Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Calendario de la cuenta
atrás de CCNA
Las líneas que siguen al número de la cuenta atrás le permiten añadir los días reales del
calendario como referencia.
31 30 29 28
Red Ethernet Cambia IPv4
Modelos, dispositivos, Conmutación Configuración Dirigiéndose a
y componentes Básico
24 23 22 21
EtherChannel DHCP y Concept WLAN
y HSRP DNS os Configuración
inalámbr
icos
17 16 15 14
La tabla de Enrutamie Ruta estática y OSPF
enrutamien nto entre por defecto Operación
to VLANs
Configuración
10 9 8 7
Conceptos de ACL ACL NAT WAN, VPN y
Aplicación IPsec
3 2 1 EXAME
N
Nube, SDA y Cisco Automatización Tiempo
De la Biblioteca de javad mokhtari
virtualización, DNA Center de la red
y SDN
Ubicación
20 19 18
Seguridad LAN Enrutamiento básico Router básico
y el dispositivo Conceptos Configuración
Endurecimient
o
13 12 11
Área única Ajuste fino y Red
OSPF Solución de Concept
Aplicación problemas de os de
OSPF segurida
d
6 5 4
QoS CDP y LLDP Monitoriz
ación de
dispositivos
,
La gestión,
y mantenimiento
DÍA
20 19 18
Seguridad LAN Enrutamiento básico Router básico
y el dispositivo Conceptos Configuración
Endurecimient
o
13 12 11
Área única Ajuste fino y Red
OSPF Solución de Concept
Aplicación problemas de os de
OSPF segurida
d
6 5 4
QoS CDP y LLDP Monitoriz
ación de
dispositivos
,
La gestión,
y mantenimiento
DÍA
Allan Johnson
Reconocimiento de marcas
Todos los términos mencionados en este libro que se conocen como marcas comerciales o de servicio han
sido debidamente capitalizados. Cisco Press o Cisco Systems, Inc. no pueden dar fe de la exactitud de esta
información. El uso de un término en este libro no debe considerarse que afecte a la validez de ninguna
marca comercial o de servicio.
iii
Microsoft® Windows® y Microsoft Office® son marcas registradas de Microsoft Corporation en EE.UU.
y otros países.
Ventas especiales
Para obtener información sobre la compra de este título en grandes cantidades, o para oportunidades de
ventas especiales (que pueden incluir versiones electrónicas; diseños de cubierta personalizados; y
contenidos particulares para su negocio, objetivos de formación, enfoque de marketing o intereses de
marca), póngase en contacto con nuestro departamento de ventas corporativas en
corpsales@pearsoned.com o (800) 382-3419.
Para consultas sobre ventas al gobierno, póngase en contacto con
governmentsales@pearsoned.com. Para preguntas sobre ventas fuera de Estados
Unidos, póngase en contacto con intlcs@pearson.com.
Información de retorno
En Cisco Press, nuestro objetivo es crear libros técnicos en profundidad de la más alta calidad y valor.
Cada libro se elabora con cuidado y precisión, sometiéndose a un riguroso desarrollo en el que
intervienen los conocimientos únicos de los miembros de la comunidad técnica profesional.
Los comentarios de los lectores son una continuación natural de este proceso. Si tiene algún comentario
sobre cómo podemos mejorar la calidad de este libro o modificarlo para que se adapte mejor a sus
necesidades, puede ponerse en contacto con nosotros a través del correo electrónico
feedback@ciscopress.com. Por favor, asegúrese de incluir el título del libro y el ISBN en su mensaje.
Apreciamos mucho su ayuda.
Redactor jefeMark Taub
Jefe de línea de producciónBrett Bartow
Director de Alianzas, Cisco PressArezou Gol
Editor principalJames Manly
Redactora jefeSandra Schroeder
Editor de desarrolloChris Cleveland
Editor del proyectoMandie Frank
EditoraKitty Wilson
Editor técnicoSteve Stiles
Asistente de redacciónCindy Teeters
DiseñadorChuti Prasertsith
ComposicióncódigoMantra
IndexadorCheryl Ann Lenser
CorrectorCharlotte Kughen
Cisco tiene más de 200 oficinas en todo el mundo. Las direcciones, los números de teléfono y los números de fax se encuentran en el sitio web de Cisco en
www.cisco.com/go/offices.
