, Serial0/0/1
R3#
Después de evaluar las tablas de enrutamiento completas para R1, R2 y R3 mostradas en los
Ejemplos 15-5 y 15-6, se puede ver que R1 y R3 sólo necesitan una ruta de salida-una ruta por
defecto. R2 actúa como un router hub
a los radios R1 y R3. Por lo tanto, necesita dos rutas estáticas que apunten a las LANs R1 y R3.
El R2 también tiene una ruta de salida hacia el cuartel general para los destinos que no conoce.
¿Pero qué pasa con la sede central? Actualmente, la sede central no tiene rutas de vuelta a ninguna de
las redes accesibles a través de R2. Por lo tanto, cualquier tráfico procedente de PC1, PC2 y PC3 está
actualmente confinado a las redes R1, R2 y R3. Ninguno de estos PCs puede hacer ping a la
dirección de interfaz de la sede central 10.10.10.1. En la salida de traceroute en el Ejemplo 15-7, la
falla ocurre después de que R2 responde. Esto se debe a que HQ recibe las solicitudes ICMP de PC1
pero no tiene una ruta de regreso a la red 172.16.3.0/24. Por lo tanto, el cuartel general descarta los
paquetes.
Ejemplo 15-7 Un traceroute fallido de PC1 a HQ
C:\> t r a c e r t 10. 10.10.1
Rastreo de la ruta a 10.10.10.1 sobre un máximo de 30 saltos:
1 0 ms0 ms1 ms172.16.3.1

2 0 ms0 ms1 ms172.16.2.1
4 ^C
C:\>
En la siguiente sección, configuramos HQ con rutas estáticas para completar la configuración de

rutas estáticas para la topología de la Figura 15-2.
Configuración de la ruta estática de resumen IPv4

Antes de configurar cinco rutas estáticas separadas para cada una de las redes de la Figura 15-2, observe
que las redes 172.16 se pueden resumir en una ruta y que las redes 192.168 se pueden resumir en
una ruta. El ejemplo 15-8 muestra las cinco rutas en binario, con los bits en común resaltados.
Ejemplo 15-8 Cálculo de la ruta de resumen para las rutas estáticas de la sede central
Cálculo resumido para las redes 172.16:

10101100.00010000.00000001.00000000
10101100.00010000.00000010.00000000
10101100.00010000.00000011.00000000
Cálculo resumido para las redes 192.168
11000000.10101000.00000000.00000000
11000000.10101000.00000001.00000000
La ruta resumen para las redes 172.16 es 172.16.0.0/22 porque las tres direcciones de red tienen
22 bits en común. Aunque esta ruta estática resumida no forma parte del esquema de direccionamiento
actual, también incluye la ruta 172.16.0.0/24. La ruta resumen para las redes 192.168 es
192.168.0.0/23 porque las dos direcciones de red tienen 23 bits en común.
Día 15 249
Ahora podemos configurar HQ con dos rutas estáticas de resumen en lugar de cinco rutas estáticas
individuales:
HQ(config)# ip route 172.16.0.0 255.255.252.0 serial 0/0/0
HQ(config)# ip route 192.168.0.0 255.255.254.0 Serial0/0/0
Ahora PC1 puede trazar con éxito una ruta a la interfaz HQ, como muestra el Ejemplo 15-9.
Ejemplo 15-9 Un traceroute exitoso de PC1 a HQ
C:\> t r a c e r t 10. 10.10.1
Rastreo de la ruta a 10.10.10.1 sobre un máximo de 30 saltos:
11 ms0 ms0 ms172.16.3.1

20 ms1 ms2 ms172.16.2.1
31 ms2 ms1 ms10.10.10.1
Rastreo completo.
C:\>
El rastreo es exitoso porque HQ ahora tiene una ruta de regreso a la red de PC1, como se muestra
en el Ejemplo 15-10.
Ejemplo 15-10 Tabla de enrutamiento HQ con rutas estáticas de resumen IPv4
HQ# show ip route

<salida omitida>

máscaras C10.10.10.0/24 está conectada
L10.10.10.1/32 está conectada directamente,
Serial0/0/0 172.16.0.0/22 está sujeta a la red, 1
subredes
S172 .16.0.0/22 está conectado directamente,
Serial0/0/0 S192.168.0.0/23 está conectado
directamente, Serial0/0/
HQ#
Enrutamiento estático IPv6

El enrutamiento estático con IPv6 es similar al enrutamiento estático con IPv4. Podemos utilizar la
misma topología pero cambiar el direccionamiento a IPv6, como se muestra en la Figura 15-3.
Figura 15-3 Topología de enrutamiento estático y por defecto IPv6

2001:DB8:1:F::/64
S0/1/0 2001:DB8:1:1::/64
G0/0
HQ PC2
R2
S0/0/0 S0/0/1
2001:DB8:1:2::/64 2001:DB8:1:A0::/64
2001:DB8:1:3::/64 2001:DB8:1:A1::/64
G0/0 S0/0/0 S0/0/1 G0/0

PC1 PC3
R1R3
La Tabla 15-2 muestra el esquema de direccionamiento IPv6 utilizado con la topología de la Figura 15-3.
Tabla 15-2 Esquema de direccionamiento IPv6

Dispositiv Interfaz Dirección/Prefijo IPv6 Pasarela por defecto
o
HQ S0/0/0 2001:DB8:1:F::1/64 -—
Enlace local FE80::F
R1 G0/0 2001:DB8:1:3::1/64 -—
S0/0/0 2001:DB8:1:2::2/64 -—
FE80::1
R2 G0/0 2001:DB8:1:1::1/64 -—
S0/0/0 2001:DB8:1:2::1/64 -—
S0/0/1 2001:DB8:1:A0::1/64 -—
S0/1/0 2001:DB8:1:F::2/64 -—
Enlace local FE80::2

R3 G0/0 2001:DB8:1:A1::1/64 -—
S0/0/1 2001:DB8:1:A0::2/64 -—
Enlace local FE80::3 -—

PC1 NIC 2001:DB8:1:3:209:7CFF:FE9A: FE80::1
1A87/64
PC2 NIC 2001:DB8:1:1:204:9AFF:FEE3: FE80::2
C943/64
PC3 NIC 2001:DB8:1:A1:201:C9FF:FEE5: FE80::3
D3A/64
Día 15 251
NOTA: El direccionamiento IPv6 para los PCs está configurado en autoconfiguración.

Hacer ping de PC a PC no sería muy divertido. Sin embargo, las direcciones IPv6 no están
configuradas manualmente para que puedas practicar tus conocimientos sobre el
funcionamiento de EUI-64. ¿Puedes averiguar la dirección MAC de cada PC? Si no es así,
revisa el Día 27, "Direccionamiento IPv6". (Sugerencia: FFFE y voltea el bit.) Si estás
siguiendo el proceso usando un simulador, podrías considerar configurar manualmente las
PCs con direcciones IPv6 más fáciles-como 2001:DB8:1:3::A/64 en la PC1.
Si lo hace, mejorará en gran medida su experiencia de ping.

La sintaxis del comando para el enrutamiento estático IPv6 es similar a la sintaxis para IPv4:
Router(config)# ipv6 route ipv6-prefix/prefix-length {ipv6-address |
exit-interface} [distancia administrativa]
Por lo tanto, los siguientes comandos configuran a R2 con rutas estáticas hacia las LAN de R1 y R3:
R2(config)# ipv6 route 2001:DB8:1:3::/64 Serial0/0/0
R2(config)# ipv6 route 2001:DB8:1:A1::/64 Serial0/0/1
Como se destaca en la salida del comando show ipv6 route en el Ejemplo 15-11, R2 ahora tiene
rutas en la tabla de enrutamiento hacia las LANs de R1 y R3.
Ejemplo 15-11 Tabla de enrutamiento IPv6 del R2 después de configurar las rutas estáticas
R2# show ipv6 route

<código de salida omitido>
C2001:DB8:1:1::/64 [0/0]
vía ::, GigabitEthernet0/0
L2001:DB8:1:1::1/128 [0/0]
vía ::, GigabitEthernet0/0
C2001:DB8:1:2::/64 [0/0]
vía ::, Serial0/0/0
L2001:DB8:1:2::1/128 [0/0]
S2001:DB8:1:3::/64
[1/0]
C2001:DB8:1:F::/64
[0/0]
L2001:DB8:1:F::2/128 [0/0]
C2001:DB8:1:A0::/64 [0/0]
L2001:DB8:1:A0::1/128 [0/0]
S2001:DB8:1:A1::/64 [1/0]
L FF00::/8 [0/0]
vía ::, Null0
Configuración de la ruta por defecto IPv6

La siguiente es la sintaxis del comando para una ruta por defecto IPv6:
Router(config)# ipv6 route ::/0 {ipv6-address | exit-interface}
Al igual que con el cuádruple cero en IPv4, los dos puntos (::) significan todos los 0s o cualquier
dirección, y el /0 significa cualquier longitud de prefijo.
Continuando con el ejemplo de la Figura 15-3, podemos configurar R1, R2 y R3 con las siguientes
rutas por defecto:
R1(config)# ipv6 route ::/0 serial 0/0/0
Los puntos destacados en el Ejemplo 15-12 muestran las rutas por defecto para R1, R2 y R3.
Ejemplo 15-12 Rutas por defecto en las tablas de enrutamiento para R1, R2 y R3
!R1!!!!!!!!!!!
R1# show ipv6 route
<código de salida
omitido> S::/0 [1/0]
<se omite la salida d e l a s rutas conectadas y locales>
!R2!!!!!!!!!!!
R2# show ipv6 route
<código de salida
S2001:DB8:1:3::/64 [1/0]
S2001:DB8:1:A1::/64 [1/0]
!R3!!!!!!!!!!!
R3# show ipv6 route
<código de salida
Día 15 253
Configuración de la ruta estática de resumen IPv6

Al igual que en el escenario de enrutamiento estático IPv4, HQ puede ser configurado con dos rutas
estáticas de resumen a las LANs R1, R2 y R3. El ejemplo 15-13 muestra los primeros cuatro
hextetos (64 bits) de las cinco rutas en binario, con los bits en común resaltados.
Ejemplo 15-13 Cálculo de la ruta de resumen para las rutas estáticas HQ
Cálculo resumido para los cuatro primeros hextetos de las redes 2001:DB8:1:1::/64,
2001:DB8:1:2::/64 y 2001:DB8:1:3::/64:
0010000000000001:0000110110111000:0000000000000001:0000000000000001::
0010000000000001:0000110110111000:0000000000000001:0000000000000010::
0010000000000001:0000110110111000:0000000000000001:0000000000000011::
Cálculo resumido para los cuatro primeros hextetos de las redes 2001:DB8:1:A0::/64 y
2001:DB8:1:A1::/64:
0010000000000001:0000110110111000:0000000000000001:0000000010100000::
0010000000000001:0000110110111000:0000000000000001:0000000010100001::
La primera ruta resumida es 2001:DB8:1::/62 porque las tres direcciones de red tienen 62 bits en
común. Aunque esta ruta estática resumida no forma parte del esquema de direccionamiento actual,
también incluye la red 2001:DB8:1::/64. La segunda ruta resumida es 2001:DB8:1:A0::/63 porque las
dos direcciones de red tienen 63 bits en común.
Ahora puede configurar el HQ con las siguientes dos rutas estáticas de resumen:
HQ(config)# ipv6 route 2001:DB8:1::/62 Serial0/0/0
HQ(config)# ipv6 route 2001:DB8:1:A0::/63 Serial0/0/0
Ahora el HQ tiene dos rutas de resumen, como puede ver en las entradas resaltadas en el Ejemplo 15-14.
Ejemplo 15-14 Tabla de enrutamiento HQ con rutas estáticas de resumen IPv6
HQ# show ipv6 route

<salida omitida>
S 2001:DB8:1::/62 [1/0]
vía ::, Serial0/0/0 C
2001:DB8:1:F::/64 [0/0]
L 2001:DB8:1:F::1/128 [0/0]
S 2001:DB8:1:A0::/63 [1/0]
L FF00::/8 [0/0]
vía ::, Null0
HQ#
Recursos de estudio

18
25
Funcionamiento de OSPF

■
■
Configurar y verificar OSPFv2 de área única
Temas clave
Hoy revisamos el funcionamiento básico de OSPF. OSPFv2 se utiliza para el enrutamiento IPv4, y
OSPFv3 se utiliza para el enrutamiento IPv6. Aunque las dos versiones comparten los mismos
principios básicos de funcionamiento, también revisaremos en qué se diferencian. Mañana, revisaremos
la configuración de OSPFv2 de área única.
Funcionamiento de OSPF de área única

El Grupo de Trabajo de Ingeniería de Internet (IETF) eligió OSPF en lugar de IS-IS como su
protocolo de pasarela interior (IGP) recomendado. En 1998, la especificación OSPFv2 se actualizó en
el RFC 2328, "OSPF Versión 2" (véase http://www.ietf.org/rfc/rfc2328). El software Cisco IOS
elige las rutas OSPF en lugar de las rutas RIP porque OSPF tiene una distancia administrativa (AD)
de 110 frente a la AD de RIP de 120.
Formato de los mensajes OSPF

La porción de datos de un mensaje OSPF se encapsula en un paquete. Este campo de datos puede incluir
uno de los cinco tipos de paquetes OSPF. La Figura 14-1 muestra un mensaje OSPF encapsulado en una
trama Ethernet.
La cabecera del paquete OSPF se incluye con cada paquete OSPF, independientemente de su tipo. La
cabecera del paquete OSPF y los datos específicos del tipo de paquete se encapsulan en un paquete IP.
En la cabecera del paquete IP, el campo de protocolo se establece en 89 para indicar OSPF, y la
dirección de destino se establece normalmente en una de las dos direcciones de multidifusión:
224.0.0.5 o 224.0.0.6. Si el paquete OSPF está encapsulado en
una trama Ethernet, la dirección MAC de destino es también una dirección multicast: 01-00-5E-00-
00-05 o 01-00-5E-00-00-06.
Figura 14-1 Mensaje OSPF encapsulado
Encabezado de Cabecera Cabecera del

Datos específicos del tipo de paquete
trama de del paquete
OSPF
enlace de paquete OSPF
datos IP
Trama de enlace de datos (aquí se muestran los campos de Ethernet)

Dirección de origen MAC = Dirección de la interfaz de envío
Dirección MAC de destino = Multidifusión: 01-00-5E-00-00-05 o 01-00-5E-00-00-06
Paquete IP
Dirección IP de origen = Dirección de la interfaz de envío
Dirección IP de destino = Multicast: 224.0.0.5 o 224.0.0.6
Campo de protocolo = 89 para OSPF
Cabecera del paquete OSPF
Código de tipo de paquete OSPF ID
de router e ID de área
Tipos de paquetes OSPF

0x01 Hola
0x02 Descripción de la base
de datos 0x03 Solicitud de
estado de enlace 0x04
Actualización de estado de
enlace
0x05 Reconocimiento del estado del enlace
Tipos de paquetes OSPF

Cada uno de los cinco tipos de paquetes OSPF tiene un propósito específico en el proceso de enrutamiento:
■
Hello: Los paquetes Hello establecen y mantienen la adyacencia con otros routers OSPF.
■
DBD: El paquete de descripción de la base de datos (DBD) contiene una lista abreviada de la
base de datos de estado de enlace del router emisor. Los routers receptores lo utilizan para
comprobar la base de datos de estado de enlace local.
■
LSR: Los routers receptores pueden solicitar más información sobre cualquier entrada
del DBD enviando una solicitud de estado de enlace (LSR).
■
LSU: Los paquetes de actualización de estado de enlace (LSU) responden a los LSR y anuncian
nueva información. Las LSU contienen 11 tipos de anuncios de estado de enlace (LSA).
■
LSAck: Cuando se recibe un LSU, el router envía un acuse de recibo de estado de enlace (LSAck)
para confirmar la recepción del LSU.
Establecimiento de vecinos
Los vecinos OSPF intercambian paquetes hello para establecer adyacencia. La Figura 14-2 muestra la
cabecera OSPF y el paquete hello.
Día 14 257
Figura 14-2 Encabezado de paquete OSPF y paquete Hello
Encabezado Cabecera del paquete Cabecera del paquete OSPF Datos específicos del tipo de paquete
de trama de IP OSPF Paquete de
enlace de datos bienvenida
Bits
07
815 1623 2431
Versión Tipo = 1 Longitud del paquete
ID del router
OSPF
Encabeza Identificación de la zona
dos de
paquetes Suma de AuType
comprobación
Autenticación
Autenticación
Máscara de red
Hola Intervalos Opción Prioridad del router
Intervalo muerto del router

OSPF
Hola
Paquetes Enrutador designado (DR)
Enrutador designado de reserva (BDR)
Lista de vecinos
Los campos importantes que se muestran en la figura son los siguientes:

■
Tipo: Tipo de paquete OSPF: Hello (Tipo 1), DBD (Tipo 2), LS Request (Tipo 3), LS Update
(Tipo 4), LS ACK (Tipo 5)
■
ID del router: ID del router de origen
■
ID de área: Área de la que procede el paquete
■
Máscara de red: Máscara de subred asociada a la interfaz de envío
■
Hello Interval: Número de segundos entre los hellos del router emisor
■
Prioridad del router: Se utiliza en la elección de DR/BDR
■
Router designado (DR): ID del router del DR, si lo hay.
■
Router designado de respaldo (BDR): ID del router del BDR, si lo hay.
■
Lista de vecinos: El ID del router OSPF de los routers vecinos.
Los paquetes Hello se utilizan para hacer lo siguiente:

■
Descubrir vecinos OSPF y establecer adyacencias de vecinos
■
Anunciar los parámetros en los que dos routers deben estar de acuerdo para convertirse en vecinos
■
Elegir el DR y el BDR en redes multiacceso como Ethernet y Frame Relay
La recepción de un paquete OSPF hello en una interfaz confirma a un router que existe otro
router OSPF en este enlace. OSPF entonces establece adyacencia con el vecino. Para establecer
adyacencia, dos routers OSPF deben tener los siguientes valores de interfaz coincidentes:
■
Hola Intervalo
■
Intervalo muerto
■
Tipo de red
■
Identificación de la zona
Antes de que los dos routers puedan establecer una adyacencia, ambas interfaces deben formar parte de
la misma red, incluyendo la misma máscara de subred. La adyacencia completa se produce después de
que los dos routers hayan intercambiado las LSU necesarias y tengan bases de datos de estado de enlace
idénticas. Por defecto, los paquetes hello de OSPF se envían a la dirección multicast 224.0.0.5
(ALLSPFRouters) cada 10 segundos en segmentos de multiacceso y punto a punto y cada 30
segundos en segmentos de multiacceso sin difusión (NBMA) (Frame Relay, X.25, ATM). El
intervalo muerto por defecto es cuatro veces el intervalo hola.
Anuncios de enlace
Los LSUs son los paquetes utilizados para las actualizaciones de enrutamiento OSPF. Un paquete LSU
puede contener 11 tipos de LSA, como muestra la Figura 14-3.
Figura 14-3 Las LSUs contienen LSAs
Tipo de Descripción
Tipo Nombre del LSA Descripción
paquete
1 LSAs del router
1 LSA y LSU
Las siglas Holasuelen Descubre a los vecinos y construye adyacencias entre ellos.
utilizarse indistintamente. 2 LSA de red
2 DBD Comprueba la sincronización de la base de datos entre los routers.
Una LSU contiene uno o más 3o4 Resumen LSAs
3 LSR Solicita registros de estado de enlace específicos de router a router.
LSAs.
5 Sistema autónomo LSA externo
4 LSU Envía los registros de estado de enlace solicitados específicamente.
6 LSAs OSPF de multidifusión
5 LSAck Reconoce los otros tipos de paquetes.
7 Definido para las zonas no tan pobladas
Los LSA contienen información 8 Atributos externos LSA para el Protocolo de Pasarela de Fronteras
de ruta para las redes de destino. (BGP)
Los detalles de LSA se discuten 9, 10, 11 LSAs opacos

en CCNP.
Día 14 259
OSPF DR y BDR
Las redes multiacceso crean dos retos para OSPF en lo que respecta a la inundación de LSAs:
■
Creación de múltiples adyacencias, con una adyacencia por cada par de routers
■
Amplia inundación de LSAs
La solución para gestionar el número de adyacencias y la inundación de LSAs en una red

multiacceso es el router designado (DR). Para reducir la cantidad de tráfico OSPF en redes
multiacceso, OSPF elige un DR y un DR de respaldo (BDR). El DR es responsable de
actualizar
todos los demás routers OSPF cuando se produce un cambio en la red multiacceso. El BDR
supervisa el DR y toma el relevo como DR si el DR actual falla. Todos los demás routers se
convierten en DROTHERs. Un DROTHER es un router que no es ni el DR ni el BDR.
Algoritmo OSPF
Cada router OSPF mantiene una base de datos de estado de enlace que contiene los LSAs
recibidos de todos los demás routers. Cuando un router ha recibido todos los LSA y ha construido su
base de datos de estado de enlaces local, OSPF utiliza el algoritmo del camino más corto de Dijkstra
(SPF) para crear un árbol SPF. Este algoritmo acumula los costes a lo largo de cada camino, desde el
origen hasta el destino. El árbol SPF se utiliza entonces para rellenar la tabla de enrutamiento IP con
las mejores rutas hacia cada red.
Por ejemplo, en la Figura 14-4, cada ruta está etiquetada con un valor arbitrario de coste. El costo del
camino más corto para que R2 envíe paquetes a la LAN conectada a R3 es 27 (20 + 5 + 2 = 27).
Obsérvese que este coste no es 27 para que todos los routers lleguen a la LAN conectada a R3.
Cada router determina su propio coste para cada destino en la topología. En otras palabras, cada
router utiliza el algoritmo SPF para calcular el coste de cada camino a una red y determina el mejor
camino a esa red
desde su propia perspectiva.
La Tabla 14-1 muestra la ruta más corta a cada LAN para R1, junto con el coste.
Tabla 14-1 Árbol SPF para R1

Destino Camino más corto Coste
R2 LAN R1 a R2 22
R3 LAN R1 a R3 7
R4 LAN R1 a R3 a R4 17
R5 LAN R1 a R3 a R4 a R5 27
Debería poder crear una tabla similar para cada uno de los otros routers de la Figura 14-4.
Figura 14-4 Algoritmo del camino más corto de Dijkstra
R2
20 10
2 5 2 2
R1R3R5
20 10 10
R4
2
Ruta más corta para que el host de la LAN R2 llegue al host de la LAN R3:
R2 a R1 (20) + R1 a R3 (5) + R3 a LAN (2) = 27
Proceso de enrutamiento de estado de enlace

La siguiente lista resume el proceso de enrutamiento de estado de enlace que utiliza OSPF. Todos los
routers OSPF completan el siguiente proceso genérico de enrutamiento de estado de enlace para
alcanzar un estado de convergencia:
Paso 1. Cada router aprende sobre sus propios enlaces y sus propias redes conectadas
directamente. Esto se hace detectando que una interfaz tiene una dirección de capa 3
configurada y está en el estado up.
Paso 2. Cada router es responsable de establecer adyacencia con sus vecinos en redes
directamente conectadas mediante el intercambio de paquetes hello.
Paso 3. Cada router construye un paquete de estado de enlace (LSP) que contiene el
estado de cada enlace conectado directamente. Esto se hace registrando toda la
información pertinente sobre cada vecino, incluyendo el ID del vecino, el tipo de
enlace y el ancho de banda.
Paso 4. Cada router inunda el LSP a todos los vecinos, que luego almacenan todos los LSPs
recibidos en una base de datos. A continuación, los vecinos inundan los LSPs a sus
vecinos hasta que todos los routers de la
Día 14 261
área han recibido los LSPs. Cada router almacena una copia de cada LSP recibido de
sus vecinos en una base de datos local.
Paso 5. Cada router utiliza la base de datos para construir un mapa completo de la
topología y calcula el mejor camino a cada red de destino. El algoritmo SPF se utiliza
para construir el mapa de la topología y determinar el mejor camino hacia cada red.
Todos los routers tienen un mapa o árbol común de la topología, pero cada router
determina de forma independiente el mejor camino a cada red dentro de esa
topología.
OSPFv2 frente a OSPFv3

En 1999, se publicó OSPFv3 para IPv6 en el RFC 2740. En 2008, OSPFv3 se actualizó
en el RFC 5340 como OSPF para IPv6. Sin embargo, se sigue llamando OSPFv3.
OSPFv3 tiene la misma funcionalidad que OSPFv2 pero utiliza IPv6 como transporte de la capa
de red, comunicándose con los pares de OSPFv3 y anunciando rutas IPv6. OSPFv3 también utiliza el
algoritmo SPF como motor de cálculo para determinar las mejores rutas en todo el dominio de
enrutamiento.
Como todos los demás protocolos de enrutamiento IPv6, OSPFv3 tiene procesos separados de
su contraparte IPv4. OSPFv2 y OSPFv3 tienen cada uno tablas de adyacencia separadas, tablas
de topología OSPF y tablas de enrutamiento IP.
Similitudes entre OSPFv2 y OSPFv3

OSPFv3 funciona de manera muy similar a OSPFv2. La Tabla 14-2 resume las características
operativas que comparten OSPFv2 y OSPFv3.
Tabla 14-2 Similitudes de OSPFv2 y OSPFv3

CaracterísticaOSPFv2 y OSPFv3
Estado del enlaceSí
Algoritmo de enrutamientoSPF
MetricCost
ÁreasApoyan la misma jerarquía de dos niveles
Tipos de paquetesUtilizan los mismos paquetes hello, DBD, LSR, LSU y LSAck
Descubrimiento de vecinosTransicióna través de los
mismos estados utilizando paquetes hello Sincronización de la LSDBIntercambio
del contenido de su LSDB entre dos vecinos DR y BDRUtilizan la misma función
y proceso de elección
ID de enrutadorUtilizar un ID de enrutador de 32 bits y el mismo proceso en la
determinación del ID de enrutador de 32 bits
Diferencias entre OSPFv2 y OSPFv3

La Tabla 14-3 enumera las principales diferencias entre OSPFv2 y OSPFv3.
Tabla 14-3 Diferencias entre OSPFv2 y OSPFv3

Característica OSPFv2 OSPFv3
Publicidad Redes IPv4 Prefijos IPv6
Dirección de la fuente Dirección de origen IPv4 Dirección local de enlace IPv6
Dirección de destino Elección de Elección de
Dirección IPv4 unicast del vecino Dirección IPv6 link-local del vecino
224.0.0.5, dirección de FF02::5, dirección multicast all-OSPFv3-
multidifusión de todos los routers
routers OSPF
224.0.0.6, dirección multicast FF02::6, dirección de multidifusión
DR/BDR DR/BDR
Redes publicitarias Configurado a través de la red Configurado mediante el área ipv6 o sp f

comando de configuración del comando de configuración de la interfaz
router
Enrutamiento IP unicast Enrutamiento unicast IPv4 Requiere la configuración del comando de
activado por defecto configuración global ipv6 unicast- routing
Autenticación Texto plano y MD5 IPsec
Funcionamiento de OSPF multiárea

OSPF de área única funciona bien en redes pequeñas en las que el número de enlaces es
manejable. Sin embargo, considere una red OSPF de área única con 900 routers y varios miles de
subredes. En esta situación, el diseño de área única causa los siguientes problemas:
■
Tablas de enrutamiento grandes: Por defecto, OSPF no resume las actualizaciones de enrutamiento.
■
Gran base de datos de estado de enlaces (LSDB): En un área única, cada router debe mantener
una base de datos de todos los enlaces activos en el dominio de enrutamiento,
independientemente de si ese router está utilizando actualmente un enlace en particular.
■
Cálculos SPF frecuentes: En una red grande, los cambios en la LSDB pueden hacer que los
routers gasten muchos ciclos de CPU recalculando el algoritmo SPF y actualizando la tabla
de enrutamiento.
Para resolver estos problemas, OSPF soporta el diseño jerárquico mediante el uso de múltiples áreas
OSPF. El OSPF multiárea es útil en despliegues de red más grandes para reducir la sobrecarga de
procesamiento y memoria. Esto implica dividir la gran LSDB en varias LSDB más pequeñas mediante
el uso de múltiples áreas OSPF.
Diseño OSPF multiárea

El diseño de OSPF multiárea sigue un par de reglas básicas:
■
Poner todas las interfaces conectadas a la misma subred dentro de la misma área.
■
Una zona debe ser contigua.
Día 14 263
■
Algunos routers pueden ser internos a un área, con todas las interfaces asignadas a esa única área.
■
Algunos routers pueden ser routers de frontera de área (ABR) porque algunas interfaces se
conectan al área troncal y otras se conectan a áreas no troncales.
■
Todas las áreas no troncales deben conectarse al área troncal (Área 0) teniendo al menos un
ABR conectado tanto al área troncal como al área no troncal.
La Figura 14-5 muestra un diseño OSPF multiárea simple con dos áreas (Área 1 y Área 2) conectadas a
un backbone, el Área 0.
Figura 14-5 Ejemplo de diseño OSPF multiárea
Internet
Área 0 (Backbone)
D3
C1
Router de SW SW
ASBR
red troncal
Enrutador de frontera de
D1
área (ABR) D2
B11 B12 B13 B14

B1B2B3B4
Enrutadores internosEnrutadores internos

Área 1Área2
La figura también muestra algunos términos importantes del diseño OSPF multiárea. La Tabla
14-4 describe estos términos.
Tabla 14-4 Terminología de diseño OSPF

multiárea
TérminoDescripción
Enrutador de frontera de área (ABR)Un enrutador OSPF con interfaces conectadas al área troncal y a en
al menos un área más.
Enrutador backboneUn enrutador conectado al área

backbone (incluye los ABR). Enrutador internoUn enrutador en un área (no en el área
troncal).
Enrutador de frontera de Un router que tiene al menos una interfaz conectada a una red externa.
sistema autónomo (ASBR) Una red externa es una red que no forma parte del dominio de
enrutamiento, como EIGRP, BGP o una con enrutamiento estático a
Internet, como
La figura 14-5 lo muestra.
TermDescription
ÁreaConjunto de enrutadores y enlaces que comparten la misma información detallada de la LSDB, pero no
con los enrutadores de otras áreas, para una mayor eficiencia
Área troncalUn área OSPF especial a la que deben conectarse todas las demás
áreas, como el Área 0 Ruta intraáreaUna ruta a una subred dentro de la misma área que el
router
Ruta interáreaUna ruta a una subred en un área de la que el router no forma parte
El OSPF multiárea mejora el rendimiento

En OSPF multiárea, todas las áreas deben conectarse al área troncal. El enrutamiento sigue
produciéndose entre las áreas. Los ABRs envían rutas interáreas entre áreas. Sin embargo, la operación
de enrutamiento intensiva de la CPU de recalcular el algoritmo SPF se realiza sólo para las rutas
dentro de un área. Un cambio en un área no provoca un recálculo del algoritmo SPF en otras áreas.
En la Figura 14-5, supongamos que un enlace falla en el Área 1. Sólo los routers del Área 1
intercambian LSAs. D1, el ABR del Área 1, enviará una actualización al Área 0 después de que
el Área 1 haya convergido en la nueva información.
La siguiente lista resume cómo OSPF multiárea mejora el rendimiento de OSPF:
■
La LSDB más pequeña por área requiere menos memoria.
■
Los routers necesitan menos ciclos de CPU para procesar la LSDB más pequeña por
área con el algoritmo SPF, lo que reduce la sobrecarga de la CPU y mejora el tiempo
de convergencia.
■
Los cambios en la red (por ejemplo, enlaces que fallan y se recuperan) requieren cálculos SPF
sólo en los routers conectados al área donde el enlace cambió de estado, reduciendo el
número de routers que deben volver a ejecutar SPF.
■
Hay que anunciar menos información entre áreas, lo que reduce el ancho de banda necesario
para enviar LSA.
Recursos de estudio
21
Implementación
de OSPF de área
única

■
Temas clave
En el Día 14, "Operación de OSPF", revisamos la implementación básica de OSPF multiárea. Hoy
revisamos la implementación básica de OSPFv2 para diseños de redes de área única. Revisamos los
comandos para configurar y verificar la implementación.
Configuración de OSPFv2 de área única

Para revisar los comandos de configuración de OSPFv2 de área única, utilizamos la topología de
la Figura 13-1 y el esquema de direccionamiento de la Tabla 13-1.
Figura 13-1 Topología de configuración de OSPFv2

172.16.2.0/24
172.16.1.0/24192.168.1.0/24
G0/0
R2
S0/0/0 S0/0/1
172.16.3.0/30 192.168.10.8/30
T11024 kbps
S0/0/0 S0/0/1
64 kbps
R1 S0/0/1 R3
G0/0 192.168.10.4/30 S0/0/0 G0/0
Tabla 13-1 Esquema de direccionamiento para OSPFv2

Dispositivo Interfaz Dirección IP Máscara de subred
R1 G0/0 172.16.1.1 255.255.255.0
S0/0/0 172.16.3.1 255.255.255.252
S0/0/1 192.168.10.5 255.255.255.252
R2 G0/0 172.16.2.1 255.255.255.0
S0/0/0 172.16.3.2 255.255.255.252
S0/0/1 192.168.10.9 255.255.255.252
R3 G0/0 192.168.1.1 255.255.255.0
S0/0/0 192.168.10.6 255.255.255.252
S0/0/1 192.168.10.10 255.255.255.252
El comando router ospf

OSPF se activa con el comando de configuración global router ospf process-id:
R1(config)# router o s p f process-id
process-id es un número entre 1 y 65535 y es elegido por el administrador de la red. El ID del proceso
es localmente significativo. No tiene que coincidir con otros routers OSPF para establecer adyacencias
con esos vecinos. Esto difiere del Protocolo de Enrutamiento de Pasarela Interior Mejorado (EIGRP). El
ID del proceso EIGRP y el número de sistema autónomo deben coincidir antes de que dos vecinos
EIGRP puedan ser adyacentes.
Para nuestra revisión, habilitamos OSPF en los tres routers usando el mismo ID de proceso, 10.
ID del router
El ID del router juega un papel importante en OSPF, ya que identifica de forma única a cada router en
el dominio de enrutamiento OSPF. Los routers Cisco obtienen el ID del router de la siguiente
manera:
Paso 1. El router utiliza la dirección IP configurada con el comando OSPF router-id.
Paso 2. Si el ID del router no está configurado, el router elige la dirección IP más alta de cualquiera
de sus interfaces loopback.
Paso 3. Si no hay interfaces loopback configuradas, el router elige la dirección IP activa más alta de
cualquiera de sus interfaces físicas.
El ID del router se puede ver con varios comandos, incluyendo show ip o s p f interfaces, show
ip protocols y show ip o spf .
Debido a que el administrador de la red puede controlar el comando router-id de OSPF y a que
las interfaces de bucle de retorno saturan la tabla de enrutamiento, es una buena práctica configurar el
comando router-id. El comando router-id acepta una dirección IPv4 como su único argumento. El
ejemplo 13-1 muestra las configuraciones del ID del enrutador para los enrutadores en nuestra
topología.
Día 13 267
Ejemplo 13-1 Configuraciones de ID de router
R1(config-router)# router-id 1.1.1.1

El ID del enrutador se selecciona cuando OSPF se configura con su primer comando de red
OSPF, por lo que el comando router-id ya debería estar configurado. Sin embargo, puede forzar a
OSPF a liberar su ID actual y utilizar el ID de enrutador configurado borrando el proceso de
enrutamiento OSPF:
Router# clear ip o s p f process
El mando de la red
El comando de red se utiliza en el modo de configuración del router:
Router(config-router)# network network-address wildcard-mask area area-id
El comando de red OSPF utiliza una combinación de dirección de red y máscara comodín. La
dirección de red, junto con la máscara comodín, especifica la interfaz o el rango de interfaces que se
habilitarán para OSPF utilizando este comando de red.
La máscara comodín se configura habitualmente como la inversa de una máscara de subred. Por
ejemplo, la interfaz Serial 0/0/0 de R1 está en la red 172.16.3.0/30. La máscara de subred para esta
interfaz es /30, o 255.255.255.252. La inversa de la máscara de subred da como resultado la
máscara comodín 0.0.0.3.
area area-id se refiere al área OSPF. Un área OSPF es un grupo de routers que comparten información
de estado de enlace. Todos los routers OSPF en la misma área deben tener la misma información de
estado de enlace en sus bases de datos de estado de enlace. Por lo tanto, todos los routers dentro de la
misma área OSPF deben ser configurados con el mismo ID de área en todos los routers. Por
convención, el ID de área es 0.
Como alternativa, se puede habilitar OSPFv2 utilizando la red intf-ip-address 0.0.0.0 area-id
comando del modo de configuración del router.
El ejemplo 13-2 muestra los comandos de red para los tres routers, habilitando OSPF en todas las
interfaces. Para el R1, se configura la dirección IP de la interfaz alternativa y la máscara comodín
cuádruple cero.
Ejemplo 13-2 Configuración de redes OSPF
R1(config)# router o s p f 10
R1(config-router)# red 172.16.1.1 0.0.0 área 0
R1(config-router)# red 172.16.3.1 0.0.0.0 área 0
Interfaces pasivas
Por defecto, los mensajes OSPF se reenvían a todas las interfaces habilitadas para OSPF. Sin embargo,
estos mensajes realmente necesitan ser enviados sólo a las interfaces que se conectan a otros routers
habilitados para OSPF. El envío de mensajes innecesarios en una LAN afecta a la red de tres
maneras:
■
Uso ineficiente del ancho de banda: el ancho de banda disponible se consume transportando
mensajes innecesarios.
■
Uso ineficiente de los recursos: Todos los dispositivos de la LAN deben procesar el mensaje.
■
Mayor riesgo de seguridad: Los mensajes OSPF pueden ser interceptados y las
actualizaciones de enrutamiento pueden ser modificadas, corrompiendo la tabla de
enrutamiento.
Utilice el comando passive-interface para evitar que las actualizaciones OSPF se envíen por
interfaces innecesarias. Para nuestra topología en la Figura 13-1, la interfaz GigabitEthernet 0/0
de cada router debe ser configurada como pasiva con el siguiente comando:
Router(config)# passive-interface gigabitethernet 0/0
Como alternativa, puede hacer que todas las interfaces sean pasivas utilizando el comando passive-
interface default. A continuación, puede volver a habilitar las interfaces que no deberían ser pasivas
utilizando el comando no passive- interface interface.
Modificación de la métrica OSPF

El software Cisco IOS utiliza como valor de coste los anchos de banda acumulados de las interfaces
de salida del router a la red de destino. En cada router, el coste de una interfaz se calcula mediante la
siguiente fórmula:
Coste de Cisco IOS para OSPF = 108/ancho de banda en bps
En este cálculo, el valor

108 se
conoce como el ancho de banda de referencia. La Tabla 13-2 muestra los
costos OSPF por defecto utilizando el ancho de banda de referencia por defecto para varios tipos de
interfaces.
Tabla 13-2 Valores de coste OSPF por defecto de Cisco

Tipo de interfaz 108/bps Coste
= Coste
10 Gigabit Ethernet (10 Gbps) 108/10 1
.000.000.000 bps = 1
Gigabit Ethernet (1 Gbps) 108/1 1
.000.000.000 bps = 1
Fast Ethernet (100 Mbps) 108/100 1
.000.000 bps = 1
Ethernet (10 Mbps) 108/10 10
.000.000 bps = 10
Día 13 269

= Coste
T1 (1,544 Mbps) 108/1 64
.544.000 bps = 64
128 kbps 108/128 781
.000 bps = 781
64 kbps 108/64 1562
.000 bps = 1562
En la Tabla 13-2, 10GigE, Gigabit Ethernet y Fast Ethernet tienen el mismo costo. Esto se debe a que
el valor del costo OSPF debe ser un número entero. Esto no era un problema antes de la introducción
del gigabit y de tasas de datos más altas.
Sin embargo, las redes actuales funcionan ciertamente a velocidades de gigabit. Por lo tanto, como
cuestión de política, debería cambiar el ancho de banda de referencia para acomodar las redes con
enlaces más rápidos que 100.000.000 bps (100 Mbps). Utilice el siguiente comando para cambiar el
ancho de banda de referencia:
Router(config-router)# auto-costes referencia-ancho de banda Mbps
Debido a que el valor introducido está en megabits por segundo, cambiar el ancho de banda de
referencia a 10000 asegura que todos los routers OSPF están preparados para calcular con precisión el
coste de las redes de 10GigE. Cuando se utiliza, este comando debe ser introducido en todos los
routers para que la métrica de enrutamiento OSPF permanezca consistente. De hecho, el Cisco IOS
responde con el siguiente mensaje syslog cuando se configura el comando auto-cost reference-
bandwidth:
% OSPF: Se cambia el ancho de banda de referencia.
Por favor, asegúrese de que el ancho de banda de referencia es consistente en todos los
routers.
Para nuestra topología en la Figura 13-1, introducimos los comandos mostrados en el Ejemplo 13-3.
Ejemplo 13-3 Cambiar el ancho de banda de referencia OSPF
R1(config-router)# auto-cost reference-bandwidth 10000
R2(config-router)# auto-costes reference-bandwidth 10000
La Tabla 13-3 muestra los valores de coste modificados con el nuevo ancho de
banda de referencia de 10.000.000.000 bps, o 1010.
Tabla 13-3 Valores de coste OSPF con ancho de banda de referencia modificado = 10000
= Coste
10 Gigabit Ethernet (10 Gbps) 1010/10 1
.000.000.000 bps = 1
Gigabit Ethernet (1 Gbps) 1010/1 10
.000.000.000 bps = 1
Fast Ethernet (100 Mbps) 1010/100 100
.000.000 bps = 1
Ethernet (10 Mbps) 1010/10 1000
.000.000 bps = 10
T1 (1,544 Mbps) 1010/1 6477
.544.000 bps = 64
128 kbps 1010/128 78125
.000 bps = 781
64 kbps 1010/64 156250 (véase la nota)
.000 bps = 1562
NOTA: Aunque el coste para una velocidad de 64 kbps se calcula en 156250, el coste
máximo de OSPF para una interfaz de router Cisco es de 65535.
Pero no hemos terminado: Todavía tenemos que hacer un ajuste más para asegurarnos de que OSPF
está utilizando costes precisos. En los routers Cisco, el ancho de banda por defecto en la mayoría de las
interfaces seriales está configurado a velocidad T1, o 1.544 Mbps. Pero en nuestra topología de la
Figura 13-1, tenemos las siguientes velocidades reales:
■
El enlace entre R1 y R2 funciona a 1544 kbps (valor por defecto).
■
El enlace entre R2 y R3 funciona a 1024 kbps.
■
El enlace entre R1 y R3 funciona a 64 kbps.
Puede modificar la métrica OSPF de dos maneras:

■
Utilice el comando de ancho de banda para modificar el valor del ancho de banda que el
software Cisco IOS utiliza para calcular la métrica de coste OSPF.
■
Utilice el comando ip ospf cost, que le permite especificar directamente el coste de una interfaz.
Una de las ventajas de configurar un coste en lugar de establecer el ancho de banda de la interfaz es
que el router no tiene que calcular la métrica cuando el coste se configura manualmente. Además, el
comando ip o s p f cost es útil en entornos de varios proveedores, donde los routers que no son de
Cisco pueden utilizar una métrica distinta del ancho de banda para calcular los costes de OSPF.
La Tabla 13-4 muestra las dos alternativas que se pueden utilizar para modificar los costes de
los enlaces serie en la topología de la Figura 13-1. La parte derecha de la figura muestra los
equivalentes del comando ip o s p f cost de los comandos de ancho de banda de la izquierda.
Tabla 13-4 Comparación de los comandos bandwidth y ip ospf cost

Ajuste del ancho de banda de la = Configuración manual del coste OSPF
interfaz
R1(config)# interfaz S0/0/1 = R1(config)# interfaz S0/0/1
R1(config-if)# ancho de banda 64 R1(config-if)# ip o s p f cost 65535


NOTA: La interfaz de 64 kbps está ajustada al coste máximo de 65535.
Verificación de OSPFv2
Para verificar cualquier configuración de enrutamiento, lo más probable es que dependa de los
comandos show ip interface brief, show ip route y show ip protocols. Todas las interfaces
previstas deben estar activas y
Día 13 271
y deberían estar configurados con las direcciones IP correctas. La tabla de enrutamiento debe tener
todas las rutas esperadas. El estado del protocolo debería mostrar el enrutamiento para todas las redes
esperadas, y también debería mostrar todas las fuentes de enrutamiento esperadas. El ejemplo 13-4
muestra la salida de R1 de estos tres comandos básicos.
Ejemplo 13-4 R1 Comandos de verificación de enrutamiento básico
R1# show ip route