Cisco y el logotipo de Cisco son marcas comerciales o marcas registradas de Cisco y/o sus filiales en Estados Unidos y otros países. Para ver una lista de las
marcas comerciales de Cisco, vaya a esta URL: www.cisco.com/go/trademarks. Las marcas comerciales de terceros mencionadas son propiedad de sus
respectivos dueños. El uso de la palabra socio no
no implica una relación de asociación entre Cisco y cualquier otra empresa. (1110R)
iv 31 días antes de su examen CCNA
Sobre el autor
Allan Johnson entró en el mundo académico en 1999, después de 10 años como empresario/operador
para dedicar sus esfuerzos a su pasión por la enseñanza. Tiene un MBA y un MEd en formación y
desarrollo laboral. Ha impartido diversos cursos de tecnología a estudiantes de secundaria y es instructor
adjunto en el Del Mar College de Corpus Christi, Texas. Desde 2006, Allan ha trabajado a tiempo
completo para Cisco Networking Academy en varias funciones. En la actualidad, se dedica a dirigir el
plan de estudios.
Dedicatorias
Para mi esposa, Becky. Gracias por todo tu apoyo durante este loco torbellino de año. Eres la
fuerza estabilizadora que me mantiene con los pies en la tierra.
vi 31 días antes de su examen CCNA
Agradecimientos
Como autor técnico, confío mucho en mi editor técnico; Steve Stiles me cubrió las espaldas para este
trabajo. Afortunadamente, cuando James Manly se puso en contacto con él, estaba dispuesto y era capaz
de realizar el arduo trabajo de revisión necesario para asegurarse de que se obtiene un libro
técnicamente preciso y sin ambigüedades.
La Guía Oficial del CCNA 200-301 de Wendell Odom, Volumen 1 y Volumen 2, fueron dos de
mis principales fuentes. Estos dos libros tienen la amplitud y la profundidad necesarias para dominar
los temas del examen CCNA.
Los autores de la Academia de Redes de Cisco para el plan de estudios en línea y la serie de
Guías de acompañamiento llevan al lector a profundizar, más allá de los temas del examen CCNA,
con el objetivo final de preparar al estudiante no sólo para la certificación CCNA, sino para la
tecnología de nivel universitario más avanzado
cursos y títulos también. Gracias especialmente a Rick Graziani, Bob Vachon, John Pickard, Dave
Holzinger, Jane Gibbons, Martin Benson, Suk-Yi Pennock, Allan Reid, Jane Brooke, Anna Bolen,
Telethia Willis y el resto del equipo de ACE. Su excelente tratamiento del material se refleja en todo el
libro.
James Manly, redactor jefe, ha asumido con eficacia el manto de hacer malabarismos con múltiples
proyectos simultáneamente, dirigiendo cada uno de ellos de principio a fin. Este es mi tercer proyecto
con James, y está llenando competentemente unos zapatos muy grandes. Gracias, James, por guiar este
proyecto por mí.
Gracias a la revisión profesional y minuciosa de este trabajo por parte del editor de desarrollo
Christopher Cleveland, la editora de proyectos Mandie Frank y la editora de textos Kitty Wilson. He
trabajado con los estelares Chris y Mandie en muchos proyectos anteriores. Sus esfuerzos combinados
garantizan que lo que escribí esté listo para su publicación. Es la primera vez que trabajo con Kitty. Su
atención a la claridad de lo que se lee contribuye en gran medida a que esta sea la mejor edición
hasta la fecha.
Y al resto de la familia Pearson, que contribuye de innumerables maneras a llevar un libro al
lector, gracias por todo su trabajo.