<salida omitida>

GigabitEthernet0/0
L172.16.1.1/32 está conectado directamente, GigabitEthernet0/0
O172.16.2.0/24 [110/6576] vía 172.16.3.2, 00:04:57, Serial0/0/0
C172.3.0/30 está conectado directamente,
Serial0/0/0 L172.16.3.1/32 está conectado
O192.168.1.0/24 [110/16341] vía 172.16.3.2, 00:00:41, Serial0/0/0
máscaras C192.168.10.4/30 está conectado directamente,
Serial0/0/1
L192.168.10.5/32 está conectado directamente, Serial0/0/1
O192.168.10.8/30 [110/16241] vía 172.16.3.2, 00:00:41, Serial0/0/0
R1# show ip interface brief
Dirección IP de la interfaz ¿Bien? Método Estado
Protocolo
Embedded-Service-Engine0/0 unassigned YES unset administratively down
GigabitEthernet0/0172 .16.1.1 YES
manual upup
administratively down Serial0/0/0172.16.3.1 YES manualup
Serial0/0/1192.168.10.5 YES
manualup R1# show ip protocols
*** El enrutamiento IP es
consciente de la NSF *** El
protocolo de enrutamiento es "ospf
10"
La lista de filtros de actualización saliente para todas
las interfaces no está establecida La lista de filtros de
actualización entrante para todas las interfaces no está
establecida ID de router 1.1.1.1
El número de áreas de este router es 1. 1 normal 0 stub 0
nssa Ruta máxima: 4
Enrutamiento para redes:
172.16.1.0 0.0.0.255 área 0
172.16.3.0 0.0.3 área 0 192.168.10.4
0.0.0.3 área 0
Interfaz(es) pasiva(s):
GigabitEthernet0/0
Fuentes de información de
enrutamiento: Puerta de
enlace Distancia Última
actualización 3.3.3.3 110
00:09:00
2.2.2.2 110 00:09:00
Distancia: (por defecto es 110)
Puede verificar que los vecinos esperados han establecido adyacencia con el comando
show ip ospf neighbor. El ejemplo 13-5 muestra las tablas de vecinos de los tres routers.
Ejemplo 13-5 Verificación de Adyacencia de Vecinos
R1# show ip o s p f neighbor
ID del vecino Pri EstadoTiempo de espera DirecciónInterfaz

3.3.3.30 FULL/ - 00:00:37 192.168.10.6 Serial0/0/1
2.2.2.20 FULL/ - 00:00:37 172.16.3.2Serial0/0/0

3.3.3.30 FULL/ - 00:00:38 192.168.10.10 Serial0/0/1
1.1.1.10 FULL/ - 00:00:37 172.16.3.1Serial0/0/0

2.2.2.20 FULL/ - 00:00:37 192.168.10.9 Serial0/0/1
1.1.1.10 FULL/ - 00:00:30 192.168.10.5 Serial0/0/0
Para cada vecino, el comando show ip ospf neighbor muestra la siguiente salida:
■
ID del vecino: El ID del router vecino.
■
Pri: La prioridad OSPF de la interfaz. El ejemplo 13-5 muestra 0 para esta columna porque
los enlaces punto a punto no eligen un DR o BDR.
■
Estado: El estado OSPF de la interfaz. El estado FULL significa que la interfaz del router es
totalmente adyacente a su vecino y que tienen bases de datos de estado de enlace OSPF
idénticas.
■
Tiempo muerto: La cantidad de tiempo restante que el enrutador esperará para recibir un
paquete de hola OSPF del vecino antes de declarar al vecino como caído. Este valor se
restablece cuando la interfaz recibe un paquete hello.
■
Dirección: La dirección IP de la interfaz del vecino a la que está conectado directamente este router.
■
Interfaz: La interfaz en la que este router ha formado adyacencia con el vecino.
Día 13 273
El comando show ip o s p f en el Ejemplo 13-6 para R1 también puede ser usado para examinar el
ID del proceso OSPF y el ID del router. Además, este comando muestra la información del área OSPF
y la última vez que se calculó el algoritmo SPF.
Ejemplo 13-6 El comando show ip ospf
R1# show ip o sp f
Proceso de enrutamiento "ospf 10" con ID 1.1.1.1
Hora de inicio: 00:29:52.316, Tiempo transcurrido:
00:45:15.760 Sólo admite rutas TOS(TOS0) simples
Admite LSA opacos
Admite la señalización de enlace local
(LLS) Admite la capacidad de tránsito de
área Admite NSSA (compatible con RFC
3101)
Registro de eventos activado, Número máximo de eventos 1000,
Modo: cíclico El router no está originando router-LSAs con
métrica máxima Retraso inicial del programa SPF 5000 msecs
Tiempo mínimo de espera entre dos SPFs consecutivos 10000
mseg Tiempo máximo de espera entre dos SPFs consecutivos
10000 mseg Incremental-SPF desactivado
Intervalo mínimo de LSA 5 seg.
Llegada mínima de LSA 1000 mseg.
Temporizador de ritmo del grupo
LSA 240 seg.
Temporizador de ritmo de inundación de la interfaz
33 msecs Temporizador de ritmo de retransmisión 66
msecs
Número de LSA externas 0. Checksum Suma 0x000000
Número de AS LSA opacas 0. Checksum Suma 0x000000
Número de AS LSA externas y opacas DCbitless 0
Número de AS LSA externas y opacas DoNotAge 0
El número de áreas de este router es 1. 1 normal 0 stub 0 nssa
El número de áreas con capacidad de tránsito es 0
Longitud de la lista de
inundación externa 0 Soporte de
ayuda IETF NSF activado Soporte
de ayuda Cisco NSF activado
La unidad de ancho de banda de referencia
es 10000 mbps Área BACKBONE(0)
El número de interfaces en esta área es
3 El área no tiene autenticación
Algoritmo SPF ejecutado por última vez hace
00:18:32.788 Algoritmo SPF ejecutado 7 veces
Los rangos de área son
Número de LSA 3. Suma de comprobación 0x01BB59
Número de LSA de enlace opaco 0. Checksum Sum 0x000000

Número de LSA sin DCbit 0
Número de indicación LSA 0
Número de LSA DoNotAge 0
Longitud de la lista de
inundación 0
La forma más rápida de verificar la configuración de la interfaz OSPF es utilizar el comando show
ip ospf interface brief. Como se muestra en la salida para R1 en el Ejemplo 13-7, este comando
proporciona una lista detallada para cada interfaz habilitada para OSPF. El comando también es útil
para ver rápidamente el costo de cada interfaz y determinar si las declaraciones de red fueron
configuradas correctamente.
Ejemplo 13-7 Comando show ip ospf interface brief
R1# show ip o s p f interface brief

Interfaz PID Área Dirección IP/Máscara Coste Estado Nbrs
F/C Se0/0/110
0192.168.10.5/30 65535 P2P1/1
Se0/0/010 0172.16.3.1/306476 P2P1/1
Gi0/010 0172.16.1.1/24100DR0/0
Recursos de estudio

Ajuste y solución de problemas de
OSPF

■
Temas clave
La revisión de hoy se centra en el ajuste fino y la resolución de problemas de OSPFv2. El ajuste fino
de OSPF incluye la modificación de temporizadores, la realización de elecciones de DR/BDR y la
propagación de una ruta por defecto. También nos centramos en la resolución de problemas del
proceso OSPF.
Ejemplo de configuración de OSPFv2

Para afinar OSPFv2, utilizamos la topología de la Figura 12-1 y el esquema de direccionamiento de la Tabla 12-1.
Figura 12-1 Topología de configuración de OSPFv2

172.16.2.0/24
G0/0
R2
S0/0/0 S0/0/1
172.16.3.0/30 192.168.10.8/30
T11024 kbps
S0/0/0 S0/0/1
64 kbps
S/1/0
R1 S0/0/0 R3
Internet S0/0/1 192.168.10.4/30 G0/0
G0/0
172.16.1.0/24 192.168.1.0/24
Tabla 12-1 Esquema de direccionamiento para OSPFv2

Dispositivo Interfaz Dirección IP Máscara de subred
R1 G0/0 172.16.1.1 255.255.255.0
S0/0/0 172.16.3.1 255.255.255.252
S0/0/1 192.168.10.5 255.255.255.252
S0/1/0 209.165.200.226 255.255.255.224
R2 G0/0 172.16.2.1 255.255.255.0
S0/0/0 172.16.3.2 255.255.255.252
S0/0/1 192.168.10.9 255.255.255.252
R3 G0/0 192.168.1.1 255.255.255.0
S0/0/0 192.168.10.6 255.255.255.252
S0/0/1 192.168.10.10 255.255.255.252
El ejemplo 12-1 muestra los comandos de red para los tres routers para habilitar OSPFv2
en todas las interfaces.
Ejemplo 12-1 Configuración de redes OSPF
R1(config-router)# passive-interface g0/0
R1(config-router)# interfaz S0/0/1
R1(config-if)# ancho de banda 64
R2(config-router)# auto-costes reference-bandwidth 10000
Día 12 277

R3(config-if)# interfaz S0/0/1
Modificación de OSPFv2
Esta sección revisa los conceptos relacionados y los comandos para redistribuir una ruta por defecto,
ajustar las interfaces OSPF y manipular el proceso de elección del enrutador
designado/enrutador designado de respaldo (DR/BDR).
Redistribución de una ruta por defecto

En la Figura 12-1, R1 tiene un enlace a Internet que hace que R1 sea un router de frontera del
sistema autónomo (ASBR). Por lo tanto, configuramos una ruta por defecto a Internet y redistribuimos
la ruta estática por defecto a R2 y R3 con el comando default-information originate, como en el
Ejemplo 12-2.
Ejemplo 12-2 Configuración de la ruta estática por defecto del ASBR
R1(config)# ip route 0.0.0.0 0.0.0 Serial 0/1/0

R1(config-router)# default-information originate
Tanto R2 como R3 deberían tener ahora rutas por defecto identificadas con el código
O*E2, como en el ejemplo 12-3.
Ejemplo 12-3 Rutas OSPF de R2 y R3 con ruta por defecto
R2# show ip route o s p f

O172.16.1.0 [110/6477] vía 172.16.3.1, 00:02:45, Serial0/0/0
O192.168.1.0 [110/6486] vía 192.168.10.10, 00:00:55, Serial0/0/1
O192.168.10.4 [110/12952] vía 192.168.10.10, 00:00:55, Serial0/0/1
O*E2 0.0.0.0/0 [110/1] vía 172.16.3.1, 00:00:09, Serial0/0/0
R3# show ip route o s p f

O172.16.1.0 [110/6477] vía 192.168.10.5, 00:26:01, Serial0/0/0
O172.16.2.0 [110/6486] vía 192.168.10.9, 00:26:01, Serial0/0/1
O172 .16.3.0 [110/6540] vía 192.168.10.5, 00:26:01, Serial0/0/0
O*E2 0.0.0/0 [110/1] vía 192.168.10.9, 00:01:19, Serial0/0/1
Modificación de los intervalos de bienvenida y de espera

El intervalo de hola por defecto en redes multiacceso y punto a punto es de 10 segundos. Las redes de
multiacceso sin difusión (NBMA) tienen por defecto un intervalo de hola de 30 segundos. El intervalo
muerto por defecto es cuatro veces el intervalo de hola.
Podría ser deseable cambiar los temporizadores de OSPF para que los routers detecten los fallos de
la red en menos tiempo. Hacer esto aumenta el tráfico, pero a veces la necesidad de una convergencia
rápida compensa el tráfico extra.
Puede modificar manualmente los intervalos de hola y muerte de OSPF utilizando los siguientes comandos de
interfaz:
Router(config-if)# ip o s p f hello-interval seconds
Router(config-if)# ip o s p f dead-interval seconds
Aunque el intervalo muerto es por defecto cuatro veces el intervalo hola y no tiene que ser
configurado explícitamente, es una buena práctica documentar el nuevo intervalo muerto en la
configuración. El ejemplo 12-4 muestra el intervalo hello y el intervalo dead modificados a 5
segundos y 20 segundos, respectivamente, en la interfaz Serial 0/0/0 para R1.
Ejemplo 12-4 Modificación de los intervalos de bienvenida y de muerte en R1
R1(config)# interfaz serial 0/0/0

R1(config-if)# ip o s p f hello-interval
5 R1(config-if)# ip o s p f dead-interval
20
R1(config-if)# end
Recuerde que, a diferencia de lo que ocurre con el Protocolo de Enrutamiento de Pasarela Interior
Mejorado (EIGRP), con OSPF los intervalos de hola y muerte deben ser equivalentes entre vecinos.
Por lo tanto, R2 debe configurarse con los mismos intervalos que R1.
Tipos de red OSPF

OSPF define cinco tipos de red:
■
Punto a punto: Dos routers interconectados a través de un enlace común. No hay otros routers
en el enlace. Esta suele ser la configuración en los enlaces WAN.
■
Multiacceso de difusión: Múltiples routers interconectados a través de una red Ethernet.
■
NBMA: Múltiples routers interconectados en una red que no permite la difusión, como Frame
Relay.
■
Punto a multipunto: Múltiples routers interconectados en una topología hub-and-spoke sobre
una red NBMA. Suele utilizarse para conectar sucursales (radios) con un centro (hub).
■
Enlaces virtuales: Red especial de OSPF utilizada para interconectar áreas OSPF
distantes con el área troncal.
Las redes multiacceso crean dos retos para OSPF en lo que respecta a la inundación de LSAs:
■
Creación de múltiples adyacencias: Las redes Ethernet pueden interconectar potencialmente
muchos routers OSPF a través de un enlace común. Utilizando la fórmula n(n - 1) / 2, donde
n es igual al número de routers, 5 routers requerirían 10 adyacencias vecinas separadas; 10
routers requerirían 45.
Día 12 279
■
Inundación extensiva de LSAs: Los routers de estado de enlace inundan sus paquetes de
estado de enlace cuando OSPF se inicializa o cuando la topología cambia. Esta inundación
puede llegar a ser excesiva sin un mecanismo para reducir el número de adyacencias.
Elección DR/BDR
La solución para gestionar el número de adyacencias y la inundación de LSAs en una red
multiacceso es el router designado (DR). Para reducir la cantidad de tráfico OSPF en redes
multiacceso, OSPF elige un DR y un DR de respaldo (BDR). El DR es responsable de actualizar
todos los demás routers OSPF cuando se produce un cambio en la red multiacceso. El BDR
supervisa al DR y toma el relevo como DR si el DR actual falla.
Los siguientes criterios se utilizan para elegir el DR y el BDR:
■
El DR es el router con la mayor prioridad de la interfaz OSPF.
■
El BDR es el router con la segunda mayor prioridad de la interfaz OSPF.
■
Si las prioridades de las interfaces OSPF son iguales, el ID de router más alto rompe el empate.
Cuando se elige el DR, sigue siendo el DR hasta que se da una de las siguientes condiciones:
■
El RD falla.
■
El proceso OSPF en el DR falla.
■
La interfaz multiacceso en el DR falla.
Si el DR falla, el BDR asume el papel de DR, y se realiza una elección para elegir un nuevo BDR.
Si un nuevo router entra en la red después de que el DR y el BDR hayan sido elegidos, no se
convertirá en el DR o el BDR aunque tenga una prioridad de interfaz OSPF o un ID de router más
alto que el DR o el BDR actuales. El nuevo router puede ser elegido como BDR si el actual DR o
BDR falla. Si el DR actual falla, el BDR se convierte en el DR, y el nuevo router puede ser
elegido el nuevo BDR.
Sin configuración adicional, puedes controlar los routers que ganan las elecciones de DR y BDR
haciendo cualquiera de las siguientes acciones:
■
Arranca primero el DR, seguido por el BDR, y luego arranca todos los demás routers.
■
Apague la interfaz en todos los routers y luego emita un no shutdown en el DR, luego en el
BDR y luego en todos los demás routers.
Sin embargo, la forma recomendada para controlar las elecciones de DR/BDR es cambiar la prioridad de la
interfaz.
Control de la elección de DR/BDR

Debido a que el DR se convierte en el punto central para la recopilación y distribución de LSAs
en una red multiacceso, este router debe tener suficiente capacidad de CPU y memoria para manejar
la responsabilidad. En lugar de confiar en el ID del router para decidir qué routers son elegidos
como DR y BDR, es mejor controlar la elección de estos routers con el comando ip o s p f
priority interface:
Router(config-if)# ip o s p f priority {0 - 255}
El valor de prioridad por defecto es 1 para todas las interfaces de los routers, lo que significa que
el ID del router determina el DR y el BDR. Sin embargo, si se cambia el valor por defecto de 1 a
un valor más alto, el router con la prioridad más alta se convierte en el DR, y el router con la
siguiente prioridad más alta se convierte en el BDR. Un valor de 0 hace que el router no sea
elegible para convertirse en DR o BDR.
Todos los routers de la Figura 12-2 arrancaron al mismo tiempo con una configuración OSPF
completa. En esta situación, el R3 es elegido como DR y el R2 como BDR, basándose en los IDs de
router más altos, como se puede ver en la salida de la tabla de vecinos del R1 en el Ejemplo 12-5.
Figura 12-2 Topología de multiacceso

172.16.2.0/24
G0/1 .1
RID: 2.2.2.2
R2
G0/0 .2 BDR
192.168.1.0/28
172.16.1.0/24 172.16.3.0/24
G0/1 G0/0 G0/0.3 G0/1.1
.1R1 .1R3
RID: 1.1.1.1RID : 3.3.3.3
DR
Ejemplo 12-5 Verificación de la DR y la BDR

2.2.2.21 FULL/BDR 00:00:32 192.168.1.2 GigabitEthernet0/0
3.3.3.31 FULL/DR00 :00:38 192.168.1.3
GigabitEthernet0/0 R1#
Supongamos que R1 es el mejor candidato para ser DR y que R2 debe ser BDR. El Ejemplo 12-6
muestra una forma de controlar la elección de DR/BDR en la topología de la Figura 12-2.
Ejemplo 12-6 Modificación de la prioridad de la interfaz OSPF

R1(config-if)# ip o s p f priority 200

R2(config-if)# ip o s p f priority 100
Día 12 281
Observa que hemos cambiado ambos routers. Aunque el R2 era el BDR sin hacer nada, perdería
este papel a favor del R3 si no hubiéramos configurado la prioridad del R2 para que fuera mayor
que la predeterminada.
Antes de que R1 pueda convertirse en DR, el proceso OSPF necesita reiniciarse. Podemos hacer que
esto suceda apagando las interfaces o simplemente ingresando el comando clear ip ospf process en
modo EXEC privilegiado, como en el Ejemplo 12-7. La tabla de vecinos en R3 muestra que R1 es
ahora el DR, y R2 es el BDR.
Ejemplo 12-7 Reiniciar el proceso OSPF y verificar los nuevos DR y BDR
R1# clear ip o s p f process

¿Restablecer todos los procesos
OSPF? [no]: y R1#
R2# clear ip o s p f process

¿Restablecer todos los procesos
OSPF? [no]: y R2#
R3# clear proceso ip o s p f

Restablec ¿Procesos OSPF? [no]: y
er todo
R2#
Vecino ID Pri EstadoTiempo muerto DirecciónInterfaz

2.2.2.2 100 FULL/BDR 00:00:38 192.168.1.2 GigabitEthernet0/0
1.1.1.1 200 COMPLETO/DR00 192.168.1.1 GigabitEthernet0/0
:00:30
R3#
Solución de problemas de OSPF

Entender cómo funciona OSPF es fundamental para solucionar cualquier problema de OSPF. La clave
de esta comprensión es el concepto de los estados por los que pasa OSPF en su camino hacia la
adyacencia con un vecino.
Estados OSPF
La Figura 12-3 lista los estados OSPF. Cuando solucione problemas de vecinos OSPF, tenga en cuenta
que los estados FULL y TWO-WAY son normales. Todos los demás estados son transitorios.
Figura 12-3 Transición a través de los estados de OSPF
Estado de Down
Establecer adyacencias de vecinos

Estado de inicio
Estado bidireccional
Estado de ExStart
Sincronizar OSPF
Bases de datos Estado de los intercambios
Estado de carga
Estado completo
Adyacencia OSPF
La falta de adyacencia es un problema común en la resolución de problemas OSPF porque los
dos vecinos OSPF deben estar de acuerdo en varias configuraciones. Las adyacencias OSPF no se
forman por varias razones:
■
Las interfaces no están en la misma red.
■
Los tipos de red OSPF no coinciden.
■
Los temporizadores OSPF hello o dead no coinciden.
■
La interfaz hacia el vecino está configurada incorrectamente como pasiva.
■
Falta un comando de red OSPF o es incorrecto.
■
La autenticación está mal configurada.
Comandos de resolución de problemas de OSPF

Al tratar de aislar un problema de enrutamiento OSPFv2, los siguientes comandos son útiles:
■
show ip protocols: Verifica la información vital de la configuración OSPF, incluyendo el ID
del proceso OSPF, el ID del router, las redes que el router está anunciando, los vecinos de los
que el router está recibiendo actualizaciones y la distancia administrativa por defecto, que es 110
para OSPF.
■
show ip ospf neighbor: Verifica que el router ha formado una adyacencia con sus routers vecinos.
Día 12 283
■
show ip ospf interface: Muestra los parámetros OSPF configurados en una interfaz, como el ID
del proceso OSPF, el área, el coste y los intervalos del temporizador.
■
show ip o s p f : Examina el ID del proceso OSPF y el ID del router. Este comando también muestra
la información del área OSPF y la última vez que se calculó el algoritmo SPF.
■
show ip route ospf: Muestra sólo las rutas aprendidas de OSPF en la tabla de enrutamiento.
■
clear ip ospf process: Restablece las adyacencias de los vecinos de OSPFv2.
La figura 12-4 ilustra un método para utilizar estos comandos de forma sistemática.
Figura 12-4 Método sistemático para la resolución de problemas de OSPFv2
¿Problemas de conectividad debido al ¿Son operativas las interfaces?

¿Están las interfaces habilitadas para
enrutamiento?
OSPF? ¿Coincide el área OSPF?
Sí ¿Hay alguna interfaz que
esté configurada como
pasiva?
No
¿Es correcta la tabla Solucionar problemas
de vecinos?
show ip ospf neighbors
show ip interface brief ¿Se anuncian las redes? ¿Hay alguna
show ip ospf interface ACL que esté bloqueando los
Sí
anuncios?
¿Se está utilizando también otro
protocolo de enrutamiento con un AD
No inferior?
¿Es correcta la tabla Solucionar problemas ¿Están todas las áreas conectadas al Área 0?
de enrutamiento?
show ip protocols
show ip route ospf
Sí
Verificar el coste OSPF en una interfaz.

No Verificar el ancho de banda de referencia
¿El tráfico toma el Solucionar problemas OSPF.
camino deseado?
show ip route ospf
show ip ospf interface
Sí
¿Red funcional?
Recursos de estudio
Conceptos de seguridad de la red

■
Definir los conceptos clave de seguridad (amenazas, vulnerabilidades, exploits y técnicas de mitigación)
■
Describa los elementos del programa de seguridad (concienciación y formación de los usuarios, control de
acceso físico)
■
Describir los elementos de las políticas de seguridad de las contraseñas, como la gestión, la
complejidad y las alternativas a las contraseñas (autenticación multifactorial, certificados,
biometría)
Temas clave
Las redes informáticas alámbricas e inalámbricas son esenciales para las actividades cotidianas. Los
individuos y las organizaciones dependen de sus ordenadores y redes. La intrusión de una persona
no autorizada puede provocar costosas interrupciones de la red y pérdidas de trabajo. Los ataques a una
red pueden ser devastadores y provocar pérdidas de tiempo y dinero debido al daño o al robo de
información o activos importantes. Hoy revisaremos los fundamentos de la seguridad, incluyendo las
amenazas, las vulnerabilidades y los ataques.
Fundamentos de la seguridad
Los ciberdelincuentes disponen ahora de la experiencia y las herramientas necesarias para derribar
infraestructuras y sistemas críticos. Se utiliza una terminología específica para describir sus
herramientas y ataques.
Condiciones de seguridad
Los activos deben ser identificados y protegidos. Las vulnerabilidades deben ser abordadas antes de
que se conviertan en amenazas y sean explotadas. Se requieren técnicas de mitigación antes, durante y
después de un ataque. Revise los términos de seguridad en la Tabla 11-1.
Tabla 11-1 Términos de

seguridad
TérminoDescripción
ActivosCualquier cosa de valor para la organización, incluyendo personas, equipos, recursos y datos.
VulnerabilidadUna debilidad en un sistema o en su diseño que podría
ser explotada por una amenaza. AmenazaPeligro potencial para los activos, los datos o la
funcionalidad de la red de una empresa. ExplotaciónMecanismo que se aprovecha de una
vulnerabilidad.
MitigaciónProceso de adopción de contramedidas para reducir la probabilidad
o gravedad de una amenaza o riesgo potencial.
RiesgoLa probabilidad de que una amenaza explote la vulnerabilidad de un activo, con el
objetivo de afectar negativamente a una organización.
Vectores de ataque y exfiltración de datos

Un vector de ataque es una ruta por la que un actor de la amenaza puede acceder a un servidor, host o
red. Los vectores de ataque se originan fuera o dentro de una red. Por ejemplo, los actores de amenazas
pueden dirigirse a una red a través de Internet para interrumpir las operaciones de la red y crear un
ataque de denegación de servicio (DoS). Un usuario interno, como un empleado, podría interrumpir la
red accidental o intencionadamente o robar datos confidenciales. Las amenazas internas tienen el
potencial de causar más daño que las externas porque los usuarios internos tienen acceso directo al
edificio y a sus dispositivos de infraestructura.
Los empleados también pueden tener conocimiento de la red corporativa, sus recursos y sus datos
confidenciales. La pérdida de datos o la exfiltración de datos se produce cuando los datos se pierden, se
roban o se filtran al exterior de forma intencionada o no intencionada. Los profesionales de la seguridad
de la red deben proteger los datos de la organización. Deben implementarse varios controles de
prevención de pérdida de datos (DLP), combinando medidas estratégicas, operativas y tácticas. Los
vectores comunes de pérdida de datos se muestran en la Tabla 11-2.
Tabla 11-2 Vectores de pérdida de datos

VectorDescription
Correo electrónico/redes socialesLos mensajes de correo electrónico o
de mensajería instantánea interceptados podrían ser
capturados y revelar información confidencial.
Dispositivos sin cifrarSi los datos no se almacenan utilizando un algoritmo de cifrado, el ladrón
puede ser capaz de
para recuperar valiosos datos confidenciales.
Dispositivos de almacenamiento en la nubeLos datos sensibles pueden
perderse si el acceso a la nube se ve comprometido debido a
una configuración de seguridad débil.
Medios extraíblesUn empleado podría realizar una transferencia no autorizada de
datos a un USB
o una unidad USB que contenga valiosos datos corporativos podría perderse.
Copia impresaLos datos confidenciales deben destruirse cuando ya no sean
necesarios.
Control de acceso inadecuadoLas contraseñas o las contraseñas débiles que han sido
comprometidas pueden proporcionar un
actor de la amenaza con fácil acceso a los datos corporativos.
Herramientas de pruebas de penetración

Para validar la seguridad de una red y sus sistemas, se han desarrollado muchas herramientas de
pruebas de penetración de redes (véase la Tabla 11-3). Por desgracia, los actores de las amenazas
también pueden utilizar muchas de estas herramientas para su explotación.
Tabla 11-3 Tipos de herramientas de

penetración HerramientaDescripción
Descifradores de contraseñasLas herramientas de descifrado de contraseñas suelen denominarse
herramientas de recuperación de contraseñas y
puede utilizarse para descifrar o recuperar una contraseña. Los descifradores
de contraseñas hacen repetidas conjeturas para descifrar la contraseña.
Herramientas de hacking inalámbricoLas herramientas de hacking inalámbrico se utilizan para hackear
intencionadamente una red inalámbrica
red para detectar vulnerabilidades de seguridad.
Herramientas de escaneo de
redes y de piratería informática Las herramientas de escaneo de red se utilizan para sondear dispositivos
de red, servidores y hosts en busca de puertos TCP o UDP abiertos.
Día 11 287
Descripción de la herramienta
Herramientas de análisis de paquetesEstas herramientas se utilizan para comprobar la solidez de un
cortafuegos mediante el uso de herramientas especiales.
paquetes falsificados.
Packet sniffersEstas herramientas se utilizan para capturar y analizar paquetes en la Ethernet tradicional
LANs o WLANs.
Detectores de RootkitEste es un comprobador de integridad de directorios y archivos
utilizado por los sombreros blancos para detectar
rootkits instalados.
Herramientas forensesEstasherramientas son utilizadas por los hackers de sombrero
blanco para olfatear cualquier rastro de evidencia
existente en un ordenador.
DepuradoresEstasherramientas son utilizadas por los sombreros negros
para realizar ingeniería inversa de los archivos binarios al escribir exploits.
También las utilizan los sombreros blancos cuando analizan el malware.
Sistemas operativos de hackingSon sistemas operativos especialmente diseñados y
precargados con herramientas
optimizado para la piratería.
Herramientas de encriptaciónLas herramientas de encriptación utilizan esquemas
de algoritmos para codificar los datos y evitar
acceso no autorizado a los datos encriptados.
Herramientas de explotación de vulnerabilidadesEstas herramientas
identifican si un host remoto es vulnerable a un ataque de seguridad.
Escáneres de vulnerabilidadEstas herramientas escanean una red o un sistema para
identificar los puertos abiertos. Pueden
también se puede utilizar para buscar vulnerabilidades conocidas y
escanear máquinas virtuales (VM), dispositivos llevados al trabajo por
individuos en una situación de "traiga su propio dispositivo" (BYOD) y
bases de datos de clientes.
Tipos de ataque
Los actores de las amenazas pueden utilizar herramientas para crear una variedad de ataques. La Tabla
11-4 muestra los tipos de ataques más comunes.
Tabla 11-4 Tipos comunes de ataques

Tipo de
ataqueDescripción
Ataque de escuchaUn actor de la amenaza captura y "escucha" el tráfico de la red. Este ataque
también se conoce como sniffing o snooping.
Ataque de modificación de datosSi los actores de la amenaza han capturado el tráfico de la
empresa, pueden alterar los datos en
el paquete sin el conocimiento del emisor o del receptor.
Ataque de suplantación de direcciones IPUn actor de la amenaza construye un
paquete IP que parece originarse en un
dirección válida dentro de la intranet corporativa.
Ataques basados en la contraseñaUn actor de la amenaza que descubre una cuenta de usuario
válida tiene los mismos derechos que
el usuario real. Un actor de la amenaza puede utilizar una cuenta válida para
obtener listas de otros usuarios o información de la red, cambiar las
configuraciones del servidor y de la red, y modificar, redirigir o eliminar
datos.
Ataque de denegación de servicioUn ataque de denegación de servicio impide el uso
normal de un ordenador o de una red por parte de personas válidas
usuarios. Un ataque DoS puede inundar de tráfico a un ordenador o a toda
una red hasta que se produzca un apagado debido a la sobrecarga. Un ataque
DoS también puede bloquear el tráfico, lo que resulta en una pérdida de
acceso a los recursos de la red por parte de los usuarios autorizados.
Tipo de ataqueDescripción
Ataque Man-in-the-middleEste ataque se produce cuando los actores de la amenaza
se han posicionado entre
un origen y un destino. Pueden supervisar, capturar y controlar activamente
la comunicación de forma transparente.
Ataque de clave comprometidaSi un actor de la amenaza obtiene una clave secreta, esa clave
se denomina
clave comprometida. Una clave comprometida puede utilizarse para acceder a una
comunicación segura sin que el emisor o el receptor se den cuenta del ataque.
Ataque de snifferUn sniffer es una aplicación o dispositivo que puede leer,
monitorizar y capturar intercambios de datos de red y leer paquetes de
red. Si los paquetes no están encriptados, un sniffer proporciona una
visión completa de los datos dentro del paquete.
Tipos de malware
El malware, que es la abreviatura de software malicioso, es un código o software diseñado específicamente
para dañar, interrumpir, robar o infligir una acción "mala" o ilegítima sobre los datos, los hosts o las
redes.Los virus, los gusanos y los troyanos son tipos de malware:
■
Un gusano ejecuta código arbitrario e instala copias de sí mismo en la memoria del ordenador
infectado. El objetivo principal de un gusano es replicarse automáticamente y propagarse por la
red de un sistema a otro.
■
Un virus es un software malicioso que ejecuta una función específica, no deseada y a menudo
dañina en un ordenador.
■
Un troyano es un tipo de malware que no se auto-replica. Suele contener un código malicioso que
está diseñado para parecer otra cosa, como una aplicación o un archivo legítimos. Cuando se
descarga y abre una aplicación o archivo infectado, el troyano puede atacar el dispositivo final
desde dentro.
La Tabla 11-5 describe algunos otros tipos de malware.
Tabla 11-5 Otros tipos de malware
MalwareDescripción
AdwareEl adware suele distribuirse mediante la descarga de software en línea.
El adware puede mostrar publicidad no solicitada mediante ventanas emergentes del

navegador o nuevas barras de herramientas, o puede redirigir inesperadamente a un
usuario desde una página web a otro sitio.
Las ventanas emergentes pueden ser difíciles de controlar, ya que pueden aparecer
nuevas ventanas más rápido de lo que el usuario puede cerrarlas.
RansomwareEl ransomware suele negar al usuario el acceso a sus archivos cifrándolos y mostrando
un mensaje en el que se pide un rescate por la clave de descifrado.
Los usuarios que no tienen copias de seguridad actualizadas deben pagar el
rescate para descifrar sus archivos. El pago suele realizarse mediante
transferencia bancaria o criptomonedas como el bitcoin.
Día 11 289
MalwareDescription
RootkitLos actores de la amenaza utilizan rootkits para obtener acceso a nivel de cuenta
de administrador a un ordenador.
Son muy difíciles de detectar porque pueden alterar el cortafuegos, la protección antivirus,
los archivos del sistema e incluso los comandos del sistema operativo para ocultar su
presencia.
Un rootkit puede proporcionar una puerta trasera a los actores de la amenaza, dándoles
acceso al PC y permitiéndoles cargar archivos e instalar nuevo software para utilizarlo
en un ataque DoS distribuido (DDoS).
Se deben utilizar herramientas especiales de eliminación de rootkits para eliminarlos, o
puede ser necesaria una reinstalación completa del sistema operativo.
El spywareSpyware es similar al adware pero se utiliza para recopilar información
sobre el usuario y enviarla a los actores de la amenaza sin el consentimiento del
usuario.
El spyware puede ser una amenaza baja, que recopila datos de navegación, o puede ser
una amenaza alta, que captura información personal y financiera.
Ataques a la red
Los ataques a la red incluyen ataques de reconocimiento, ataques de acceso, ataques DoS, ataques de
ingeniería social y ataques para explotar las vulnerabilidades del conjunto de protocolos TCP/IP.
Ataques de reconocimiento
El reconocimiento es la recopilación de información. Los actores de la amenaza utilizan los ataques de
reconocimiento (o recon) para hacer un descubrimiento y mapeo no autorizado de sistemas, servicios o
vulnerabilidades. Los ataques de reconocimiento preceden a los ataques de acceso o a los ataques DoS.
La Tabla 11-6 describe algunas técnicas comunes de ataques de reconocimiento.
Tabla 11-6 Técnicas de ataque de

reconocimiento TécnicaDescripción
Realizar una consulta de El actor de la amenaza busca información inicial sobre un objetivo. Se
información de un objetivo pueden utilizar varias herramientas, como una búsqueda en Google, el sitio
web de la organización y el whois.
Iniciar un barrido ping del objetivo La consulta de información suele revelar la dirección de red del objetivo. El
red El actor de la amenaza puede entonces iniciar un barrido de ping para
determinar qué direcciones IP están activas.
Iniciar un escaneo de puertos Un escáner de puertos puede utilizarse para determinar qué puertos o
de direcciones IP activas servicios están disponibles. Algunos ejemplos de escáneres de puertos son
Nmap, SuperScan, Angry IP Scanner y NetScanTools.
Ejecutar escáneres de vulnerabilidadUn escáner de vulnerabilidad puede consultar los puertos
identificados para determinar el tipo
y la versión de la aplicación y el sistema operativo que se ejecuta en el host.
Algunos ejemplos de estas herramientas son Nipper, Secunia PSI, Core Impact,
Nessus v6, SAINT y Open VAS.
Ejecutar herramientas de explotaciónEl actor de la amenaza intenta descubrir servicios
vulnerables que pueden ser
explotada. Existen diversas herramientas de explotación de vulnerabilidades,
como Metasploit, Core Impact, sqlmap, Social-Engineer Toolkit y
Netsparker.
Ataques de acceso
El objetivo de los ataques de acceso es conseguir la entrada a cuentas web, bases de datos
confidenciales y otra información sensible. Los actores de la amenaza utilizan los ataques de acceso en
los dispositivos de red y ordenadores para recuperar datos, obtener acceso o escalar los privilegios de
acceso al estado de administrador. La Tabla 11-7 describe los ataques de acceso.
Tabla 11-7 Tipos de ataques de acceso

Ataque de accesoDescripción
Ataque a las contraseñasEl actor de la amenaza intenta descubrir las contraseñas críticas del sistema
utilizando varios métodos. Los ataques a las contraseñas son muy comunes
y pueden ser lanzados utilizando una variedad de herramientas de
cracking de contraseñas.
Ataque de suplantaciónEl actor de la amenaza hace que un dispositivo se haga pasar
por otro falsificando los datos.
Los ataques de spoofing más comunes incluyen el spoofing de IP, el
spoofing de MAC y el spoofing de DHCP.
Explotación de la confianzaEl actor de la amenaza utiliza privilegios
no autorizados para obtener acceso a un sistema, posiblemente
comprometiendo el objetivo.
Redirección de puertosEl actor de la amenaza utiliza un sistema comprometido como
base para los ataques contra
otros objetivos.
Ataque Man-in-the-middleEl actor de la amenaza se sitúa entre dos entidades
legítimas para
leer o modificar los datos que pasan entre las dos partes.
Ataque de desbordamiento del búferEl actor de la amenaza explota la
memoria del búfer y la satura con
valores inesperados. Esto suele dejar el sistema inoperativo, creando un
ataque DoS.
Ataques de ingeniería social

En los ataques de ingeniería social, los actores de la amenaza intentan manipular a los individuos para
que realicen acciones o divulguen información confidencial. La Tabla 11-8 describe las técnicas de
ingeniería social.
Tabla 11-8 Tipos de ataques de ingeniería social

Ataque de
Descripción
ingeniería social
PretextingAtaque en el que un actor de la amenaza finge necesitar datos
personales o financieros para confirmar la identidad del objetivo.
PhishingAtaque en el que un actor de la amenaza envía un correo electrónico fraudulento que se disfraza
como si fuera de una fuente legítima y de confianza para engañar al
destinatario para que
instalar programas maliciosos en su dispositivo o compartir información
personal o financiera.
Spear phishingAtaque en el que un actor de la amenaza crea un ataque de phishing dirigido a una persona u
organización específica.
SpamCorreo electrónico no solicitado, también conocido como correo basura, que a menudo contiene enlaces
dañinos, malware o contenido engañoso.
Día 11 291
Ataque de Descripción
ingeniería social
Algo por algoA veces se denomina quid pro quo, un ataque en el que un actor de la amenaza solicita
información personal de una parte a cambio de algo como un regalo.
BaitingAtaque en el que un actor de la amenaza deja una unidad flash
infectada con malware en un lugar público. Una víctima encuentra la
unidad y la inserta en un portátil, instalando involuntariamente el
malware.
Suplantación de identidadUn ataque en el que un actor de la amenaza se hace pasar por
alguien que no es para
ganarse la confianza de la víctima.
TailgatingAtaque en el que un actor de la amenaza sigue rápidamente a una persona autorizada en un lugar
seguro para acceder a una zona segura.
Shoulder surfingAtaque en el que un actor de la amenaza mira discretamente por encima de alguien
hombro para robar contraseñas u otra información.
Búsqueda en el contenedor de basuraAtaque en el que un actor de la amenaza rebusca
en los contenedores de basura para descubrir
documentos confidenciales.
Ataques DoS y DDoS

Un ataque DoS crea algún tipo de interrupción de los servicios de red a los usuarios, dispositivos o
aplicaciones. Los ataques DoS se crean de dos maneras:
■
Cantidad abrumadora de tráfico: El actor de la amenaza envía una enorme cantidad de
datos a una velocidad que la red, el host o la aplicación no pueden manejar. Esto hace que los
tiempos de transmisión y respuesta se ralenticen. También puede colapsar un dispositivo o
servicio.
■
Paquetes con formato malicioso: El actor de la amenaza envía un paquete con formato malicioso a
un host o a una aplicación, y el receptor es incapaz de manejarlo. Esto hace que el dispositivo
receptor funcione muy lentamente o se bloquee.
Los ataques DoS son relativamente sencillos de llevar a cabo, incluso por parte de un actor de la
amenaza sin experiencia. Un ataque DDoS es similar a un ataque DoS, pero se origina desde múltiples
fuentes coordinadas. Por ejemplo, un actor de la amenaza puede construir una red de hosts infectados,
conocidos como zombis. Una red de zombis se denomina botnet. El actor de la amenaza puede entonces
utilizar un programa de comando y control (CnC) para instruir a la red de bots de zombis para llevar a
cabo un ataque DDoS.
Ataques IP
IP no valida si la dirección IP de origen contenida en un paquete procede realmente de esa fuente.
Por esta razón, los actores de la amenaza pueden enviar paquetes utilizando una dirección IP de origen
falsa. Los actores de las amenazas también pueden manipular los demás campos de la cabecera IP para
llevar a cabo sus ataques. Los analistas de seguridad deben entender los diferentes campos de las
cabeceras IPv4 e IPv6. La Tabla 11-9 describe algunos de los ataques más comunes relacionados con
IP.
Tabla 11-9 Tipos de ataques IP

Técnica de ataque IPDescripción
Ataques ICMPLos actores de la amenaza utilizan paquetes de eco
(pings) del Protocolo de Mensajes de Control de Internet (ICMP) para
descubrir subredes y hosts en una red protegida, para generar ataques de
inundación DoS y para alterar las tablas de enrutamiento de los hosts.
Ataque de amplificación y
Los actores de la amenaza intentan impedir que los usuarios legítimos accedan a
reflexión
la información o a los servicios mediante ataques DoS y DDoS. En un tipo de
ataque de amplificación y reflexión, el actor de la amenaza reenvía mensajes de
solicitud de eco ICMP a muchos hosts.
Estos mensajes contienen la dirección IP de origen de la víctima. Por lo tanto, todos
estos hosts responden a la dirección IP falsa de la víctima y la abruman.
Ataque de suplantación de direcciónLos actores de la amenaza suplantan la dirección IP de
origen en un paquete IP para realizar una suplantación ciega o no ciega. En la
suplantación no ciega, el actor de la amenaza puede ver el tráfico que se envía
entre el host y el objetivo. El actor de la amenaza utiliza la suplantación no ciega
para inspeccionar el paquete de respuesta de la víctima objetivo. La suplantación
no ciega determina el estado de un cortafuegos y la predicción del número de
secuencia. También puede hacerse para secuestrar una sesión autorizada. En la
suplantación ciega, el actor de la amenaza no puede ver el tráfico que se envía
entre el host y el objetivo.
La suplantación ciega se utiliza en los ataques DoS.
Man-in-the-middle (MITM) Los actores de la amenaza se posicionan entre una fuente y un destino para
ataqu supervisar, capturar y controlar la comunicación de forma transparente.
e Pueden espiar inspeccionando los paquetes capturados o alterar los paquetes
y reenviarlos a su destino original.
Secuestro de sesiónLos actores de la amenaza obtienen acceso a la red física y luego
utilizan un ataque MITM para secuestrar una sesión.
Ataques a la capa de transporte

Los actores de amenazas realizan escaneos de puertos de los dispositivos objetivo para descubrir qué
servicios están disponibles. Un actor de amenazas puede explotar TCP y UDP de las siguientes
maneras:
■
Ataque de inundación TCP SYN: Este tipo de ataque se aprovecha del apretón de manos TCP de
tres vías. El actor de la amenaza envía continuamente paquetes de solicitud de sesión TCP SYN
con una dirección IP de origen falsificada al azar a un objetivo. El dispositivo objetivo responde
con un paquete TCP SYN-ACK a la dirección IP falsificada y espera un paquete TCP ACK. Las
respuestas nunca llegan. Finalmente, el host de destino se ve abrumado con conexiones TCP medio
abiertas, y los servicios TCP se niegan a los usuarios legítimos.
■
Ataque de reinicio de TCP: Un actor de la amenaza podría utilizar un ataque de restablecimiento de
TCP para enviar un paquete falsificado que contenga un RST de TCP a uno o ambos puntos
finales, lo que crea una condición de DoS para la conexión.
■
Secuestro de sesión TCP: Un actor de la amenaza toma el control de un host ya autenticado
mientras se comunica con el objetivo. El actor de la amenaza debe falsificar la dirección IP de un
host, predecir el siguiente número de secuencia y enviar un ACK al otro host. Si tiene éxito, el
actor de la amenaza podría enviar, pero no recibir, datos del dispositivo objetivo.
■
Ataque de inundación UDP: El actor de la amenaza utiliza una herramienta para enviar una
avalancha de paquetes UDP, a menudo desde un host suplantado, a un servidor de la subred. El
programa barre todos los puertos conocidos, tratando de encontrar puertos cerrados. Esto hace que
el servidor responda con un mensaje ICMP de puerto inalcanzable. Como hay muchos puertos
cerrados en el servidor, hay mucho tráfico en el segmento, que utiliza la mayor parte del ancho de
banda. El resultado es muy similar al de un ataque DoS.
Día 11 293
Programa de seguridad
Una organización debe educar a su comunidad de usuarios a través de un programa de seguridad. Un
programa de seguridad eficaz incluye los siguientes elementos básicos:
■
Concienciación de los usuarios: Todos los usuarios deben ser conscientes de la necesidad de
la confidencialidad de los datos para proteger la información corporativa, así como sus propias
credenciales e información personal. También deben ser conscientes de las amenazas
potenciales, de los esquemas para engañar y de los procedimientos adecuados para informar de
los incidentes de seguridad. También se debe instruir a los usuarios para que sigan directrices
estrictas sobre la pérdida de datos.
■
Formación de los usuarios: Se debe exigir a todos los usuarios que participen en una
formación formal periódica para que se familiaricen con todas las políticas de seguridad de
la empresa.
■
Control de acceso físico: Los lugares de la infraestructura, como los armarios de la red y los
centros de datos, deben permanecer cerrados con seguridad. Los administradores deben
controlar el acceso físico y eliminar rápidamente el acceso cuando un empleado sea
despedido.
Recursos de estudio

Conceptos de ACL

■
Configurar y verificar las listas de control de acceso
Temas clave
Una de las habilidades más importantes que necesita un administrador de red es el dominio de
las listas de control de acceso (ACL). Los administradores utilizan las ACL para detener el tráfico o
permitir sólo el tráfico especificado en sus redes. Las ACL estándar y extendidas pueden aplicar una
serie de funciones de seguridad, como el enrutamiento basado en políticas, la calidad de servicio
(QoS), la traducción de direcciones de red (NAT) y la traducción de direcciones de puerto (PAT).
También puedes configurar ACLs estándar y extendidas en las interfaces de los routers para
controlar el tipo de tráfico que se permite a través de un determinado router. Hoy repasaremos los
conceptos de las ACL, incluyendo qué son, cómo las utiliza un router para filtrar el tráfico y qué tipos
de ACL están disponibles.
Operación ACL
El funcionamiento por defecto de un router es reenviar todos los paquetes, siempre que exista una ruta
para el paquete y el enlace esté activo. Las ACLs pueden ayudar a implementar un nivel básico de
seguridad. Sin embargo, no son la única solución de seguridad que una gran organización debería
implementar. De hecho, las ACLs aumentan la latencia de los routers. Si una organización es muy
grande, con routers que gestionan el tráfico de cientos o miles de usuarios, lo más probable es que el
administrador utilice una combinación de otras implementaciones de seguridad que están fuera del
alcance del CCNA.
Definición de una ACL

Una ACL es un script de configuración del router (es decir, una lista de declaraciones) que controla si un
router permite o deniega el paso de paquetes, basándose en los criterios de la cabecera del paquete. Para
determinar si un paquete está permitido o denegado, se comprueba con las sentencias de la ACL en
orden secuencial. Cuando una sentencia coincide, no se evalúan más sentencias; el paquete se permite o
se deniega. Hay una sentencia implícita de denegación al final de la ACL. Si un paquete no coincide con
ninguna de las sentencias de la ACL, se descarta.
Procesamiento de las ACL de la interfaz

Se pueden aplicar ACLs a una interfaz para el tráfico entrante y saliente. Sin embargo, se necesita una
ACL distinta para cada dirección. El diagrama de flujo de la Figura 10-1 detalla los pasos que sigue un
router al evaluar una ACL en las interfaces de entrada y salida.
Figura 10-1 Procesamiento de la interfaz ACL para el tráfico entrante y saliente
TRÁFICO DE ENTRADA
Hacer una búsqueda en la tabla de rutas TRÁFICO DEDescartar
SALIDA mensaje ICMP
¿Paquete no rastreable?
Sí
Paquete
entrante
ACL en ¿Sin interfaz? ACL en ¿Sin interfaz?

PERMISO PERMISO
Sí Sí
Aplicar condición Aplicar condición

¿Condición MatchYes? ¿Condición MatchYes?
Comprobar la siguiente entrada No

Comprobar la siguiente entrada
N
SíMás NoDENY SíMás NoDENY

¿Condiciones? Mensaje ICMP ¿Condiciones? Mensaje ICMP
Para el tráfico de entrada, el router comprueba si hay una ACL de entrada aplicada a la interfaz antes de
hacer una búsqueda en la tabla de rutas. Luego, para el tráfico saliente, el router se asegura de que
existe una ruta al destino antes de comprobar si hay ACLs. Finalmente, si una declaración ACL resulta
en un paquete perdido, el router envía un mensaje ICMP de destino inalcanzable.
La elección de utilizar una ACL de entrada o de salida es fácil de hacer si, en primer lugar, te colocas
dentro del router, es decir, eres el router. Desde esta posición, puedes visualizar el procesamiento de un
paquete que llega a una interfaz del router (de entrada), decidir qué hacer con el paquete (¿Hay una
ACL de entrada? ¿Hay una ruta al destino?), y reenviar el paquete (¿Cuál es la interfaz de salida? ¿Hay
una ACL en la interfaz?).
Lógica de listas con ACLs de IP

Una ACL es una lista de comandos que se procesan en orden, desde la primera declaración de la lista
hasta la última. Cada comando tiene una lógica de coincidencia diferente que el router debe aplicar a
cada paquete cuando se activa el filtrado. Las ACLs utilizan la lógica de la primera coincidencia. Si un
paquete coincide con una línea de la ACL, el router toma la acción indicada en esa línea de la ACL e
ignora el resto de las declaraciones de la ACL.
Por ejemplo, la Figura 10-2 muestra la ACL 1 con tres líneas de pseudocódigo. La ACL se aplica a la
interfaz S0/0/1 de R2, como indica la flecha. El tráfico entrante de R1 se filtrará utilizando la ACL
1.
Día 10 297
Figura 10-2 Ejemplo de lógica de coincidencia de ACL

192.168.10.5
D
10.1.1.1
F1/1
A
S1
F0/0 S0/0/0 F0/0
B R1 S0/0/1R2
F0/1
10.1.1.2 ACL 1 Pseudocódigo
C Si el origen es 10.1.1.1
Permitir Si el origen es
10.1.1.x Denegar
10.3.3.3 Si Fuente = 10.x.x.x Permiso
Implícito "Denegar cualquiera"
Host AHost BHost C

S_IP = 10. 1.1.1S_IP = 10.1.1.2S_IP = 10.3.3.3
Si la fuente = 10.1.1.1 PermitirSi la fuente = 10.1.1.1 Permitir Si la fuente =

10.1.1.x NegarSi la fuente = 10.1.1.x NegarSi la fuente = 10.1.1.x Negar Si la
fuente = 10.x.x.x PermitirSi la fuente = 10.x.x.x Permitir
La leyenda:
S_IP Dirección IP de origen

Examinada y coincidente
Examinada y no coincidente
El cuadro debajo de la topología muestra la lógica de cómo se procesan los paquetes de cada
dirección de origen del host (etiquetada como S_IP en la figura). Observe que cuando se produce una
coincidencia para el host A y el host B, se aplica la condición (el host A está permitido y el host B
está denegado), y no se evalúan más declaraciones. El host C coincide con la última sentencia de la
lista y está permitido.
El host D no coincide con ninguno de los elementos de la ACL, por lo que el paquete se descarta. La
razón es que cada ACL IP tiene un deny any implícito al final de la ACL.
Planificación del uso de ACLs

Dado que una ACL puede utilizarse para filtrar el tráfico, es importante planificar a fondo la
implementación de una ACL antes de configurarla.
Tipos de ACL
Las ACL pueden configurarse para filtrar cualquier tipo de tráfico de protocolo, incluidos otros
protocolos de la capa de red como AppleTalk e IPX. Para el examen CCNA, nos centramos en
las ACL de IPv4 e IPv6, que vienen en los siguientes tipos:
■
ACLs IPv4 estándar: Filtran el tráfico basándose únicamente en la dirección de origen
■
ACLs IPv4 e IPv6 ampliadas: Puede filtrar el tráfico en función de la dirección de origen y
destino, protocolos específicos y puertos TCP y UDP de origen y destino
Puede utilizar dos métodos para identificar tanto las ACL estándar como las extendidas:
■
ACLs IPv4 numeradas: Utiliza un número para la identificación
■
ACLs IPv4 e IPv6 con nombre: Utiliza un nombre o número descriptivo para su identificación
Las ACLs con nombre deben utilizarse con algunos tipos de configuraciones de Cisco IOS, incluyendo
las ACLs IPv6. Sin embargo, proporcionan dos ventajas básicas para las ACLs IPv4 estándar y
extendidas:
■
Al utilizar un nombre descriptivo (como BLOCK-HTTP), un administrador de red puede determinar
más rápidamente el propósito de una ACL. Esto es especialmente útil en redes grandes, donde un
router puede tener muchas ACL con cientos de declaraciones.
■
Reducen la cantidad de escritura que debe hacer para configurar cada declaración en una ACL
con nombre, como se ve en el Día 9, "Implementación de ACL".
Tanto las ACL numeradas como las nombradas pueden ser configuradas para implementaciones de
ACL estándar y extendidas. La Figura 10-3 resume las categorías de ACL IPv4.
Figura 10-3 Comparación de los tipos de ACL IPv4
Estándar numerado Estándar Nombrado Estándar: A juego con

- Fuente IP
Numeración ampliada Extendido NombradoAmpliado: Coincidiendo con

Origen y destino. IP
Origen y destino. Puerto
Otros
Numerado: Nombrado:
Identificación con númeroID con nombre
Comandos globales Subcomandos
Identificación de ACL
La Tabla 10-1 enumera los diferentes rangos de números de ACL para el protocolo IPv4. La tabla no es
exhaustiva. Hay otros números de ACL disponibles para otros tipos de protocolos que se usan poco o
están fuera del alcance del CCNA. IPv6 sólo utiliza ACLs con nombre.
Día 10 299
Tabla 10-1 Números de ACL IPv4

ProtocoloRango
IP1-99
IP100-199 ampliado
Norma IP (ampliada)1300-1999
IP extendida (ampliada)2000-2699
Las ACLs con nombre le dan más flexibilidad para trabajar con las entradas de la ACL. Además
de utilizar nombres más memorables, el uso de ACLs con nombre en lugar de ACLs numeradas le
permite eliminar declaraciones individuales en una lista de acceso IP con nombre.
La versión 12.3 del software Cisco IOS introdujo la numeración secuencial de las entradas de
las listas de acceso IP tanto para las ACL numeradas como para las nombradas. La numeración
secuencial de las entradas de la lista de acceso IP ofrece las siguientes ventajas:
■
Puede editar el orden de las declaraciones ACL.
■
Puede eliminar declaraciones individuales de una ACL.
■
Puede utilizar el número de secuencia para insertar nuevas sentencias en medio de la ACL.
Los números de secuencia se añaden automáticamente a la ACL si no se introducen explícitamente

en el momento de crearla.
Directrices de diseño de ACL

Las ACL bien diseñadas e implementadas añaden un importante componente de seguridad a su
red. Siga estos principios generales para asegurarse de que las ACL que cree tengan los
resultados previstos:
■
En función de las condiciones de la prueba, elija una ACL estándar o ampliada, numerada o con nombre.
■
Sólo se permite una ACL por protocolo, por dirección y por interfaz.
■
Organice la ACL para permitir el procesamiento de arriba hacia abajo. Organice su ACL de manera
que las referencias más específicas a una red, subred o host aparezcan antes de las más generales.
Coloque las condiciones que se dan con más frecuencia antes de las que se dan con menos
frecuencia.
■
Todas las ACLs contienen una declaración implícita deny any al final.
■
Cree la ACL antes de aplicarla a una interfaz.
■
Dependiendo de cómo se aplique la ACL, ésta filtra el tráfico que atraviesa el router o que va hacia
y desde el router, como el tráfico hacia o desde las líneas vty.
■
Normalmente debe colocar las ACL extendidas lo más cerca posible del origen del tráfico que
quiere denegar. Dado que las ACL estándar no especifican las direcciones de destino, debe
colocar la ACL estándar lo más cerca posible del destino del tráfico que desea denegar para que
el origen pueda llegar a las redes intermedias.
Recursos de estudio

3
Implementación de ACL

■
Configurar y verificar las listas de control de acceso
Temas clave
En el Día 10, "Conceptos de ACL", revisamos los conceptos de ACL. Hoy nos centraremos en la
configuración, verificación y resolución de problemas de las ACL de IPv4 e IPv6.
Configuración de ACLs IPv4

estándar numeradas
Las ACLs IPv4 estándar, que son ACLs numeradas en los rangos 1 a 99 y 1300 a 1999 o son ACLs
con nombre, filtran los paquetes basándose en una dirección de origen y una máscara. Permiten o
deniegan todo el conjunto de protocolos TCP/IP. La configuración de una ACL requiere dos
pasos:
Paso 1. Cree la ACL.
Paso 2. Aplique la ACL.
Utilicemos la topología simple de la Figura 9-1 para demostrar cómo configurar ACLs IPv4
estándar y extendidas.
Figura 9-1 Topología de configuración de ACL IPv4
No
172.16.3.0/24172.16.0.0172.16.4.0/24
S0/0/0
G0/1 172.16.4.13
G0/0
R1
ACL IPv4 estándar numerada: Permitir red específica

Cree una ACL para evitar que el tráfico que no forma parte de las redes internas
(172.16.0.0/16) salga por cualquiera de las interfaces Gigabit Ethernet:
Paso 1. Cree la ACL. Utilice el comando de configuración global access-list para crear una
entrada en una ACL IPv4 estándar:
R1(config)# access-list 1 permit 172.16.0.0 0.0.255.255
La sentencia de ejemplo coincide con cualquier dirección que empiece por 172.16.x.x. Puede
utilizar la opción
opción de comentario para añadir una descripción a la ACL.
Paso 2. Aplique la ACL. Utilice el comando de configuración de la interfaz para seleccionar una
interfaz a la que aplicar la ACL. A continuación, utilice el comando de configuración de
interfaz ip access-group para activar la ACL existente en una interfaz para una
dirección específica (entrada o salida):
R1(config-if)# ip access-group 1 out
R1(config-if)# interfaz gigabitethernet 0/1
Este paso activa la ACL 1 IPv4 estándar en ambas interfaces como filtro de salida.
Esta ACL sólo permite que el tráfico de la red de origen 172.16.0.0 se reenvíe por G0/0 y G0/1.
El tráfico procedente de otras redes distintas de la 172.16.0.0 se bloquea con el deny any
implícito.
ACL IPv4 estándar numerada: denegar un host específico

Cree una ACL para evitar que el tráfico que se origina en el host 172.16.4.13 salga por G0/0.
Cree y aplique la ACL con los comandos del Ejemplo 9-1.
Ejemplo 9-1 ACL que impide el tráfico procedente de un host específico
R1(config)# access-list 1 deny 172.16.4.13 0.0.0

R1(config)# access-list 1 permit 0.0.0.0 255.255.255
Esta ACL está diseñada para bloquear el tráfico de una dirección específica, 172.16.4.13, y para permitir
que el resto del tráfico se reenvíe por la interfaz G0/0. La primera declaración también se puede escribir
con la palabra clave host sustituyendo la máscara comodín 0.0.0, de la siguiente manera:
R1(config)# access-list 1 deny host 172.16.4.13
De hecho, a partir de la versión 12.3 del software Cisco IOS, se puede introducir lo siguiente:
R1(config)# access-list 1 deny 172.16.4.13
La segunda declaración puede escribirse con la palabra clave any sustituyendo la dirección de
origen 0.0.0.0 y la máscara comodín 255.255.255.255, de la siguiente manera:
R1(config)# access-list 1 permit any
Día 9 303
ACL IPv4 estándar numerada: denegar una subred específica

Cree una ACL para evitar que el tráfico que se origina en la subred 172.16.4.0/24 salga por la
interfaz G0/0. Cree y aplique la ACL con los comandos del Ejemplo 9-2.
Ejemplo 9-2 ACL que impide el tráfico procedente de una subred específica
R1(config)# access-list 1 deny 172.16.4.0 0.0.255

R1(config)# access-list 1 permit any
Esta ACL está diseñada para bloquear el tráfico de una subred específica, 172.16.4.0, y permitir que el
resto del tráfico sea reenviado por G0/0.
ACL IPv4 estándar numerada: Denegar el

acceso de Telnet o SSH al router
Para el tráfico de entrada y salida del router (no a través del router), filtre el acceso Telnet o SSH al
router aplicando una ACL a los puertos vty. Restringir el acceso vty es principalmente una técnica para
aumentar la seguridad de la red y definir a qué direcciones se les permite el acceso Telnet al proceso
EXEC del router. Cree y aplique la ACL con los comandos del Ejemplo 9-3.
Ejemplo 9-3 Lista de acceso que permite el acceso remoto de un solo host a R1
R1(config)# access-list 12 permit host 172.16.4.13

R1(config-line)# access-class 12 in
En este ejemplo, sólo el host 172.16.4.13 tiene permitido el Telnet en R1. Todas las demás direcciones
IP se deniegan implícitamente.

numeradas extendidas
Para un control de filtrado de tráfico más preciso, utilice ACLs IPv4 extendidas. Las ACLs IPv4
extendidas pueden ser nombradas o numeradas en los rangos 100 a 199 y 2000 a 2699. Las ACLs
extendidas comprueban las direcciones IP de origen y destino. Además, al final de la declaración de
ACL extendida, puede especificar el protocolo y la aplicación TCP o UDP opcional para filtrar con
mayor precisión. Para configurar ACLs IPv4 extendidas numeradas en un router Cisco, cree una ACL
IP extendida y active esa ACL en una interfaz. A efectos del examen CCNA, la sintaxis del comando
ACL IPv4 extendida es la siguiente:
Router(config)# access-list access-list-number {permit | deny} protocol
source source-wildcard [operator port] destination destination-wildcard
[operator port] [established] [log]
La tabla 9-1 explica la sintaxis del comando.

Tabla 9-1 Parámetros de comandos para una ACL IPv4 extendida

numerada Comando ParámetroDescripción
access-list-numberIdentifica la lista usando un número en el rango 100-199 o 2000-2699.
permit | denyIndica si esta entrada permite o bloquea la dirección especificada.
protocolSi se especifica ip, se filtra todo el conjunto de protocolos TCP/IP. Otros
protocolos que se pueden filtrar son TCP, UDP, ICMP, EIGRP y OSPF.
Utilice ? después del argumento permit | deny para ver todos los protocolos
disponibles.
origen y destinoIdentifica las direcciones IP de origen y destino.
source-wildcard y Máscara de comodines. Los 0 indican las posiciones que deben
destino-tarjeta de coincidir, y los 1 indican las posiciones "no importa".
visita
El operador puede ser lt (menor que), gt (mayor que), eq (igual a) o neq
operador [puerto | (no igual a). El número de puerto al que se hace referencia puede ser el
app_name]
puerto de origen o el de destino, dependiendo del lugar de la ACL en el
que se haya configurado el número de puerto. Como alternativa al número de
puerto, se pueden utilizar nombres de aplicaciones conocidas, como Telnet,
FTP y SMTP.
establecidoSólo para TCP entrante. Permite que el tráfico TCP pase si el paquete es una respuesta
a una sesión iniciada en salida. Este tipo de tráfico tiene los bits de acuse de
recibo (ACK) establecidos.
logEnvía un mensaje de registro a la consola.
ACL IPv4 numerada extendida: Denegar FTP desde subredes

Para la red de la Figura 9-1, ahora creamos una ACL para evitar que el tráfico FTP que se origina
en la subred 172.16.4.0/24 y va a la subred 172.16.3.0/24 salga por G0/0. Cree y aplique la ACL
con los comandos del Ejemplo 9-4.
Ejemplo 9-4 Lista de acceso que impide el tráfico FTP desde subredes específicas
R1(config)# access-list 101 deny tcp 172.16.4.0 0.0.255 172.16.3.0 0.0.255 eq 21

R1(config)# access-list 101 deny tcp 172.16.4.0 0.0.255 172.16.3.0 0.0.255 eq 20
R1(config)# access-list 101 permit ip any any
Las sentencias deny bloquean el tráfico FTP procedente de la subred 172.16.4.0 a la subred
172.16.3.0. La sentencia permit permite el resto del tráfico IP que sale por la interfaz G0/0. Deben
introducirse dos sentencias para la aplicación FTP porque el puerto 21 se utiliza para establecer,
mantener y terminar una sesión FTP, mientras que el puerto 20 se utiliza para la tarea de
transferencia de archivos propiamente dicha.
ACL de IPv4 ampliada: Denegar sólo

Telnet desde la subred
Cree una ACL para evitar que el tráfico Telnet que se origina en la subred 172.16.4.0/24 salga por la
interfaz G0/0. Cree y aplique la ACL con los comandos del Ejemplo 9-5.
Día 9 305
Ejemplo 9-5 Lista de acceso que impide el tráfico de Telnet desde una subred específica
R1(config)# access-list 101 deny tcp 172.16.4.0 0.0.255 any eq 23

R1(config)# access-list 101 permit ip any any
Este ejemplo deniega el tráfico Telnet de 172.16.4.0 que se envía por la interfaz G0/0. El resto del
tráfico IP de cualquier otra fuente a cualquier destino se permite en G0/0.
Configuración de ACLs IPv4 con nombre

Con una ACL con nombre, puede identificar las ACL estándar y extendidas con una cadena
alfanumérica (nombre) en lugar de las representaciones numéricas actuales.
Dado que puede eliminar entradas individuales con ACL con nombre, puede modificar una ACL sin
tener que eliminar y volver a configurar toda la ACL. Con el software Cisco IOS versión 12.3 y
posterior, puede insertar entradas individuales utilizando un número de secuencia adecuado.
Pasos y sintaxis de la ACL IPv4 con nombre estándar

Los siguientes pasos y sintaxis se utilizan para crear una ACL estándar con nombre:
Paso 1. Asigne un nombre a la ACL. Desde el modo de configuración global, utilice el

comando ip access-list standard para nombrar la ACL estándar. Los nombres de ACL
son alfanuméricos y deben ser únicos:
Router(config)# ip access-list standard name
Paso 2. Crear la ACL. Desde el modo de configuración de ACL con nombre estándar, utilice
las sentencias permit o deny para especificar una o más condiciones para determinar
si un paquete se reenvía o se descarta:
Router(config-std-nacl)# [sequence-number] {permit | deny} source
source-wildcard
Si no se especifica un número de secuencia, Cisco IOS incrementa el número de secuencia

en 10 por cada sentencia que se introduzca.
Paso 3. Aplique la ACL. Active la ACL nombrada en una interfaz con el comando ip access-group
comando de nombre:
Router(config-if)# ip access-group name [in | out]
ACL IPv4 estándar con nombre: denegar un

solo host de una subred determinada
Para la red mostrada anteriormente en la Figura 9-1, cree una ACL estándar llamada
TROUBLEMAKER para evitar que el tráfico que se origina en el host 172.16.4.13 salga por la
interfaz G0/0.
Cree y aplique la ACL con los comandos del Ejemplo 9-6.
Ejemplo 9-6 ACL con nombre que impide el tráfico de un host específico
R1(config)# ip access-list standard TROUBLEMAKER

R1(config-std-nacl)# deny host 172.16.4.13
R1(config-std-nacl)# permit 172.16.4.0 0.0.255
R1(config-std-nacl)# interface g0/0
R1(config-if)# ip access-group TROUBLEMAKER out
Pasos y sintaxis de la ACL IPv4 con nombre extendido

Los siguientes pasos y sintaxis se utilizan para crear una ACL extendida con nombre:
Paso 1. Asigne un nombre a la ACL. Desde el modo de configuración global, utilice el

comando ip access-list extended para nombrar la ACL extendida:
Router(config)# ip access-list extended name
Paso 2. Cree la ACL. Desde el modo de configuración de ACL con nombre extendido, utilice
las sentencias permit o deny para especificar una o más condiciones para determinar
si un paquete se reenvía o se descarta:
Router(config-ext-nacl)# [sequence-number] {deny | permit} protocol
source source-wildcard [operator port] destination destination-wildcard
[operator port] [established] [log]
Paso 3. Aplique la ACL. Active la ACL nombrada en una interfaz con el comando ip access-group
comando de nombre:
Router(config-if)# ip access-group name [in | out]
Añadir comentarios a las ACLs IPv4 con nombre o numeradas

Puedes añadir comentarios a las ACLs utilizando el argumento remark en lugar de permit o
deny. Los comentarios son declaraciones descriptivas que se pueden utilizar para comprender
mejor y solucionar los problemas de las ACL con nombre o numeradas.
El ejemplo 9-7 muestra cómo añadir un comentario a una ACL numerada.
Ejemplo 9-7 Añadir comentarios a una ACL numerada
R1(config)# access-list 101 remark Permitir a John el acceso a Telnet al servidor

R1(config)# access-list 101 permit tcp host 172.16.4.13 host 172.16.3.10 eq telnet
El ejemplo 9-8 muestra cómo añadir un comentario a una ACL con nombre.
Ejemplo 9-8 Añadir comentarios a una ACL con nombre
R1(config)# ip access-list standard PREVENTION

R1(config-std-nacl)# remark No permitir el paso de la subred Jones
R1(config-std-nacl)# deny 172.16.4.0 0.0.0.255
Día 9 307

Cuando termine de configurar una ACL, utilice los comandos show para verificar la configuración.
Utilice el comando show access-lists para mostrar el contenido de todas las ACL, como en el
Ejemplo 9-9. Al introducir el nombre o el número de la ACL como opción para este comando, puede
mostrar una ACL específica.
Ejemplo 9-9 Verificación de la configuración de la lista de acceso
R1# show access-lists

Lista de acceso IP estándar
SALES 10 permit 10.3.3.1
20 permiso 10.4.4.1
30 permiso 10.5.5.1
40 deny 10.1.1.0, bits comodín 0.0.0.255
50 permiten cualquier
Lista de acceso IP ampliada ENG
10 permit tcp host 10.22.22.1 any eq telnet (25 coincidencias)
20 permit tcp host 10.33.33.1 any eq ftp
30 permit tcp host 10.33.33.1 any eq ftp-data
Observe en la salida del comando show access-lists en el Ejemplo 9-9 que los números de
secuencia se incrementan en 10, probablemente porque el administrador no introdujo un número de
secuencia.
Observe también que este comando le indica cuántas veces Cisco IOS ha hecho coincidir un
paquete con una sentencia: 25 veces, en el caso de la primera sentencia de la ACL ENG
nombrada.
El comando show ip interface muestra información de la interfaz IP e indica si hay alguna ACL
IP configurada en la interfaz. En la salida del comando show ip interface g0/0 del Ejemplo 9-10,
se ha configurado la ACL IP 1 en la interfaz G0/0 como ACL de entrada. No se ha configurado
ninguna ACL IP de salida en la interfaz G0/0.
Ejemplo 9-10 Verificación de la configuración de la lista de acceso en una interfaz específica
R1# show ip interface g0/0

GigabitEthernet0/0 está levantada, el protocolo de
línea está levantado La dirección de Internet es
10.1.1.11/24
La dirección de difusión es
255.255.255.255 La dirección se
determina mediante el comando de
configuración La MTU es de 1500 bytes
La dirección del ayudante no está configurada
El reenvío de difusión dirigido está desactivado
La lista de acceso saliente no está configurada
La lista de acceso entrante
es 1 El ARP proxy está
activado
<salida omitida>
Por último, también puede verificar la creación y aplicación de la ACL con el comando show running-config
(véase el ejemplo 9-11).
Ejemplo 9-11 Verificación de la creación y aplicación de ACL en la configuración

en ejecución
R1# show running-config

Configuración del edificio...
!
<salida omitida>
!
interfaz GigabitEthernet0/0
dirección ip 10.44.44.1 255.255.255.0
ip access-group ENG out
!
<salida omitida>
!
interfaz Serial0/0/0
dirección ip 172.16.2.1 255.255.255.252
ip access-group SALES en
!
<salida omitida>
ip access-list standard SALES
permit 10.3.3.1
permiso 10.4.4.1
permiso 10.5.5.1
deny 10.1.1.0 0.0.0.255
permitir cualquier
!
ip access-list extended ENG
permit tcp host 10.22.22.1 any eq telnet
permit tcp host 10.33.33.1 any eq ftp
permit tcp host 10.33.33.1 any eq ftp-data
!
<salida omitida>
Comparación de ACLs IPv4 e IPv6

Las ACLs de IPv4 e IPv6 tienen algunas sutiles diferencias (ver Tabla 9-2).
Tabla 9-2 ACLs IPv4 e IPv6

Característica Sólo IPv4 Sólo IPv6 Amb
os
Coincidir con la dirección de origen y/o destino X
Coincidir con direcciones de host o subredes/prefijos X
Aplicado direccionalmente en una interfaz X
Coincidir con los puertos de origen y/o destino TCP o X
UDP
Coincidencia de códigos ICMP X
Día 9 309
Característica Sólo IPv4 Sólo IPv6 Amb

os
Incluir una denegación implícita al final de la ACL X
Coincidir sólo con paquetes IPv4 X
Coincidir sólo con paquetes IPv6 X
Utilice números para identificar el ACL X
Utilice nombres para identificar la ACL X
Incluir algunas declaraciones de permiso X
implícitas al final de la ACL

Los pasos básicos para configurar las ACL IPv6 son los mismos que para las ACL IPv4 con nombre:
Paso 1. Nombre la ACL.
Paso 2. Cree la ACL.
Paso 3. Aplique la ACL.
Paso 1: Nombrar la ACL IPv6

Para nombrar una ACL IPv6, introduzca el comando ipv6 access-list en el modo de configuración global:
Router(config)# ipv6 access-list name
Tenga en cuenta que la sintaxis del comando para nombrar una ACL IPv6 es la misma si está
configurando ACLs IPv6 estándar o extendidas. Sin embargo, las ACLs IPv6 estándar y extendidas
son diferentes de las ACLs IPv4 estándar y extendidas.
Paso 2: Crear la ACL IPv6

Una ACL IPv6 estándar incluye información de direcciones de origen y destino, pero no incluye
información TCP, UDP o ICMPv6. La sintaxis de una ACL IPv6 estándar es la siguiente:
Router(config-ipv6-acl)# [permit | deny] ipv6 {source-ipv6-prefix/prefix-length |
any | host source-ipv6-address} {destino-ipv6-prefijo/longitud de prefijo |
any | host destination-ipv6-address} [registro]
Las ACLs IPv6 extendidas coinciden con muchos más campos de cabecera de paquetes IPv6, así como
con mensajes TCP, UDP e ICMPv6 y cabeceras de extensión IPv6. La sintaxis de las ACLs IPv6
extendidas es la siguiente:
Router(config-ipv6-acl)# [permit | deny] protocol {source-ipv6-prefix/
prefix-length | any | host source-ipv6-address} [operador [número de
puerto]]
{destination-ipv6- prefix/prefix-length | any | host destination-ipv6-address}
[operador [número de puerto]] [dest-option-type [doh-number | d o h - t y p e ] ] [valor
dscp] [valor flow-label] [fragmentos] [log] [log-input] [movilidad][mobility-type
[número-mh | tipo-mh]] [reflect name [timeout value]] [enrutamiento][tipo de enrutamiento
número de enrutamiento] [valor de la secuencia] [nombre del rango de tiempo]
Si eliges icmp, tcp o udp como protocolo, hay opciones de filtrado adicionales disponibles para
coincidir con esas cabeceras específicas. Por ejemplo, la configuración de icmp como protocolo
permite filtrar las cabeceras
icmp-type. Configurar tcp como protocolo permite filtrar las seis banderas TCP, ACK, FIN, PSH, RST,
SYN y URG. Configurar u d p como protocolo permite filtrar las cabeceras de extensión IPv6, como
IPsec.
Paso 3: Aplicar la ACL IPv6

La sintaxis para aplicar una ACL IPv6 a una interfaz es la siguiente:
Router(config-if)# ipv6 traffic-filter access-list-name { in | out }
La sintaxis para aplicar una ACL IPv6 a las líneas vty es similar a la de IPv4. Sólo hay que sustituir ip
por ipv6, como sigue:
Router(config-line)# ipv6 access-class access-list-name
ACL estándar IPv6: Permitir el acceso remoto SSH

La topología de la Figura 9-2 se utiliza aquí para escenarios de configuración de ACL IPv6.
Figura 9-2 Topología de configuración de ACL IPv6
No
2001:DB8:1:3::/64 2001:DB8:1::/48 2001:DB8:1:4::/64
S0/0/0
G0/1 2001:DB8:1:4::13
G0/0
R1
El ejemplo 9-12 demuestra cómo crear y aplicar una ACL IPv6 para permitir sólo a
2001:DB8:1:4::13 conectarse remotamente a las líneas vty de R1.
Ejemplo 9-12 Lista de acceso que permite a un solo host acceder a R1
R1(config)# ipv6 access-list SSH-HOST

R1(config-ipv6-acl)# permit ipv6 host 2001:db8:1:4::13 any
R1(config-ipv6-acl)# deny ipv6 any any
R1(config-ipv6-acl)# exit
R1(config-line)# ipv6 access-class SSH-HOST in
La sentencia permit sólo permite un host, 2001:DB8:1:4::13. Todo el resto del tráfico IPv6 es denegado.
La ACL IPv6 se aplica entonces a las cinco primeras líneas vty con el comando ipv6 access-class.
ACL IPv6 ampliada: Permitir sólo el tráfico web

El ejemplo 9-13 demuestra cómo crear y aplicar una ACL IPv6 para permitir sólo el tráfico
web que se origina en la subred 2001:DB8:1:4::/64 y que va a la subred 2001:DB8:1:3::/64.
Día 9 311
Ejemplo 9-13 Lista de acceso que impide el tráfico web de subredes específicas
R1(config)# ipv6 access-list WEB-ONLY

R1(config-ipv6-acl)# permit tcp 2001:DB8:1:4::/64 2001:DB8:1:3::/64 eq www
R1(config-ipv6-acl)# deny ipv6 2001:DB8:1:4::/64 2001:DB8:1:3::/64
R1(config-ipv6-acl)# permit ipv6 2001:DB8:1:4::/64 any
R1(config-ipv6-acl)# exit
R1(config-if)# ipv6 traffic-filter WEB-ONLY in
La primera sentencia permit permite que el tráfico del prefijo 2001:DB8:1:4::/64 acceda a los
servicios web en cualquier dispositivo del prefijo 2001:DB8:1:3::/64. La sentencia deny asegura que
todo el resto del tráfico desde 2001:DB8:1:4::/64 a 2001:DB8:1:3::/64 está bloqueado. La última
sentencia permit permite el resto del tráfico entrante desde 2001:DB8:1:4::/64 a cualquier destino.

Al igual que con las ACLs IPv4, se puede ver la configuración y aplicación de las ACLs IPv6 con el
comando show run (ver Ejemplo 9-14).
Ejemplo 9-14: Examen de las ACL en la configuración
R1# show run

Configuración del edificio...
!
interfaz GigabitEthernet0/1
ipv6 traffic-filter WEB-ONLY in
dirección ipv6 FE80::1 link-
local dirección ipv6
2001:DB8:1:4::1/64
!
ipv6 access-list WEB-ONLY
permit tcp 2001:DB8:1:4::/64 2001:DB8:1:3::/64 eq www
deny ipv6 2001:DB8:1:4::/64 2001:DB8:1:3::/64
permit ipv6 2001:DB8:1:4::/64 any
ipv6 access-list SSH-HOST
permit ipv6 host 2001:DB8:1:4::13 any
deny ipv6 any any
!
línea vty 0 4
ipv6 access-class SSH-HOST in
login local
entrada de transporte ssh
!
R1#
Sin embargo, la configuración de los routers de producción suele ser larga y compleja. Para las
preguntas de simulación del examen CCNA, es posible que ni siquiera tengas acceso al comando
show run.
Por lo tanto, debe utilizar comandos de verificación que proporcionen de forma más precisa y eficaz la
información que necesita.
Por ejemplo, show access-lists revela rápidamente todas las ACLs IPv4 e IPv6 configuradas en el
dispositivo, como muestra el Ejemplo 9-15.
Ejemplo 9-15 Verificación de todas las ACLs configuradas
R1# show access-lists

Lista de acceso IP estándar
SALES 10 permit 10.3.3.1
20 permiso 10.4.4.1
30 permiso 10.5.5.1
40 deny 10.1.1.0, bits comodín 0.0.0.255
50 permiten cualquier
Lista de acceso IP ampliada ENG
10 permit tcp host 10.22.22.1 any eq telnet
20 permit tcp host 10.33.33.1 any eq ftp
30 permit tcp host 10.33.33.1 any eq ftp-data
Lista de acceso IPv6 SSH-HOST
permit ipv6 host 2001:DB8:1:4::13 any sequence 10
deny ipv6 any sequence 20
Lista de acceso IPv6 WEB-ONLY
permit tcp 2001:DB8:1:4::/64 2001:DB8:1:3::/64 eq www sequence 10 deny
ipv6 2001:DB8:1:4::/64 2001:DB8:1:3::/64 sequence 20
permit ipv6 2001:DB8:1:4::/64 any sequence 30
R1#
Observe que Cisco IOS ha añadido números de secuencia al final de las ACLs IPv6 en lugar
de al principio, como hace con las ACLs IPv4.
En el Ejemplo 9-16, sólo se muestran las ACLs IPv6. Esta salida se generó después de que varios
paquetes coincidieran con cada una de las declaraciones de las ACL.
Ejemplo 9-16 Verificación de las estadísticas de coincidencia de ACL IPv6
R1# show ipv6 access-list

Lista de acceso IPv6 SSH-HOST
permit ipv6 host 2001:DB8:1:4::13 any (1 match(es)) sequence 10
deny ipv6 any (5 match(es)) sequence 20
Lista de acceso IPv6 WEB-ONLY
permit tcp 2001:DB8:1:4::/64 2001:DB8:1:3::/64 eq www (5 match(es))
sequence 10
deny ipv6 2001:DB8:1:4::/64 2001:DB8:1:3::/64 (4 match(es)) sequence 20
permit ipv6 2001:DB8:1:4::/64 any (75 match(es)) sequence 30
R1#
Día 9 313
Para verificar la colocación de una ACL IPv6 en una interfaz, puede utilizar el comando show
ipv6 interface. Si se aplica una ACL, la salida tendrá una entrada de línea como la resaltada en
el Ejemplo 9-17.
Ejemplo 9-17 Verificación de una ACL IPv6 aplicada a una interfaz
R1# show ipv6 interface g0/1

GigabitEthernet0/1 está levantada, el protocolo
de línea está levantado IPv6 está habilitado,
la dirección de enlace local es FE80::1 No hay
dirección(es) virtual(es) de enlace local:
Dirección(es) global(es) de unicast:
2001:DB8:1:4::1, la subred es 2001:DB8:1:4::/64
Dirección del grupo
unido: FF02::1
FF02::2
FF02::1:FF00:1
Los ICMP inalcanzables se
envían Funciones de entrada:
Lista de acceso Lista de
acceso entrante WEB-ONLY
ND DAD está activado, número de intentos de DAD: 1
El tiempo alcanzable de ND es de 30000 milisegundos
(usando 30000) El tiempo alcanzable anunciado por ND
es 0 (sin especificar)
El intervalo de retransmisión anunciado por ND es 0
(no especificado) Los anuncios del enrutador ND se
envían cada 200 segundos Los anuncios del enrutador ND
viven durante 1800 segundos
La preferencia del router por defecto anunciada
por ND es Media Los hosts utilizan la
autoconfiguración sin estado para las direcciones.
R1#
Solución de problemas de ACL

Su red puede estar configurada correctamente con todos los hosts recibiendo direcciones DHCP,
tablas de enrutamiento completamente pobladas y una capa física completamente operativa, pero una
ACL en algún lugar de la ruta de datos puede seguir causando un problema. Resolver un problema
causado por una ACL puede dificultar su trabajo.
Las ACLs pueden bloquear las herramientas normales de resolución de problemas, como el
ping y el traceroute, mientras permiten el tráfico normal. Por lo tanto, un administrador de red
podría tener que recurrir a otras herramientas para encontrar un problema.
Digamos que ha determinado que un problema está en la configuración de ACL. Los siguientes tres
pasos resumen un proceso estructurado de solución de problemas que puede utilizar para
localizar el problema:
Paso 1. Dado que las configuraciones de ACL no pueden causar un problema hasta que se aplican,
determine qué interfaces se ven afectadas por las ACL utilizando el comando show
run o show ip interfaces.
Paso 2. Verifique la configuración de la ACL mediante las funciones show access-lists, show ip access-
lists o
comando "show run".
Paso 3. Analice las ACL para determinar qué paquetes coinciden. Los comandos show access-lists
y show ip access-lists ayudan identificando el número de veces que los paquetes han
coincidido con una declaración.
Algunos errores comunes de configuración de ACL son los siguientes:
■
Las declaraciones de ACL están fuera de lugar.
■
Las direcciones y/o puertos de origen y destino se invierten.
■
El ACL se aplica en la dirección equivocada.
■
Los errores de sintaxis o de ortografía hacen que la ACL tenga un efecto erróneo o no tenga efecto.
■
Las ACL estándar se acercan al origen en lugar de al destino.
Consulte sus recursos de estudio para ver varios ejemplos excelentes de solución de
problemas para ACLs IPv4 e IPv6.
Recursos de estudio
3
NAT

■
Configurar y verificar el NAT de origen interno utilizando estática y pools
Temas clave
Para hacer frente al agotamiento de las direcciones IPv4, se han desarrollado varias soluciones a corto
plazo. Una solución a corto plazo es utilizar direcciones privadas y la traducción de direcciones de red
(NAT). La NAT permite que los hosts de la red interna tomen prestada una dirección IPv4 legítima
de Internet mientras acceden a los recursos de Internet. Cuando el tráfico solicitado regresa, la
dirección IPv4 legítima se reutiliza y está disponible para la siguiente solicitud de Internet por parte de
un host interno. Con el uso de NAT, los administradores de red sólo necesitan una o unas pocas
direcciones IPv4 para que el router las proporcione a los hosts, en lugar de una única dirección
IPv4 para cada cliente que se incorpore a la red. Aunque IPv6 resuelve en última instancia el problema
del agotamiento del espacio de direcciones IPv4 para el que se creó NAT, sigue siendo muy utilizado en
las estrategias actuales de implementación de redes. Hoy revisaremos los conceptos, la configuración
y la resolución de problemas de NAT.
Conceptos NAT
NAT, definido en el RFC 3022, tiene muchos usos. Su uso principal es conservar las direcciones IPv4
permitiendo a las redes utilizar direcciones IPv4 privadas. NAT traduce las direcciones internas no
enrutables y privadas en direcciones públicas enrutables. NAT también tiene la ventaja de ocultar las
direcciones IPv4 internas de las redes externas.
Un dispositivo con NAT suele operar en la frontera de una red stub. La Figura 8-1 muestra la topología
maestra utilizada durante la revisión de hoy. R2 es el router de frontera y es el dispositivo utilizado para
las configuraciones de ejemplo de hoy.
Figura 8-1 Topología NAT
Router
Red corporativa de estupefacientes: Una sola salida de frontera con NAT
al exterior
S0/1/0209.165.200.226/27 209.165.200.226/27
S0/0/0
10.1.1.2 /30 R2 ISP
S0/0/1
10.2.2.1 /30
Espacio de direcciones privadoEspacio de direcciones público
S0/0/0S0/0/1
10.1.1.1 /30DCEDCE10.2.2.2 /30
R3
Fa0/0Fa0/1 Fa0/1
R1 192.168.10.1 / 2 4 192.168.11.1 /24 192.168.11.1 /24
192.168.10.0 / 2 4 192.168.11.0 /24
Fa0/1 Fa0/1 Fa0/1 192.168.11.0 /24
S1 S2 S3
192.168.10.2 /24 Fa0/2 Fa0/2 192.168.11.2 /24 Fa0/2 192.168.30.2 /24
PC1 PC2 PC3
192.168.10.10 /24 192.168.11.10 /24 192.168.30.10 /24
En la terminología de NAT, la red interna es el conjunto de redes que están sujetas a la traducción
(cada red en la región sombreada en la Figura 8-1). La red exterior son todas las demás direcciones. La
Figura 8-2 muestra cómo referirse a las direcciones al configurar NAT:
■
Dirección local interior: Lo más probable es que sea una dirección privada. En la
figura, la dirección IPv4 192.168.10.10 asignada a PC1 es una dirección local
interna.
■
Dirección global interna: Una dirección pública válida que se le da al host interno cuando
sale del router NAT. Cuando el tráfico de PC1 está destinado al servidor web en 209.165.201.1,
R2
debe traducir la dirección local interna a una dirección global interna, que es 209.165.200.226 en
este caso.
■
Dirección global externa: Una dirección IPv4 alcanzable asignada a un host en Internet.
Por ejemplo, se puede acceder al servidor web en la dirección IPv4 209.165.201.1.
■
Dirección local externa: La dirección IPv4 local asignada a un host en la red exterior. En la
mayoría de las situaciones, esta dirección es idéntica a la dirección global exterior de ese
dispositivo exterior. (Las direcciones locales externas están fuera del alcance del CCNA).
Día 8 317
Figura 8-2 Terminología de NAT
Router con NAT