vii
Créditos
Figura 23-10 Captura de pantalla de Windows 10 © Microsft 2019
Un vistazo al contenido
Introducciónxxviii
Día 8: NAT315
Día 6: QoS343
Índice411
x 31 días antes de su examen CCNA
Contenido
Introducción xxviii
Capa física 20
Formasynormas de medios dered20
Topologíasfísicasylógicas24 Diseños
de campus jerárquicos25 Recursos
deestudio27
delaEthernetheredada35
TecnologíasEthernetactuales35
Cableado UTP 36
Ventajas del uso de
conmutadores37
DireccionamientoEthernet37
Encuadre Ethernet 38
Elpapelde la capa física 39 Recursos
deestudio40
Comandosbásicosde configuracióndel
conmutador45 Dúplexmedio,dúplex
completoyvelocidad de los puertos47
Cruceautomáticointerfacesdependientes del medio(auto-MDIX)47
Direccionamiento IP privado y
público 58
Subredesencuatropasos58
Determinarcuántosbitstomar
prestados59 Determinar la nueva
máscara de subred60
Determinarelmultiplicador de subred60
Listadesubredes,rangos dehostsydirecciones dedifusión60 Ejemplo
desubred161
Ejemplo de subred 2 61
Ejemplo de subred 3 62
VLSM 62
Recursos de estudio 64
Día 27: Direccionamiento IPv6 65
Temas del examen CCNA 200-301 65
Temas clave 65
Visión general y ventajas de IPv6 65
Índice xiii
El protocolo IPv6 66
Tipos dedireccionesIPv667
Unicast 68
Dirección Global Unicast68
DirecciónLink-Local71
Dirección de Loopback 71
Dirección no especificada71
Dirección local única72
DirecciónIPv4incrustada72
Multidifusión 73
Multidifusión asignada 73
Multidifusión de nodos solicitados 74
Anycast 75
Subredes IPv6 77
Subredes enID de subred78
SubredesenelID deinterfaz78
EUI-64 Concepto 78
Autoconfiguración dedireccionessin estado79
MigraciónaIPv680
Recursos de estudio 81
Trunking VLANs 86
Protocolo de Trunking Dinámico87
ConfiguraciónyVerificación de VLANs88
Configuración y Verificación de Trunking 92
Solución de problemas de la VLAN 94
VLANs deshabilitadas 96
xiv 31 días antes de su examen CCNA
Resolución de problemas de
EtherChannel119 Conceptos de
redundancia deprimer nivel119
FHRP120
Funcionamiento del HSRP 121
Versiones de HSRP 121
Prioridady preferencia deHSRP122
Configuración y verificación de HSRP
Equilibrio decarga deHSRP123
Solución de problemas de HSRP 126
Recursos de estudio 126
DHCPv6 134
SLAAC 134
DHCPv6 sin estado 136
DHCPv6 con estado 136
Funcionamiento de DHCPv6 sin estado y con estado 136
Configuración de la IP del
hostenmacOS145 Configuración
dela IPdel hostenLinux146
Arquitecturas AP 155
Arquitectura de AP autónomos155
Arquitectura de AP basados en la
nube155 Arquitecturas de AP
ligeros156 Funcionamiento
deCAPWAP157
deencriptacióninalámbrica161 Recursos
deestudio162
Recursos deestudio193
Métricas de enrutamiento
dinámico200 Distancia
administrativa201
Resumencomparativo
deIGP203 Prevención debucles
deenrutamiento203
Características del protocolo de
enrutamiento de estado de
enlace204 Construcción de
laLSDB204
Cálculo del algoritmo de Dijkstra205
Convergencia con protocolos de estado de
enlace206
Configuraciónbásicadel routerconIPv6217
Sintaxis decomandos217
Ejemplo de configuración 218
Recursos deestudio225
Componentes de la tabla de
enrutamiento228 Principios de la
tabla de enrutamiento231
Estructura delas entradas
deruta232
Funcionamiento de OSPF
multiárea 262 Diseño
deOSPFmultiárea262
OSPF multiárea mejorael rendimiento264
Recursos deestudio264
detransporte292 Programa
deseguridad293
Recursos de estudio 293
Recursos deestudio300
Verificación deACLsIPv4307
Comparación de ACLs IPv4 e IPv6 308
Configuración de ACLs IPv6 309
Paso 1: Nombrar la ACL IPv6 309
Paso 2: Crear la ACL IPv6 309
Paso3:AplicarlaACLIPv6310
ACL IPv6 estándarPermitir el accesoremotoSSH310
ACLIPv6extendida:Permitirsólo el tráficoweb310
Configuración deSNMP364
Verificación de SNMP 364
Syslog 365
Operación Syslog 366
Configuraciónyverificación de
Recursos deestudio388
Recursos deestudio395
Información posterior al
examen409 Cómo recibir el
certificado409 Cómo determinar las
opciones profesionales409 Cómo
examinarlas opciones decertificación
410 Si no ha aprobado el examen
410Resumen
Índice 411
xxvii
Servicio de Lectura
Registre su copia en www.ciscopress.com/title/9780135964088 para acceder cómodamente a las
descargas, actualizaciones y correcciones a medida que estén disponibles. Para iniciar el proceso de
registro, vaya a www.ciscopress.com/register e inicie sesión o cree una cuenta. (Asegúrese de marcar la
casilla que indica que desea recibir noticias nuestras para recibir descuentos exclusivos en futuras
ediciones de este producto). Introduzca el ISBN del producto 9780135964088 y haga clic en
Enviar. Una vez finalizado el proceso, encontrará los contenidos adicionales disponibles en
Productos registrados.