Grupo NAT: 209.165.200.226 - 230
SA 209.165.200.226
PC1
Red interior
R2 ISP
192.168.10.10
Tabla NAT
Dirección local interior
Dirección global interior
Dirección global exterior
Servidor web
192.168.10.10 209.165.200.226 209.165.201.1
209.165.201.1
Un ejemplo de
NAT
Refiriéndose a la Figura 8-1, los siguientes pasos ilustran el proceso de NAT cuando PC1 envía tráfico
a Internet:
Paso 1. PC1 envía un paquete destinado a Internet a R1, la puerta de enlace por defecto.
Paso 2. R1 reenvía el paquete a R2, según su tabla de enrutamiento.
Paso 3. R2 consulta su tabla de enrutamiento e identifica el siguiente salto como el router del ISP.
A continuación, comprueba si el paquete coincide con los criterios especificados para la
traducción. El R2 tiene una ACL que identifica la red interna como un host válido para la
traducción. Por lo tanto, traduce una dirección IPv4 local interna a una dirección IPv4
global interna, que, en este caso, es 209.165.200.226. Almacena este mapeo de la
dirección local a la dirección global en la tabla NAT.
Paso 4. R2 modifica el paquete con la nueva dirección IPv4 de origen (la dirección global
interna) y lo envía al router ISP.
Paso 5. El paquete llega finalmente a su destino, que envía su respuesta a la dirección global
interna 209.165.200.226.
Paso 6. Cuando R2 recibe las respuestas del destino, consulta la tabla NAT para hacer
coincidir la dirección global interna con la dirección local interna correcta. A
continuación, R2 modifica el paquete, insertando la dirección local interna
(192.168.10.10) como dirección de destino y enviándolo a R1.
Paso 7. R1 recibe el paquete y lo reenvía a PC1.
NAT dinámico y estático

Los dos tipos de traducción NAT son los siguientes:
■
NAT dinámica: Utiliza un pool de direcciones públicas y las asigna por orden de llegada o reutiliza
una dirección pública existente configurada en una interfaz. Cuando un host con una dirección IPv4
privada solicita acceso a Internet, la NAT dinámica elige una dirección IPv4 del pool que otro host
no esté utilizando ya. En lugar de utilizar un pool, la NAT dinámica puede configurarse para
sobrecargar una dirección pública existente configurada en una interfaz.
■
NAT estático: Utiliza un mapeo uno a uno de las direcciones locales y globales. Estos mapeos
permanecen constantes. La NAT estática es especialmente útil para servidores web o hosts que
deben tener una dirección consistente y accesible desde Internet.
Sobrecarga de NAT
La sobrecarga de NAT (también llamada Traducción de Direcciones de Puerto [PAT]) mapea
múltiples direcciones IPv4 privadas a una única dirección IPv4 pública o a unas pocas direcciones.
Para ello, un número de puerto rastrea también cada dirección privada. Cuando se recibe una respuesta
del exterior, los números de puerto de origen determinan el cliente correcto para que el router NAT
traduzca los paquetes.
La Figura 8-3 y los siguientes pasos ilustran el proceso de sobrecarga de NAT:
Figura 8-3 Ejemplo de sobrecarga de NAT
Dentro de
PC1
4
En el exterior
SA DA 209.165.201.1
192.168.10.10:1555 209.165.201.1:80
1 2 SA DA R2 Internet
192.168.10.11:1331 209.165.202.129:80
PC2
209.165.202.129
Tabla NAT con sobrecarga

Dirección IP local interna Dirección IP global interior Dirección IP global interior Dirección IP global interior
192.168.10.10:1555 209.165.200.226:1555 209.165.201.1:80 209.165.201.1:80
3 192.168.10.11:1331 209.165.200.226:1331 209.165.202.129:80 209.165.202.129:80
Paso 1. PC1 y PC2 envían paquetes con destino a Internet.
Paso 2. Cuando los paquetes llegan a R2, la sobrecarga de NAT cambia la dirección de origen a
la dirección IPv4 global interior y mantiene un registro de los números de puerto de
origen asignados (1555 y 1331, en este ejemplo) para identificar el cliente del que
proceden los paquetes.
Paso 3. R2 actualiza su tabla NAT. Observe los puertos asignados. A continuación, el R2
enruta los paquetes hacia Internet.
Día 8 319
Paso 4. Cuando el servidor web responde, R2 utiliza el puerto de origen de destino para traducir el
paquete al cliente correcto.
La sobrecarga de NAT intenta conservar el puerto de origen original. Sin embargo, si este puerto de
origen ya está utilizado, la sobrecarga de NAT asigna el primer número de puerto disponible,
empezando por el principio del grupo de puertos apropiado 0-511, 512-1023, o 1024-65535.
Beneficios del NAT

El uso de NAT ofrece las siguientes ventajas:
■
NAT conserva el espacio de direcciones IPv4 registrado porque, con la sobrecarga de NAT, los
hosts internos pueden compartir una única dirección IPv4 pública para todas las
comunicaciones externas.
■
NAT aumenta la flexibilidad de las conexiones a la red pública. Se pueden implementar
múltiples pools, pools de reserva y pools de equilibrio de carga para garantizar la fiabilidad de
las conexiones a la red pública.
■
NAT permite mantener el esquema existente mientras soporta un nuevo esquema de
direccionamiento público. Esto significa que una organización puede cambiar de ISP sin
necesidad de cambiar ninguno de sus clientes internos.
■
NAT proporciona una capa de seguridad en la red porque las redes privadas no anuncian sus
direcciones locales internas fuera de la organización. Sin embargo, la frase cortafuegos NAT es
engañosa; NAT no sustituye a los cortafuegos.
Limitaciones de la NAT
Las limitaciones del uso de NAT son las siguientes:
■
El rendimiento se degrada: NAT aumenta los retrasos en la conmutación porque la
traducción de cada dirección IPv4 en las cabeceras de los paquetes lleva tiempo.
■
La funcionalidad de extremo a extremo se degrada: Muchos protocolos y aplicaciones de
Internet dependen de la funcionalidad de extremo a extremo, con paquetes no modificados
reenviados desde el origen hasta el destino.
■
Se pierde la trazabilidad IP de extremo a extremo: El seguimiento de los paquetes que
sufren numerosos cambios de dirección de paquetes a través de múltiples saltos de NAT se
vuelve mucho más difícil, lo que dificulta la resolución de problemas.
■
La creación de túneles es más complicada: El uso de NAT también complica los
protocolos de túnel, como IPsec, porque NAT modifica los valores de las cabeceras que
interfieren con las comprobaciones de integridad que hacen IPsec y otros protocolos de
túnel.
■
Los servicios pueden ser interrumpidos: Los servicios que requieren el inicio de conexiones
TCP desde la red exterior, o los protocolos sin estado como los que utilizan UDP, pueden verse
interrumpidos.
Configuración de la NAT estática

La NAT estática es un mapeo uno a uno entre una dirección interna y una dirección externa. La NAT
estática permite que las conexiones iniciadas por dispositivos externos accedan a dispositivos internos.
Por ejemplo, se puede
desea asignar una dirección global interna a una dirección local interna específica que está
asignada a su servidor web interno. Los pasos y la sintaxis para configurar la NAT estática son los
siguientes:
Paso 1. Configurar la traducción estática de una dirección local interna a una dirección global interna:
Router(config)# ip nat inside source static local-ip global-ip
Paso 2. Especifique la interfaz interior:

Router(config)# tipo de interfaz
número Router(config-if)# ip nat
inside
Paso 3. Especifique la interfaz exterior:

outside
La Figura 8-4 muestra un ejemplo de topología NAT estática.
Figura 8-4 Topología de NAT estática
S0/0/0 S0/1/0
10.1.1.2 209.165.200.226
Red interior Internet
R2
Servidor 209.165.201.30
192.168.10.254
El ejemplo 8-1 muestra la configuración de NAT estática.
Ejemplo 8-1 Configuración de NAT estática
R2(config)# ip nat inside source static 192.168.10.254 209.165.200.254

R2(config)# interfaz serial0/0/0
R2(config-if)# ip nat inside
R2(config-if)# interfaz serial 0/1/0
R2(config-if)# ip nat outside
Esta configuración mapea estáticamente la dirección IPv4 privada interna 192.168.10.254 a la

dirección IPv4 pública externa 209.165.200.254. Esto permite a los hosts externos acceder al servidor
web interno utilizando la dirección IPv4 pública 209.165.200.254.
Configurar el NAT dinámico

La NAT dinámica asigna direcciones IPv4 privadas a direcciones públicas extraídas de un pool de
NAT. Los pasos y la sintaxis para configurar la NAT dinámica son los siguientes:
Paso 1. Definir un pool de direcciones globales a asignar:
Router(config)# ip nat pool name start-ip end-ip {máscara de red | longitud de
prefijo
longitud del prefijo}
Día 8 321
Paso 2. Definir una lista de acceso estándar que permita las direcciones que se van a traducir:
Router(config)# access-list access-list-number source source-wildcard
Paso 3. Vincular el conjunto de direcciones a la lista de acceso:

Router(config)# ip nat inside source list access-list-number pool name
Paso 4. Especifique la interfaz interior:

inside
Paso 5. Especifique la interfaz exterior:

outside
La Figura 8-5 muestra un ejemplo de topología NAT dinámica.
Figura 8-5 Topología NAT dinámica
PC1
192.168.10.10
S0/0/0 S0/1/0
Red interior Internet
10.1.1.2 R2
209.165.200.226
PC2
192.168.11.10
El ejemplo 8-2 muestra la configuración del NAT dinámico.
Ejemplo 8-2 Configuración de NAT dinámica
R2(config)# ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask

255.255.255.224
R2(config)# ip nat inside source list 1 pool NAT-POOL1
R2(config)# interface serial 0/0/0
R2(config-if)# ip nat inside
R2(config-if)# interfaz serial s0/1/0
R2(config-if)# ip nat outside
Configuración de la sobrecarga de NAT

Comúnmente en las redes domésticas y en las pequeñas y medianas empresas, el ISP asigna sólo una
dirección IPv4 registrada al router. Por lo tanto, es necesario sobrecargar esa única dirección IPv4 para
que varios clientes internos puedan utilizarla simultáneamente.
La configuración es similar al uso de NAT dinámico, excepto que en lugar de utilizar un conjunto de
direcciones, se utiliza la palabra clave interfaz para identificar la dirección IPv4 exterior. La palabra
clave overload habilita PAT para que los números de puerto de origen sean rastreados durante la
traducción.
El ejemplo 8-3 muestra cómo el R2 de la Figura 8-5 está configurado para sobrecargar su
dirección IPv4 registrada en la interfaz serie.
Ejemplo 8-3 Configuración de NAT para sobrecargar una dirección de interfaz

R2(config)# ip nat inside source list 1 interface serial 0/1/0 overload
R2(config)# interfaz serial 0/0/0
R2(config-if)# ip nat inside R2(config-
if)# interfaz serial s0/1/0 R2(config-
if)# ip nat outside
También se puede sobrecargar un pool de direcciones NAT, lo que podría ser necesario en
organizaciones que potencialmente tienen muchos clientes que necesitan traducciones simultáneamente.
En el ejemplo 8-2, NAT está configurado con un grupo de 15 direcciones (209.165.200.226-
209.165.200.240). Si el R2 está traduciendo las 15 direcciones en un momento dado, los paquetes para
el 16º cliente se pondrán en cola para ser procesados y posiblemente se agotarán. Para evitar este
problema, añada la palabra clave overload (sobrecarga) al comando que vincula la lista de acceso
al pool de NAT, como se indica a continuación:
R2(config)# ip nat inside source list 1 pool NAT-POOL1 overload
Curiosamente, Cisco IOS utiliza la primera dirección IPv4 del pool hasta que se le acaban los números
de puerto disponibles. Entonces pasa a la siguiente dirección IPv4 del grupo.
Verificación de NAT
Suponga que las topologías de NAT estática y dinámica de las Figuras 6-4 y 6-5 están configuradas
en el R2, con el servidor interno traducido estáticamente a 209.165.200.254 y NAT-POOL1
configurado con la palabra clave overload. Además, suponga que dos clientes internos se han
conectado a un host externo. Puede utilizar el comando show ip nat translations para verificar las
traducciones actuales en la tabla NAT del R2, como muestra el Ejemplo 8-4.
Ejemplo 8-4 Verificación de las operaciones NAT con show ip nat translations
R2# show ip nat translations

Pro Inside globalInside localOutside local Outside global
--- 209.165.200.254192.168.10.254 ------
tcp 209.165.200.226:47392 192.168.10.10:47392 209.165.201.30:80 209.165.201.30:80
tcp 209.165.200.226:50243 192.168.11.10:50243 209.165.201.30:80 209.165.201.30:80
La entrada estática está siempre en la tabla. Actualmente, la tabla tiene dos entradas dinámicas. Observe
que ambos clientes internos recibieron la misma dirección global interna, pero los números de puerto de
origen son diferentes (47392 para PC1 y 50243 para PC2).
Día 8 323
El comando show ip nat statistics, mostrado en el Ejemplo 8-5, muestra información sobre el
número total de traducciones activas, los parámetros de configuración de NAT, el número de
direcciones en el pool y cuántas han sido asignadas.
Ejemplo 8-5 Verificación de las operaciones NAT con show ip nat statistics
R2# show ip nat statistics

Total de traducciones: 3 (1 estática, 2 dinámica, 2
extendida) Interfaces externas: Serial0/1/0
Interfaces interiores: FastEthernet0/0 , Serial0/0/0 ,
Serial0/0/1 Aciertos: 29 Fallos: 7
Traducciones caducadas: 5
Asignaciones dinámicas:
-- Inside Source
access-list 1 pool NAT-POOL1 refCount 2
pool NAT-POOL1: netmask 255.255.255.224
inicio 209.165.200.226 fin 209.165.200.240
tipo genérico, total de direcciones 3 , asignadas 1 (7%), fallas 0
Alternativamente, utilice el comando show run y busque los comandos relacionados con NAT,
lista de comandos de acceso, interfaz o pool con los valores requeridos. Examina
cuidadosamente la salida de estos comandos para descubrir cualquier error.
A veces es útil borrar las entradas dinámicas antes de lo establecido. Esto es especialmente cierto
cuando se prueba la configuración de NAT. Para borrar las entradas dinámicas antes de que el tiempo
de espera haya expirado, utilice el comando EXEC privilegiado clear ip nat translation *.
Solución de problemas de NAT

Cuando se tienen problemas de conectividad IP en un entorno NAT, determinar la causa del
problema suele ser difícil. El primer paso para resolver el problema es descartar que la causa sea NAT.
Siga estos pasos para verificar que NAT funciona como se espera:
Paso 1. Basándose en la configuración, defina claramente lo que se supone que debe conseguir
NAT. Esto podría revelar un problema con la configuración.
Paso 2. Verifique que existen traducciones correctas en la tabla de traducción utilizando el
comando show ip nat translations.
Paso 3. Utiliza los comandos clear y debug para verificar que el NAT funciona como se espera.
Comprueba si las entradas dinámicas se vuelven a crear después de ser borradas.
Paso 4. Revisa en detalle lo que ocurre con el paquete y verifica que los routers tienen la
información de enrutamiento correcta para reenviar el paquete.
Utilice el comando debug ip nat para verificar el funcionamiento de la función NAT
mostrando información sobre cada paquete que el router traduce, como en el Ejemplo 8-6.
Ejemplo 8-6 Solución de problemas de NAT con debug ip nat
R2# debug ip nat

La depuración de IP NAT
está activada R2#
NAT: s=192.168.10.10->209.165.200.226, d=209.165.201.30[8]
NAT*: s=209.165.201.30, d=209.165.200.226->192.168.10.10[8]
NAT: s=192.168.10.10->209.165.200.226, d=209.165.201.30[8]
NAT: s=192.168.10.10->209.165.200.226, d=209.165.201.30[8]
NAT*: s=209.165.201.30, d=209.165.200.226->192.168.10.10[8]
NAT*: s=209. 165.201.30, d=209. 1 6 5 . 2 0 0 . 2 2 6 -
> 1 9 2 .168.10.10[8] NAT: s=192.168.10.10->209.165.200.226,
d=209.165.201.30[8] NAT: s=192.168.10.10->209.165.200.226,
d=209.165.201.30[8] NAT*: s=209.1 6 5 .201.30,
d=209.165.200.226->192.168.10.10[8] NAT*: s=209.165.201.30,
d=209.165.200.226->192.168.10.10[8] NAT: s=192. 168.10.10-
>209.165.200.226, d=209.1 6 5 .201.30[8]
R2#
Puedes ver que el host interno 192.168.10.10 inició el tráfico hacia el host externo
209.165.201.30 y ha sido traducido a la dirección 209.165.200.226.
Al decodificar la salida de depuración, observe lo que indican los siguientes símbolos y valores:
■
*: El asterisco junto a NAT indica que la traducción se produce en la ruta de conmutación
rápida. El primer paquete de una conversación siempre se conmuta por proceso, que es más
lento. Los paquetes restantes pasan por la ruta de conmutación rápida si existe una entrada
en la caché.
■
s=: Se refiere a la dirección IPv4 de origen.
■
a.b.c.d->w.x.y.z: Esto indica que la dirección de origen a.b.c.d se traduce en w.x.y.z.
■
d=: Se refiere a la dirección IPv4 de destino.
■
[xxxx]: El valor entre paréntesis es el número de identificación de la IP. Esta información puede ser
útil para la depuración porque permite la correlación con otras trazas de paquetes de los
analizadores de protocolos.
Recursos de estudio
estudiar más.
WAN, VPN e IPsec

■
■
Describir el acceso remoto y las VPN de sitio a sitio
Temas clave
Hoy es un repaso relámpago de las topologías WAN, las opciones de conexión WAN, las redes privadas
virtuales (VPN) y la seguridad del protocolo de Internet (IPsec). La mayoría de estos temas del examen
son de naturaleza conceptual y no requieren conocimientos de configuración, así que lee este repaso
varias veces y consulta tus recursos de estudio para profundizar en ellos.
Topologías WAN
La Figura 7-1 muestra las cuatro opciones básicas de topología WAN que una empresa puede
seleccionar para su infraestructura WAN:
■
Punto a punto: Normalmente utiliza una conexión de línea alquilada dedicada, como T1/E1.
■
Hub-and-spoke: Ofrece una topología de punto a multipunto con un único hogar en la que
una única interfaz en el router hub puede compartirse con varios routers spoke mediante
el uso de interfaces virtuales.
■
Malla completa: Da a cada router una conexión con cada uno de los otros routers. Requiere un
gran número de interfaces virtuales.
■
Doblemente conectado: Proporciona redundancia para una topología de concentrador y radios
de un solo hogar al proporcionar un segundo concentrador para conectarse a los routers de
radios.
Una empresa puede optar por implementar una variedad de estas topologías. Por ejemplo, una
empresa puede optar por implementar una topología de malla completa entre sus sedes regionales.
También puede utilizar una topología hub-and-spoke entre las sedes regionales y las sucursales. Si
dos de las sucursales
oficinas se comunican con frecuencia, los administradores de la red podrían contratar un enlace punto a
punto para reducir la carga de tráfico en los routers centrales. El uso de conexiones duales a Internet
garantiza que los clientes, socios y teletrabajadores puedan acceder siempre a los recursos de la
empresa.
Figura 7-1 Opciones de topología de la WAN
Radio A
Sitio A Sitio B Hub Radio B
Punto a punto
Cubo y radio
Radio C
Sitio B
Radio A
Sitio A Sitio C Radio B
Cubos
Radio C
Sitio D
Malla completaDoble techo
Opciones de conexión a la WAN

Actualmente existen muchas opciones para implementar soluciones WAN. Difieren en tecnología,
velocidad y coste. La Figura 7-2 ofrece una vista de alto nivel de las distintas opciones de conexión de
enlaces WAN. Las siguientes subsecciones describen estas opciones con más detalle.
Día 7 327
Figura 7-2 Opciones de conexión del enlace WAN
WAN
Privado Pub lic
Dedicado ated Inter red

Conmutado
Conmutador
uit- ched
Circ Pac Switcket- hed
Líneas alquiladas VPN de banda ancha
Metro Ethernet Frame Relay x.25

DSL
RTC RDSI ATM
Cable inalámbrico
Opciones de conexión dedicadas

También llamadas líneas alquiladas, las conexiones dedicadas son conexiones WAN punto a punto
preestablecidas desde las instalaciones del cliente a través de la red del proveedor hasta un destino
remoto (véase la figura 7-3).
Figura 7-3 Líneas alquiladas
La norma en Estados Unidos La norma en Europa
DSU/CSU T3 E3 DSU/CSU
Red de proveedores de servicios
Oficina de Nueva York Oficina de Londres

Las líneas alquiladas suelen ser más caras que los servicios conmutados debido al coste dedicado y
permanente de proporcionar el servicio WAN al cliente. La capacidad dedicada elimina la latencia y el
jitter y proporciona una capa de seguridad porque sólo se permite el tráfico del cliente en el enlace. La
Tabla 7-1 enumera los tipos de líneas alquiladas disponibles y sus capacidades de tasa de bits.
Tabla 7-1 Tipos de líneas alquiladas y capacidades

Tipo de línea Capacidad de Tipo de línea Capacidad de
velocidad de bits velocidad de bits
56k 56 kbps OC-9 466,56 Mbps
64k 64 kbps OC-12 622,08 Mbps
T1 1,544 Mbps OC-18 933,12 Mbps
E1 2,048 Mbps OC-24 1244,16 Mbps
J1 2,048 Mbps OC-36 1866,24 Mbps
E3 34,064 Mbps OC-48 2488,32 Mbps
T3 44,736 Mbps OC-96 4976,64 Mbps
OC-1 51,84 Mbps OC-192 9953,28 Mbps
OC-3 155,54 Mbps OC-768 39.813,12 Mbps
Opciones de conexión con conmutación de circuitos

Los dos tipos principales de conexiones de conmutación de circuitos son la marcación analógica y la
RDSI. Ambas tecnologías tienen bases de implantación limitadas en las redes actuales. Sin embargo,
ambas se siguen utilizando en zonas rurales remotas y en otras zonas del planeta donde aún no se
dispone de tecnologías más recientes.
El acceso telefónico analógico utiliza módems con conexiones de muy baja velocidad que pueden
ser adecuadas para el intercambio de cifras de ventas, precios, informes rutinarios y correo electrónico,
o como enlace de reserva en caso de emergencia.
La RDSI convierte el bucle local en una conexión digital TDM, lo que le permite transportar señales
digitales que dan lugar a conexiones conmutadas de mayor capacidad que las disponibles con los
módems analógicos. Existen dos tipos de interfaces RDSI:
■
Interfaz de velocidad básica (BRI): Proporciona dos canales B de 64 kbps para la
transferencia de voz o datos y un canal D de 16 kbps para la señalización de control.
■
Interfaz de velocidad primaria (PRI): Proporciona 23 canales B con 64 kbps y 1 canal D con
64 kbps en Norteamérica, para una velocidad binaria total de hasta 1,544 Mbps. En Europa se
utilizan 30 canales B y 1 canal D, para una velocidad binaria total de hasta 2,048 Mbps.
La Figura 7-4 ilustra las distintas diferencias entre las líneas RDSI BRI y PRI.
Día 7 329
Figura 7-4 Infraestructura de red RDSI y capacidad de las líneas PRI/BRI
RDSI
Adaptador de terminal
RDSI (TA)
64 kbps
2B64
kbps
144 kbps
D16
kbps 6x
23B (T1) o
64 kbps T1 1,544 Mbps
30B (E1)
cada o
D uno E1 2.048 Mbps
(Incluye la
64 kbps sincronización)
Opciones de conexión por conmutación de paquetes

Las tecnologías de conmutación de paquetes más utilizadas en las WAN empresariales actuales son
Metro Ethernet y MPLS. Las tecnologías heredadas son X.25 y ATM.
NOTA: Frame Relay es también una tecnología de conmutación de paquetes que todavía
tiene cierta cuota de mercado. Sin embargo, el examen CCNA ya no la cubre.
Metro Ethernet
Metro Ethernet (MetroE) utiliza conmutadores Ethernet compatibles con IP en la nube de red del
proveedor de servicios para ofrecer a las empresas servicios convergentes de voz, datos y vídeo a
velocidades de Ethernet. Considere algunas ventajas de Metro Ethernet:
■
Reducción de gastos y administración: Permite a las empresas conectar de forma económica
numerosas sedes de un área metropolitana entre sí y con Internet sin necesidad de realizar
costosas conversiones a ATM o Frame Relay
■
Fácil integración con las redes existentes: Se conecta fácilmente a las redes LAN Ethernet existentes
■
Mejora de la productividad empresarial: Permite a las empresas aprovechar las aplicaciones
IP que mejoran la productividad y que son difíciles de implementar en las redes TDM o Frame
Relay, como las comunicaciones IP alojadas, la VoIP y la transmisión de vídeo.
MPLS
La conmutación de etiquetas multiprotocolo (MPLS) tiene las siguientes características:
■
Multiprotocolo: MPLS puede transportar cualquier carga útil, incluyendo tráfico IPv4, IPv6,
Ethernet, ATM, DSL y Frame Relay.
■
Etiquetas: MPLS utiliza etiquetas dentro de la red del proveedor de servicios para
identificar rutas entre routers distantes en lugar de entre puntos finales.
■
Conmutación: MPLS enruta los paquetes IPv4 e IPv6, pero todo lo demás se conmuta.
Como muestra la Figura 7-5, MPLS es compatible con una amplia gama de tecnologías WAN,
incluidas las líneas alquiladas en serie, Metro Ethernet, ATM, Frame Relay y DSL (no se muestra).
Figura 7-5 Opciones populares de conexión MPLS

Enlaces de acceso
10.1.1.0/24 10.1.2.0/24
Serie
(TDM)
CE1 PE1 PE3 CE2
Frame Relay
MPLS:
Detalles ocultos
Metro Ethernet
ATM
CE4 PE2 PE4 CE3
10.1.4.0/24 10.1.3.0/24
Enlaces de acceso
En la Figura 7-5, CE se refiere a los routers de borde del cliente. PE son los routers de borde del
proveedor que añaden y eliminan etiquetas.
NOTA: MPLS es principalmente una tecnología WAN para proveedores de servicios.
Opciones de conexión a Internet

Las opciones de conexión de banda ancha suelen utilizarse para conectar a los empleados que trabajan a
distancia con
un sitio corporativo a través de Internet. Estas opciones incluyen la línea de abonado digital (DSL), el
cable y la conexión inalámbrica.
DSL
La tecnología DSL, mostrada en la Figura 7-6, es una tecnología de conexión permanente que
utiliza las líneas telefónicas de par trenzado existentes para transportar datos de gran ancho de
banda y proporciona servicios IP a los abonados.
Día 7 331
Figura 7-6 Conexión DSL del teletrabajador
Teletrabajad
or
Sede de la
empresa
Proveedor de
servicios
Proveedor de
WAN
servicios
DSL
Ethernet Internet
Router
Módem DSL
DSLAM
Punto de presencia (POP)
Las tecnologías DSL actuales utilizan sofisticadas técnicas de codificación y modulación para
alcanzar velocidades de datos de hasta 8,192 Mbps. Existen varios tipos de DSL, estándares y
tecnologías emergentes. DSL es
una opción popular para que los departamentos de TI de las empresas apoyen a los trabajadores a domicilio.
Módem por cable

El cable módem ofrece una conexión permanente y una instalación sencilla. La figura 7-7 muestra
cómo un abonado conecta un ordenador o un router LAN al cablemódem, que traduce las señales
digitales en las frecuencias de banda ancha utilizadas para transmitir en una red de televisión por
cable.
Figura 7-7 Conexión del módem por cable del teletrabajador
Teletrabajador
Sede de la empresa
Proveedor de servicios WAN
Proveedor de servicios de cable

Internet
RouterMódem de cableCabecera de cable
Inalámbrico
En el pasado, la principal limitación del acceso inalámbrico era la necesidad de estar dentro del alcance
de un router inalámbrico o de un módem inalámbrico con conexión por cable a Internet; sin
embargo, las siguientes tecnologías inalámbricas permiten a los usuarios conectarse a Internet
desde casi cualquier lugar:
■
Wi-Fi municipal: Muchas ciudades han empezado a crear redes inalámbricas municipales.
Algunas de estas redes proporcionan acceso a Internet de alta velocidad de forma gratuita o
por un precio sustancialmente inferior al de otros servicios de banda ancha.
■
WiMAX: Worldwide Interoperability for Microwave Access (WiMAX) es una tecnología IEEE
802.16 que está empezando a utilizarse. Ofrece un servicio de banda ancha de alta velocidad con
acceso inalámbrico y proporciona una amplia cobertura similar a la de una red de telefonía
móvil en lugar de a través de pequeños puntos de acceso Wi-Fi.
■
Internet por satélite: Esta tecnología se suele utilizar en zonas rurales donde el cable y el DSL no
están disponibles.
■
Servicio celular: El servicio celular es una opción para conectar a los usuarios y a las
ubicaciones remotas donde no hay otra tecnología de acceso WAN disponible. Los métodos de
acceso celular más habituales son el acceso celular 3G/4G (tercera y cuarta generación) y el
acceso celular Long-Term Evolution (LTE).
Elección de una opción de enlace WAN

La tabla 7-2 compara las ventajas y desventajas de las distintas opciones de conexión WAN revisadas.
Tabla 7-2 Elección de una conexión de enlace

WAN
Opción Desventajas Ejemplos de
DescripciónVentajas protocolos
Línea Conexión punto a Caro PPP, HDLC, SDLC
alquilada puntoMayor
seguridad
entre dos LANs.
Circuito Trayectoria del Configuración de la PPP, RDSI
circuito dedicadaAspecto llamada
económico
Conmutació creado entre los puntos finales.
n
El mejor ejemplo es la conexión telefónica
conexiones.
Paquete Dispositivos de transporte de paquetes Alta Medios compartidos Frame Relay, MetroE
eficiencia entre
Conmutació a través de un único punto compartido para el uso enlace
n del ancho de banda
punto o punto a multipunto
enlace a través de un portador de Internet-
trabajo.Paquetes de longitud variable
se transmiten a través de PVCs
o VPC.
Internet Paquete sin Menos seguro DSL, módem por cable,
conexiónMenos costoso,
conmutación a través de Internet disponible en inalámbrico
todo el mundo
como la infraestructura de la WAN.
Utiliza el direccionamiento de red para
entregar los paquetes. Debido a
problemas de seguridad,VPN
debe utilizarse la tecnología.
Día 7 333
Tecnología VPN
Una red privada virtual (VPN) es una conexión cifrada entre redes privadas a través de
una red pública como Internet. En lugar de utilizar una conexión de capa 2 dedicada, como una
línea alquilada, una VPN utiliza conexiones virtuales denominadas túneles VPN, que se enrutan a
través de Internet desde la red privada de la empresa hasta el sitio remoto o el host del
empleado.
Beneficios de la VPN
Las ventajas de la VPN son las siguientes
■
Ahorro de costes: Elimina la necesidad de costosos enlaces WAN dedicados y bancos de módems
■
Seguridad: Utiliza protocolos avanzados de encriptación y autenticación que protegen los
datos del acceso no autorizado
■
Escalabilidad: Puede añadir grandes cantidades de capacidad sin añadir una infraestructura significativa
■
Compatibilidad con la tecnología de banda ancha: Compatible con los proveedores de
servicios de banda ancha, por lo que los trabajadores móviles y los teletrabajadores pueden
aprovechar su servicio de Internet de alta velocidad en casa para acceder a sus redes
corporativas
Tipos de acceso a la VPN

A continuación se describen los tipos de métodos de acceso a la VPN:
■
VPN de sitio a sitio: Las VPN de sitio a sitio conectan redes enteras entre sí. Por ejemplo, una
VPN de sitio a sitio puede conectar la red de una sucursal con la red de la sede central de la
empresa, como se muestra en la figura 7-8. Cada sede está equipada con una pasarela VPN,
como un router, un cortafuegos, una VPN
concentrador o dispositivo de seguridad. En la figura, una sucursal remota utiliza una VPN de sitio
a sitio para conectarse con la sede corporativa.
Figura 7-8 VPN de sitio a sitio

Sede de la
empresa
Branch A
Puerta de enlace VPN de la oficina central

(Concentrador VPN)
LAN
ISP A
Internet
ISP C
Puertas de enlace VPN remotas (routers habilitados para VPN)

ISP B
Servidor Web/TFTP de la Intranet
LAN
Rama B
■
VPN de acceso remoto: Las VPNs de acceso remoto permiten a hosts individuales, como
teletrabajadores, usuarios móviles y consumidores de extranet, acceder a una red de la empresa de
forma segura a través de Internet, como en la Figura 7-9. Cada host suele tener un software cliente
para una conexión VPN basada en el cliente o utiliza un navegador web para una conexión VPN
sin cliente. Las VPN sin cliente basadas en la web también suelen denominarse conexiones Secure
Sockets Layer (SSL) sin cliente. Sin embargo, la VPN se establece realmente utilizando Transport
Layer Security (TLS). TLS es la versión más reciente de SSL y a veces se expresa como
SSL/TLS.
Figura 7-9 VPN de acceso remoto

Sede de la
empresa
Pasarela VPN
Túnel VPN
Internet
ISP
DSL Cable
Inicio de sesión del cliente VPN

Nombre de usuario: Contraseña:
Intranet WEB/TFTP
Servidor
Teletrabajador 1 Teletrabajador 2
■
Encapsulación de enrutamiento genérico (GRE): Una VPN IPsec estándar (no GRE) sólo
puede crear túneles seguros para el tráfico unicast. GRE es un protocolo de túnel VPN de sitio a
sitio no seguro que puede soportar el tráfico de multidifusión y difusión necesario para los
protocolos de la capa de red. Sin embargo, GRE no admite por defecto el cifrado; por lo
tanto, no proporciona un túnel VPN seguro. Para resolver este problema, se puede encapsular el
tráfico del protocolo de enrutamiento utilizando un paquete GRE y luego encapsular el paquete
GRE en un paquete IPsec para reenviarlo de forma segura a la pasarela VPN de destino. Los
términos utilizados para describir la encapsulación de GRE sobre el túnel IPsec son protocolo de
pasajero para el protocolo de enrutamiento, protocolo de portador para GRE y protocolo de
transporte para IPsec, como se muestra en la Figura 7-10.
Día 7 335
Figura 7-10 Protocolos de transporte, portador y pasajero

Protocolo
de
transporte
Protocolo de pasajeros
IP GRE IP TCP Datos
Portador
Protocolo
■
VPN dinámica multipunto (DMVPN): DMVPN es una solución propietaria de Cisco para
construir muchas VPNs de una manera fácil, dinámica y escalable. DMVPN permite a un
administrador de red formar dinámicamente túneles hub-to-spoke y túneles spoke-to-spoke, como
en la Figura 7-11. DMVPN simplifica la configuración del túnel VPN y proporciona una opción
flexible para conectar un sitio central con los sitios de las sucursales. Utiliza una
configuración hub-and-spoke para establecer una topología de malla completa. Los sitios de
enlace establecen túneles VPN seguros con el sitio central. Cada sitio se configura utilizando la
encapsulación de enrutamiento genérico multipunto (mGRE). La interfaz de túnel mGRE
permite que una única interfaz GRE soporte dinámicamente múltiples túneles IPsec.
Figura 7-11 Topología de muestra de

DMVPN
Túneles de eje a eje
Túneles de eje a eje

Hub
Radio C
Radio A
Radio B
DMVPN utiliza las siguientes tecnologías:

■
Protocolo de resolución del siguiente salto (NHRP): Asigna direcciones IP públicas
para todos los radios del túnel
■
Encriptación IPsec: Proporciona la seguridad para transportar información privada a
través de redes públicas
■
mGRE: Permite que una sola interfaz soporte múltiples túneles IPsec
■
Interfaz de túnel virtual IPsec (VTI): Al igual que DMVPN, VTI simplifica el proceso de
configuración necesario para soportar múltiples sitios y el acceso remoto. IPsec VTI es capaz
de enviar y recibir tráfico encriptado de unicast y multicast IP. Por lo tanto, los protocolos de
enrutamiento se admiten automáticamente sin necesidad de configurar túneles GRE.
■
VPN MPLS del proveedor de servicios: MPLS puede proporcionar a los clientes soluciones
VPN gestionadas; por lo tanto, asegurar el tráfico entre los sitios de los clientes es
responsabilidad del proveedor de servicios. Los proveedores de servicios admiten dos tipos de
soluciones VPN MPLS:
■
VPN MPLS de capa 3: El proveedor de servicios participa en el enrutamiento del cliente,
redistribuyendo las rutas a través de la red MPLS hacia las ubicaciones remotas del
cliente.
■
VPN MPLS de capa 2: El proveedor de servicios no interviene en el enrutamiento del
cliente. En su lugar, el proveedor despliega el Servicio de LAN Privada Virtual (VPLS)
para emular un segmento de LAN multiacceso Ethernet sobre la red MPLS. No
interviene en el enrutamiento. Los routers del cliente pertenecen efectivamente a la
misma red multiacceso.
Componentes de la VPN
La Figura 7-12 ilustra una topología típica de VPN. Los componentes necesarios para establecer esta
VPN son los siguientes:
■
Una red empresarial existente con servidores y estaciones de trabajo
■
Una conexión a Internet
■
Pasarelas VPN, como routers, cortafuegos, concentradores VPN y Adaptive Security Appliances
(ASA), que actúan como puntos finales para establecer, gestionar y controlar las conexiones VPN
■
Software adecuado para crear y gestionar túneles VPN
Día 7 337
Figura 7-12 Componentes de la VPN
Red empresarial
o corporativa
Socio comercial con router
VPN
Cortafuegos Concentrador
Internet
Router
perimetra
Oficina remota con router l
POP
Oficina regional con

cortafuegos
Teletrabajador con
cliente VPN en
SOHO con conexión de ordenador portátil
banda ancha
Establecer conexiones VPN seguras

Las VPN protegen los datos encapsulándolos y encriptándolos. En lo que respecta a las VPN, la
encapsulación y el cifrado se definen como sigue:
■
La encapsulación también se denomina túnel porque la encapsulación transmite los datos de
forma transparente desde la red de origen a la de destino a través de una infraestructura de
red compartida.
■
El cifrado codifica los datos en un formato diferente utilizando una clave secreta, que luego se
utiliza al otro lado de la conexión para el descifrado.
Túnel VPN
El tunelado utiliza tres clases de protocolos:
■
Protocolo de portador: El protocolo por el que viaja la información, como Frame Relay, PPP o
MPLS
■
Protocolo de encapsulación: El protocolo que se envuelve alrededor de los datos
originales, como GRE, IPsec, L2F, PPTP o L2TP
■
Protocolo pasajero: El protocolo sobre el que se transportaron los datos originales, como
IPX, AppleTalk, IPv4 o IPv6
La figura 7-13 ilustra un mensaje de correo electrónico que viaja por Internet a través de una conexión VPN.
Figura 7-13 Encapsulación de paquetes en un túnel

VPN
Paquete en transmisión a
través de Internet
SMTP Paquete de la
Paquete del ordenador
TCP VPN
cliente
SMTP IP SMTP
TCP PPP TCP
IP GRE IP
PPP IP PPP
IPsec
Dispositivo VPN
Dispositivo Servido
Internet VPN r de
acceso
EmisorReceptor
Algoritmos de cifrado de VPN

El grado de seguridad de cualquier algoritmo de encriptación depende de la longitud de la clave.
Algunos de los algoritmos de cifrado más comunes y las longitudes de las claves que utilizan son
los siguientes:
■
Algoritmo DES (Data Encryption Standard): Utiliza una clave de 56 bits y
garantiza un cifrado de alto rendimiento. DES es un criptosistema de clave
simétrica.
■
Algoritmo Triple DES (3DES): Una variante más reciente de DES que encripta con una
clave, descifra con una clave diferente y luego encripta una última vez con otra clave.
■
Estándar de cifrado avanzado (AES): Ofrece mayor seguridad que DES y es
computacionalmente más eficiente que 3DES. AES ofrece tres longitudes de clave: 128,
192 y 256 bits.
■
Rivest, Shamir y Adleman (RSA): Un criptosistema de clave asimétrica. Las claves utilizan
una longitud de bits de 512, 768, 1024 o más.
Con el cifrado simétrico, la clave de cifrado y la de descifrado son iguales. Con el cifrado asimétrico,
son diferentes.
Hashes
Las redes privadas virtuales utilizan un algoritmo de integridad de datos de código de
autenticación de mensajes con clave (HMAC) para garantizar la integridad y autenticidad
de un mensaje sin necesidad de mecanismos adicionales.
La fuerza criptográfica del HMAC depende de la fuerza criptográfica de la función hash
subyacente, del tamaño y la calidad de la clave y del tamaño de la longitud de salida del hash, en bits.
Hay dos algoritmos HMAC comunes:
■
Message Digest 5 (MD5): Utiliza una clave secreta compartida de 128 bits
■
Algoritmo de hash seguro 1 (SHA-1): Utiliza una clave secreta de 160 bits
Día 7 339
La Figura 7-14 muestra un ejemplo utilizando MD5 como algoritmo HMAC.
Figura 7-14 Creación y verificación de un resumen de mensajes
Clave secreta compartida
Mensaje:
Mensaje de prueba: R2, ¿estás ahí? Valor Hash:
Hash: MD5 Fsd$#^@43@Ad5J$
Función/algoritmo Hash
Mensaje:
Mensaje de prueba: ABCD1234
Valor Hash:
Fsd$#^@43@Ad5J$
R1 R2
Clave secreta compartida Clave secreta compartida
Clave secreta compartida
Valor Hash:
Hash: Fsd$#^@43@Ad5J$
MD5
Función Hash/Algoritmo Mensaje:
Mensaje de prueba: R2, ¿estás ahí?
Los hash coinciden: Mensaje auténtico con integridad
Valor Hash:
Fsd$#^@43@Ad5J$
R1 R2
Un HMAC tiene dos parámetros: un mensaje de entrada y una clave secreta compartida que sólo
conocen el emisor del mensaje y los destinatarios. En la Figura 7-14, tanto R1 como R2 conocen la
clave secreta compartida. El proceso de la Figura 7-14 utiliza los siguientes pasos:
Paso 1. R1 utiliza MD5 para realizar la función hash, que produce un valor hash. Este valor hash
se añade al mensaje original y se envía a R2.
Paso 2. R2 elimina el valor hash del mensaje original, ejecuta la misma operación hash y luego
compara su valor hash con el valor hash enviado por R1. Si los dos hashes coinciden, la
integridad de los datos no se ha visto comprometida.
Autenticación VPN
El dispositivo en el otro extremo del túnel VPN debe ser autenticado antes de que la ruta de
comunicación se considere segura. Los dos métodos de autenticación de pares son los siguientes:
■
Clave precompartida (PSK): Una clave secreta se comparte entre las dos partes
utilizando un canal seguro antes de que tenga que ser utilizada.
■
Firma RSA: Este método utiliza el intercambio de certificados digitales para autenticar a los compañeros.
Protocolos de seguridad IPsec

Tanto las tecnologías IPsec como SSL VPN ofrecen acceso a prácticamente cualquier aplicación o
recurso de la red. Sin embargo, cuando la seguridad es un problema, IPsec es la mejor opción. La Tabla
7-3 compara las implementaciones de acceso remoto IPsec y SSL.
Tabla 7-3 IPsec y SSL para el acceso remoto

Característic IPsec SSL
a
Aplicaciones Amplio-Todas las aplicaciones basadas en Aplicaciones limitadas basadas en la
IP web
apoyado son compatibles. y el intercambio de archivos son
compatibles.
Autenticación Fuerte: utiliza la autenticación Moderado-Usar unidireccional o
bidireccional bidireccional
fuerza con claves compartidas o certificados la autentificación.
digitales.
Codificación Fuerte: utiliza longitudes de clave a partir De moderado a fuerte: con longitudes de
de 56 bits clave
fuerza a 256 bits. de 40 bits a 256 bits.
Conexión Medio: requiere que un cliente VPN Baja: sólo requiere un navegador web
complejidad estar preinstalado en un host. en un host.
Conexión Limitado-Sólo dispositivos específicos Amplio-Cualquier dispositivo con una
con web
opción configuraciones específicas pueden navegador puede conectarse.
conectarse.
IPsec detalla la mensajería necesaria para asegurar las comunicaciones VPN, pero se basa en los
algoritmos existentes. Los dos protocolos principales del marco IPsec son los siguientes:
■
Cabecera de autenticación (AH): Se utiliza cuando no se requiere o no se permite la
confidencialidad. AH proporciona autenticación e integridad de los datos para los paquetes IP
que pasan entre dos sistemas. Verifica el origen de cualquier mensaje y que cualquier mensaje
pasado no ha sido modificado durante el tránsito. AH no proporciona confidencialidad de los
datos (encriptación) de los paquetes. Si se utiliza solo, el protocolo AH proporciona una
protección débil. Por lo tanto, se utiliza con el protocolo ESP para proporcionar encriptación
de datos y características de seguridad de manipulación.
Día 7 341
■
Carga útil de seguridad encapsulada (ESP): Proporciona confidencialidad y autenticación
encriptando el paquete IP. Aunque tanto el cifrado como la autenticación son opcionales en ESP,
como mínimo se debe seleccionar uno de ellos.
IPsec se basa en los algoritmos existentes para implementar el cifrado, la autenticación y el intercambio
de claves. La Figura 7-15 muestra cómo está estructurado IPsec.
IPsec proporciona el marco, y el administrador elige los algoritmos utilizados para implementar los
servicios de seguridad dentro de ese marco. Como ilustra la Figura 7-15, el administrador debe rellenar
los cuatro cuadros del marco IPsec:
■
Elija un protocolo IPsec.
■
Elija el algoritmo de encriptación adecuado para el nivel de seguridad deseado.
■
Elija un algoritmo de autenticación para proporcionar la integridad de los datos.
■
El último cuadrado es el grupo del algoritmo Diffie-Hellman (DH), que establece la compartición
de información de claves entre pares. Elija qué grupo utilizar: DH1, DH2 o DH5.
Figura 7-15 Marco IPsec

Marco IPsec
Opciones
ESP
Protocolo IPsec
ESP + AH AH
Codificación 3
DES DES AES
Autenticación
MD5 SHA
DH
DH1 DH2 DH5
Recursos de estudio

8
QoS

■
Explicar el comportamiento de reenvío por salto (PHB) para la QoS, como la clasificación, el
marcado, las colas, la congestión, la vigilancia y la conformación
Temas clave
Hoy revisamos la calidad de servicio (QoS), que se refiere a las herramientas y técnicas que los
administradores de red pueden utilizar para priorizar el tráfico en una red.
QoS
El funcionamiento normal por defecto de los switches y routers es procesar las tramas y paquetes
en el orden en que se reciben. Este mecanismo de cola de entrada y salida (FIFO) no discrimina entre
tipos de tráfico.
Las herramientas de QoS se utilizan para clasificar los tipos de tráfico en función de las cuatro características
siguientes:
■
Latencia (retardo): La latencia, o retardo, es el tiempo que tardan los datos en llegar al receptor.
Las herramientas de QoS pueden reducir el retardo de los paquetes sensibles al tiempo, como
los de voz y vídeo.
■
Jitter: El jitter es la variación en el retraso de los paquetes. Las herramientas de QoS pueden igualar
el retraso de los paquetes para mejorar la experiencia del usuario final.
■
Pérdidas: La pérdida se refiere al número de mensajes perdidos, normalmente como un
porcentaje de los paquetes enviados. Las herramientas de QoS reducen la pérdida de
paquetes, especialmente para el tráfico sensible al tiempo.
■
Ancho de banda: el ancho de banda es una medida de la cantidad de datos que una interfaz
puede enviar cada segundo. Las herramientas de QoS pueden gestionar qué tipo de tráfico es
el siguiente en utilizar el ancho de banda y qué parte del ancho de banda obtiene cada tipo
de tráfico a lo largo del tiempo.
En la Figura 6-1 se enumeran los tres principales tipos de tráfico. Para la voz y el vídeo, se muestran
los valores mínimos de las características del tráfico.
Figura 6-1 Características de los principales tipos de tráfico
Voz Vídeo Datos
Suave Ráfagas Suave/estallido

Benigno Codicioso Benigno/gracioso
Sensible a la caída Sensible a la caída Insensible a la caída
Sensible al retardo Sensible al retardo Insensible al retraso
Prioridad UDP Prioridad UDP Las retransmisiones TCP
Requisitos de un solo sentido Requisitos de un solo sentido

• Latencia ≤ 150 ms • Latencia ≤ 200 - 400 ms
• Jitter ≤ 30 ms • Jitter ≤ 30 - 50 ms
• Pérdida ≤ 1%. • Pérdida ≤ 0,1-1%.
• Ancho de banda (30-128 • Ancho de banda (384 kbps-20+Mbps)
kbps)
La Figura 6-2 muestra la secuencia de eventos de la QoS a medida que el tráfico se reenvía por una interfaz.
Figura 6-2 Visión general de las herramientas de QoS

EntradaSalida
Clasificar y
marcar
IP ToS escrito
VoIP HTTP FTP VoIP HTTP FTP
Vigilancia,
reducción Cola de Programaci
y espera ón y
eliminació conformació
n
n
Clasificación y marcado Evitar la Gestión de la congestión

congestión
Admisión
Las herramientas de QoS que se muestran en la Figura 6-2 son las siguientes:
■
Clasificación y marcado: Las herramientas de QoS supervisan los flujos de tráfico y
clasifican los paquetes en función del contenido de la cabecera. A continuación, los
mensajes se marcan cambiando los bits de la cabecera.
■
Evitar la congestión: Cuando el tráfico supera los recursos disponibles en la red, parte del tráfico
puede ser descartado, retrasado o remarcado de forma selectiva para evitar la congestión.
■
Gestión de la congestión: Las herramientas de QoS gestionan la programación y
conformación del tráfico mientras los paquetes esperan su turno en una cola para salir de
la interfaz.
Clasificación y marcado
La clasificación se refiere al proceso de cotejar campos en las cabeceras para tomar algún tipo de
acción de QoS en el paquete. Estos campos pueden incluir todos los campos normales filtrados por las
ACL, así como el campo Tipo de Servicio (ToS) en un paquete IPv4 o el campo Clase de Tráfico en un
paquete IPv6.
Día 6 345
El marcado se refiere al proceso de cambiar los valores de los bits en el campo ToS o Clase de Tráfico.
El contenido de estos dos campos es idéntico, como muestra la Figura 6-3.
Figura 6-3 Los campos ToS y Traffic Class en IPv4 e IPv6
Cabecera IPv4 Cabecera IPv6
Tipo de
Versión IHL Servicio Longitud total Versión Clase de Etiqueta de
tráfico flujo
Desplazam Siguie Lími
Identificación Band Longitud de la carga útil
iento de nte te de
eras
fragment cabecer salto
os a
Suma de
TTL Protocolo
76543210 comprobaci Dirección de la fuente
Precedencia IPPuntoóndedecódigo
la DiffServ no utilizado (DSCP)IP ECN
cabecera RFC 2474
Extensiones DiffServ RFC 3168
Dirección de la
Bits IP ECN
La Figura 6-3 destaca los bits del Punto de Código de Servicios Diferenciados (DSCP), que son el
núcleo del modelo de Servicios Diferenciados (DiffServ) para la QoS. Las herramientas de QoS pueden
utilizar los 2 bits asignados para la Notificación Explícita de Congestión (ECN) de IP para informar a
los enrutadores descendentes de la congestión en el flujo de tráfico.
DSCP y IPP
Tal y como se estandarizó en el RFC 2474, los 8 bits DSCP proporcionan 64 clasificaciones diferentes
que la QoS puede utilizar. Se trata de una gran mejora con respecto a las ocho clasificaciones asignadas
para los 3 bits del anterior campo de Precedencia IP (IPP) (RFC 791). Por compatibilidad con el
pasado, los bits DSCP incluyen los valores del Selector de Clase (CS) que se designan para que
coincidan con los bits IPP, como en la Figura 6-4.
Figura 6-4 Los valores del selector de clase
Decimal
IPP IPP CS DSCP
0 CS0 0
1 CS1 8
2 CS2 16
3 CS3 24
DSCP CSx 00 0 4 CS4 32
5 CS5 40
6 CS6 48
7 CS7 56
Para los enlaces troncales de capa 2, el tercer byte de la cabecera 802.1Q de 4 bytes está
reservado para la Clase de Servicio (CoS), y las herramientas de QoS pueden utilizarlo para marcar
las tramas. Sin embargo, este campo sólo existe mientras la trama atraviesa los enlaces troncales,
como muestra la Figura 6-5. Para continuar con el mismo nivel de servicio a medida que el tráfico es
enrutado en la Capa 3, el campo ToS debe ser marcado.
Figura 6-5 Ejemplo de marcado de CoS
Tronco Tronco WAN …

SW1SW2 R1 R2
Puede utilizar CoS
Los campos adicionales que pueden ser marcados para QoS incluyen el campo Identificador de Tráfico
(TID) en la trama 802.11 y el campo EXP en MPLS. La Tabla 6-1 enumera todos los campos de
QoS.
Tabla 6-1 Campos de marcado

QoS
Campo Nombre Longitud (bits) Dónde se usa
Encabezado(s)
DSCP IPv4, IPv6 6 Paquete de extremo a extremo
IPP IPv4, IPv6 3 Paquete de extremo a extremo
CoS 802.1Q 3 A través de la VLAN troncal
TID 802.11 3 A través de Wi-Fi
EXP Etiqueta MPLS 3 Sobre MPLS WAN
NOTA: El campo EXP de MPLS fue renombrado como campo de Clase de Tráfico en el RFC
5462. Sin embargo, EXP se sigue utilizando habitualmente. El nombre EXP proviene de la
designación "uso experimental".
EF y AF
Expedited Forwarding (EF) es un valor decimal DSCP único de 46 que se sugiere para su uso con
paquetes que requieren baja latencia, baja fluctuación y baja pérdida. Las implementaciones de QoS
suelen utilizar EF para marcar los paquetes de voz.
Assured Forwarding (AF), especificado en el RFC 2597, define un conjunto de 12 valores DSCP que
están dispuestos en una matriz, como en la Figura 6-6.
Figura 6-6 Valores DSCP de AF
La mejor La peor
caída caída
La mejor cola
AF41 AF42 AF43
(34) (36) (38)
La peor cola
AF31 AF32 AF33
(26) (28) (30)
AF21 AF22 AF23

(18) (20) (22)
AF11 AF12 AF13

(10) (12) (14)
Día 6 347
Las cuatro filas de la Figura 6-6 muestran las prioridades de la cola. Las tres columnas muestran la
prioridad de caída. Los nombres de los AF siguen el formato AFXY, donde X se refiere a la cola e
Y a la prioridad de caída.
Gestión de la congestión
La gestión de la congestión se refiere a las herramientas de QoS utilizadas para gestionar las colas
mientras los paquetes esperan para salir de una interfaz. La mayoría de los dispositivos de red pueden
tener un sistema de colas que puede clasificar los paquetes en varias colas. Un planificador decide
entonces qué mensaje será el siguiente cuando la interfaz esté disponible.
Una herramienta popular es la cola justa basada en clases (CBWFQ), que asigna clases de tráfico a las
colas y garantiza un ancho de banda mínimo para una cola. A continuación, el planificador utiliza un
algoritmo round-robin para recorrer las colas en orden, como se muestra en la Figura 6-7.
Figura 6-7 Programación CBWFQ Round-Robin
Clasificador Colas Programador
Q1 Q2 20%
Q3 30% Transmitir
50%
Round Robin
Sin embargo, la CBWFQ por sí sola no satisface las necesidades del tipo de tráfico más sensible al
tiempo durante los periodos de gran congestión del ancho de banda. Cada llamada de voz necesita entre
30 y 320 kbps, un retardo máximo de 150 ms, un jitter máximo de 30 ms y menos de un 1% de pérdida
de paquetes. La solución es añadir la cola de baja latencia (LLQ) a CBWFQ. El planificador siempre
toma el siguiente paquete de voz de la LLQ, como muestra la Figura 6-8.
Figura 6-8 Cola de baja latencia
Clasificador Programador
LLQ-Siguiente
voz
datos 1
datos 2 Transmitir
por
defecto
Round Robin
Vigilancia, conformación y descartes TCP

Dos herramientas que pueden ayudar a gestionar y evitar la congestión en los enlaces muy
utilizados son el policing y el shaping. Aunque estas herramientas no se utilizan habitualmente
en toda la empresa, son
especialmente útil en el borde de la WAN. Ambas herramientas intentan mantener la tasa de bits a una
velocidad determinada o por debajo de ella. Los policers dejan caer los paquetes y los shapers los
retrasan colocándolos en una cola.
La vigilancia tiene sentido en el borde de la WAN. Por ejemplo, considere un enlace WAN Metro
Ethernet que está contratado para no permitir más de 200 Mbps, como en la Figura 6-9.
Figura 6-9 Borde de la WAN con un CIR inferior a la velocidad del enlace
200 Mbps CIR
R1 G0/1 SW SW G0/2 R2
Policía a Policía a
200 Mbps 200 Mbps
El proveedor de servicios (SP) utiliza la vigilancia para ajustarse a la Tasa de Información

Comprometida (CIR). Si el cliente supera el CIR de 200 Mbps, el SP puede descartar los paquetes
sobrantes o remarcarlos, pero permitir su paso. Más tarde, los paquetes en exceso pueden ser
descartados si la red del SP experimenta congestión. Las funciones de vigilancia incluyen las
siguientes:
■
Medir el tráfico a lo largo del tiempo y compararlo con una tasa de vigilancia configurada
■
Permitir el tráfico en ráfagas durante los tiempos lentos
■
Descartar los mensajes sobrantes o remarcarlos para que sean descartados más tarde si se produce una
congestión aguas abajo
En el lado del cliente del enlace de la Figura 6-9, el administrador de la red puede utilizar un
conformador para ralentizar el tráfico para que coincida con el CIR de 200 Mbps. El conformador
ralentiza el tráfico poniendo en cola los paquetes y luego programando los paquetes en función de la
tasa de conformación, como muestra la Figura 6-10.
Figura 6-10 Conformación con LLQ y CBWFQ

Internos del router
Shaper
Al ritmo de la forma Cola de salida

LLQ
Reenvío
Transmitir
R1
CBWFQ
El Shaping no puede reducir la velocidad física de una interfaz. En su lugar, envía y espera. Por ejemplo,
con un CIR de 200 Mbps y una interfaz de 1000 Mbps, el conformador envía tráfico a 1000 Mbps el
20% del tiempo. El otro 80% del tiempo, el conformador está en espera.
Esta táctica de envío-espera puede afectar negativamente al tráfico de voz y vídeo sensible al
tiempo. Por lo tanto, se recomienda establecer el intervalo de tiempo en 10 ms. Entonces el
conformador enviará 1000 Mbps durante 2 ms y esperará 8 ms. Esto garantiza que un paquete de
voz no tendrá que esperar más de 10 ms antes de ser enviado, lo que está muy por debajo del
requisito de retardo máximo de 150 ms.
Día 6 349
A continuación, las principales características de los moldeadores:

■
Medir el tráfico en el tiempo y compararlo con una tasa de conformación configurada
■
Permitir el tráfico en ráfagas durante los tiempos lentos
■
Ralentiza los paquetes poniéndolos en cola y, con el tiempo, los libera de la cola a la
velocidad de conformación
QoS y TCP
Sin herramientas para evitar la congestión, puede producirse una caída de la cola (véase la Figura 6-11).
Figura 6-11 Ejemplo de caída de cola

1 2 3 Poca
congestiónMediacongestiónMuchacongestión
Caída de la cola
Caída de la cola
A medida que las colas inferiores se llenan, los paquetes recibidos en último lugar se descartan.
Los servicios orientados a la conexión de TCP ayudan a las herramientas de QoS a minimizar la caída
de la cola. Recordemos que TCP utiliza un proceso de ventana entre el emisor y el receptor para
cambiar dinámicamente la cantidad de datos que se envían antes de recibir un acuse de recibo. Las
herramientas de QoS pueden explotar esta función de ventana descartando algunos segmentos TCP
antes de que se llenen las colas. Esto obliga a que las conexiones TCP sean más lentas, reduce la
congestión y evita la caída de la cola.
Las herramientas de QoS monitorizan la profundidad de las colas a lo largo del tiempo. Los umbrales
configurados especifican qué porcentaje de paquetes TCP deben ser descartados a medida que la
cola se llena, como en la Figura 6-12.
Figura 6-12 Umbrales de cola para descartar paquetes TCP

Cola llena
Gotas completas
Umbral máximo
% Gotas
Umbral mínimo
Sin gotas
Cola vacía
Recursos de estudio
Módulo de recursos o capítulo
Redes empresariales, seguridad y automatización9
CCNA 200-301 Official Cert Guide,Volumen 211
CDP y LLDP

■
Configurar y verificar los protocolos de descubrimiento de capa 2 (Cisco Discovery Protocol y LLDP).
Temas clave
El Protocolo de Descubrimiento de Cisco (CDP) es un protocolo de capa 2 propiedad de Cisco que
se utiliza para recopilar información sobre los dispositivos de Cisco en el mismo enlace de datos. Los
dispositivos Cisco también soportan el Link Layer Discovery Protocol (LLDP), que es un protocolo de
descubrimiento de vecinos basado en estándares, similar a CDP. Hoy revisaremos la configuración y
verificación de CDP y LLDP.
Resumen del CDP

Como muestra la Figura 5-1, CDP envía anuncios a los dispositivos conectados directamente.
Figura 5-1 CDP envía anuncios entre dispositivos conectados directamente

Anuncios de CDP
R1 S1
CDP se ejecuta en todos los equipos fabricados por Cisco. Recoge las direcciones de protocolo de
los dispositivos vecinos y descubre las plataformas de esos dispositivos. CDP se ejecuta sólo en la
capa de enlace de datos.
Esto significa que dos sistemas que soportan diferentes protocolos de capa 3 pueden aprender el
uno del otro. La Tabla 5-1 resume los valores predeterminados de CDP.
Tabla 5-1 Valores predeterminados de CDP

ParámetroDefecto
CDPEnabled globalmente y en todas las interfaces
Versión del CDPVersión 2
Temporizador CDP60 segundos
CDP holdtime180 segundos
CDP puede ayudar en el descubrimiento de la red y en la resolución de problemas. CDP anuncia la

siguiente información útil:
■
ID del dispositivo: El nombre del dispositivo vecino
■
Direcciones: Las direcciones IPv4 e IPv6 utilizadas por el dispositivo.
■
ID del puerto: El nombre del puerto local o del puerto remoto
■
Capacidades: Si el dispositivo es un router o un switch o tiene otras capacidades
■
Versión: La versión de CDP que se ejecuta en el dispositivo.
■
Plataforma: La plataforma de hardware del dispositivo, como un router Cisco 1941 o un switch 2960
Configuración de CDP
CDP está habilitado en un dispositivo para todas las interfaces, como muestra el Ejemplo 5-1.
Ejemplo 5-1 CDP funcionando en todas las interfaces
Router# show cdp interface

Embedded-Service-Engine0/0 está administrativamente caído, el protocolo de línea
está caído Encapsulation ARPA
Envío de paquetes CDP cada 60 segundos
El tiempo de espera es de 180 segundos
GigabitEthernet0/0 está administrativamente caído, el protocolo de línea está
caído Encapsulación ARPA
GigabitEthernet0/1 está levantada, el protocolo de
línea está levantado Encapsulación ARPA
Serial0/0/0 está administrativamente caído, el protocolo de línea
está caído Encapsulación HDLC
Serial0/0/1 está administrativamente caído, el protocolo de línea
está caído Encapsulación HDLC
cdp enabled interfaces : 5

interfaces up:
1
interfaces caídas:
4 Router# show ip interface
brief
Interfaz Dirección IP ¿Ok? Método Estado Protocolo
Embedded-Service-Engine0/0 unassigned YES unset administratively down
GigabitEthernet0/0 unassigned YES unset administratively down down
GigabitEthernet0/1 unassigned YES unset up up
Serial0/0/0 sin asignar SÍ sin establecer administrativamente
abajo Serial0/0/1 sin asignar SÍ sin establecer
administrativamente abajo
Router#
Día 5 353
Observe en la salida del ejemplo 5-1 que una interfaz no tiene que ser configurada con una
dirección de capa 3 para enviar o recibir anuncios CDP. La interfaz sólo necesita ser activada con el
comando no shutdown. En el Ejemplo 5-2, el switch conectado al router en el Ejemplo 5-1 ha
reunido información CDP sobre el router. Los dos dispositivos se están comunicando a través del
enlace de capa 2 sin ninguna dirección de capa 3.
Ejemplo 5-2 Envío de mensajes de capa 2
Switch# show cdp neighbors

Códigos de capacidad: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Conmutador, H - Anfitrión, I - IGMP, r - Repetidor, P
- Teléfono, D - Remoto, C - CVTA, M - Relé Mac de dos
puertos
Device ID Local IntrfceHoldtmeCapability Platform Port

ID RouterFas 0/5155R B S
ICISCO1941 Gig 0/1 Switch#
Para desactivar el CDP en el dispositivo, utilice el comando de configuración global CDP no cdp run:
Router(config)# no cdp run
Verifique que el dispositivo ya no está ejecutando CDP utilizando el comando show cdp:
Router# show cdp
% CDP no está
habilitado Router#
Después de esperar a que expire el tiempo de espera de 180 segundos en el switch, puede verificar que el
switch ya no recibe información sobre el router (ver Ejemplo 5-3).
Ejemplo 5-3 Verificación de que un switch no tiene vecinos CDP
Switch# show cdp neighbors

Códigos de capacidad: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Conmutador, H - Anfitrión, I - IGMP, r - Repetidor, P
- Teléfono, D - Remoto, C - CVTA, M - Relé Mac de dos
puertos
Dispositivo IDLocal Intrfce Holdtme Capacidad Plataforma ID

Puerto Switch#
También se puede desactivar el CDP por interfaz. Esta opción de configuración es una buena práctica de
seguridad para las interfaces que están conectadas a redes no confiables. Para deshabilitar CDP en una
interfaz, utilice el comando no cdp enable (ver Ejemplo 5-4).
Ejemplo 5-4 Desactivación de CDP en una interfaz
Router(config)# interfaz s0/0/0

Router(config-if)# no cdp enable
Router(config-if)# end
Router# show cdp interface
Embedded-Service-Engine0/0 está administrativamente caído, el protocolo de
línea está caído Encapsulation ARPA
Envío de paquetes CDP cada 60
segundos El tiempo de espera es de
180 segundos
GigabitEthernet0/0 está administrativamente caído, el protocolo de
línea está caído Encapsulación ARPA
180 segundos
GigabitEthernet0/1 está levantada, el
protocolo de línea está levantado
Encapsulación ARPA
180 segundos
Serial0/0/1 está administrativamente caído, el protocolo de
línea está caído Encapsulación HDLC
180 segundos
cdp enabled interfaces : 4

interfaces up:
1
interfaces caídas: 3
Router#
Observe en la salida del comando show cdp interface que la interfaz Serial 0/0/0 ya no está en la
lista, como lo estaba en el Ejemplo 5-1.
Para ajustar el tiempo de los anuncios CDP, utilice el comando de configuración global cdp timer:
Router(config)# cdp timer seconds
El rango es de 5 a 254 segundos, y el valor por defecto es de 60 segundos. Si se modifica el

temporizador CDP, también se debe modificar el tiempo de espera con el comando de
configuración global cdp holdtime:
Router(config)# cdp holdtime seconds
El rango es de 10 a 255, y el valor por defecto es de 180 segundos.
Verificación del CDP

Ya ha visto ejemplos de show cdp, show cdp neighbors y show cdp interface. El comando
show cdp neighbors detail lista toda la información que CDP recoge sobre los vecinos
conectados directamente. En el Ejemplo 5-5, el switch S3 conoce una variedad de información
sobre R1, incluyendo la dirección IP y la versión de Cisco IOS que se ejecuta en el router.
Día 5 355
Ejemplo 5-5 Información detallada de CDP
S3# show cdp neighbors detail
ID del dispositivo:
R3.31days.com Dirección(es)
de entrada:
Plataforma: Cisco CISCO1941/K9, Capacidades: Router Source-Route-Bridge Switch
IGMP
Interfaz: FastEthernet0/5, ID de puerto (puerto de salida): GigabitEthernet0/1
Tiempo de espera : 162 seg.
Versión :
Software Cisco IOS, software C1900 (C1900-UNIVERSALK9-M), versión 15.4(3)M2,
SOFTWARE DE LIBERACIÓN (fc2)
Soporte técnico: http://www.cisco.com/techsupport Copyright
(c) 1986-2015 by Cisco Systems, Inc.
Compilado Fri 06-Feb-15 17:01 por prod_rel_team
versión del anuncio: 2

Dúplex: completo
Potencia disponible TLV:
ID de solicitud de energía: 0, ID de gestión de energía: 0, Energía disponible:

0, Nivel de gestión de energía: 0
Dirección de gestión:
Dirección IP:
192.168.1.1
S3#
NOTA: El valor del ID del dispositivo muestra R3.31days.com porque R3 está

configurado con el comando ip domain-name y el acceso remoto SSH.
Cuando la documentación es escasa o incompleta, se puede utilizar CDP para reunir información
sobre los dispositivos y descubrir la topología de la red. El ejemplo 5-6 muestra cómo acceder
remotamente a R3 y descubrir que R2 está conectado a R3.
Ejemplo 5-6 Descubrir más dispositivos
S3# ssh -l admin 192.168.1.1

Contraseña:
R3> show cdp neighbors detail
ID del dispositivo:
S3.31days.com Dirección(es)
de entrada:
Plataforma: cisco WS-C2960-24TT-L, Capacidades: Switch IGMP
Interfaz: GigabitEthernet0/1, ID de puerto (puerto de salida): FastEthernet0/5
Tiempo de espera : 126 seg.
Versión :
Software Cisco IOS, software C2960 (C2960-LANBASEK9-M), versión 15.0(2)SE7,

Soporte técnico: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compilado Thu 23-Oct-14 14:49 por prod_rel_team
versión de la publicidad: 2
Protocolo Hola: OUI=0x00000C, Protocol ID=0x0112; payload len=27, value=00000000FF
FFFF010221FF0000000000000CD996E87400FF0000
Dominio de gestión VTP: ''
VLAN nativa: 1
Dúplex: completo
Dirección de la dirección:
ID del dispositivo:
R2.31days.com Dirección(es)
de entrada:
Plataforma: Cisco CISCO1941/K9, Capacidades: Router Source-Route-Bridge Switch
Interfaz IGMP: Serial0/0/1, ID de puerto (puerto de salida): Serial0/0/1
Tiempo de espera :
148 seg Versión :
Software Cisco IOS, software C1900 (C1900-UNIVERSALK9-M), versión 15.4(3)M2,
Compilado Fri 06-Feb-15 17:01 por prod_rel_team
versión del anuncio: 2

Dirección(es) de gestión:
Total de entradas cdp

mostradas : 2 R3>
Ahora puedes acceder al router R2, con autenticación, y seguir descubriendo la red.
Como muestra el Ejemplo 5-7, se utiliza el comando show cdp traffic para verificar cuántos paquetes
CDP ha enviado y recibido un dispositivo.
Ejemplo 5-7 Verificación del número de paquetes CDP
R3# show cdp traffic

Contadores CDP :
Salida total de paquetes: 758, Entrada: 724
Sintaxis Hdr: 0, Error de Chksum: 0, Encapsulado fallido: 1
No hay memoria: 0, Paquete inválido: 0,
Salida de anuncios CDP versión 1: 0, Entrada: 0
Anuncios CDP versión 2 salida: 758, Entrada: 724
R3#
Día 5 357
Visión general de LLDP

Además de soportar CDP, los dispositivos de Cisco también soportan LLDP, que es un estándar
abierto de proveedor neutral (IEEE 802.1AB). LLDP funciona con routers, switches y puntos de
acceso LAN inalámbricos. Al igual que CDP, LLDP es un protocolo de descubrimiento de vecinos
que se utiliza para que los dispositivos de red anuncien información sobre sí mismos a otros
dispositivos de la red. Al igual que CDP, LLDP permite que dos sistemas que ejecutan diferentes
protocolos de capa de red se conozcan entre sí.
La Tabla 5-2 resume los valores por defecto del CDP.
Tabla 5-2 Valores predeterminados de LLDP

ParámetroDefecto
LLDPDesactivado globalmente y en todas las interfaces
Temporizador LLDP30 segundos
LLDP holdtime120 segundos
Retraso de reinicialización de LLDP2 segundos
NOTA: El retardo de reinicialización es el número de segundos que el dispositivo espera

después de que se desactive LLDP en un puerto antes de aceptar una configuración para volver
a activar LLDP.
Configuración de LLDP
Para activar el LLDP globalmente, introduzca el comando lldp run:
Router(config)# lldp run
Cuando se activa globalmente, el LLDP está activado en todas las interfaces. Para desactivar el LLDP en una
interfaz, utilice la opción
comandos no lldp transmit y no lldp receive:
Router(config)# interface interface-id
Router(config-if)# no lldp transmit
Router(config-if)# no lldp receive
Router(config-if)# end
Router#
Para ajustar el tiempo de los anuncios LLDP, utilice el comando de configuración global lldp timer:
Router(config)# lldp timer seconds
El rango es de 5 a 65534 segundos, y el valor por defecto es de 30 segundos. Si se modifica el

temporizador CDP, también se debe modificar el tiempo de espera con el comando de
configuración global cdp holdtime:
Router(config)# lldp holdtime seconds
El rango es de 0 a 65535, y el valor predeterminado es 120 segundos.También puede modificar el

tiempo de retardo para que LLDP se inicialice en cualquier interfaz con el comando de
configuración global lldp reinit:
Router(config)# lldp reinit seconds
El rango es de 2 a 5 segundos, y el valor por defecto es de 2 segundos.
Para la topología de la Figura 5-2, la política es que LLDP debe tener los mismos
temporizadores que CDP. Los routers no deberían transmitir mensajes LLDP por las
interfaces LAN.
Figura 5-2 Topología de configuración de LLDP

Anuncios LLDP
R1 S1
El ejemplo 5-8 muestra los comandos para implementar la política LLDP.
Ejemplo 5-8 Configuración LLDP
R1(config)# lldp run

R1(config)# lldp timer 60
R1(config)# lldp holdtime 180
R1(config)# interface g0/1
R1(config-if)# no lldp transmit
R1(config-if)# end
R1#
S1(config)# lldp run

S1(config)# lldp timer 60
S1(config)# lldp holdtime 180
S1(config)# end
S1#
Verificación de LLDP
Los comandos de verificación de LLDP son similares a los de CDP. Simplemente sustituya la palabra clave cdp
con llpd. El ejemplo 5-9 muestra la salida de los comandos de verificación LLDP.
Ejemplo 5-9 Comandos de verificación de LLDP
R1# show lldp
Información global de LLDP:

Estado: ACTIVO
Los anuncios de LLDP se envían cada 60 segundos
El tiempo de retención de LLDP anunciado es de
180 segundos
El retraso de reinicialización de la interfaz LLDP es
de 2 segundos R1# show lldp interface
<salida omitida>
GigabitEthernet0/0:
Tx:
activado
Rx:
activado
Estado de transmisión: INIT
Estado Rx: WAIT PORT OPER
Día 5 359
GigabitEthernet0/1:
Tx:
desactivado
Rx: activado
Estado de transmisión: INIT
Estado Rx: WAIT FOR FRAME
<salida omitida>
R1# show lldp neighbors
Códigos de capacidad:
(R) Router, (B) Puente, (T) Teléfono, (C) Dispositivo de cable DOCSIS
(W) Punto de acceso WLAN, (P) Repetidor, (S) Estación, (O) Otros
ID de dispositivo Capacidad de tiempo de retención

de Intf local ID de puerto
S1Gi0/1180BFa0/5
Total de entradas mostradas: 1
R1# show lldp neighbors detail
Intf. local Gi0/1

Chassis id: 0cd9.96e8.8a00
Port id: Fa0/5
Descripción del puerto: FastEthernet0/5
Nombre del sistema: S1.31days.com
Descripción del sistema:

Software Cisco IOS, software C2960 (C2960-LANBASEK9-M), versión 15.0(2)SE7,
Compilado Thu 23-Oct-14 14:49 por prod_rel_team
Tiempo restante: 127 segundos

Capacidades del sistema: B
Capacidades habilitadas: B
Direcciones de gestión:
IP: 172.16.1.2
Negociación automática - soportada,
activada Capacidades de los medios
físicos:
100base-TX(FD)
100base-TX(HD)
10base-T(FD)
10base-T(HD)
Tipo de unidad de conexión de
medios: 16 Vlan ID: 1
Total de entradas mostradas:
1 R1# show lldp traffic
Estadísticas de tráfico LLDP:

Total de tramas
emitidas: 171
Total de entradas envejecidas: 0
Total de cuadros en: 34

Total de tramas recibidas por error: 0
Total de tramas descartadas: 0
Total de TLVs descartados: 0
Total de TLVs no
reconocidos: 0
R1#
Recursos de estudio

12
Supervisión, gestión y
mantenimiento de los
dispositivos

■
Explicar la función de SNMP en las operaciones de red
■
Describir el uso de las funciones de syslog, incluyendo las instalaciones y los niveles
■
Configurar y verificar el funcionamiento de NTP en modo Cliente y Servidor
■
Describir las capacidades y la función de TFTP/FTP en la red
Temas clave
El repaso de hoy abarca las herramientas utilizadas para supervisar, gestionar y mantener los routers y
los switches. Para la supervisión de dispositivos, revisamos cómo configurar y verificar el Protocolo
simple de gestión de redes (SNMP), syslog y el Protocolo de tiempo de red (NTP). Para la gestión de
dispositivos, revisamos la copia de seguridad y la restauración de la configuración del dispositivo y las
licencias de Cisco IOS. Para el mantenimiento del dispositivo, revisamos la gestión del sistema de
archivos, las actualizaciones de Cisco IOS y la recuperación de contraseñas.
Funcionamiento de SNMP
SNMP es un protocolo de capa de aplicación que proporciona un formato de mensaje para la
comunicación entre gestores y agentes.
Componentes SNMP
El sistema SNMP consta de tres elementos:
■
Gestor SNMP
■
Agentes SNMP (nodo gestionado)
■
Base de información de gestión (MIB)
Mensajes SNMP
El gestor SNMP forma parte de un sistema de gestión de red (NMS) y ejecuta el software de
gestión SNMP. Los agentes SNMP son dispositivos gestionados. La MIB almacena las variables
SNMP. SNMP utiliza tres mensajes básicos entre los gestores y los agentes SNMP: mensajes get, set y
trap.
El gestor SNMP utiliza mensajes get para sondear un dispositivo en busca de información y
mensajes set para cambiar un parámetro del dispositivo. Un agente SNMP puede utilizar trampas
SNMP para notificar de forma independiente al NMS cuando se produce un problema.
Por ejemplo, SNMP puede monitorizar la utilización de la CPU en un router Cisco. El NMS puede
muestrear este valor periódicamente y advertir al administrador de la red cuando el valor se desvía
de la línea base. Un agente SNMP también puede ser configurado para enviar un mensaje trap
cuando la utilización de la CPU se aleja de los valores normales de la red. La Tabla 4-1 resume las
acciones get y set.
Tabla 4-1 Operaciones SNMP get y set
OperaciónDescripción
get-requestRecupera un valor de una variable específica.
get-next-requestRecupera un valor de una variable dentro de una tabla. El gestor de SNMP no necesita
conocer el nombre exacto de la variable. Se realiza una búsqueda secuencial para
encontrar la variable necesaria dentro de una tabla.
get-bulk-requestRecupera grandes bloques de datos, como varias filas de una tabla, que de otro modo
requerirían la transmisión de muchos bloques de datos pequeños. (Esto sólo funciona
con SNMPv2 o posterior).
get-responseResponde a una get-request, get-next-request o set-request enviada por un NMS.
set-requestApoya un valor en una variable específica.
Versiones de SNMP
Existen varias versiones de SNMP:
■
SNMPv1: El SNMP original, definido en el RFC 1157.
■
SNMPv2c: Definido en las RFCs 1901 a 1908. Utiliza un marco administrativo basado en
cadenas de comunidad.
■
SNMPv3: Protocolo interoperable basado en estándares definido originalmente en los RFCs
2273 a 2275. Proporciona acceso seguro a los dispositivos mediante la autenticación y el
cifrado de los paquetes en la red.
SNMPv1 y SNMPv2c utilizan cadenas de comunidad que controlan el acceso a la MIB. Las cadenas de
comunidad son contraseñas en texto plano. Existen dos tipos de cadenas de comunidad:
■
Sólo lectura (ro): Proporciona acceso a las variables de la MIB, pero no permite que estas
variables sean modificadas (sólo lectura)
■
Lectura-escritura (rw): Proporciona acceso de lectura y escritura a todos los objetos de la MIB
La base de información de gestión

La MIB organiza las variables jerárquicamente. Las variables MIB permiten al software de gestión
supervisar y controlar el dispositivo de red. Formalmente, la MIB define cada variable como un ID
de objeto (OID). Los OID identifican de forma exclusiva los objetos gestionados en la jerarquía de la
MIB. La MIB organiza los OIDs basándose en los estándares RFC en una jerarquía de OIDs,
normalmente mostrada como un árbol.
Las RFC definen algunas variables públicas comunes. La Figura 4-1 muestra partes de la estructura
MIB definida por Cisco Systems.
Día 4 363
Figura 4-1 Identificadores de objetos de la base de información de gestión
iso (1).
org (3).
dod (6).
cisco (9).
Internet (1).
variables locales (2). cisco mgmt (9).
privado (4).
grupo de interfaces (2). grupo de flashes cisco (10).
Tenga en cuenta que el OID puede

empresas (1).describirse con palabras o números para ayudar a localizar una
variable concreta en el árbol. Por ejemplo, los OID pertenecientes a Cisco se numeran de la siguiente
manera: iso (1).org (3).dod (6).internet (1).private (4).enterprises (1).cisco (9). Esto se muestra o se
configura como 1.3.6.1.4.1.9.
Una forma de demostrar el uso de estos OIDs es ver cómo se pueden implementar en la utilidad
gratuita SNMPGET. El ejemplo 4-1 muestra cómo se puede configurar SNMPGET para obtener
una media móvil exponencial de 5 minutos del porcentaje de ocupación de la CPU de un router.
Ejemplo 4-1 Obtención de un valor MIB con SNMPGET
[13:22][cisco@NMS~ ]$ snmpget -v2c -c community 10.250.250.14

1.3.6.1.4.1.9.2.1.58.0
SNMPv2-SMI::enterprises.9.2.1.58.0 = INTEGER: 11
El texto en negrita muestra un comando bastante largo con varios parámetros resaltados:
■
-v2c: La versión de SNMP en uso
■
-c comunidad: La contraseña de SNMP, llamada cadena de comunidad.
■
10.250.250.14: La dirección IP del dispositivo supervisado
■
1.3.6.1.4.1.9.2.1.58.0: El OID numérico de la variable MIB
La última línea muestra la respuesta. La salida muestra una versión abreviada de la variable MIB. A
continuación, muestra el valor real en la ubicación MIB; en este ejemplo, significa que la CPU está al
11% de utilización.
Configuración de SNMP
La configuración de SNMPv2c en un router o switch de Cisco sólo requiere un comando de
configuración global: snmp-server community. Los siguientes pasos incluyen algunos comandos
opcionales:
Paso 1. (Obligatorio) Configure la cadena de comunidad y el nivel de acceso (sólo lectura o
lectura-escritura) con el comando global snmp-server community string {RO|RW}.
Paso 2. (Opcional) Documente la ubicación del dispositivo mediante el comando snmp-server location
comando de configuración global text-describing-location.
Paso 3. (Opcional) Documente la ubicación del dispositivo utilizando el contacto del servidor snmp
comando de configuración global contact-name.
Paso 4. (Opcional) Restrinja el acceso a SNMP a los hosts NMS que están permitidos por
una lista de control de acceso (ACL) definiendo una ACL y haciendo referencia a la
ACL en el comando de configuración global snmp-server community string acl.
El ejemplo 4-2 demuestra el uso de los comandos obligatorios y opcionales.
Ejemplo 4-2 Configuración de SNMPv2c para el acceso de sólo lectura
R1(config)# ip access-list standard SNMP_ACCESS

R1(config-std-nacl)# permit host 172.16.3.110
R1(config-std-nacl)# exit
R1(config)# snmp-server community 4md!n0n1y RO SNMP_ACCESS
R1(config)# snmp-server location Austin, TX
R1(config)# snmp-server contact Bob Smith
R1(config)# end
Verificación de SNMP
Para verificar la configuración de SNMP, utilice el comando show snmp (ver Ejemplo 4-3).
Ejemplo 4-3 Verificación de SNMP
R1# show snmp Chasis:

FTX1636848Z Contacto:
Bob Smith Ubicación:
Lima, OH
0 Entrada de paquetes SNMP
0 Errores de versión SNMP
0 Nombre de la comunidad desconocido
0 Operación ilegal para el nombre de la comunidad suministrada
0 Errores de codificación
0 Número de variables solicitadas
0 Número de variables alteradas
0 PDUs de solicitud de obtención
0 Get-next PDUs
Día 4 365
0 PDUs de solicitud de establecimiento

0 Caída de paquetes en la cola de entrada (tamaño máximo de la cola 1000)
359 Salida de paquetes
SNMP
0 Errores demasiado grandes (tamaño máximo del paquete 1500)
0 No hay errores de nombre
0 Errores de valores
erróneos
0 Errores generales
0 PDUs de
Respuesta 359 PDUs
de Trampa
Despachador SNMP:
cola 0/75 (actual/máx), 0 abandonados
Motor SNMP:
cola 0/1000 (actual/máx), 0 abandonados
Registro SNMP: activado

Registrándose en 172.16.3.10, 0/10, 359 enviados, 0 perdidos.
La salida del comando show snmp no muestra información relacionada con la cadena de
comunidad SNMP o la ACL asociada (si es aplicable). El ejemplo 4-4 muestra el uso del comando
show snmp community para mostrar la cadena de comunidad SNMP y la información de ACL.
Ejemplo 4-4 Verificación de las cadenas de comunidad SNMP
R1# show snmp community
Nombre de la comunidad: ILMI

Índice de la comunidad:
cisco0 Community
SecurityName: ILMI
tipo de almacenamiento: sólo lectura activo
Nombre de la comunidad:
4md!n0n1y Índice de la
comunidad: cisco7
Seguridad comunitariaNombre: 4md!n0n1y
storage-type: nonvolatileactiveaccess-list: SNMP_ACCESS
Nombre de la comunidad:
4md!n0n1y Índice de la
comunidad: cisco8
Seguridad comunitariaNombre: 4md!n0n1y
storage-type: nonvolatile active
access-list: SNMP_ACCESS
Syslog
Syslog es un término utilizado para describir un estándar que el IETF documentó por primera vez
en el RFC 3164 en 2001. Es un protocolo popular que utilizan muchos dispositivos de red, como
routers, switches, servidores de aplicaciones, firewalls y otros dispositivos de red. Estos dispositivos
pueden enviar sus mensajes a través de la red para ser almacenados en servidores syslog para que
los administradores de la red puedan acceder a ellos posteriormente.
Operación Syslog
Syslog utiliza el puerto UDP 514 para enviar mensajes de notificación de eventos a través de las
redes IP a los recolectores de mensajes de eventos, como ilustra la Figura 4-2.
Figura 4-2 Ejemplo de servidor Syslog

Servidor Syslog
Mensajes del sistema Mensajes del sistema
R1 S1
El servicio de registro syslog proporciona tres capacidades principales:

■
Recopilación de información de registro para la supervisión y la resolución de problemas
■
Selección del tipo de información de registro que se captura
■
Especificación de los destinos de los mensajes syslog capturados
En los dispositivos de red de Cisco, el protocolo syslog comienza enviando los mensajes del sistema y la
salida de depuración a un proceso de registro local interno del dispositivo. Es posible supervisar de
forma remota los mensajes del sistema viendo los registros en un servidor syslog o accediendo al
dispositivo a través de Telnet, Secure Shell (SSH) o el puerto de la consola.
Los dispositivos Cisco producen mensajes syslog como resultado de eventos de red. Cada mensaje
syslog contiene un nivel de gravedad y una facilidad. La Tabla 4-2 muestra la lista completa de
niveles de gravedad de syslog.
Tabla 4-2 Nivel de gravedad de Syslog

Nombre de la Nivel de gravedad Explicación
gravedad
Emergencia Nivel 0 Sistema inutilizable
Alerta Nivel 1 Se necesita una acción inmediata
Crítica Nivel 2 Estado crítico
Error Nivel 3 Condición de error
Advertencia Nivel 4 Condición de alerta
Notificación Nivel 5 Condición normal pero significativa
Información Nivel 6 Mensaje informativo
Depuración Nivel 7 Mensaje de depuración
Día 4 367
Además de especificar la gravedad, los mensajes syslog contienen información sobre la instalación.
Las facilidades de syslog son identificadores de servicio que identifican y categorizan los datos
de estado del sistema para la notificación de mensajes de error y eventos. Las opciones de
instalaciones de registro disponibles son específicas del dispositivo de red. Las instalaciones de
mensajes syslog más comunes que se informan en los routers Cisco IOS son las siguientes:
■
IP
■
Protocolo OSPF
■
Sistema operativo SYS
■
Seguridad IP (IPsec)
■
Interfaz IP (IF)
El formato por defecto de los mensajes syslog es el siguiente:

número de secuencia: timestamp: %facility-severity-MNEMONIC: descripción
La Tabla 4-3 describe los campos de un mensaje syslog.
Tabla 4-3 Formato de mensaje

Syslog
CampoExplicación
seq noNúmero de secuencia estampado en el mensaje de registro. Aparece sólo si el comando de
configuración global service sequence-numbers está configurado.
timestampFecha y hora del mensaje o evento. Sólo aparece si se ha configurado el comando de
configuración global service timestamps.
instalaciónLa instalación a la que se refiere el mensaje.
severityCódigo de un solo dígito de 0 a 7 que indica la gravedad del mensaje.
Cadena de texto MNEMONIC que describe de forma única el mensaje.
descriptionCadena de texto que contiene información detallada sobre el evento que se está reportando.
Utilizando el formato del mensaje y la Tabla 4-3, puede interpretar fácilmente el siguiente mensaje:
00:00:46: %LINK-3-UPDOWN: Interfaz Puerto-canal1, ha cambiado el estado a up
En este mensaje, se puede ver que el comando de servicio de números de secuencia no fue
configurado, pero el comando de servicio de marcas de tiempo fue configurado. La instalación es
LINK, la gravedad es 3, y MNEMONIC es UPDOWN. El resto del mensaje proporciona una
descripción del evento.
Configuración y verificación de Syslog