xxviii 31 días antes de su examen CCNA
Introducción
Si estás leyendo esta introducción, probablemente ya hayas invertido una cantidad considerable de
tiempo y energía en la búsqueda de tu certificación CCNA 200-301. Independientemente de cómo
haya llegado a este punto en su viaje a través de sus estudios de CCNA, lo más probable es que 31 días
antes de su examen de CCNA represente la última etapa de su viaje en su camino hacia el destino:
convertirse en un Cisco Certified Network Associate. Sin embargo, si eres como yo, puede que estés
leyendo este libro al principio de tus estudios. Si es así, este libro proporciona una excelente visión
general del material que ahora debes dedicar mucho tiempo a estudiar y practicar. Pero debo
advertirle: A no ser que estés muy versado en tecnologías de red y tengas una experiencia
considerable en la configuración y resolución de problemas de routers y switches Cisco, este libro no
te servirá como único recurso para la preparación de tu examen. Por lo tanto, permítame dedicar algún
tiempo a discutir mis recomendaciones para los recursos de estudio.
Recursos de estudio
Cisco Press y Pearson IT Certification ofrecen una gran cantidad de libros relacionados con
CCNA que le servirán como fuente principal para aprender a instalar, configurar, operar y
solucionar problemas de redes pequeñas y medianas enrutadas y conmutadas.
Recursos primarios
El primero en la lista de recursos importantes es el CCNA 200-301 Official Cert Guide Library de
Wendell Odom (ISBN: 9781587147142). Si no compra ningún otro libro, compre éste. El método de
enseñanza de Wendell, combinado con su experiencia técnica y su estilo realista, es insuperable en
nuestra industria. Cuando lees sus libros, sientes que está sentado a tu lado, guiándote a través del
material. Con su compra, usted obtiene acceso a exámenes de práctica y materiales de estudio y otros
recursos en línea que valen el precio del libro. No hay mejor recurso en el mercado para un candidato
a CCNA.
Si eres un estudiante de la Academia de Redes de Cisco, tienes acceso a la versión en línea del plan de
estudios de la versión 7 de CCNA y al popularísimo simulador de red Packet Tracer. El plan de
estudios de la Academia de Redes de Cisco tiene tres cursos. Para obtener más información sobre los
cursos CCNAv7 y encontrar una Academia cerca de ti, visita http://www.netacad.com.
Sin embargo, si no eres un estudiante de la Academia pero quieres beneficiarte de la extensa autoría
realizada para estos cursos, puedes comprar cualquiera o todas las Guías de Acompañamiento (CGs) de
CCNAv7 y las Guías de Laboratorio y E s t u d i o (LSGs) del popular plan de estudios online de la
Academia. Aunque no tendrás acceso a los archivos del Packet Tracer, tendrás acceso al incansable
trabajo de un destacado equipo de instructores de la Academia Cisco dedicados a proporcionar a los
estudiantes un material de curso de preparación para el CCNA completo y atractivo. Los títulos e
ISBN de los CGs y LSGs de CCNAv7 son los siguientes:
■
Introduction to Networks v7 Companion Guide (ISBN: 9780136633662)
■
Introduction to Networks v7 Labs & Study Guide (ISBN: 9780136634454)
■
Switching, Routing, and Wireless Essentials v7 Companion Guide (ISBN: 9780136729358)
■
Switching, Routing, and Wireless Essentials v7 Labs & Study Guide (ISBN: 9780136634386)
Introducción xxix
■
Guía complementaria de Enterprise Networking, Security, and Automation v7 (ISBN: 9780136634324)
■
Enterprise Networking, Security, and Automation v7 Labs & Study Guide (ISBN: 9780136634690)
Recursos complementarios
Además del libro que tienes en tus manos, te recomiendo tres recursos complementarios para
aumentar tus últimos 31 días de repaso y preparación.