Por defecto, los routers y switches de Cisco envían los mensajes de registro de todos los niveles de
gravedad a la consola. En algunas versiones de Cisco IOS, el dispositivo también almacena en
búfer los mensajes de registro por defecto. Para activar estas dos opciones, utilice los comandos
de configuración global logging console y logging buffered, respectivamente.
El comando show logging muestra la configuración del servicio de registro por defecto en un router
Cisco, como muestra el Ejemplo 4-5.
Ejemplo 4-5 Configuración por defecto del servicio de registro
R1# show logging

Registro de Syslog: habilitado (0 mensajes caídos, 2 mensajes con límite de
velocidad, 0 descargas,
0 sobrepasos, xml desactivado, filtrado desactivado)
No hay discriminador de mensajes activo.
No Discriminador de mensajes inactivos.
Registro de la consola: nivel de depuración, 32 mensajes registrados, xml

desactivado, filtrado desactivado
Monitorización del registro: nivel de depuración, 0 mensajes
registrados, xml desactivado, filtrado desactivado
Registro del búfer: nivel de depuración, 32 mensajes registrados, xml
Registro de excepciones: tamaño (4096 bytes)
Recuento y marca de tiempo de los mensajes de registro:
desactivado Registro persistente: desactivado
No hay módulos de filtrado activos.
Registro de trampas: nivel informativo, 34 líneas de

mensaje registradas:
Buffer de registro (8192 bytes):
*Enero 2 00:00:02.527: %LICENSE-6-EULA_ACCEPT_ALL: Se acepta el Acuerdo de

Licencia de Usuario Final.
*Enero 2 00:00:02.631: %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL:
Nombre del módulo = c1900 Nivel de reinicio siguiente = ipbasek9 y Licencia =
ipbasek9
*Enero 2 00:00:02.851: %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL:
Nombre del módulo = c1900 Nivel de reinicio siguiente = securityk9 y Licencia =
securityk9
*Enero 2 00:01:01.619: %IFMGR-7-NO_IFINDEX_FILE: No se puede abrir
nvram:/ifIndex- table No such file or directory
<salida omitida>
Para configurar el router para que envíe mensajes del sistema a un servidor syslog, complete
los tres pasos siguientes:
Paso 1. Configure la dirección IP del servidor syslog en el modo de configuración global:
R1(config)# registro 192.168.1.3
Paso 2. Controle los mensajes que se enviarán al servidor syslog con el comando de modo de
configuración global logging trap level. Por ejemplo, para limitar los mensajes a los
niveles 4 e inferiores (0 a 4), utilice uno de los dos comandos equivalentes siguientes:
R1(config)# logging trap 4
Día 4 369
o:
R1(config)# logging trap warning
Paso 3. Opcionalmente, configure la interfaz de origen con el comando de modo de

configuración global logging source-interface interface-type interface-number. Esto
especifica que los paquetes syslog contienen la dirección de una interfaz específica,
independientemente de la interfaz que el paquete utiliza para salir del router. Por ejemplo,
para establecer la interfaz de origen en g0/0, utilice el siguiente comando:
R1(config)# logging source-interface g0/0
El ejemplo 4-6 muestra la salida del comando show logging. La configuración por defecto ha sido
cambiada, como se observa en los resaltados.
Ejemplo 4-6 Verificar el servicio de registro tras la comprobación de la configuración
R1# show logging

Registro de Syslog: habilitado (0 mensajes caídos, 2 mensajes con límite de
velocidad, 0 descargas,
0 desbordamientos, xml deshabilitado, filtrado
deshabilitado) No Discriminador de mensajes
activo.
No Discriminador de mensajes inactivos.
Registro de la consola: nivel de depuración, 41 mensajes registrados, xml

Monitorización del registro: nivel de depuración, 0 mensajes registrados,
xml desactivado, filtrado desactivado
Registro del búfer: nivel de depuración, 41 mensajes registrados, xml
Registro de excepciones: tamaño (4096 bytes)
Recuento y marca de tiempo de los mensajes de
registro: desactivado Registro persistente:
desactivado
No hay módulos de filtrado activos.
Registro de trampas: nivel de advertencias, 43 líneas de

mensaje registradas Registro en 192.168.1.3 (puerto udp
514, auditoría desactivada,
enlace),
4 líneas de mensaje registradas,
0 líneas de mensajes de velocidad limitada,
0 líneas de mensajes abandonadas por MD,
xml desactivado, número de secuencia
desactivado filtrado desactivado
Registro de la interfaz de origen :
Nombre de VRF:
GigabitEthernet0/0
<salida omitida>
Protocolo de tiempo de red

Como sabes, los routers y switches emiten mensajes de registro en respuesta a diferentes eventos. Por
ejemplo, cuando una interfaz falla, el dispositivo crea mensajes de registro. Con la configuración
predeterminada, Cisco IOS envía estos mensajes al puerto de la consola. Pero Cisco IOS puede
configurarse también para enviar mensajes a un servidor syslog, donde pueden almacenarse para su
revisión por parte de la administración y para la resolución de problemas. La Figura 4-3 muestra una
topología con un servidor syslog.
Figura 4-3 Ejemplo de red con un servidor Syslog

172.16.1.0/24
172.16.4.0/24 172.16.2.0/24
Servidor Syslog
S0/0/0 S0/0/1
R1 .1 .2 R2 .2
Mensajes de registro
Un mensaje de registro suele incluir la fecha y la hora como parte del mensaje, de modo que un
ingeniero de red que revise el mensaje sepa exactamente cuándo se produjo.
El Protocolo de Hora de Red (NTP) proporciona una forma de sincronizar el reloj de la hora del día
para que las marcas de tiempo sean consistentes en todos los dispositivos, lo que facilita la resolución
de problemas.
Para configurar un router o switch para sincronizar su hora con un servidor NTP existente,
utilice el comando ntp server, como en el Ejemplo 4-7.
Ejemplo 4-7 Configuración y verificación de un cliente NTP
R1(config)# servidor ntp 172.16.2.2

R1(config)# ^ Z
R1#
R1# show ntp status
El reloj está sincronizado, estrato 8, la referencia es 172.16.2.2
la frecuencia nominal es de 250,0000 Hz, la frecuencia real es de 250,0000 Hz,
la precisión es de 2**21 el tiempo de actividad de ntp es de 4700 (1/100 de
segundos), la resolución es de 4000
la hora de referencia es D42BD899.5FFCE014 (13:48:09.374 UTC Fri Oct 19
2016) el desfase del reloj es -0.0033 mseg, el retardo raíz es de 1.28
mseg
la dispersión de la raíz es de 3938,51 mseg, la dispersión de los pares es de 187,59
mseg
El estado del filtro de bucle es 'CTRL' (Bucle Normal Controlado), la deriva es de
0,000000000 s/s, el intervalo de sondeo del sistema es de 64, la última
actualización fue hace 42 segundos.
R1# show ntp associations
address ref clock st when poll reach delay offset disp
*172.16.2.2 127.127.1.1 7 36 64 1 1.261 -0.001 7937.5
* sys.peer, # seleccionado, + candidato, - outlyer, x falseticker, configurado
La salida del comando show ntp status da el estado de NTP en la primera línea; en el Ejemplo 4-
7, puede ver que R1 está sincronizado con el servidor NTP en 172.16.2.2. El comando show
Día 4 371
El comando ntp associations muestra una sola línea de salida para cada dispositivo NTP con el que
el router se ha asociado.
Un router o un conmutador pueden ser realmente el servidor NTP con un solo comando (ntp
master) también. Además, NTP puede utilizar la autenticación para que un router o un switch
no sea engañado para cambiar su marca de tiempo.
Sistema de archivos y dispositivos Cisco IOS

Los dispositivos Cisco IOS proporcionan una función denominada Sistema de archivos integrado (IFS)
de Cisco IOS. Este sistema permite crear, navegar y manipular directorios en un dispositivo Cisco. Los
directorios disponibles dependen de la plataforma.
Comandos IFS
El ejemplo 4-8 muestra la salida del comando show file systems.
Ejemplo 4-8 Sistema de archivos por defecto del router
Router# show file systems

Sistemas de archivos:
Size(b)Free(b)TypeFlagsPrefixes
- -opaquerwarchive:
- -opaquerwsystem:
- -opaquerwtmpsys:
- -opaquerwnull:
- -red rwtftp:
262136251594nvramrwnvram:
- -opaquewosyslog:
- -opaquerwxmodem:
- -opaquerwymodem:
- -red rwrcp:
- -red rwhttp:
- -red rwftp:
- -red rwscp:
- -opaquerotar:
- -red rwhttps:
- -opaquerocns:
1002143744 683163648usbflash
rwusbflash1:
*255537152 183939072usbflash rwusbflash0: flash:
Router#
Las columnas muestran la cantidad de memoria disponible y libre, en bytes, y el tipo de sistema de
archivos y sus permisos. Los permisos incluyen sólo lectura (ro), sólo escritura (wo) y lectura y
escritura (rw).
Aunque se enumeran varios sistemas de archivos, los que nos interesan son los sistemas de archivos
TFTP, Flash y NVRAM.
Observe que el sistema de archivos Flash tiene un asterisco ( *) delante, lo que indica que es el sistema
de archivos por defecto. Para el router 1900 en el Ejemplo 4-8, el sistema de archivos se inicia desde
USB Flash. El alias flash: se asocia con usbflash0 para que pueda utilizar flash: en sus comandos (como
en show flash:).
Como muestra el Ejemplo 4-9, el comando dir lista el directorio principal de los sistemas de archivos por defecto,
mientras que
show flash: muestra todo el contenido del sistema de archivos por defecto.
Ejemplo 4-9 Directorios y archivos del sistema de archivos por defecto en Flash
Router# dir
Directorio de usbflash0:/
1 -rw- 68831808 5 jun 2013 18:43:02 +00:00 c1900-universalk9-mz.SPA.152-

4.M3.bin
2 -rw-3064 5 jun 2013 18:54:10 +00:00 cpconfig-19xx.cfg
3 drw-0 6 de noviembre de 2013 12:40:56 +00:00 ip sd ir
10 drw-0 5 jun 2013 18:54:32 +00:00 ccpexp
246 -rw-2464 5 jun 2013 18:56:14 +00:00 home.shtml
247 -rw-813 6 de noviembre de 2013 12:44:22 +00:00 realm-cisco.pub.key
248 -rw-2465 7 nov 2013 11:22:20 +00:00 pre_autosec.cfg
255537152 bytes totales (183939072 bytes
libres) Router# show flash
-#- --length-- --------------------------date/timepath
168831808 Jun 5 2013 18:43:02 +00:00 c1900-universalk9-mz.SPA.152-4.M3.bin
23064 Jun 5 2013 18:54:10 +00:00 cpconfig-19xx.cfg
30 Nov 6 2013 12:40:56 +00:00 i p s d i r
4 462 Nov 6 2013 13:14:52 +00:00 i p s d i r / i o s i p s - s i g - d e l t a .xmz
5 14978 Nov 6 2013 12:55:56 +00:00 i p s d i r / i o s i p s - s i g - t y p e d e f .xmz
6 38523 Nov 6 2013 12:55:58 +00:00 i p s d i r / i o s i p s - s i g - c a t e g o r y .xmz
7 304 6 Nov 2013 12:53:40 +00:00 i p s d i r / i o s i p s - s e a p - d e l t a .xmz
8 835 Nov 6 2013 12:53:40 +00:00 i p s d i r / i o s i p s - s e a p -
t y p e d e f .xmz 9500751 Nov 6 2013 12:56:28 +00:00 i p s d i r / i o s i p s -
s i g - d e f a u l t .xmz 100 Jun 5 2013 18:54:32 +00:00
ccpexp
110 Jun 5 2013 18:54:32 +00:00 ccpexp/external
<salida omitida>
24572 Jun 5 2013 18:56:12 +00:00 ccpexp/version.txt
2462464 Jun 5 2013 18:56:14 +00:00 home.shtml
247813 6 Nov 2013 12:44:22 +00:00 realm-cisco.pub.key
2482465 Nov 7 2013 11:22:20 +00:00 pre_autosec.cfg
183939072 bytes disponibles (715980 bytes utilizados)
Router#
Día 4 373
De particular interés es el primer listado, que es el nombre de archivo para la imagen de Cisco IOS.
Observe que la salida no muestra los archivos de configuración almacenados en la NVRAM. Para ver
estos archivos, primero cambie de directorio (cd) al directorio NVRAM (nvram:) y luego liste el
contenido con el comando dir, como en el Ejemplo 4-10.
Ejemplo 4-10 Listado del contenido del directorio para la NVRAM
Router# cd nvram:
Router# dir
Directorio de nvram:/
253 -rw- 1269<sinfecha> startup-config

254 ----5<nodate> private-config
255 -rw- 1269<sinfecha> underlying-config
1 -rw- 2945<sinfecha> cwmp_inventory
4 ----0<sinfecha> rf_cold_starts
5 ----76<sinfecha> persistent-data
6 -rw-17<sinfecha> ecfm_ieee_mib
7 -rw-559<sinfecha> IOS-Self-Sig#1.cer
8 -rw-559<sinfecha> IOS-Self-Sig#2.cer
9 -rw-0<sinfecha> ifIndex-table
262136 bytes en total (251594 bytes

libres) Router#
NOTA: También puede utilizar simplemente el comando dir nvram: para listar el
contenido del directorio nvram:.
El archivo que más les interesa a los candidatos al examen CCNA es el archivo startup-config.
Prefijos de URL para especificar la ubicación de los archivos

Las ubicaciones de los archivos se especifican en Cisco IFS utilizando la convención de URLs que se
muestra en la Figura 4-4.
Figura 4-4 Uso de una URL para especificar la ubicación del TFTP
TFTP
Servidor 192.168.20.0/24
G0/0
192.168.20.1/24
R2
192.168.20.254/24
Prefijo Ruta de la URL

tftp: [[[//localización]/directorio]/nombre de archivo]
tftp://192.168.20.254/configs/backup-config
En la Figura 4-4, las partes de la URL tftp://192.168.20.254/configs/backup-config se pueden

diseccionar como sigue:
■
tftp: es el prefijo que especifica el protocolo.
■
Todo lo que va después de la doble barra (//) define la ubicación del archivo.
■
192.168.20.254 es la ubicación del servidor TFTP.
■
configs es el directorio maestro en el servidor TFTP.
■
backup-config es un ejemplo de nombre de archivo.
La URL TFTP de la Figura 4-4 es un ejemplo de URL remota. Algunos ejemplos de URL para acceder
al IFS local de Cisco son los siguientes:
■
flash:configs/backup-config
■
system:running-config (que accede a la RAM)
■
nvram:startup-config
Comandos para gestionar los archivos de configuración

Conocer la estructura de la URL es importante porque se utiliza cuando se copian archivos de
configuración de una ubicación a otra. El comando copy del software Cisco IOS permite mover
los archivos de configuración de un componente o dispositivo a otro, como la RAM, la NVRAM o
un servidor TFTP. La Figura 4-5 muestra la sintaxis del comando.
Figura 4-5 Sintaxis del comando copy
comando source-url: destination-url:

La URL de origen es de donde se está copiando. La URL de destino es donde se está copiando. Por
ejemplo, ya está familiarizado con el comando abreviado copy run start; sin embargo, en su forma más
verbosa, este comando especifica las ubicaciones de los archivos:
Uno de system:, nvram:, tftp:
Router# copy system:running-config nvram:startup-config
Uno de system:, nvram:, tftp:
El comando dice
Comando: "copiar la configuración en ejecución de la RAM del sistema a la NVRAM y
copiar
guardarla con el nombre de archivo startup-config".
El ejemplo 4-11 demuestra cómo copiar la configuración actual en un nuevo directorio
local llamado configs que usted crea.
Día 4 375
Ejemplo 4-11 Copiar archivos a un directorio local
Router# mkdir configs

¿Crear directorio nombre de archivo [configs]? <Intro>
Creado dir usbflash0:/configs
Router# copy system:running-config configs/backup-config
¿Nombre de archivo de destino [/configs/backup-config]?
<Enter> 1269 bytes copiados en 0.648 segs (1958
bytes/seg)
También puedes copiar desde la RAM al TFTP:

Router# copy system:running-config tftp:
o simplemente:
Router# copy run tftp
También puedes copiar desde TFTP a la RAM:

Router# copy tftp: system:running-config
o simplemente:
Router# copy tftp run
También puede copiar desde TFTP al archivo de configuración de inicio:

Router# copy tftp: nvram:startup-config
o simplemente:
Router# copy tftp nvram
Los comandos de copia mediante TFTP requieren más configuración (cubierta en la siguiente sección)
después de introducirlos para llevar a cabo la instrucción.
Gestión de las imágenes de Cisco IOS

A medida que una red crece, el almacenamiento de las imágenes del software Cisco IOS y de los
archivos de configuración en el servidor TFTP central permite controlar el número y el nivel de
revisión de las imágenes de Cisco IOS y de los archivos de configuración que deben mantenerse.
Utilice el comando show version para verificar la imagen de Cisco IOS que se ejecuta actualmente
en el dispositivo. La Figura 4-6 muestra un ejemplo de topología con un servidor TFTP.
Figura 4-6 Topología TFTP
Flash
Router Servidor TFTP
172.16.1.100
c1900-universalk9-mz.SPA.152-4.M3.bin
Copia de seguridad de una imagen de Cisco IOS

Asegúrese de que hay un servidor TFTP configurado y en funcionamiento en la red. A continuación,
siga estos pasos para copiar una imagen del software Cisco IOS desde la memoria Flash al servidor
TFTP de la red:
Paso 1. Haga ping al servidor TFTP para asegurarse de que tiene acceso a él:
R1# ping 172.16.1.100

segundos:
!!!!!
R1#
Paso 2. Copie el archivo de imagen del sistema actual del router al servidor TFTP de la red
utilizando el comando copy flash: tftp: en modo EXEC privilegiado.
se le pedirá que introduzca la dirección IP del host remoto y el nombre de los
archivos de imagen del sistema de origen y destino:
R1# copy flash: tftp:
¿Nombre de archivo fuente []? c1900-universalk9-mz.SPA.152-4.M3.bin
¿Dirección o nombre del host remoto []? 172.16.1.100
¿Nombre de archivo de destino [c1900-universalk9-mz.SPA.152-4.M3.bin]? <Intro>
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
<Salida omitida>
68831808 bytes copiados en 113,061 s (608802 bytes/seg)
R1#
Durante el proceso de copia, los signos de exclamación (!) indican el progreso. Cada signo
de exclamación significa que se ha transferido con éxito un segmento del Protocolo de
Datagramas de Usuario (UDP).
Restauración de una imagen de Cisco IOS

Puede utilizar el comando dir o el comando show flash: para verificar que el router tiene suficiente
espacio en disco para acomodar la nueva imagen del software Cisco IOS, como en el Ejemplo 4-
12.
Ejemplo 4-12 Salida del comando dir
R1# dir
Directorio de usbflash0:/
1 -rw- 68831808 Jun5 2013 18:43:02 +00:00 c1900-

universalk9- mz.SPA.152-4.M3.bin
2 -rw- 3064Jun5 2013 18:54:10 +00:00 cpconfig-19xx.cfg
3 drw-0Nov6 2013 12:40:56 +00:00 i p s d i r
Día 4 377
10drw-0Jun5 2013 18:54:32 +00:00 ccpexp

246 -rw- 2464Jun5 2013 18:56:14 +00:00 home.shtml
247 -rw-813Nov6 2013 12:44:22 +00:00 realm-cisco.pub.key
248 -rw- 2465Nov7 2013 11:22:20 +00:00 pre_autosec.cfg
249 drw-0Feb8 2014 19:49:08 +00:00 configs
255537152 bytes en total (183926784 bytes

libres) R1#
Los comandos show flash: y dir le ayudan a determinar lo siguiente:

■
La cantidad total de memoria Flash en el router
■
La cantidad de memoria Flash disponible
■
Los nombres de todos los archivos almacenados en la memoria Flash y la cantidad de Flash ocupada
El ejemplo 4-13 muestra los comandos necesarios para copiar una imagen almacenada en el servidor TFTP a Flash.
Ejemplo 4-13 Actualización de la imagen de Cisco IOS desde un servidor TFTP
R1# copy tftp flash

¿Dirección o nombre del host remoto []? 172.16.1.100
¿Nombre de archivo fuente []? c1900-universalk9-mz.SPA.152-4.M3.bin
¿Nombre de archivo de destino [c1900-universalk9-mz.SPA.152-4.M3.bin]? <Intro>
Cargando c1900-universalk9-mz.SPA.152-4.M3.bin desde 172.16.1.100: !!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 68831808 bytes]
68831808 bytes copiados en 9,656 segundos (7128397

bytes/seg) R1#
El comando pide la dirección IP del servidor TFTP y, a continuación, el nombre del archivo de imagen
del Cisco IOS almacenado en el servidor TFTP que se desea copiar. Cuando se le pide el nombre del
archivo de destino, puede cambiarlo, pero no se recomienda hacerlo.
Recuperación de contraseñas
Los procedimientos de recuperación de contraseñas para cualquier router o switch de Cisco están
fácilmente disponibles en Internet. Por ejemplo, busque "1941 password recovery" y encontrará
rápidamente los procedimientos que debe seguir para restablecer la contraseña. Por ello, la seguridad
física es imprescindible para todos los dispositivos de red. Los routers y switches deben estar
detrás de puertas cerradas.
Los siguientes pasos son comunes a la mayoría de los routers Cisco. Los switches tienen un proceso similar.
Paso 1. Utilice el interruptor de encendido para apagar el router y luego vuelva a encenderlo.
Paso 2. Pulse la tecla de interrupción especificada por su software de terminal en los 60

segundos siguientes al encendido para acceder al indicador ROMmon. Para Tera
Term, por ejemplo, utilice la combinación de teclas Alt+b.
Paso 3. Introduzca confreg 0x2142 en el indicador ROMmon. Esto hace que el router omita la
configuración de inicio, donde se almacena la contraseña olvidada.
Paso 4. Introduzca "reset" en el indicador. El router se reinicia, pero ignora la configuración guardada.
Sin embargo, el archivo sigue existiendo en la NVRAM.
Paso 5. Pulse Ctrl+C para saltarse el procedimiento de configuración inicial.
Paso 6. Introduzca enable en el prompt Router> para entrar en modo EXEC privilegiado,
donde debería ver el prompt Router#.
Paso 7. Introduzca copy startup-config running-config para copiar el archivo de
configuración de la NVRAM de respaldo en la memoria.
Paso 8. Entrar en el terminal de configuración.
Paso 9. Introduzca el comando enable secret password para cambiar la contraseña secreta de enable.
Paso 10. Emita el comando no shutdown en cada interfaz que desee activar.
Paso 11. Desde el modo de configuración global, introduzca config-register 0x2102 para restaurar la
configuración original del registro.
Paso 12. Pulse Ctrl+Z o introduzca fin para salir del modo de configuración.
Paso 13. Introduzca copy running-config startup-config para confirmar los cambios.
puede emitir el comando show ip interface brief para confirmar que la configuración
de la interfaz es correcta. Todas las interfaces que desee utilizar deben mostrar up y
up.
Ahora ha completado la recuperación de la contraseña.Puede introducir el comando show version
para confirmar que el router utilizará la configuración del registro configurado en el próximo
reinicio.
Recursos de estudio
estudiar más.
12
Nube, virtualización y SDN

■
■
Explicar los fundamentos de la virtualización (máquinas virtuales)
■
Describir las arquitecturas basadas en controladores y definidas por software (overlay, underlay, fabric)
■
Compare las redes tradicionales con las redes basadas en controladores
Temas clave
La computación en nube y la virtualización son servicios cada vez más importantes que las redes
ofrecen a los usuarios finales. Las redes empresariales pueden utilizar diferentes ofertas de nube para
mejorar la productividad y reducir los costes.
La programabilidad de la red a través de las redes definidas por software (SDN) se está
convirtiendo en una parte integral de las redes empresariales, ya que los administradores de red
pueden gestionar rápida y eficazmente miles de dispositivos de red.
Hoy repasamos las tecnologías que hay detrás de la computación en nube, la virtualización y la SDN.
Computación en la nube
La computación en nube implica un gran número de ordenadores conectados a través de una red
que puede estar ubicada físicamente en cualquier lugar. La computación en nube ofrece las
siguientes ventajas:
■
Permite el acceso a los datos de la organización en cualquier momento y lugar
■
Agiliza las operaciones informáticas al permitir suscribir sólo los servicios necesarios
■
Elimina o reduce la necesidad de equipos informáticos, mantenimiento y gestión in situ
■
Reduce los costes de equipamiento, energía, requisitos de la planta física y necesidades de formación del
personal
■
Permite responder rápidamente a las crecientes necesidades de volumen de datos
Los proveedores de servicios en la nube se basan en gran medida en la virtualización para hacer posible las
soluciones que ofrecen a los clientes.
Virtualización de servidores
Históricamente, las organizaciones compraban varios servidores de hardware y el administrador del
servidor instalaba una o más aplicaciones de red en el servidor, como un servidor de correo
electrónico o un servidor de archivos (véase la Figura 3-1).
Figura 3-1 Servidor dedicado con un sistema operativo
Aplicación1 Aplica Aplica Aplic

ción2 ción3 ación
4
Sistema operativo
Almacenamient CPU RAM Red

o
Cada uno de estos servidores tenía su propia CPU, memoria, NIC y espacio en disco. Sin embargo,
este modelo se enfrenta a varios retos:
■
Si un componente falla, el servicio no está disponible hasta que el componente sea reparado o sustituido.
■
Los servidores a veces permanecen inactivos durante largos periodos de tiempo, a la espera de que los clientes
los utilicen.
■
Los servidores ocupan espacio y gastan energía.
La virtualización de servidores aprovecha los recursos ociosos y consolida el número de servidores

necesarios.La virtualización separa el sistema operativo (SO) del hardware. Esto también hace posible
que existan múltiples sistemas operativos en una sola plataforma de hardware. Cada instancia de un SO
se denomina máquina virtual (VM).
Un servidor con múltiples máquinas virtuales utiliza un hipervisor para gestionar el acceso a los
recursos físicos del servidor. El hipervisor se sitúa entre las VMs y el hardware, como en la Figura 3-2.
Figura 3-2 Hipervisor que gestiona cuatro máquinas virtuales

Máquina virtualMáquina virtualMáquina virtualMáquina virtual
Apli Aplica Aplic Aplic Apli Aplica Apli Aplic Aplic Aplicación Aplic
caci ción ación ación caci ción cació ación ación ación
ón ón n
OS OS OS OS
Hipervisor
Almace CPU RAM Red

namient
o
Otro método para gestionar un conjunto de VMs en un servidor, especialmente en un entorno de

centro de datos, es utilizar un conmutador virtual que conecta las VMs a NICs físicas, como en la
Figura 3-3. Un controlador externo (no mostrado) gestiona el hardware del servidor.
Día 3 381
Figura 3-3 Conmutador virtual y máquinas virtuales

Máquina virtualMáquina virtualMáquina virtualMáquina virtual
Aplicación Aplicación Aplicación Aplicación
OS OS OS OS
Hardware
vNIC vNIC vNIC vNIC del
servidor
(Host)
Interruptor virtual
NIC1 físico NIC2 físico
Troncos
Interruptor físico
SW1
En un centro de datos, se colocan varios servidores en un rack. Las dos NIC físicas de la Figura 3-3 están
conectadas a dos conmutadores redundantes de la parte superior del rack (ToR). Los bastidores están
alineados en filas y gestionados por dos conmutadores redundantes de final de fila (EoR). La Figura 3-
4 muestra esta disposición física de un centro de datos tradicional.
Figura 3-4 Topología física del centro de datos tradicional
ToR ToR Servidor ServidorToR

Servidor
ToR Servidor
Servidor ServidorToR
Servidor
ToR Servidor
Servidor Servidor Servidor Servidor EoR
Servidor Servidor Servidor EoR
Servicios de computación en nube

Para entender el valor de la computación en nube, considere el esfuerzo que supone gestionar las
máquinas virtuales en un centro de datos tradicional. El flujo de trabajo es el siguiente:
Paso 1. Un cliente solicita una VM o un nuevo conjunto de VMs.
Paso 2. El ingeniero del centro de datos configura el software de virtualización.
Paso 3. El software de virtualización crea máquinas virtuales.

Aunque este proceso funciona, no tiene las características de un servicio de computación en la nube
según la definición del Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos:
■
Autoservicio a la carta: El usuario puede pedir, modificar y finalizar el servicio sin
interacción humana.
■
Amplio acceso a la red: Se puede acceder al servicio desde diversos dispositivos a través de
cualquier red.
■
Agrupación de recursos: El proveedor dispone de un pool de recursos que puede ser asignado
dinámicamente a los usuarios. El usuario no suele conocer la ubicación física de los recursos.
■
Rápida elasticidad: Para el usuario, la reserva de recursos parece ser ilimitada; puede expandirse
y contraerse según las necesidades.
■
Servicio medido: El proveedor puede medir el uso y luego informar de ese uso al consumidor,
tanto para la transparencia como para la facturación.
Los proveedores de servicios en la nube pueden ofrecer una variedad de servicios para satisfacer las necesidades de
los clientes, incluyendo estos:
■
Software como servicio (SaaS): El proveedor de la nube se encarga del acceso a los servicios que se
prestan a través de Internet, como el correo electrónico, la comunicación y Office 365. Los
usuarios solo tienen que proporcionar sus datos.
■
Plataforma como servicio (PaaS): El proveedor de la nube se encarga de acceder a las
herramientas y servicios de desarrollo utilizados para ofrecer las aplicaciones. Los clientes
pueden personalizar el hardware virtualizado.
■
Infraestructura como servicio (IaaS): El proveedor de la nube es responsable del acceso al
equipo de red, los servicios de red virtualizados y el soporte de la infraestructura de red.
Existen cuatro modelos principales de nube:
■
Nubes públicas: Las aplicaciones y servicios basados en la nube que se ofrecen en una
nube pública se ponen a disposición de la población en general. La nube pública utiliza
Internet para proporcionar servicios.
■
Nubes privadas: Las aplicaciones y servicios basados en la nube que se ofrecen en una nube
privada están destinados a una organización o entidad específica, como el gobierno. Una nube
privada utiliza la red privada de la organización.
■
Nubes híbridas: Una nube híbrida se compone de dos o más nubes (por ejemplo, parte privada
y parte pública). Cada parte sigue siendo un objeto distinto, pero las dos partes están conectadas
mediante una única arquitectura.
■
Nubes comunitarias: Una nube comunitaria se crea para uso exclusivo de una comunidad
específica. Las diferencias entre las nubes públicas y las comunitarias son las necesidades
funcionales que se han personalizado para la comunidad.
Infraestructura de red virtual

Una infraestructura de red virtual consiste en una colección de funciones de red virtuales (VNFs),
incluyendo conmutadores virtuales, equilibradores de carga de servidores virtuales (SLBs), routers
virtuales y cortafuegos virtuales (ver Figura 3-5).
Día 3 383
Figura 3-5 Red virtual instalada por el arrendatario de un proveedor de nube
Router del proveedor de la Consumidor (arrendatario) 1

nube
Cortafuegos virtual
Router virtual SLB virtual
VM VM VM VM
Internet
(ASAv) (CSR)
Un proveedor de nube podría ofrecer a un cliente (inquilino) una solución IaaS que incluya un SLB
virtual. El cliente podría entonces instalar VNFs, como una versión virtual del Cisco Adaptive Security
Appliance (ASAv) y el Cisco Cloud Services Router (CSR), para gestionar el tráfico de red.
Redes definidas por software

La programabilidad de la red se refiere a la tendencia hacia las redes definidas por software (SDN). En
esencia, la SDN desvincula los planos de datos, control y gestión del dispositivo físico, los virtualiza y
define las funciones de red en software. Esto crea una arquitectura que puede gestionarse de forma
más eficiente y eficaz mediante el control programático.
Planos de datos, control y gestión

Un dispositivo de red tradicional contiene dos planos. El plano de datos se encarga de reenviar los
datos lo más rápidamente posible. Para ello, se basa en las tablas construidas por el plano de control.
Las acciones que realiza el plano de datos son las siguientes:
■
Desencapsulación/encapsulación de Capa 2 y Capa 3
■
Adición o eliminación de una cabecera de trunking 802.1Q
■
Búsqueda en la tabla de direcciones MAC
■
Consultas de la tabla de enrutamiento IP
■
Cifrado de datos y adición de una nueva cabecera IP (como en las VPN)
■
Cambio de la dirección IP de origen o destino (con NAT)
■
Descarte de mensajes debido a un filtro (como una ACL o seguridad de puerto)
El plano de control realiza todos los cálculos para rellenar las tablas utilizadas por el plano de datos
y gestiona los mensajes de control entre otros dispositivos de red. La Figura 3-6 muestra un ejemplo de
OSPF operando en el plano de control mientras que el plano de datos es responsable de reenviar los
paquetes usando la mejor ruta.
Figura 3-6 Ejemplo de plano de control y de datos

R1R2R3
Plano de control OSPF Plano de control OSPF Plano de control
paquete
Plano de datos paquete
A continuación se detallan los protocolos más comunes del plano de control:

■
Protocolos de enrutamiento (OSPF, EIGRP, RIP, BGP)
■
ARP IPv4
■
IPv6 NDP
■
Aprendizaje de la MAC del conmutador
■
STP
El plano de gestión es responsable de todas las funciones que no están directamente relacionadas
con el control del plano de datos. Los protocolos de gestión, como los de la Figura 3-7, son ejemplos
de funciones del plano de gestión.
Figura 3-7 Ejemplo de plano de gestión

Telnet, SSH, SNMP, Syslog
Plano de gestión Plano de gestión

OSPF
Plano de control Plano de control
Paquetes IPv4
Plano de datos Plano de datos
Controladores
Tradicionalmente, el plano de control ha formado parte del sistema operativo del dispositivo y se ha
distribuido por todos los dispositivos. Esto significa que cada dispositivo debe gastar algunos recursos
para calcular y mantener las estructuras de datos de Capa 2 y Capa 3 (tablas ARP, tablas de
enrutamiento, etc.). Cuando se ve como un todo, el plano de control de la red se distribuye a través de
todos los dispositivos de red.
En la SDN, las funciones del plano de control pueden eliminarse por completo de los dispositivos
físicos de red y colocarse en una aplicación centralizada llamada controlador. Esto libera a los
dispositivos para que se centren en las tareas del plano de datos.
El controlador se sitúa en la parte superior de un diagrama de topología de red, y las
conexiones a los dispositivos de red se denominan interfaz sur (SBI) (véase la Figura 3-
8).
Día 3 385
Figura 3-8 Controlador centralizado y plano de datos distribuido
Controlador
Interfaz en dirección sur (SBI)
Controlar Plano de control Controlar

Plano Plano
paquete
paquete Plano de datos paquete Plano de datos paquete Plano de datos
Dispositivo de Dispositivo de Dispositivo de red

red red
También existe una interfaz northbound (NBI) entre el controlador SDN y las aplicaciones que se
instalan en el controlador. Estas aplicaciones son las que permiten la programabilidad de la red.
Ejemplos de SDN: Open SDN y OpenFlow

El modelo de SDN de la Open Networking Foundation (ONF) utiliza un SBI llamado OpenFlow.
OpenFlow es un protocolo utilizado entre el controlador y los dispositivos de red para gestionar
los flujos de tráfico. El controlador de la ONF, OpenDaylight, es el resultado de un esfuerzo de
colaboración entre muchos proveedores, incluido Cisco.
La Figura 3-9 muestra un controlador SDN de OpenDaylight con ejemplos de interfaces de
programación de aplicaciones (API) NBI y SBI.
Figura 3-9 Controlador ONF OpenDaylight
NB
I
Núcl
eo
del
OS
Su aplicación
Controlador
API REST
OpenFlow,
Conmutadores Nexus 3000 Conmutadores Nexus

4500x Enrutadores ASR 9000
Además de OpenFlow, el controlador tiene SBIs para otras actividades, como la configuración de
dispositivos de red (NetConf), la gestión del enrutamiento (BGP-LS y PCEP) y la conmutación de
tráfico entre máquinas virtuales (OVSDB).
Las NBI suelen incluir APIs de Java para aplicaciones y la API RESTful. REST (Representational
State Transfer) utiliza mensajes HTTP para transferir datos a otras aplicaciones que no se ejecutan en
el controlador.
La definición y el funcionamiento de estos protocolos SBI y NBI están fuera del alcance del
examen. Sólo hay que saber que la ONF está investigando continuamente mejores protocolos
para implementarlos en el proyecto OpenDaylight.
La versión comercial de Cisco del controlador OpenDaylight es el Cisco Open SDN Controller
(OSC). OSC está disponible en un número limitado de routers y switches de Cisco.
Ejemplos de SDN: La infraestructura centrada en las

aplicaciones de Cisco
La solución SDN propia de Cisco para los centros de datos es la Infraestructura Centrada en las
Aplicaciones (ACI). ACI utiliza el concepto de grupos de puntos finales y políticas. Un grupo de puntos
finales es una colección de máquinas virtuales similares, como un conjunto de conmutadores virtuales
para uno de los inquilinos del centro de datos. Las políticas definen qué grupos de puntos finales
pueden comunicarse con quién.
El Controlador de Infraestructura de Políticas de Aplicación de Cisco (APIC) utiliza la topología
del punto final y las políticas para dirigir la red en lo que respecta a lo que debe estar en las tablas
de reenvío y cómo reaccionar fácilmente a los cambios de la VM. ACI utiliza un plano de control
parcialmente centralizado, APIs RESTful y nativas, y OpFlex como SBI, como en la Figura 3-10.
Figura 3-10 Cisco ACI para centros de datos
Virtualización
Software
ACI DC con switches Nexus 9000
Nube
Software APIC
Controlador
Automatización
Software OpFlex
GUI o
Guiones Algunos planos de control en los conmutadores
OpFlex es la solución de Cisco para la comunicación de SDN con los dispositivos de red. Mientras que
OpenFlow centraliza el control de la red enviando los comandos directamente desde el controlador
SDN, OpFlex utiliza políticas para enviar la implementación de los comandos a una red distribuida
de controladores.
Día 3 387
Ejemplos de SDN: Spine y Leaf

Cisco ACI utiliza un diseño de columna y hoja. La red física tiene un número de switches spine y un
número de switches leaf, como se muestra en la Figura 3-11. La figura muestra los enlaces entre los
switches,
que pueden ser enlaces simples o múltiples enlaces paralelos. Los conmutadores de columna y de hoja
se conectan siguiendo las siguientes pautas de diseño:
■
Cada conmutador de hoja debe conectarse a cada conmutador de columna vertebral.
■
Cada conmutador de columna vertebral debe conectarse a cada conmutador de hoja.
■
Los conmutadores de hoja no pueden conectarse entre sí.
■
Los interruptores de la columna vertebral no pueden conectarse entre sí.
■
Los puntos finales se conectan sólo a los conmutadores de hoja.
Figura 3-11 Diseño de la red de espinas y hojas

Columna vertebralColumna vertebral
Hoja Hoja Hoja Hoja
Ejemplos de SDN: El módulo Cisco APIC

Enterprise (APIC-EM)
APIC-EM es la oferta de SDN de Cisco para empresas. La solución APIC-EM utiliza un controlador
para gestionar los dispositivos de red existentes, pero también intenta dar soporte a las nuevas
generaciones de routers y switches empresariales de Cisco mediante el uso de SBIs que son familiares
para los administradores de red, como el acceso remoto a la CLI (Telnet y SSH) y el soporte SNMP.
Cisco también suministra una variedad de aplicaciones que residen en el controlador, algunas de las
cuales utilizan la información recopilada por el controlador y otras controlan el funcionamiento de los
dispositivos de la red. Una API RESTful northbound facilita la recopilación de información sobre
toda la red.
Para dar soporte a la infraestructura empresarial existente de switches y routers, los planos de control y
datos permanecen inalterados.
La Figura 3-12 muestra una vista general de la arquitectura del controlador APIC-EM, con
algunas de las aplicaciones APIC-EM, la API REST y una lista de los SBI.
Figura 3-12 Controlador APIC-EM
Su aplicación
Controlado
NB r Aplicaciones de Cisco
I API REST Visualizaci Traza Plug n iWAN
ón de la do de Play
topología la ruta
Núcl Características
principales
eo CLI (Telnet, SSH), SNMP
del Cualquier topología Muchos modelos de dispositivos
OS
La Tabla 3-1 compara los tres ejemplos de SDN.
Tabla 3-1 Comparación de las características de tres controladores SDN

Característica OpenDaylight, APIC APIC-EM
Cisco OSC
Cambia el funcionamiento del plano de Sí Sí No
control de los dispositivos en comparación
con las redes tradicionales
Crea un punto centralizado desde el que los Sí Sí Sí
humanos y la automatización controlan la red
Determina el grado en que la En su mayoría Parcialment En absoluto
arquitectura centraliza el plano de e
control
Determina los SBI utilizados OpenFlow OpFlex CLI, SNMP
Identifica la organización que es el principal ONF Cisco Cisco
definidor/propietario
Recursos de estudio
16
17
SDA y Cisco DNA Center

■
■
Compara la gestión tradicional de dispositivos de campus con la gestión de dispositivos
habilitada por Cisco DNA Center
Temas clave
Hoy revisamos el papel que desempeña Cisco DNA Center en el mundo del acceso definido por
software. Para ello, es necesario repasar también el acceso definido por software (SDA) de Cisco, que
proporciona una nueva forma de construir redes de campus en comparación con el diseño y la
implementación de redes tradicionales.
Arquitectura SDA
SDA utiliza un controlador e interfaces de programación de aplicaciones (API) para comunicarse a
través de interfaces de dirección sur (SBI) con la infraestructura de red, como se muestra en la Figura
2-1. Cisco DNA Center es un ejemplo de controlador. Las SBIs incluyen Telnet/SSH, SNMP,
NETCONF y RESTCONF.
Figura 2-1 Arquitectura SDA con Centro de ADN
Guión GUI Guión GUI
API REST
Aplicación de Cisco o del proveedor
Centro de ADN
API REST API REST
Telnet/SSHNETCONF SNMPRESTCONF
Fab ric
Tejido
La infraestructura de red, denominada tejido, se divide en dos partes:
■
Subyacente: Se trata de la parte más asociada a la red física. La capa inferior revela los dispositivos
adicionales y especifica cómo se conectan estos dispositivos. Los puntos finales acceden a la red a
través de los dispositivos de capa 2. El plano de control de la capa inferior es responsable de las
tareas de reenvío simples.
■
Superposición: Aquí es donde se implementan los protocolos de túnel como la LAN Extensible
Virtual (VXLAN) para transportar los protocolos de capa 3 como la Seguridad IP (IPsec) y el
Control y Aprovisionamiento de Puntos de Acceso Inalámbricos (CAPWAP). La superposición
es donde se especifican las políticas. La superposición no se ocupa de cómo están conectados
física o lógicamente los dispositivos. Su trabajo consiste en abstraer estas complejidades y
limitaciones inherentes.
Por ejemplo, en la Figura 2-2 los dos conmutadores, SW1 y SW2, crean dinámicamente un túnel
VXLAN entre los puntos finales de la superposición. La ruta exacta que siguen los datos entre los dos
conmutadores está determinada por el proceso de capa 2 y capa 3 de la capa inferior.
Figura 2-2 Superposición y

subyacente
Superposición
SW1 SW2
VXLAN
SW1SW2
Subyacente
Subyacente
El subyacente incluye los conmutadores, routers, cables y enlaces inalámbricos utilizados para crear la
red física. También incluye la configuración y el funcionamiento de la red subyacente para apoyar el
trabajo de la red superpuesta.
Día 2 391
La configuración de la capa base SDA incluye diferentes roles SDA que son ocupados por cada
dispositivo. Estos roles incluyen
■
Nodo de borde de tejido: Un conmutador que se conecta a los dispositivos de punto final
■
Nodo de frontera de la tela: Un conmutador que se conecta a dispositivos fuera del control
de SDA, como los conmutadores que se conectan a los routers WAN
■
Nodo de control del tejido: Un conmutador que realiza funciones especiales del plano de
control para el underlay, que requiere más CPU y memoria
Superposición
Cisco eligió el protocolo VXLAN para crear los túneles utilizados por SDA. Cuando un punto final
SDA (por ejemplo, un ordenador de usuario final) envía una trama de enlace de datos a un nodo de
borde SDA, el nodo de borde de entrada encapsula la trama y la envía a través de un túnel VXLAN al
nodo de borde de salida, como se muestra en la Figura 2-3.
Figura 2-3 Funcionamiento del protocolo de

túnel VXLAN
Nodo de borde de salida del tejido
Ingress Fabric Edge Node
SW2
SW1
10.1.1.1 10.1.2.2
Marco
IP UDP VXLAN Marco LAN
El túnel VXLAN en la superposición funciona así:
Paso 1. Un punto final envía una trama.
Paso 2. La trama se encapsula en la especificación de túnel VXLAN.
Paso 3. El marco se reenvía a la tela subyacente.
Paso 4. Los demás nodos del underlay reenvían la trama basándose en los detalles del túnel VXLAN.
Paso 5. El último nodo SDA elimina los detalles de la VXLAN.
Paso 6. La trama se reenvía al punto final de destino.
Centro de ADN de Cisco

El Centro de ADN de Cisco tiene dos funciones:
■
Un controlador en una red que utiliza Cisco SDA
■
Una plataforma de gestión de redes para dispositivos de red tradicionales (no SDA)
Cisco DNA Center admite varias APIs de dirección sur para que el controlador pueda comunicarse
con los dispositivos que gestiona:
■
Telnet, SSH y SNMP para soportar los dispositivos de red tradicionales
■
NETCONF y RESTCONF para admitir nuevos dispositivos
Centro de ADN de Cisco y SDA

Cisco DNA Center y SDA facilitan la gestión de políticas, como las listas de control de acceso (ACL).
Por ejemplo, considere la ACL de la Figura 2-4. Cada número representa una nueva política
implementada durante la vida de la ACL.
Figura 2-4 ACEs en una ACL después de seis cambios
ACE 1
ACE 2 1
ACE 3
ACE 4
6
ACE 5
3
5 ACE 6
ACE 7
ACE 8 4
ACE 9
ACE 10
ACE 11 2
ACE 12
(Permiso
)
Determinar dónde colocar las nuevas entradas de control de acceso (ACEs) dentro de la ACL
existente puede ser un proceso complejo y arriesgado. Además, a menos que una ACL esté
completamente documentada, nunca se sabe con certeza qué efectos tendrá una nueva política sobre
las políticas existentes, o incluso si la política existente sigue siendo válida.
Sin embargo, con los grupos de seguridad SDA, puede aplicar una política sin ni siquiera pensar en
rangos de direcciones IP y ACLs. En lugar de escribir nuevas ACEs cada vez que es necesario
implementar una política, la política se define en el Centro DNA. A continuación, según sea necesario,
el Centro DNA configura los dispositivos en el tejido para aplicar la seguridad, como se muestra en la
Figura 2-5.
Día 2 393
Figura 2-5 Seis políticas aplicadas por el Centro de ADN
Política 1 Política 2 Política 3
Política 4 Política 5 Política 6
ADN-C
Tejido SDA
El modelo de política SDA resuelve los problemas de las ACL tradicionales:

■
Cada nuevo requisito de seguridad puede considerarse por separado, sin analizar las
ACL existentes.
■
Cada nuevo requisito puede considerarse sin buscar todas las ACL en las rutas probables entre
los puntos finales y analizar todas y cada una de las ACL.
■
El Centro de ADN mantiene las políticas separadas.
■
Cada política puede ser eliminada sin temor a que afecte a la lógica de las otras políticas.
Para aplicar las políticas en SDA, se vinculan a los grupos de seguridad. Un grupo de seguridad se
identifica con una etiqueta (SGT). Si el Centro DNA ve una acción de permiso entre el par de SGT
de origen/destino, el Centro DNA dirige los nodos de borde para crear el túnel VXLAN. Los SGT de
origen y destino se añaden a la cabecera VXLAN, junto con los ID VXLAN (VNID), como se muestra
en la Figura 2-6.
Figure 2-6 VXLAN Header with SGTs and VNIDs
SW1 SW2
10.1.1.1
10.1.2.2
Fuente Dest. Fuente Dest.

IP UDP SGTSGTVNID VNID Original Eth
VXLAN
Plataforma de gestión de redes Cisco DNA Center

Cisco DNA Center admite la expresión de intenciones para múltiples casos de uso, incluidas las
capacidades básicas de automatización, el aprovisionamiento de tejidos y la segmentación basada en
políticas (SGT) en la red empresarial. Cisco DNA Center es un centro de gestión de red y de mando
para el aprovisionamiento y la configuración de dispositivos de red. Se trata de una plataforma de
hardware y software que proporciona un "panel único de vidrio" (también llamado panel de control)
que se centra en la garantía, el análisis y la automatización.
La página de inicio de la interfaz del Centro DNA ofrece un resumen general de la salud y una
instantánea de la red, como se muestra en la Figura 2-7. Desde ahí, un administrador de red puede
desglosar rápidamente las áreas de interés.
Figura 2-7 Panel de control del Centro de ADN de Cisco
Cinco menús en la parte superior de la pantalla permiten acceder a las cinco áreas principales del Centro de
ADN:
■
Diseño: Modele toda su red, desde los sitios y edificios hasta los dispositivos y enlaces,
tanto físicos como virtuales, en el campus, la sucursal, la WAN y la nube.
■
Políticas: Utilice las políticas para automatizar y simplificar la gestión de la red, reduciendo
los costes y los riesgos y acelerando el despliegue de servicios nuevos y mejorados.
■
Provisión: Proporcione nuevos servicios a los usuarios con facilidad, rapidez y seguridad en toda
la red de la empresa, independientemente del tamaño y la complejidad de la red.
Día 2 395
■
Garantía: Utilice la supervisión proactiva y los conocimientos de la red, los dispositivos y las
aplicaciones para predecir los problemas con mayor rapidez y garantizar que los cambios en
las políticas y la configuración logren la intención empresarial y la experiencia del usuario
que desea.
■
Plataforma: Utilice las API para integrarse con sus sistemas informáticos preferidos
para crear soluciones integrales y añadir compatibilidad con dispositivos de varios
proveedores.
Las características del Cisco DNA Center se centran en simplificar el trabajo de las empresas, con el
objetivo de reducir los costes y el tiempo de despliegue. Algunas de las características exclusivas de
Cisco DNA Center son las siguientes:
■
EasyQoS: Permite el despliegue de la calidad de servicio (QoS) con unas pocas y sencillas
opciones desde Cisco DNA Center.
■
Análisis de tráfico cifrado: Utiliza algoritmos para reconocer las amenazas a la seguridad
incluso en el tráfico cifrado.
■
Dispositivo 360 y Cliente 360: Ofrecen vistas completas (de 360 grados) del estado del
dispositivo.
■
Viaje en el tiempo de la red: Muestra el rendimiento pasado del cliente en una línea de
tiempo para compararlo con el comportamiento actual.
■
Trazado de la ruta: Descubre la ruta real que tomarían los paquetes desde el origen hasta
el destino, basándose en las tablas de reenvío actuales.
Asegúrese de buscar en Internet demos o tutoriales de Cisco DNA Center para revisar esta
herramienta antes de realizar el examen de certificación.
Recursos de estudio
Módulo de recursos o capítulo
Redes empresariales, seguridad y automatización14
CCNA 200-301 Official Cert Guide,Volumen 217
Automatización de la red

■
Explicar el impacto de la automatización en la gestión de la red
■
Describir las características de las API basadas en REST (CRUD, verbos HTTP, codificación de datos)
■
Reconocer las capacidades de los mecanismos de gestión de la configuración Puppet, Chef y
Ansible
■
Interpretar los datos codificados en JSON
Temas clave
Hoy revisamos cómo la automatización de la red afecta a la gestión de la misma. En concreto,
revisaremos las herramientas de gestión de la configuración Puppet, Chef y Ansible. Estas herramientas,
así como otras herramientas de gestión de redes, hacen uso de las interfaces de programación de
aplicaciones de Transferencia de Estado Representativa (REST API) y de los datos de Notación de
Objetos de JavaScript (JSON).
Formatos de datos
Los formatos de datos proporcionan una forma de almacenar e intercambiar datos en un formato
estructurado. Estos son algunos de los formatos de datos más comunes utilizados en la
automatización y programación de redes:
■
Notación de objetos de JavaScript (JSON)
■
Lenguaje de marcado extensible (XML)
■
YAML no es un lenguaje de marcado (YAML)
En la tabla 1-1 se comparan las principales finalidades y usos habituales de estos formatos de datos.
Tabla 1-1 Comparación de formatos

de datos
Formato Origen/Definición Objetivo central Uso común
de datos
JSON Lenguaje JavaScript (JS); Modelado de datos generales y APIs REST
RFC 8259 serialización
XML Red mundial Marcaje de texto centrado en API REST, páginas web
los datos,
Consorcio (W3C.org) que permite el modelado de
datos
YAML YAML.org Modelado general de datos Ansible
Cada formato de datos tiene características específicas:

■
La sintaxis, que incluye los tipos de paréntesis utilizados, como [ ], ( ) y { }, el uso de espacios en
blanco, la sangría, las comillas, las comas, etc.
■
Cómo se representan los objetos, como los caracteres, las cadenas, las listas y las matrices.
■
Cómo se representan los pares clave/valor. La clave, que suele estar en el lado izquierdo,
identifica o describe los datos. El valor de la derecha es el dato en sí y puede ser un carácter,
una cadena, un número, una lista u otro tipo de dato.
El formato de datos que se selecciona depende del formato utilizado por la aplicación, la herramienta o
el script en cuestión. Sin embargo, el examen CCNA se centra específicamente en la interpretación de
datos JSON.
Formato de datos JSON

JSON es un formato de datos legible para el ser humano, utilizado por las aplicaciones para almacenar,
transferir y leer datos. Es fácil de analizar y puede utilizarse con la mayoría de los lenguajes de
programación modernos, incluido Python.
El ejemplo 1-1 muestra la salida parcial del IOS de la interfaz show GigabitEthernet0/0/0
en un router.
Ejemplo 1-1 Salida del router IOS
GigabitEthernet0/0/0 está levantada, el protocolo de línea está

levantado (conectado) Descripción: Red de área amplia
La dirección de Internet es 172.16.0.2/24
El ejemplo 1-2 muestra cómo se puede representar esta información en formato JSON.
Ejemplo 1-2 Salida JSON
{
"ietf-interfaces:interfaz": {"name":
"GigabitEthernet0/0/0",
"descripción": "Red de área amplia",
"enabled": true,
"ietf-ip:ipv4":
{"dirección":
[
{
"ip": "172.16.0.2",
"máscara de red": "255.255.255.0"
}
]
}
}
}
Día 1 399
Reglas de sintaxis JSON

Los datos JSON son una colección de pares clave:valor que siguen estas reglas:
■
Par clave:valor: Un par clave:valor
■
Clave: Texto entre comillas dobles y antes de los dos puntos que se utiliza como nombre que
hace referencia a un valor
■
Valor: El elemento después de los dos puntos que representa el valor de la clave, que puede ser
■
Texto: Entre comillas dobles
■
Numérico: Listado sin comillas
■
Array: Una lista de valores encerrados entre corchetes []
■
Objeto: Uno o varios pares clave:valor encerrados entre llaves { }
■
Pares múltiples: Al enumerar varios pares clave:valor, separe los pares con una coma al final de
cada par (excepto el último)
Una lista de direcciones IPv4 podría tener el aspecto que se muestra en el Ejemplo 1-3. La clave aquí es
direcciones. El valor es un array. Dentro de la matriz, cada elemento es un objeto separado, y esos
objetos están separados por llaves { }. Los objetos son dos pares clave:valor: una dirección IPv4 (ip) y
una máscara de subred (netmask) separadas por una coma. Los objetos de la matriz también están
separados por comas, con una coma después de la llave de cierre para cada objeto. Una vez definidos
todos los elementos de la matriz, ésta se cierra con el corchete derecho.
Ejemplo 1-3 Lista JSON de direcciones IPv4
{
"direcciones": [
{
"ip": "172.16.0.2",
"máscara de red": "255.255.255.0"
},
{
"ip": "172.16.0.3",
"máscara de red": "255.255.255.0"
},
{
"ip": "172.16.0.4",
"máscara de red": "255.255.255.0"
}
]
}
APIs RESTful
Las APIs existen para permitir que dos programas intercambien datos. Algunas API son para las
comunicaciones entre programas dentro de un único sistema operativo (SO). Otras APIs están
disponibles para programas que se ejecutan en otros ordenadores. Estas APIs deben definir el protocolo
de red. Muchas se basan en REST.
REST es un estilo arquitectónico para diseñar aplicaciones de servicios web. Una API REST es una
API que funciona sobre el protocolo HTTP. Define un conjunto de funciones que los
desarrolladores pueden utilizar para realizar peticiones y recibir respuestas a través de HTTP, como
GET y POST. Una API puede considerarse RESTful si tiene las siguientes características:
■
Cliente/servidor: El cliente se encarga del front-end y el servidor del back-end. Cualquiera de
los dos puede ser sustituido independientemente del otro.
■
Sin estado: No se almacenan datos del cliente en el servidor entre peticiones. El estado de la sesión se
almacena en el cliente.
■
Con caché: Los clientes pueden almacenar en caché las respuestas para mejorar el rendimiento.
Implementación RESTful
Un servicio web RESTful es una colección de recursos con cuatro aspectos definidos:
■
El formato de datos soportado por el servicio web, que suele ser JSON, XML o YAML
■
El conjunto de operaciones soportadas por el servicio web mediante métodos HTTP
■
La API, que debe ser de hipertexto
■
El identificador uniforme de recursos (URI) base para el servicio web, como los recursos de
http://example.com/
Las APIs RESTful utilizan métodos HTTP comunes, como POST, GET, PUT, PATCH y
DELETE. Como se muestra en la Tabla 1-2, estos métodos se corresponden con las operaciones
RESTful: crear, leer, actualizar y eliminar (o CRUD).
Tabla 1-2 Métodos HTTP y funcionamiento RESTful

Método HTTPOperación RESTful
POSTCreate
GETRead
PUT/PATCHUpdate
DELETED Borrar
Solicitudes de API RESTful

Una API RESTful se solicita mediante una URI, que es una cadena de caracteres que identifica un
recurso de red específico. Como se muestra en la Figura 1-1, una URI tiene dos especializaciones:
■
Nombre uniforme de recurso (URN): Identifica únicamente el espacio de nombres del
recurso sin referencia al protocolo.
Día 1 401
■
Localizador uniforme de recursos (URL): Define la ubicación de un recurso específico en
la red.
Figura 1-1 Estructura de un URI

URL
Fragmento
URN
https://www.example.com/author/book.html#page155
URI
Estas son las partes de un URI, como se muestra en la Figura 1-1:
■
Protocolo/esquema: HTTPS u otro protocolo, como FTP, SFTP, mailto o NNTP
■
Nombre de host: En este caso, www.example.com
■
Ruta y nombre del archivo: En este caso, /autor/libro.html
■
Fragmento: En este caso, #página155
Una solicitud de API RESTful obtiene una respuesta del servidor de la API. Por ejemplo, el URI de la
Figura 1-2 es una solicitud GET correctamente formada al servidor de la API de MapQuest para
obtener direcciones de San José a Monterey en formato JSON.
Figura 1-2 Solicitud de la API RESTful al servidor de la API de MapQuest

FormatKeyParameters
http://www.mapquestapi.com/directions/v2/route? outFormat=json&key=KEY&from=San+Jose,Ca&to=Monterey,Ca
Servidor API Recursos Consulta
Estas son las diferentes partes de la solicitud de la API:

■
Servidor API: La URL del servidor que responde a las solicitudes REST.
■
Recursos: Especifica la API que se está solicitando.
■
Consulta: Especifica el formato de los datos y la información que el cliente solicita al servicio
API. Las consultas pueden incluir
■
Formato: Suele ser JSON pero puede ser YAML o XML.
■
Llave: La clave es para la autorización, si se requiere.
■
Parámetros: Los parámetros se utilizan para enviar información relativa a la solicitud.
El comienzo de la carga útil JSON entregada por la solicitud de la Figura 1-2 tendría el aspecto que
se muestra en el Ejemplo 1-4.
Ejemplo 1-4 Carga útil JSON recibida de una solicitud de API
{
"route":
{"hasTollRoad":
false, "hasBridge":
true, "boundingBox":
{
"lr": {
"lng": -121.667061,
"lat": 36.596809
},
"ul": {
"lng": -121.897125,
"lat": 37.335358
}
},
"distance": 71,712,
"hasTimedRestriction": false,
"hasTunnel": false,
"hasHighway": true,
"computedWaypoints": [],
"routeError": {
"errorCode": -400,
"message": ""
},
(salida omitida)
NOTA: El acceso a la API de MapQuest es gratuito para un uso limitado. Visite

https://developer. mapquest.com para registrarse en una cuenta. Investiga la sección de
documentación del sitio web para ver una gran cantidad de ejemplos.
Herramientas de gestión de la configuración

Una empresa con un ingeniero de redes puede estar bien gestionando las configuraciones de los
dispositivos, especialmente si las configuraciones no cambian a menudo. El modelo de configuración
manual por dispositivo tiene mucho sentido. Con este modelo, el ingeniero de red puede utilizar la
configuración de inicio del dispositivo como la configuración ideal prevista, y puede hacer cambios
según sea necesario. Sin embargo, este método
no funciona tan bien para redes más grandes, con cientos o incluso miles de dispositivos de red y
múltiples ingenieros de red. Las redes más grandes suelen utilizar herramientas de gestión de la
configuración.
Las herramientas de gestión de la configuración ofrecen diferentes métodos para definir la lógica
y los procesos que indican qué cambios deben realizar las herramientas, en qué dispositivos y cuándo.
Para cada herramienta, los ingenieros utilizan algún tipo de lenguaje para definir los pasos de acción.
El lenguaje suele ser un lenguaje definido por la empresa que ofrece la herramienta, pero el lenguaje de
la herramienta suele ser mucho más fácil de aprender que un lenguaje de programación.
Las herramientas de configuración especificadas para el examen CCNA son Ansible, Puppet y Chef.
Día 1 403
Ansible
Ansible utiliza una arquitectura sin agentes para gestionar los dispositivos de red. Agentless significa que
el dispositivo de red no necesita código. Ansible utiliza SSH o NETCONF para realizar cambios y
extraer información. Ansible utiliza un modelo push, como se muestra en la Figura 1-3.
Figura 1-3 Modelo Ansible

Push
1 Construir archivos
Subconjunto
Inventario
Libro de jugadas
3
SSH Configuración de empuje 2 Correr
Libro de jugadas
R1 Plantillas
Variables
Nodo de control de Ansible

Ansible utiliza varios archivos de texto, como se
muestra en la Figura 1-3:
■
Playbooks: Archivos con acciones y lógica sobre lo que debe hacer Ansible
■
Inventario: Nombres de host de los dispositivos junto con información sobre cada uno de ellos,
como los roles de los dispositivos, para que Ansible pueda realizar funciones para subconjuntos
del inventario
■
Plantillas: Una configuración de dispositivos con variables
■
Variables: Una lista de variables YAML que Ansible sustituirá en las plantillas
En la Figura 1-3, el ingeniero crea todos los archivos necesarios (1). A continuación, el ingeniero indica
al servidor de control de Ansible que ejecute un libro de jugadas (2), que luego se envía al
dispositivo (3) o a los dispositivos.
Marioneta
Puppet suele utilizar una arquitectura basada en agentes para el soporte de dispositivos de red. Algunos
dispositivos de red permiten el soporte de Puppet a través de un agente en el dispositivo. Sin
embargo, no todos los sistemas operativos de Cisco soportan los agentes de Puppet, y Puppet
resuelve ese problema utilizando un agente proxy que se ejecuta en algún host externo (lo que se
denomina operación sin agente). El agente externo utiliza entonces SSH para comunicarse con el
dispositivo de red, como se muestra en la Figura 1-4.
Figure 1-4 Agent-Based or Agentless Operation for Puppet

Agente interno
Manifiesto
API
R1
SSH
API
R2
Agente externo
Titiritero
Puppet utiliza un modelo pull para conseguir que una configuración aparezca en el dispositivo, como se muestra en
la Figura 1-5.
Figura 1-5 Modelo de Tiro de

Marioneta
1 Construir archivos
2 Manifiesto
Agent
e de 3 Detalles del tirón
R1 Plantillas
inicio 4 Pull Config
Variables
Titiritero
Puppet utiliza varios archivos de texto importantes con diferentes componentes (consulte la Figura 1-5):
■
Manifiesto: Un archivo de texto legible por humanos que define el estado de configuración deseado de un
dispositivo
■
Recurso, clase y módulo: Componentes del manifiesto, siendo el componente más grande
(módulo) el que se compone de clases más pequeñas, que a su vez se componen de recursos
■
Plantilla: Un archivo utilizado para crear un manifiesto, con nombres de variables que serán sustituidos
En la Figura 1-5, el ingeniero crea todos los archivos necesarios (1) y configura el agente del
dispositivo o el agente externo (2). A continuación, el agente o su proxy extrae los detalles de
configuración (3) y actualiza la configuración (4), cuando es necesario.
Día 1 405
Chef
Chef, al igual que Puppet, utiliza una arquitectura basada en agentes. Chef utiliza varios archivos de texto
importantes:
■
Recurso: Un objeto de configuración cuyo estado es gestionado por Chef (por ejemplo, un
conjunto de comandos de configuración para un dispositivo de red)
■
Receta: La lógica de Chef aplicada a los recursos para determinar cuándo, cómo y si se
debe actuar contra los recursos
■
Libro de cocina: Un conjunto de recetas sobre los mismos tipos de trabajo, agrupadas para
facilitar la gestión y el intercambio
■
Lista de ejecución: Una lista ordenada de recetas que deben ser ejecutadas contra un determinado
dispositivo
Chef requiere un código de cliente de Chef en el dispositivo, y muchos dispositivos de Cisco no

admiten clientes de Chef, por lo que es probable que se utilice más Ansible y Puppet para la gestión
de la configuración de los dispositivos de Cisco.
La Tabla 1-3 resume algunas de las características más importantes de Ansible, Puppet y Chef.
Tabla 1-3 Comparación entre Anisble, Puppet y Chef

Característica Ansible Marioneta Chef
Término para el archivo que enumera Libro de jugadas Manifiesto Receta, lista de
las acciones ejecución
Protocolo utilizado para SSH, NETCONF HTTP (REST) HTTP (REST)
comunicarse con los dispositivos de
la red
¿Utiliza un modelo con o sin agente? Sin agente Agente* Agente
¿Utiliza un modelo de empuje o de Empuje Tire de Tire de
tracción?
* Puppet puede utilizar un agente dentro del dispositivo o un agente proxy externo para los dispositivos de red.
Recursos de estudio
17
18
19
Hoy es su oportunidad de demostrar que tiene lo que se necesita para gestionar una red de
sucursales de pequeñas empresas. Sólo 120 minutos se interponen entre usted y su certificación
CCNA. Utilice la siguiente información para centrarse en los detalles del proceso para el día de su
examen CCNA.
Qué necesita para el examen

Anote el lugar del examen, la fecha, la hora del examen, el número de teléfono del centro de
examen y el nombre del supervisor. Esto es lo que ocurrirá cuando llegues al centro de examen:
■
Debe tener dos formas de identificación que incluyan una foto y una firma, como una licencia de
conducir, un pasaporte o una identificación militar. Además, el proceso de admisión al centro de
pruebas requiere la captura de una foto digital y una firma digital.
■
El supervisor de la prueba le guiará a través del acuerdo y preparará su estación de prueba
después de que haya firmado el acuerdo.
■
El supervisor del examen le dará una hoja para rascar o una almohadilla de borrado en seco.
No los saque de la sala.
■
El centro de exámenes guardará cualquier objeto personal mientras usted realiza el examen. Lo
mejor es llevar sólo lo necesario.
■
Se le controlará durante todo el examen.
Lo que debería recibir tras la

finalización
Cuando complete el examen, verá una respuesta electrónica inmediata sobre si ha aprobado o
suspendido. El supervisor le entregará un informe de puntuación certificado con la siguiente
información importante:
■
La puntuación mínima para aprobar, su puntuación en el examen y un desglose que
muestra su porcentaje para cada tema del examen general
■
Información de identificación necesaria para el seguimiento de su certificación
No pierda su informe de resultados del examen certificado.
Resumen
Su estado de ánimo es un factor clave para su éxito en el examen CCNA. Si conoce los detalles de
los temas del examen y los detalles del proceso de examen, podrá comenzar el examen con confianza y
concentración. Llegue temprano al examen. Lleve tapones para los oídos por si un vecino de examen
tiene una tos fuerte o algún hábito nervioso ruidoso. No dejes que una pregunta extremadamente difícil o
específica te impida avanzar. No puedes volver a las preguntas del examen que ya has contestado, así
que responde a cada pregunta con confianza y sigue adelante.
Informaciónposterior al
examen
Inscribirse y realizar el examen CCNA no es un logro menor. Muchos ingenieros de redes han
evitado los exámenes de certificación durante años. En las siguientes secciones se discuten sus
opciones después del día del examen.
Recibir el certificado
Si ha aprobado el examen, recibirá su certificado oficial CCNA en unas 6 semanas (8 semanas a nivel
internacional) después del día del examen. Su certificado se enviará por correo a la dirección que
proporcionó cuando se inscribió en el examen.
Necesita su informe de puntuación del examen para acceder al sistema de seguimiento de la
certificación y establecer un inicio de sesión para comprobar el estado de su certificación. Si no recibe
su certificado, puede abrir un caso en el soporte en línea del certificado ubicado en la siguiente
dirección web:
https://ciscocert.secure.force.com/english/MainPage
Cuando recibas tu certificado, tal vez quieras enmarcarlo y ponerlo en la pared. Un certificado en la
pared es mucho más difícil de perder que un certificado en un archivador o una carpeta al azar.
Su CCNA es válido durante 3 años. Para mantener la validez de su certificado, debe volver a
aprobar el examen CCNA o aprobar una certificación más avanzada antes de que finalice el
periodo de 3 años.
Determinar las opciones profesionales

Después de aprobar el examen CCNA, asegúrese de añadir su certificación CCNA a su currículum.
Matthew Moran ofrece los siguientes consejos para añadir certificaciones a un currículum en su
libro Building
Su carrera en informática: A Complete Toolkit for a Dynamic Career in Any Economy, 2ª edición (Pearson
IT Certification, 2013, ISBN: 9780789749437):
No creo que debas colocar tus certificaciones después de tu nombre. Es presuntuoso pretender que
tu última certificación es el equivalente a alguien que ha pasado entre 4 y 7 años haciendo un
doctorado o algún otro título avanzado. En su lugar, coloque sus certificaciones o títulos en una
sección titulada Educación y Certificaciones. Un máster puede ser la excepción a esta regla.
Moran también habla de buenas estrategias para introducirse en el sector de las TI después
de haber obtenido el CCNA:
El factor más importante es que te estás moviendo hacia un objetivo profesional.Puede que no
consigas el título o el trabajo que quieres nada más salir de la escuela. Si puedes dominar esas
habilidades en tu puesto actual y, al mismo tiempo, crear una red de contactos que te lleve al
puesto de tus sueños, deberías estar satisfecho. No lo harás de golpe.
Moran destaca en su libro que las certificaciones como la CCNA forman parte de un conjunto de
habilidades profesionales generales que debe mejorar continuamente para avanzar en su carrera de
TI.
Tu certificado CCNA demuestra que eres lo suficientemente disciplinado como para

comprometerte con un curso de estudio riguroso y seguir con tus objetivos profesionales.No es
probable que te contraten simplemente por tener un CCNA, pero te situarán por delante de otros
candidatos. Para complementar la certificación CCNA en su currículum, asegúrese de destacar
cualquier habilidad de red que esté relacionada con el CCNA en las descripciones de trabajo y
habilidades de su currículum.
Examinar las opciones de certificación

Aprobar el examen CCNA no es tarea fácil, pero es el punto de partida para certificaciones Cisco más
avanzadas, como los exámenes de nivel CCNP. Cuando inicie sesión en la herramienta de seguimiento
de certificaciones en línea (utilice el informe del examen para hacerlo), asegúrese de ver el enlace de
progreso de la certificación. Este enlace proporciona información específica sobre las certificaciones
que puedes conseguir con CCNA como base.
Si no ha aprobado el examen
Si no has superado tu primer intento del CCNA, debes esperar al menos 5 días naturales después del
día del examen para volver a examinarte. Manténgase motivado y regístrese para volver a hacer el
examen dentro de los 30 días siguientes a
su primer intento. El informe de resultados señala tus puntos débiles. Busca un grupo de estudio y utiliza
la comunidad online The Cisco Learning Network (http://learningnetwork.cisco.com) para que te
ayude con esos temas.
Si estás familiarizado con los conceptos generales, céntrate en hacer exámenes de práctica y memorizar
los pequeños detalles que hacen que el examen sea tan difícil. Si eres un ex alumno de Cisco
Networking Academy, tienes acceso al plan de estudios. Packet Tracer también proporciona un
excelente simulador de red. Considera tu primer intento como un examen de práctica formal y una
excelente preparación para aprobar el segundo intento.
Resumen
Tanto si exhibes tu certificado y actualizas tu currículum como si te preparas para conquistar el
examen en tu segundo intento, recuerda maravillarte con la innovación y la creatividad que hay
detrás de cada concepto que aprendes. La capacidad de nuestra sociedad para mejorar continuamente
la comunicación hará que sigas aprendiendo, descubriendo y empleándote durante toda la vida.
configuración, 303-305
SÍMBOLOS verificación, 307-308
3DES (Triple DES), 338 identificación, 298-299
10BASE-2, 33-35
10BASE-5, 33-35
10BASE-T, 35
pares de pines, 36
10GBASE-S, 35
10GBASE-T, 35
100BASE-TX, 35
pares de pines, 36
802.1X, 179–181
802.1X/EAP, 160
Normas 802.11, 151-152
802.3. Véase
Ethernet
1000BASE-LX, 35
1000BASE-T, 35
A
AAA (autenticación, autorización y
contabilidad), 178-179
ataques de acceso, 290
control de acceso, 175
802.1X, 179–181
AAA, 178-179
autenticación local, 175-176
Configuración de SSH, 176-
177 endurecimiento de
puertos de conmutación, 178
capa de acceso (diseño de campus
jerárquico), 25
conmutadores de capa de
acceso, 14 ACI (Application
Centric
Infraestructura), 386
ACLs (listas de control de acceso)
definir, 295
directrices de diseño, 299
ampliado denominado IPv4
añadir comentarios, 306
configuración, 306
verificación, 307-308
número extendido de IPv4
entrada/salida, ataques de amplificación y reflexión,
295-296 ACLs 292
IPv6 Ansible, 403
configuración, 309-311 direcciones anycast, 75
ACLs de IPv4
Arquitecturas AP, 155-157
frente a, 308-
309 APIC (Application Policy Infrastructure
verificación, Controller), 386
311-313 APIC-EM (Módulo de Empresa APIC),
lógica de la lista, 296-297 387-388
resumen APIs, RESTful, 400-402
operativo, 295 Infraestructura centrada en las
estándar aplicaciones (ACI), 386
denominado
capa de aplicación (OSI), 2
IPv4
estándar numerado
IPv4
añadir comentarios,
306
solución de problemas, 313-314
tipos de, 298
modo ad hoc,
154
direccionamient
o (Ethernet), 37-
38
direccionamiento (IPv4).
Véase direccionamiento
IPv4 direccionamiento
(IPv6). Véase
direccionamiento IPv6
distancia administrativa,
201-203
certificaciones avanzadas, 410
adware, 288
AES (Advanced Encryption
Standard), 161, 338
AF (Assured
Forwarding), 346-347
envejecimiento de la
seguridad portuaria,
183-184
AH (Authentication
Header), 340
permitir. Ver
permitir
AMP (Advanced Malware
Protection), 173
412 capa de aplicación (TCP/IP)
capa de aplicación (TCP/IP), 3, 5 259, 279-281

Infraestructura de políticas de BID (ID del puente)
aplicación configurar y verificar, 108-110 PVST+, 104-105
Controlador (APIC), 386 binario, conversión a/de decimal, 57
APs (puntos de acceso inalámbricos),
18-20 ARP (Address Resolution
Protocol), 4
mitigación de ataques, 191-193
tipos de ataques, 190-191
activos, 285
direcciones de multidifusión
asignadas, 73-74 Assured
Forwarding (AF), 346-347
conmutación asimétrica, 32
vectores de ataque, 286
ataques. Véase también mitigación de
amenazas
Ataques DoS y DDoS, 291
Ataques IP, 291-292
ataques de reconocimiento, 289
ataques de ingeniería social, 290-291
ataques a la capa de transporte, 292
tipos de, 287-288
autenticación
802.1X, 179–181
AAA, 178-179
local, 175-176
VPNs, 340
WLAN, 158-161
Encabezado de autenticación
(AH), 340 ancho de banda de
referencia de coste automático
comando, 269
automatización. Véase automatización
de la red auto-MDIX, 47-48
arquitectura autónoma de AP, 155
B
copia de seguridad de las
imágenes del IOS de Cisco, 376
cebado, 291
banda de frecuencias, 150-
151 ancho de banda, 343
comando de ancho de banda, 270
comando banner, 210
BDR (router designado de reserva),
agujero negro recibir, 409
VLAN, 84-85 certificaciones
botnet, 291 avanzado, 410
BPDU Guard, configurar, en el currículum vitae,
110-111 BRI (Basic Rate 409-410 informe de
Interface), 328 puentes, puntuación certificado,
29 407 canales, 150-151
direcciones de emisión, 38 Cocinero,
listado, 60-61 405
dominios de emisión, 31 elegir
BSA (área de medios de comunicación en red, 21
routers, 15
servicio básico),
interruptores, 14
153 BSS (conjunto Conexiones WAN, 332
de servicios
básicos), 153
BSSID (identificador de
conjunto de servicios básicos),
153 ataques de desbordamiento
del búfer, 290
C
módems
de cable,
331
cableado
directrices de conexión, 22
cobre, 21
de fibra óptica, 21
normas, 22
UTP, 36-37
inalámbrico, 21
CAPWAP (Control y
Aprovisionamiento de
Puntos de Acceso
Inalámbricos), 157-158
opciones profesionales, 409-410
CBWFQ (Cola de espera
ponderada basada en la
clase), 347
CDP (Cisco Discovery Protocol)
resumen operativo, 351-352
comando cdp
holdtime, 354
comando cdp time,
354 servicio celular,
332
certificado,
configuración del 413
conexiones WAN con conmutación

ataques con claves comprometidas,
de circuitos, 328-329
288 herramientas de gestión de la
Centro de ADN de Cisco
plataforma de gestión de la red, 394-395 configuración, 402
propósito de, 391-392 Ansible, 403
SDA y, 392-393 Chef, 405
comparación de, 405
Cisco ESA, 173-174
Marioneta, 403-404
Cisco IOS
comando configure terminal, 45
comandos de configuración básica, 45-
47 historial de comandos, 44 configurar
mensajes de error de la ACLs
consola, 43 sesiones IPv4 con nombre extendido, 306
EXEC, 42 IPv4 numerado extendido, 303-
instalaciones de ayuda, 42-43 305 IPv6, 309-311
IFS (Sistema Integrado de Archivos), 371 estándar denominado IPv4, 305-
mandos, 371-373 306 estándar numerado IPv4, 301-
gestión de archivos de configuración, 303
374-375 prefijos de URL, 373-374 CDP, 352-354
imágenes, 375 enrutamiento por defecto
copia de seguridad, 376 IPv4, 245-248
restauración, 376-377 IPv6, 252
navegación y edición de comandos, 43-44 DHCP snooping, 189-190
mostrar comandos, 44-45 DHCPv4
modos de subconfiguración, 45 como cliente, 133-134
opciones, 128
Cisco WSA, 174-175
para retransmitir
Colas justas basadas en la clase solicitudes, 132-133 como
(CBWFQ), 347 servidor, 128-132
clases (direccionamiento IPv4), 56-57 DHCPv6
protocolos de enrutamiento con opciones, 137
clases, 200 clasificación, 344-347 como servidor de estado, 139
como servidor sin estado, 137-139
protocolos de enrutamiento sin clase,
200 inspección ARP dinámica (DAI), 192-193
NAT dinámica, 320-321
comando clear ip nat translation, 323 EtherChannel, 116-117
comando clear ip o s p f process, 281 HSRP, 122-123
283 Puertos enrutados de capa 3, 240
clientes (DHCPv4), configuración, 133- LLDP, 357-358
134 computación en nube conmutación multicapa, 238
beneficios de, 379 Sobrecarga de NAT, 321-322
servicios, 381-382 NTP, 370-371
infraestructura de red virtual, 382-383 OSPFv2, 275-277
arquitectura de AP basada en la nube, seguridad portuaria, 181-183
PVST+ rápido, 111
155-156 dominios de colisión, 31
router en un palo, 235-238
comandos (Cisco IOS) routers
comandos de configuración básica, 45- sintaxis del comando, 210, 217-218
47 historial de comandos, 44 Configuración EUI-64, 218
navegación y edición, 43-44 con IPv4, 209-217
comandos show, 44-45 modos con IPv6, 217-220
de subconfiguración, 45 direcciones link-local, 219
comentarios, añadir a ACLs IPv4, verificación, 212-217
306 nubes comunitarias, 382 OSPF de área única, 265-270
métrica, 268-270
comando de red, 267-268
414 configuración
interfaces pasivas, 268

plano de control, 383-384
ID del router, 266-267
comando router ospf, 266 controladores, 384-385
SNMP, 364 convergencia
SSH, 176-177 con protocolos de estado de enlace, 206-207
NAT estático, 319- en STP, 101-102
320 enrutamiento conversión de números
estático binarios/decimales, 57 cable de cobre,
IPv4, 242-243 20, 21
IPv6, 251
comando de copia, 374-375
STP, 108
identificación del puente (BID), 108-110 comando de inicio de
PortFast y BPDU Guard, 110-111 ejecución de copia, 212
resumen de enrutamiento copy running-config startup-config,
IPv4, 248-249 210, 212
IPv6, 253 capa central (diseño de campus
interruptores, 41 jerárquico), 25
auto-MDIX, 47-48
conmutadores de capa
comandos de configuración básica, 45-47
historial de comandos, 44 central, 14-15 CSMA/CD,
Sesiones EXEC, 42 34-35
medio dúplex, dúplex completo, conmutación por corte, 31
velocidad del puerto, 47 facilidades
de ayuda, 42-43
navegación y edición de comandos, 43-44 D
mostrar comandos, 44-45 DAI (inspección dinámica de
modos de subconfiguración, 45 ARP), 191-193
verificación de la conectividad, 48-51
encapsulación de datos. Ver
syslog, 367-369
troncales, 92-94 encapsulación Estándar de
VLANs, 88-92, 185-186 encriptación de datos (DES), 338
WLAN, 165 exfiltración de datos, 286
servidor RADIUS, 166 formatos de datos
interfaz virtual, 166-168 comparación de, 397-398
WPA2 Enterprise, 168-171 JSON, 398-399
gestión de la congestión, 347 conexión capa de enlace de datos (OSI), 2
a los conmutadores, 41-42 ataques de modificación de
establecimiento de la conexión (TCP), datos, 287 plano de datos,
9 terminación de la conexión (TCP), 9 383-384
protocolos sin conexión, 9-10 VLAN de datos, 84
conexiones Ataques DDoS (de denegación de
para las VPN, 337-340 servicio distribuido), 291
para las WAN, 23, 326-327 intervalos muertos, modificar,
elegir, 332
278 comando debug ip nat, 323-
conmutación de circuitos, 328-329
dedicado, 327-328 324 depuradores, 287
Internet, 330-332 decimal, conversión a/de binario, 57
conmutación de paquetes, 329-330 conexiones WAN dedicadas, 327-328
conectividad, verificación, 48-51, 220- pasarelas por defecto, solución de
223 mensajes de error de la consola, problemas,
43 224–225
costes de puerto IEEE por
defecto, 101-102 enrutamiento
por defecto
IPv4, configuración, 245-248
IPv6, configuración, 252
enrutamiento dinámico 415
resumen operativo, 241

Línea de abonado digital (DSL), 330-331
redistribución, 277
Algoritmo de Dijkstra, 205-206
VLANs por defecto, 84
comando dir, 372-373, 376-377
comando de originación de
información por defecto, desactivación de VLANs, 96
277 protocolos de vector de distancia,
ataques de denegación de servicio 198-199 distancia administrativa,
201-203 resumen de comparación de
(DoS), 287, 291 denegación
IGP, 203 métricas, 200-201
FTP, 304
anfitriones, 302, 305-306 ataques de denegación de servicio
SSH, 303 distribuidos (DDoS), 291
subredes, 303 capa de distribución (diseño de campus
Telnet, 303, 304-305 jerárquico), 25
DES (Data Encryption Standard), 338 conmutadores de capa de
comando de descripción, 210 distribución, 14 sistema de
router designado (DR), 259, 279-281 distribución (DS), 153 DMVPN
endurecimiento de dispositivos. Ver (Dynamic Multipoint VPN),
335–336
dispositivos de seguridad
directrices de conexión, 22 DNS (Sistema de nombres de
cortafuegos, 16 dominio), 3
hubs frente a switches, 13 resumen operativo, 140-142
IDS/IPS, 17 solución de problemas, 142-143
cortafuegos de nueva Ataques DoS (denegación de servicio),
generación, 17-18 conexiones 287, 291 DR (router designado), 259,
físicas, 20 routers. Ver routers 279-281 DS (sistema de distribución),
interruptores. Ver interruptores
153
puntos de acceso inalámbricos/controladores
LAN, 18-20 DSCP (Differentiated Services Code
Point), 345-346
DHCP (Protocolo de configuración
dinámica de host), 3 DSL (Línea de abonado digital), 330-
ataques 331 DTP (Protocolo de enlace
mitigación, 188-190 dinámico),
tipos de, 188 87–88
solución de problemas, 140 WAN de doble sede, 325
DHCPv4 apilamiento doble, 80-81
configurando búsqueda en el contenedor, 291
como cliente, 133-134
comando dúplex, 47, 52
opciones, 128
para retransmitir direcciones IP duplicadas, solución de
peticiones, 132-133 como problemas, 225
servidor, 128-132 inspección ARP dinámica
resumen operativo, 127-128 (DAI), 191-193
DHCPv6 Protocolo de configuración dinámica
con estado, 136 de host. Ver DHCP (Dynamic Host
configuración, 139 Configuration Protocol)
resumen operativo, 136-137 VPN dinámica multipunto (DMVPN),
apátrida, 136 335-336
configuración, 137-139 NAT dinámico, 318
resumen operativo, 136-137 configuración, 320-321
Punto de Código de Servicios enrutamiento dinámico
Diferenciados (DSCP), 345-346
distancia administrativa, 201-203
protocolos de clase, 200
protocolos sin clase, 200
416 enrutamiento dinámico
convergencia, 206-207 tecnologías actuales, 35

algoritmo de Dijkstra, 205-206 encuadre, 38-39
protocolos de vector de distancia,
198-199 IGP y EGP, 198
Resumen de comparación de IGP,
203 protocolos de estado de
enlace, 199, 204-207
LSDB, construcción, 204-205
métrica, 200-201
tipos de protocolo, 198
prevención de bucles de
enrutamiento, 203-204
enrutamiento estático frente a, 197
Protocolo de enlace dinámico (DTP),
87-88
E
ataques de escucha, 287
puertos de borde, RSTP,
107
edición de comandos Cisco IOS, 43-44
EF (Expedited Forwarding), 346-347
EGP (exterior gateway protocols), 198
EIGRP (Enhanced Interior Gateway
Protocolo de enrutamiento), 203
comando enable secret, 210
encapsulación, 4-5, 12
encriptación
herramientas, 287
VPNs, 338
WLAN, 161-162
seguridad de los
puntos finales, 173
Cisco ESA, 173-174
Cisco WSA, 174-175
recuperación de errores, 7-8
ESP (Encapsulating Security Payload),
341
ESS (conjunto de servicios ampliados),
154 EtherChannel
beneficios de, 114
protocolos, 115-116
restricciones, 114
solución de problemas, 119
Ethernet, 4
dirigiendo, 37-38
tecnologías heredadas, 33-35 herramientas forenses, 287
resumen operativo, modo sin fragmentos, 32
32-33 reenvío de tramas, 31-32
interruptores. Ver
encuadre (Ethernet), 38-39
interruptores
Cableado UTP, 36-37
Configuración EUI-64,
78-79, 218 examen
tras la finalización, 407
informe de
puntuación
certificado, 407
fallido, 410
recibir el
certificado,
409 qué
llevar, 407
Sesiones EXEC, 42
parámetro exit-interface,
enrutamiento estático IPv4,
244-245
Expedited Forwarding
(EF), 346-347 exploits, 285
ACLs IPv6 extendidas,
configurar, 310-311
ACLs IPv4 con nombre extendido
configuración, 306
ACLs IPv4 numeradas extendidas
conjunto de servicios
extendido (ESS), 154 ID de
sistema extendido, PVST+,
104-105 protocolos de
pasarela exterior
(EGP), 198
F
tela, 390
examen fallido, 410
Fast Ethernet, 35
FHRP (protocolos
de redundancia de
primer salto), 119-
120
cable de fibra óptica, 20, 21
cortafuegos, 16
próxima generación, 17-18
control de flujo, 8
sistemas de detección de intrusos (IDS) 417
FTP (Protocolo de transferencia de HTTP (Protocolo de Transferencia de

archivos), 3 Hipertexto), 3 métodos HTTP, APIs RESTful y,
negando, 304 400
dúplex completo, 47
WAN de malla completa, 325
G
GCMP (Protocolo de Modo
Galois/Contador), 161
Gigabit Ethernet, 35
GLBP (Protocolo de Equilibrio de
Carga de Pasarela), 120
direcciones globales de unicast, 68-70
GRE (Generic Routing Encapsulation),
334
H
piratería de sistemas operativos,
287 medio dúplex, 47
hashes, 338-340
cabecera (TCP), 6
formato de cabecera (IPv4),
55 intervalos de hola,
modificar, 278
facilidades de ayuda en Cisco IOS,
42-43 diseños de campus jerárquicos,
25-27 ID de host (IPv4), 55
configuración de la IP del host, 143
en Linux, 146-148
en macOS, 145-146
en Windows, 143-145
rangos de hosts, listado,
60-61 comando
hostname, 210
anfitriones, negando, 302, 305-306
teclas de acceso rápido a los
comandos de Cisco IOS, 43-44
HSRP (Hot Standby Router Protocol),
120
configuración y verificación, 122-123
equilibrio de carga, 123-125
visión general del
funcionamiento, 121
prioridad y preferencia, 122
solución de problemas, 126
versiones, 121
WANs hub-and- enrutamiento inter-VLAN
spoke, 325 hubs Configuración de puertos enrutados de
limitaciones, 29 capa 3, 240 enrutamiento inter-VLAN
interruptores frente heredado, 233-234 conmutación
a, 13 multicapa, 235
nubes híbridas, configuración y verificación, 238
382 router en un palo, 234
IVS, creación, 238-240
I tipos de, 233
IaaS (infraestructura como intranets, 23
servicio), 382 IBSS (conjunto de sistemas de detección de intrusos (IDS), 17
servicios básicos independientes),
154
ICMP (Protocolo de
mensajes de control
de Internet), 4
Ataques ICMP, 292
iconos para diagramas de
red, 13 IDS (sistemas de
detección de intrusos), 17
IFS (sistema de archivos
integrado), 371
mandos, 371-373
gestión de archivos de
prefijos de URL, 373-374
IGP (protocolos de
pasarela interior),
198, 203
IMAP (Protocolo de
Acceso a Mensajes
de Internet), 3
suplantación, 291
ACLs de entrada, 295-296
modo de infraestructura, 152-154
ACLs de interfaz, 295-296
comando de
interfaz, 210 IDs de
interfaz, subred, 78
comando de rango
de interfaz, 47
códigos de estado de la interfaz, 52,
213-214
capa de Internet
(TCP/IP), 3, 10
Protocolo de
Internet (IP), 4
conexiones WAN de
Internet, 330-332 redes
internas, 23
418 sistemas de prevención de intrusiones (IPS)
sistemas de prevención de intrusiones subred, 57-58 pasos en, 58-59

(IPS), 17 IP (Protocolo de Internet), 4 máscaras de subred, determinar nuevas, 60
comando de dirección ip, 210 multiplicador de subred, determinar, 60
VLSM, 62-64
Ataques de falsificación de direcciones IP,
287, 292
Ataques IP, 291-292
comando ip helper-address, 132-133
configuración de host IP. Ver
configuración de IP del host Comando
ip o s p f cost, 270
comando ip ospf priority, 279
comando ip route, 242
comando ipconfig, 48-49
IPP (Precedencia IP), 345-346
IPS (sistemas de prevención de
intrusiones), 17 IPSec, 340-341
ACLs
configuración extendida con nombre, 306
configuración extendida con número, 303-
305 ACLs IPv6 versus, 308-309
configuración estándar con nombre, 305-
306 configuración estándar numerada,
301-303 verificación, 307-308
clases de direcciones, 56-57
enrutamiento por defecto, configurar, 245-
248 formato de cabecera, 55
direccionamiento IPv6 frente
a, 66 formato JSON, 399
migrar a IPv6, 80-81
direccionamiento
privado/público, 58 resolver
conflictos, 140
configuración del router, 209-217
sintaxis del comando, 210
tabla de enrutamiento,
229-230 enrutamiento
estático
parámetro exit-interface, 244-245
parámetro de salto siguiente, 244
subnetting
esquema de direccionamiento,
listado, 60-61 bits a tomar
prestados, determinar, 59-60
ejemplos, 61-62
propósito de las máscaras de
resumen de enrutamiento, comando ipv6 route, 251
configuración, 248-249 solución
de problemas, 224-225
Direcciones incrustadas
J
IPv4, 72-73 comando jitter, 343
ipv6 access-list, 309 JSON (JavaScript Object Notation), 398-
comando ipv6 address 399
autoconfig, 138 comando ipv6
address dhcp, 139
ACLs
ACLs de IPv4
frente a, 308-309
verificación, 311-
313
convenciones de direcciones, 76
tipos de dirección, 67-68
direcciones
anycast, 75
ventajas de,
65-66
enrutamiento por
defecto, configurar, 252
configuración EUI-64,
78-79 direccionamiento
IPv4 frente a, 66 migrar
a, 80-81
direcciones de multidifusión, 73-75
asignado, 73-74
nodo solicitado, 74-75
convenciones de
prefijos, 76-77
configuración de
enrutadores, 217-220
sintaxis del comando, 217-218
Configuración EUI-64, 218
direcciones link-local, 219
tabla de enrutamiento, 230
SLAAC, 79-80
enrutamiento estático
configuración, 251
subredes, 77-78
resumen de enrutamiento,
configuración, 253 solución de
problemas, 224-225
direcciones unicast, 68-73
global, 68-70
IPv4 integrado, 72-73
enlace-local, 71
bucle de retorno, 71
local único, 72
sin especificar, 71
métrica 419
estado de enlace, OSPF, 260-261

L
Linux, verificación de la configuración de
LACP (Link Aggregation Control la IP del host, 146-148
Protocol), 115-116
LAN (redes de área local)
componentes de, 23
mitigación de amenazas
ARP, 190-193
DHCP, 188-190
VLANs, 185-187
latencia (retraso), 343
Indicadores de problemas de la capa 1,
54
Conmutación de capa 2, 32
Puertos enrutados de capa 3,
configuración, 240
Conmutación de nivel 3, 32
capas (diseño jerárquico del campus),
25-27
capas (OSI)
lista de, 2-3
PDUs, 4-5
físico, 39-40
capas (TCP/IP)
aplicación, 5
resumen de encapsulación, 12
Internet, 10
lista de, 3
acceso a la red, 10-12
transporte, 5-10
líneas alquiladas, 327-328
tecnologías Ethernet heredadas, 33-
35 enrutamiento inter-VLAN
heredado, 233-234 arquitectura AP
ligera, 156-157 comando de consola
de línea, 210
línea vty 0 15 comando, 210
Protocolo de control de agregación
de enlaces (LACP), 115-116
direcciones link-local, 71, 219
anuncios de estado de enlace
(LSA), 258-261, 278-279
base de datos de estado de enlace
(LSDB), 204-205 protocolos de
estado de enlace, 199, 204-207
convergencia, 206-207
Algoritmo de Dijkstra, 205-206
proceso de enrutamiento de
lógica de lista de ACLs, 296-297 plano de gestión, 383-384
Subcapa LLC (Logical Link VLAN de gestión, 85, 185-186
Control), 32-33 ataques man-in-the-middle, 288, 290,
LLDP (Link Layer Discovery 292
Protocol) marcado, 344-347
problemas con los medios de
verificación, 358-360 comunicación, solución de
comando lldp problemas, 51-52 almacenamiento
holdtime, 357 en memoria, 32
comando lldp topología de malla, 154
reinit, 357 mensajes (SNMP), 361-362
comando lldp run, métricas
enrutamiento dinámico, 200-201
357
OSPF de área única, 268-270
comando lldp timer, 357
LLQ (colas de baja
latencia), 347 equilibrio
de carga HSRP, 123-125
autenticación local, 175-
176
redes de área local.
Véase LAN (redes
de área local)
inicio de sesión
en el WLC, 163-
165 topologías
lógicas, 24-25
comando de
inicio de sesión,
210 comando
local de inicio
de sesión, 210
coincidencia
más larga, 227-
228
direcciones de bucle invertido, 71
pérdida, 343
LSA (anuncios de estado de
enlace), 258-261, 278-279
LSDB (base de datos de estado de
enlace), 204-205
M
Subcapa MAC (Media
Access Control), 32, 33
macOS, verificación de
la configuración de la
IP del host, 145-146
malware, 288-289
420 Metro Ethernet
Metro Ethernet, 329 134

MIB (Base de Información de Gestión),
362-363
mitigación. Ver mitigación de amenazas
modificando OSPFv2
redistribución de rutas por defecto, 277
Elección de DR/BDR, 279-281
intervalos de hola y muertos,
278
Moran, Matthew, 409-410
MPLS (conmutación de etiquetas
multiprotocolo), 330
MST (Árbol de expansión múltiple), 102
MSTP (Árbol de expansión múltiple
Protocolo), 102
OSPF multiárea, 262
diseño, 262-264
rendimiento, 264
direcciones de multidifusión, 38, 73-75
asignado, 73-74
nodo solicitado, 74-75
conmutación multicapa, 235
configuración y verificación, 238
Wi-Fi municipal, 332
N
ACLs IPv4 con nombre
configuración ampliada, 306
configuración estándar, 305-306
NAT (traducción de direcciones de red)
beneficios de,
319 dinámica,
318
limitaciones, 319
sobrecarga, 318-319
resumen del proceso, 317
estático, 318
terminología, 315-317
VLAN nativas, 85, 185-186
navegación de los comandos de Cisco
IOS, 43-44 mensajes de Neighbor
Solicitation (NS),
capa de acceso a la red command, 130 no shutdown
(TCP/IP), 3, 10-12 Traducción command, 210
de direcciones de red. Ver NAT Mensajes NS (Neighbor Solicitation),
(Traducción de direcciones de red) 134
ataques a la NTP (Network Time Protocol),
red, 289 370-371
ataques de comando del servidor ntp, 370
acceso, 290
Ataques DoS y
DDoS, 291
Ataques IP, 291-
292
ataques de ingeniería social, 290-
291 ataques a la capa de
transporte, 292
automatización de la red
herramientas de gestión de la
configuración, 402
Ansible, 403
Chef, 405
comparación de, 405
Marioneta, 403-404
formatos de datos
comparación de, 397-398
JSON, 398-399
APIs RESTful, 400-402
comando de red,
267-268 ID de red
(IPv4), 55 capa de
red (OSI), 2 medios
de red, 20-22
elegir, 21
cobre, 21
de fibra óptica, 21
normas, 22
inalámbrico, 21
herramientas de
escaneo/hackeo de redes,
286 iconos de redes, 13
redes, autorización, 302
parámetro de siguiente
salto, enrutamiento
estático IPv4, 244
NGFWs (cortafuegos de
nueva generación), 17-18
comando no cdp enable,
353-354 comando no cdp
run, 353
no lldp receive
command, 357 no lldp
transmit command,
357 no service dhcp
endurecimiento del puerto 421
ACLs IPv4 numeradas ACLs de salida, 295-296

configuración ampliada, 303-305
configuración estándar, 301-303
O
Open Shortest Path First. Ver OSPF
(Open Shortest Path First)
autenticación del sistema
abierto, 159 OpenDaylight, 385-
386
OpenFlow, 385-386
OpFlex, 386
Modelo OSI (Interconexión de
Sistemas Abiertos), 1-2
capas
lista de, 2-3
físico, 39-40
PDUs, 4-5
OSPF (Open Shortest Path First), 203
multiárea, 262
diseño, 262-264
rendimiento, 264
tipos de red, 278-279
OSPFv2, OSPFv3 frente a, 261-262
de una zona, 255
algoritmo, 259-260
configurar, 265-270 DR
y BDR, 259
anuncios de estado de enlace, 258-261
proceso de enrutamiento de estado de
enlace, 260-261
formato de los mensajes, 255-256
establecimiento de vecinos, 256-258
tipos de paquetes, 256
OSPFv2
ejemplo de configuración, 275-277
modificar
redistribución de rutas por
defecto, 277 elección de
DR/BDR, 279-281 intervalos
hello y dead, 278
OSPFv3 frente a, 261-
262 de área única
OSPFv3, OSPFv2 frente a, 261-262
superposición, 390, 391 con éxito, 220-221
sobrecarga de NAT, 318-319, 321-322 sin éxito, 221
Plataforma como servicio (PaaS),
382 WAN punto a punto, 325
P vigilancia, 347-349
PaaS (Plataforma POP3 (Protocolo de oficina de correos), 3
como Servicio), 382 Protocolo de agregación de puertos
herramientas de (PAgP), 115 endurecimiento de
elaboración de puertos, 178
paquetes, 287
reenvío de paquetes, 195, 228
partido más largo, 227-228
funciones de
determinación y
conmutación de
trayectorias, 196-197
rastreadores de paquetes, 287
conexiones WAN con
conmutación de
paquetes, 329-330
PAgP (Port Aggregation
Protocol), 115 interfaces
pasivas, OSPF, 268
comando de interfaz pasiva, 268
comando de contraseña, 210
descifradores de contraseñas, 286
recuperación de contraseñas, 377-378
ataques basados en
contraseñas, 287, 290
determinación y
conmutación de rutas
funciones, 196-197
PDUs (unidades de
datos de protocolo), 4-
5 herramientas de
pruebas de
penetración, 286-287
permitiendo
redes, 302
SSH, 310
tráfico web, 310-311
Per-VLAN Spanning Tree
Plus. Ver PVST+ (Per-
VLAN Spanning Tree
Plus)
phishing, 290
conexiones físicas, 20
capa física (OSI), 2, 39-40
topologías físicas, 24-25
comando ping, 48, 49-50
Números de puerto 422
números de puerto, 7 tipos de tráfico, 343-344

redirección de puertos, 290 ataques quid pro quo, 291
roles de puerto, RSTP, 106-
107 seguridad de puerto, 181
envejecimiento, 183-184
restauración, 184-185
velocidad del
puerto, 47 estados
del puerto
PVST+, 104
RSTP, 105-106
memoria basada en puertos, 32
PortFast, configuración, 110-111
reconocimiento positivo, 7
reconocimiento positivo con
retransmisión, 8
Protocolo de Oficina de Correos
(POP3), 3 tentativa, HSRP, 122
prefijos (IPv6), 76-77 capa de
presentación (OSI), 2
pretexting, 290
PRI (Primary Rate Interface), 328
prioridad, HSRP, 122
nubes privadas, 382
direccionamiento IP
privado, 58
unidades de datos de protocolo
(PDU), 4-5 protocolos
(TCP/IP), lista de, 3-4 nubes
públicas, 382
dirección IP pública, 58
Puppet, 403-404
PVST+ (Per-VLAN Spanning Tree
Plus), 102
ID del sistema ampliado, 104-
105 resumen operativo, 103-
104
estados portuarios, 104
Q
QoS (calidad de servicio)
clasificación y marcado, 344-347
gestión de la congestión, 347
vigilancia y conformación, 347-349
Descartes TCP, 349
herramientas, 344
2), 203
R
riesgo, 285
Mensajes RA (Router Rivest, Shamir y Adleman (RSA),
Advertisement), 134 338
frecuencias de radio. detectores de rootkits, 287
Ver espectro de RF rootkits, 289
RADIUS Mensajes de anuncio de enrutamiento
(Autenticación remota (RA), 134
Servicio de acceso telefónico al ID del enrutador, 266-
usuario), 178-179
267 enrutador en un
servidor RADIUS,
palo, 234
configuración, 166
ransomware, 288
comando router ospf, 266
PVST+ rápido, 102
Mensajes de solicitud de enrutamiento (RS), 134
configuración, 111
puertos de borde, 107
comportamiento de la interfaz, 105
funciones portuarias, 106-107
estados portuarios, 105-106
STP rápido. Véase
RSTP (Rapid STP)
recepción de
certificado, 409
redundancia, 99-100
ancho de banda de
referencia, 268-269
retransmisión de
solicitudes, DHCPv4,
132-133 fiabilidad, 7-8
acceso remoto con
SSH, 222-223 VPN
de acceso remoto,
334
APIs RESTful, 400-402
restaurar
Imágenes de
Cisco IOS,
376-377
puertos,
184-185
resumen,
certificaciones
sobre, 409-410
espectro de RF,
149-150
canales, 150-151
RIPv2 (Protocolo de
Información de
Enrutamiento versión
seguridad 423
comando router-id, 266-267 prevención de bucles de enrutamiento, 203-204

routers, 15
configurando
sintaxis del comando, 210, 217-218
Configuración EUI-64, 218
con IPv4, 209-217
con IPv6, 217-220
direcciones link-local, 219
enrutamiento por defecto
Configuración de IPv4, 245-248
Configuración de IPv6, 252
redistribución, 277
distancia administrativa, 201-203
protocolos de clase, 200
protocolos sin clase, 200
algoritmo de Dijkstra, 205-206
protocolos de vector de distancia,
198-199 IGP y EGP, 198
Resumen de comparación de IGP,
203 protocolos de estado de enlace,
199, 204-207
métrica, 200-201
tipos de protocolo, 198
prevención de bucles de
enrutamiento, 203-204
enrutamiento estático frente a,
197
reenvío de paquetes, 195,
228
funciones de determinación y conmutación de
trayectorias, 196-197
propósito de, 227
SOHO, 24, 223-224
enrutamiento estático
parámetro exit-interface, 244-245
parámetro de salto siguiente, 244
resumen de enrutamiento
Configuración de IPv6, 253
Protocolo de Información de
Enrutamiento versión 2 (RIPv2),
203
tablas de enrutamiento ataque, 286
componentes de, 228-231 exfiltración de datos,
estructura de entrada, 232 286
principios, 231
Mensajes RS (Router
Solicitation), 134 RSA (Rivest,
Shamir y Adleman),
338
RSTP (Rapid STP), 102
configuración, 111
puertos de borde, 107
comportamiento de la interfaz, 105
funciones portuarias, 106-107
estados portuarios, 105-106
S
SaaS (software como servicio),
382 Internet por satélite, 332
SDA (acceso definido por software)
arquitectura, 389
Cisco DNA Center y, 392-
393 tejido, 390
superposición, 391
subyacente, 390-391
SDN (redes definidas por
software), 383
ACI, 386
APIC-EM, 387-388
controladores, 384-385
datos, control, planos de
gestión, 383-384
OpenFlow, 385-
386 diseño de
columna y
hojas, 387
Secure Shell. Ver SSH (Secure Shell)
Secure Socket Layer
(SSL), IPSec frente a,
340
seguridad
control de acceso, 175
802.1X, 179–181
AAA, 178-179
autenticación local, 175-176
Configuración de
SSH, 176-177
endurecimiento de
puertos de
conmutación, 178
tipos de ataque, 287-288
vectores de
424 seguridad
seguridad de los puntos finales, los comandos de Cisco IOS, 43-44

173 surfear con los hombros, 291
Cisco ESA, 173-174 show access-lists comando, 307, 312 show
Cisco WSA, 174-175
cdp comando, 353
IPSec, 340-341
tipos de malware, 288-289 comando show cdp interface, 352, 354 comando
ataques a la red, 289 show cdp neighbors, 353
Ataques DoS y DDoS, 291
Ataques IP, 291-292
ataques de ingeniería social, 290-
291 ataques a la capa de
transporte, 292
recuperación de contraseñas, 377-
378 herramientas de pruebas de
penetración, 286-287 seguridad de
puertos, 181
envejecimiento, 183-184
restauración, 184-185
programas, 293
terminología, 285
Conexiones VPN, 337-340
WLAN, 158
autentificación, 158-161
codificación, 161-162
seleccionar. Ver elegir
virtualización de servidores,
379-381 servidores (DHCPv4),
configuración,
128–132
servidores (DHCPv6),
configurar sin estado, 137-
139
comando de números de secuencia de
servicio, 367
identificador de conjunto de servicios
(SSID), 153 comando de marcas de
tiempo de servicio, 367
comando de encriptación de contraseña
de servicio, 211
secuestro de sesión,
292 capa de sesión
(OSI), 2
conformación, 347-
349
autenticación de clave compartida,
159-160 memoria compartida, 32
teclas de acceso directo a
comando show cdp interface brief, 274
neighbors detail, 354-356 comando show ip ospf interface, 283
comando show cdp traffic, comando show ip ospf interfaces, 266
356 comandos show (Cisco comando show ip o sp f neighbor, 272
IOS), 44-45 282
comando show etherchannel comando show ip protocols, 202, 266,
summary, 117-118 270–272, 282
comando show file
systems, 371 comando
show flash:, 372, 376-377
comando show history, 44
salida del comando show
interface, 215-217
gigabitethernet 0/0, 214-
215
GigabitEthernet0/0/0, 398
status, 95 comando show
interface switchport,
118–119
comando show interfaces,
210 desajustes de dúplex y
velocidad, 52-54 códigos de
estado de la interfaz, 52
asignación de VLAN de
interfaz, 91-92 comando show
interfaces status, 52-54
comando show interfaces
switchport
95, 98
comando show
interfaces trunk, 93-
94, 97
show ip dhcp binding
comando, 130 show ip dhcp
conflict comando, 140 show
ip dhcp server statistics
comando, 130
comando show ip interface
brief, 210, 213, 237-238, 270-
272
comando show ip interface,
307 comando show ip nat
statistics, 323
comando show ip nat
translations, 322 comando
show ip ospf, 266, 273-274
283
comando show ip ospf
direcciones de multidifusión de nodo solicitado
425
comando show ip route, 200-201, 210,

comando show vlans, 237-238
212–213, 237–238, 270–272
Protocolo simple de transferencia de
comando show ip route ospf, 283
correo
comando show ipv6 access-list, 312
(SMTP), 3
comando show ipv6 interface, 138, 313 Protocolo simple de gestión de redes.
show ipv6 interface gigabitethernet 0/0 Ver SNMP (Protocolo simple de
comando, 220 gestión de redes)
comando show ipv6 route, 251 OSPF de área única,
comando show lldp, 358-360 255
comando show lldp interface, 358-360 algoritmo, 259-260
comando show lldp neighbors, configuración, 265-270
métrica, 268-270
358–360
comando de red, 267-268
comando show lldp neighbors detail,
interfaces pasivas, 268
358-360
ID del router, 266-267
comando show lldp traffic, 358-360 comando router ospf, 266
comando show logging, 367-369 DR y BDR, 259
comando show mac address-table, 95 anuncios de estado de enlace, 258-
comando show ntp associations 261 proceso de enrutamiento de
370–371 estado de enlace, 260-261 formato
de mensaje, 255-256
comando show ntp status, 370-371
establecimiento de vecinos, 256-258
comando show port-security, 182-183 tipos de paquetes, 256
comando show port-security interface verificación, 270-274
184 VPNs de sitio a sitio, 333
comando show run, 117, 311-312, 323 SLAAC (stateless address
comando show running-config, 210, autoconfiguración), 79-80, 134-135
212, 307–308 SMTP (Protocolo simple de
comando show snmp, 364-365 transferencia de correo), 3
comando show snmp community, 365 ataques de sniffer, 288
comando show spanning-tree active, SNMP (Protocolo simple de gestión de
111 redes), 3, 361
comando show spanning-tree bridge, componentes de, 361
111 configuración, 364
comando show spanning-tree, 110, 111 mensajes, 361-362
MIB, 362-363
comando show spanning-tree detail,
111
versiones, 362
comando show spanning-
tree interface, 111 comando snmp-server community,
364
comando show spanning-tree
summary, 111 snooping (DHCP), 188-190
comando show spanning-tree vlan, 111 ataques de ingeniería social, 290-291
comando show standby, 122-123 Software como servicio (SaaS), 382
comando show version, 375 Acceso definido por software. Ver
comando show vlan brief, 88-89, 90, SDA
91, 95 (Acceso definido por software)
comando show vlan, 95, 96 Red definida por software. Véase SDN
(red definida por software)
comando show vlan id, 95
SOHO (small office/home office),
23-24, 223-224
direcciones de
multidifusión de nodo
solicitado, 74-75
426 ataques de algo por algo
ataques de algo por algo, 291 spam, configuración, 242-243

290
Protocolo de árbol de expansión.
Ver STP (Spanning Tree
Protocol)
comando spanning-tree mode
rapid-pvst, 111
spear phishing, 290
comando de velocidad,
47, 52 diseño de lomo y
hoja, 387
arquitectura split-MAC, 157-158
ataques de spoofing (DHCP), 188, 290
programas espía, 289
SSH (Secure Shell)
negación, 303
permisos, 310
acceso remoto con, 222-223
SSID (service set identifier), 153
SSL (Secure Socket Layer), IPSec
contra, 340
ACLs IPv6 estándar, configuración,
310 ACLs IPv4 estándar con nombre
ACLs IPv4 numeradas estándar
ataques de hambre (DHCP), 188
stateful DHCPv6, 136
configuración, 139
autoconfiguración de direcciones sin
estado (SLAAC), 79-80, 134-135
DHCPv6 sin estado, 136
direcciones IP estáticas, pruebas de
conectividad, 140
NAT estático, 318
enrutamiento estático. Véase también
enrutamiento por defecto;
enrutamiento resumido
frente a, 197 IPv4
parámetro exit-interface, 244-245 VLSM, 62-64
parámetro de salto siguiente, 244 resumen de enrutamiento
IPv6 IPv4, configuración, 248-
configuración, 251 249 IPv6, configuración,
resumen operativo, 249-250 253
resumen operativo, 241 SVI (interfaces virtuales de
conmutación de conmutación), creación, 238-240
almacenamiento y interruptores
reenvío, 31 STP capa de acceso,
(Spanning Tree 14 beneficios
de, 37 elegir,
Protocol)
14
algoritmo, 100-101
dominios de colisión/transmisión, 31
benefic
configuración, 41
ios de,
auto-MDIX, 47-48
99-100
comandos de configuración básica, 45-47
configu
historial de comandos, 44
ración,
Sesiones EXEC, 42
108
medio dúplex, dúplex completo, velocidad del
identificación del puente (BID), 108-
110 puerto, 47
PortFast y BPDU Guard, 110-111
variedades, 102-103
verificar, 111
modos de
subconfiguración (Cisco
IOS), 45
direcciones de subred,
listado, 60-61
identificadores de
subred, subnetting,
78 máscaras de
subred
determinar el nuevo, 60
propósito de, 57-58
subredes,
denegació
n, 303
subnetting
ejemplos, 61-62
en el
direccionamie
nto IPv6, 77-
78 pasos en,
58-59
esquema de
direccionamiento,
listado, 60-61 bits a
tomar prestados,
determinar, 59-60
máscaras de subred,
determinar el nuevo,
60 multiplicador de
subred, determinar, 60
solución de problemas 427
instalaciones de ayuda, 42-43 QoS y, 349

comandos de navegación y edición, 43-
44
comandos show, 44-45
modos de subconfiguración, 45
conexión a, 41-42
capa central, 14-15
capa de distribución, 14
evolución a, 29
reenvío de tramas, 31-32
centros frente a, 13
Capa 2/Capa 3, 32
memoria intermedia, 32
endurecimiento del puerto, 178
simétrico/asimétrico, 32
desajustes de dúplex y velocidad, 52-
54 códigos de estado de la interfaz,
52
Indicadores de problemas de la capa 1, 54
problemas de los medios de
comunicación, 51-52
verificación de la configuración de los
puertos, 140
comando switchport port-
security aging, 183
comando switchport port-security
violation, 181
conmutación simétrica, 32
syslog
formato de los mensajes, 367
niveles de gravedad, 366
T
TACACS+ (Terminal Access Controller
Access Control System Plus), 178-179
la cola, 291
TCP (Protocolo de Control
de Transmisión), 3
ataques, 292
establecimiento/terminación de la
conexión, 9
recuperación de errores, 7-8
control de flujo, 8
encabezado, 6
números de puerto, 7
Modelo TCP/IP (Protocolo de as
Control de ACLs, 313-314
Transmisión/Protocolo de DHCP, 140
Internet), 1-2 capas DNS, 142-143
aplicación, 5 EtherChannel, 119
resumen de encapsulación, 12 HSRP, 126
Internet, 10 Direccionamiento IP, 224-225
lista de, 3 NAT, 323-324
acceso a la red, 10-12 OSPF, 281-283
transporte, 5-10
protocolos, lista de, 3-4
Telnet, 3
negación, 303, 304-305
comando terminal history,
44 comando terminal history
size 50, 44 comando terminal
no history, 44 comando
terminal no history size, 44
mitigación de amenazas, 285
ARP, 190-193
DHCP, 188-190
VLANs, 185-187
amenazas, 285
TKIP (Protocolo de
integridad de clave
temporal), 161
topologías, 24-25
WANs, 325
comando traceroute
con éxito, 221
sin éxito, 222
comando tracert, 50-51
tipos de tráfico, 84
Protocolo de Control de Transmisión.
Véase
TCP (Protocolo de Control
de Transmisión) entrada de
transporte comando ssh, 210
ataques a la capa de
transporte, 292
capa de transporte (OSI), 2
capa de transporte
(TCP/IP), 3, 5-10 Triple
DES (3DES), 338
Caballos
de
Troya,
288
solución
de
problem
428 solución de problemas
interruptores, 51-54 máscara de subred de longitud variable (VLSM),

desajustes de dúplex y velocidad, 52- 62-64
54 códigos de estado de la interfaz, verificando
52 ID de puente (BID), 108-110 CDP,
Indicadores de problemas de la capa 1, 54 354-356
problemas de los medios de
comunicación, 51-52
troncales, 96-98
VLANs, 94-95
trunking
DTP, 87-88
VLANs, 86-87
explotación de la confianza, 290
tunelización, 80-81
VPNs, 337-338
U
UDP (Protocolo de Datagramas de
Usuario), 4
ataques, 292
como sin conexión, 9-10
números de puerto, 7
ULAs (direcciones locales únicas), 72
subyacente, 390-391
direcciones unicast, 68-73
global, 68-70
IPv4 integrado, 72-73
enlace-local, 71
bucle de retorno, 71
local único, 72
sin especificar, 71
direcciones unicast no especificadas,
71 URI (identificadores uniformes
de recursos),
400–401
Protocolo de Datagramas de
Usuario. Véase UDP (Protocolo
de Datagramas de Usuario)
comando de contraseña de nombre de
usuario, 210 comando de secreto de
nombre de usuario, 175-176 cableado
UTP (par trenzado no apantallado),
36–37
V
DHCP snooping, 189-190 troncales, 86-87
EtherChanne tipos de, 84-85
l, 117-119 verificación, 88-92
configuració VLSM (máscara de subred de
n de la IP del longitud variable), 62-64
host VMs (máquinas virtuales), 380-381
en Linux, 146-148
en macOS, 145-146
en Windows, 143-145
HSRP, 122-123
ACLs IPv4, 307-308
ACLs IPv6, 311-313
LLDP, 358-360
conmutación multicapa, 238
NAT, 322-323
conectividad de la red, 220-223
NTP, 370-371
configuración del enrutador
con IPv4, 212-217 enrutador
en un palo, 235-238
OSPF de área única, 270-274
SNMP, 364-365
STP, 111
conectividad de los
conmutadores, 48-
51 configuración de
los puertos de los
conmutadores, 140
syslog, 367-369
troncales, 92-94
VLANs, 88-92
redes virtuales de área local.
Véase VLAN (redes
virtuales de área local)
máquinas virtuales (VMs),
380-381 infraestructura de red
virtual, 382-383 redes
privadas virtuales. Ver VPNs
(redes privadas virtuales)
Protocolo de Redundancia
de Enrutadores Virtuales
(VRRP), 120
virtualización, 379-381
virus, 288
VLAN (redes virtuales de área local).
Véase también enrutamiento inter-
VLAN
ataques
mitigación, 187
tipos de, 186
beneficios de, 83-84
configuración, 88-92, 185-186
desactivación, 96
tipos de tráfico, 84
zombis 429
VLAN de voz, 85 protocolos

VPN (redes privadas virtuales), 333 inalámbricos, 4
beneficios de, 333
componentes de, 336- estándares
337 inalámbricos
conexiones seguras, 337-340 Normas 802.11, 151-152
tipos de acceso, 333-336 canales, 150-151
VRRP (Protocolo de Redundancia Espectro RF, 149-150
de Enrutadores Virtuales), 120 topologías inalámbricas
vulnerabilidad, 285 Arquitecturas AP, 155-157
CAPWAP, 157-158
herramientas de explotación de
IBSS, 154
vulnerabilidades, 287 escáneres de modo de infraestructura, 152-154
vulnerabilidades, 287 malla, 154
conexiones WAN inalámbricas,
W 332 WLAN (LAN inalámbrica),
18-20
WAN (redes de área amplia)
configurando
conexiones, 23, 326-327 servidor RADIUS, 166
elegir, 332 interfaz virtual, 166-168
conmutación de circuitos, 328-329 WPA2 Enterprise, 168-171
dedicado, 327-328 seguridad, 158
Internet, 330-332 autentificación, 158-161
conmutación de paquetes, 329-330 codificación, 161-162
topologías, 325
WLC (controlador de LAN
tráfico en la web, permitiendo, 310-311 inalámbrica)
WEP (Wired Equivalent Privacy), 159 configuración con WLAN, 165
Acceso protegido por Wi-Fi (WPA), servidor RADIUS, 166
159, 160 interfaz virtual, 166-168
WPA2 Enterprise, 168-171
WiMAX, 332
inicio de sesión, 163-165
ventanas, 8
gusanos, 288
Windows, verificación de la
WPA (Acceso Protegido Wi-Fi), 159, 160
configuración de la IP del host,
143-145 WPA2, 160
puntos de acceso inalámbricos WPA2 Enterprise WLANs,
(AP), 18-20 herramientas de configuración, 168-171
WPA3, 160-161
hacking inalámbrico, 286
controlador de LAN inalámbrica.
Ver WLC Z
(controlador de LAN inalámbrica)
zombis, 291
LANs inalámbricas. Véase WLAN (redes
LAN inalámbricas)
medios de red inalámbricos, 20, 21
Oferta exclusiva - 40% de descuento
Cisco Press
Vídeo de formación
Utilice el código de cupón CPVIDEO40 durante la compra.
Instrucciones en vídeo de expertos en tecnología
Mejore sus habilidades Entrena en Aprenda

Empiece con cualquier lugar
Aprenda de las personas de
fundamentos, conviértase en un confianza
Entrene en cualquier
experto o consiga un entrenadores de autor
lugar, a su propio
certificado. publicados por Cisco Press.
ritmo, en cualquier
dispositivo.
Pruebe GRATIS nuestro popular vídeo de formación

ciscopress.com/video
Explore cientos de lecciones de vídeo GRATUITAS de nuestra creciente biblioteca de
Cursos completos de vídeo, LiveLessons, charlas de networking y talleres.

Lista de control del examen
Lista de control CCNA Días 31-21
🗸 Objetivo
Programe el examen CCNA 200-301 en http://www.vue.com.
Realice al menos un examen CCNA de práctica.
Cree un diagrama de los modelos en capas.
Describa los detalles del envío de un correo electrónico desde el origen hasta el destino. Utilice una
topología con varios routers y switches.
Describa el proceso CSMA/CD a alguien que no sepa nada de redes.
Diseñe un conjunto de requisitos para configurar una red conmutada básica, incluyendo SSH para el acceso
remoto. Implemente su diseño y verifique las configuraciones.
Muéstrale a alguien la dirección MAC de su Smartphone u otro dispositivo conectado. Explica

el propósito de la dirección MAC y el significado de cada parte.
Describir la estructura y el funcionamiento de IPv4. Enumerar y describir los usos de los distintos tipos de
direcciones IPv4.
Desarrollar varios esquemas de direccionamiento VLSM con varios requisitos de host e implementarlos en
un laboratorio o simulador.
Describir la estructura y el funcionamiento de IPv6. Enumerar y describir los usos de los distintos tipos de
direcciones IPv6.
Diseñe un conjunto de requisitos para configurar una red de dos conmutadores con VLAN y trunking.
Enumere y describa los usos de los distintos tipos de VLAN.
Describa cómo funciona el trunking y el impacto del Protocolo de Trunking Dinámico.
Diseñe un conjunto de requisitos para configurar una red de tres conmutadores con trunking y VLAN.
Implemente su diseño y verifique las configuraciones.
Describir el proceso de convergencia del STP.
Compara las variedades de STP.
Explique la diferencia entre PVST+ y Rapid PVST+.
Describir las ventajas de EtherChannel. Comparar los dos protocolos EtherChannel.
Diseñe un conjunto de requisitos para implementar una topología de dos conmutadores con EtherChannel.
Revise los problemas de implementación cambiando los parámetros de configuración.
Describa cómo el HSPR proporciona redundancia de puerta de enlace por defecto.
Explica a un amigo cómo funcionan las redes inalámbricas.
Practicar la configuración de un router inalámbrico. Utilice un simulador como Packet Tracer para practicar la
configuración de un WLC.
Lee y repasa los días 31 a 21 de este libro.

🗸 Objetivo
Realice al menos dos exámenes CCNA de práctica.
Describir los distintos métodos que puede utilizar un router para conocer y compartir el conocimiento de las
redes remotas.
Diseñe un conjunto de requisitos para configurar una red de tres routers con direccionamiento IPv4 e IPv6,
utilizando sólo rutas estáticas y por defecto. Implemente su diseño y verifique las configuraciones.
Describe cómo un router utiliza la tabla de enrutamiento para determinar la mejor ruta hacia el destino.
Diseñe y configure una topología de un router y dos conmutadores para el enrutamiento inter-VLAN del router
en un palo.
Describir los tipos de paquetes OSPF y cómo se utilizan para alcanzar el estado completo de
convergencia OSPF.
Describir las formas de modificar OSPFv2, incluyendo la redistribución de una ruta por defecto, la
modificación de los temporizadores y el control de la elección DR/BDR.
Lee y repasa los días 20-14 de este libro.

Lista de comprobación CCNA Días 13-7
🗸 Objetivo
Realice un examen de práctica CCNA adicional.
Diseñe un conjunto de requisitos para configurar una red de tres routers con direccionamiento IPv4 y
OSPFv2. Implemente su diseño y verifique las configuraciones.
Diseñe un conjunto de requisitos para configurar una red de dos routers y dos switches con
direccionamiento IPv4 y enrutamiento entre VLAN. Incluya el enrutamiento por defecto y OSPFv2.
Describir las amenazas básicas a la seguridad y los métodos utilizados para mitigarlas.
Describa cómo funcionan las listas de control de acceso y los distintos tipos utilizados por el software
Cisco IOS.
Busca en Internet varios escenarios para practicar el diseño y la implementación de las ACL. La mayoría
de los recursos de estudio tienen excelentes ejemplos.
Diseñe un conjunto de requisitos para implementar una red enrutada que incluya la seguridad básica de los
dispositivos, el direccionamiento IPv4 e IPv6, las VLAN, el DHCP, el NAT, las ACL y el enrutamiento.
Diseñar un conjunto de requisitos para implementar el servicio DHCP en un router. Realice un diseño de doble
pila para incluir IPv4 e IPv6. Implementar su diseño y verificar las configuraciones.
Diseñar un conjunto de requisitos para implementar NAT en un router. Incluya consideraciones estáticas,
dinámicas y PAT. Implemente su diseño y verifique las configuraciones.
Definir la terminología común de la WAN.
Compara varias opciones de conexión WAN.
Describa las características del GRE.
Lee y repasa los días 13-7 de este libro.

🗸 Objetivo
Describe a un amigo cómo la QoS prioriza los datos de streaming de Netflix sobre los de navegación web.
Compare y contraste las implementaciones de CDP y LLDP.
Describa el sistema de archivos de Cisco IOS y el proceso de copia de seguridad y restauración de

archivos.
Explicar los fundamentos del funcionamiento de SNMP, NTP y syslog.
Diseñar un conjunto de requisitos para implementar SNMP, NTP y syslog en una topología de dos routers y
un servidor.
Describe a un amigo el concepto de computación en la nube. Incluya una discusión sobre la virtualización.
Describa las redes definidas por software.
Describir la estructura de la infraestructura de red y la diferencia entre overlay y underlay.
Describa cómo Cisco DNA Center ayuda a los administradores de red a automatizar las tareas de
configuración y supervisión de la red.
Describe a un amigo cómo se utilizan los formatos de datos para almacenar e intercambiar información
entre sistemas.
Describir el formato de datos JSON, incluyendo cómo se utilizan los corchetes, las llaves y las comas para
distinguir los pares clave/valor, las matrices y los objetos.
Describa la estructura de una solicitud de API RESTful correctamente formateada.
Compare las herramientas de gestión de la configuración Ansible, Puppet y Chef.
Lea y revise los Días 6-1 de este libro.
Visite el centro de pruebas y hable con el supervisor al menos 2 días antes del examen.
Coma una comida decente, vea una buena película y descanse bien antes del examen.
REGISTRO DE SU PRODUCTO en CiscoPress.com/register
Acceda a beneficios adicionales y AHORRE un 35% en su
próxima compra
• Descargue las actualizaciones disponibles del producto.
• Acceda al material extra cuando sea aplicable.
• Reciba ofertas exclusivas sobre nuevas ediciones y productos
relacionados. (Solo tienes que marcar la casilla para recibir noticias
nuestras al configurar tu cuenta).
• Consigue un cupón del 35% para tu próxima compra, válido durante 30 días.
Tu código estará disponible en tu carrito de Cisco Press. (También
lo encontrarás en la sección Gestionar códigos de la página de tu
cuenta).
Las ventajas del registro varían según el producto. Los beneficios aparecerán en
la página de su cuenta bajo Productos Registrados.
CiscoPress.com - Soluciones de aprendizaje para el estudio autodidacta, la empresa y el

aula Cisco Press es el editor de libros autorizado por Cisco Systems de tecnología de redes
de Cisco, autoestudio de certificación de Cisco y materiales del programa Cisco Networking
Academy.
En CiscoPress.com puede
• Compre nuestros libros, libros electrónicos, software y vídeos de formación.
• Aproveche nuestras ofertas y promociones especiales (ciscopress.com/promociones).
• Inscríbase para recibir ofertas especiales y boletines de contenidos
(ciscopress.com/newsletters).
• Lea gratuitamente artículos, perfiles de exámenes y blogs de expertos en tecnologías de la
información.
• Acceda a miles de capítulos y lecciones de vídeo gratuitas.
Conéctate con Cisco Press - Visita CiscoPress.com/community
Conozca los eventos y programas de la comunidad de Cisco Press.

31 Days Before Your CCNA 200-301 Exam (Bigseekers - Com) ES

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

31 Days Before Your CCNA 200-301 Exam (Bigseekers - Com) ES

Cargado por

Copyright:

Formatos disponibles

De la Biblioteca de javad mokhtari

De la Biblioteca de javad mokhtari

De la Biblioteca de javad mokhtari

De la Biblioteca de javad mokhtari

Guía de repaso día a día para el

Cisco Press- 221 River Street - Hoboken, NJ 07030 USA

31 días antes de su examen CCNA

Advertencia y descargo de responsabilidad

Sede de las Américas

Acerca del revisor técnico

Figura 23-11 Captura de pantalla reimpresa con permiso de Apple

Día 31: Modelos, dispositivos y componentes de red1

Día 30: Conmutación Ethernet29

Día 29: Fundamentos de la configuración de los conmutadores41

Día 28: Direccionamiento IPv455

Día 27: Direccionamiento IPv665

Día 26: Conceptos y configuraciones de VLAN y Trunking83

Día 25: STP99

Día 24: EtherChannel y HSRP113

Día 23: DHCP y DNS127

Día 22: Conceptos inalámbricos149

Día 21: Configuración de la WLAN163

Día 20: Seguridad de la LAN y endurecimiento de los dispositivos173

Día 19: Conceptos básicos de enrutamiento195

Día 18: Configuración básica del router209

Día 17: La tabla de rutas227

Día 16: Enrutamiento entre VLANs233

Día 15: Configuración de rutas estáticas y por defecto241

Día 14: Funcionamiento de OSPF255

Día 13: Implementación de OSPF de área única265

Día 12: Ajuste fino y solución de problemas de OSPF275

Día 11: Conceptos de seguridad en la red285

Día 10: Conceptos de ACL295

Día 9: Implementación de ACL301

Día 7: WAN, VPN e IPsec325

Día 5: CDP y LLDP351

Día 4: Supervisión, gestión y mantenimiento de los

Día 3: Nube, virtualización y SDN379

Día 2: SDA y Cisco DNA Center389

Día 1: Automatización de la red397

Día del examen407

Información posterior al examen409

Día 31: Modelos, dispositivos y componentes de red 1

encapsulación4 Lacapa deaplicaciónTCP/IP5

La capa de Internet TCP/IP 10

Directrices deconexión dedispositivosLAN22

Pequeña oficina/oficina en casa

Día 30: Conmutación Ethernet 29

Visión general de Ethernet 32

Día 29: Fundamentos de la configuración de los conmutadores 41

Navegación en la CLIyaccesos directosde

Verificación dela conectividad dela red48

1eninterfaces"ascendentes" 53 Recursos deestudio54

Día 28: Direccionamiento IPv4 55

Representación de la dirección IPv6 76

Día 26: Conceptos y configuraciones de VLAN y Trunking 83

Solución de problemas de Trunking 96

Trunking98 Recursos deestudio98

Día 25: STP 99

Funcionamiento rápido de PVST+ 105

Configuración y verificación de variedades de

Recursos de estudio 112

Día 24: EtherChannel y HSRP 113