La primera es la popular Guía de comandos portátil CCNA 200-301 de Scott Empson (ISBN:
9780135937822). Esta guía es mucho más que una simple lista de comandos y lo que hacen. Sí, resume
todos los comandos del IOS de nivel de certificación CCNA, las palabras clave, los argumentos de los
comandos y los avisos asociados.
También le ofrece consejos y ejemplos de cómo aplicar los comandos a escenarios del mundo real.
Los ejemplos de configuración a lo largo del libro le permiten comprender mejor cómo se utilizan
estos comandos en diseños de red sencillos.
En segundo lugar, el curso completo de vídeo y examen práctico CCNA 200-301 de Kevin Wallace (ISBN:
9780136582755) es un curso de formación completo que da vida a los temas del examen CCNA de
Cisco mediante el uso de
El curso incluye demostraciones del mundo real, animaciones, instrucciones en vivo y configuraciones,
lo que hace que el aprendizaje de estos temas fundamentales de redes sea fácil y divertido. El estilo de
Kevin y su amor por la tecnología son contagiosos.
En tercer lugar, IP Subnetting LiveLessons de Wendell Odom (ISBN: 9780135497777) y IP
Subnetting Practice Questions Kit (ISBN: 9780135647288) le ayudarán a dominar esta habilidad
crucial. La creación de subredes no es sólo una habilidad de diseño de direcciones IPv4, sino que
también es una habilidad crucial para la resolución de situaciones en las que el direccionamiento
IPv4 ha sido mal configurado.Es probable que tenga ambos tipos de preguntas en el examen
CCNA.
Objetivos y métodos
El objetivo principal de este libro es proporcionarle un repaso claro y sucinto de los objetivos del
CCNA. Los temas del examen de cada día se agrupan en un marco conceptual común y utilizan el
siguiente formato:
■
Un título para el día que exponga de forma concisa el tema general
■
Una lista de uno o más temas del examen CCNA 200-301 que deben revisarse
■
Una sección de "Temas clave" que introduce el material de repaso y le orienta rápidamente
sobre el tema del día
■
Una amplia sección de revisión que consiste en párrafos cortos, listas, tablas, ejemplos y gráficos
■
Una sección de "Recursos de estudio" que le permitirá encontrar rápidamente un
tratamiento más profundo de los temas del día
El libro realiza una cuenta atrás a partir del día 31 y continúa hasta el día del examen para
proporcionar información posterior al mismo. En el interior de este libro también hay un calendario y
una lista de comprobación que puedes arrancar y utilizar durante la preparación del examen.
Utilice el calendario para introducir cada fecha real junto al día de la cuenta atrás y el día, la hora y el
lugar exactos de su examen CCNA. El calendario proporciona una visión del tiempo que puede dedicar a
cada tema del examen CCNA.
La lista de control destaca las tareas y los plazos importantes que preceden a su examen. Utilízala para
ayudarte a planificar tus estudios.
Paso 3. Busque en los resultados superiores para encontrar la página con los vídeos que le
guían por cada tipo de pregunta de examen.
Introducción xxxi
El formato de opción múltiple simplemente requiere que señale y haga clic en un círculo o en una
casilla de verificación junto a la(s) respuesta(s) correcta(s). Tradicionalmente, Cisco le indica el
número de respuestas que debe elegir, y el software de evaluación evita que elija demasiadas o muy
pocas.
Las preguntas para rellenar los espacios en blanco suelen requerir que se escriban sólo números. Sin
embargo, si se solicitan palabras, las mayúsculas y minúsculas no importan, a menos que la
respuesta sea un comando que distinga entre mayúsculas y minúsculas (como las contraseñas y los
nombres de dispositivos, al configurar la autenticación).
Las preguntas de arrastrar y soltar requieren que hagas clic y mantengas pulsado, muevas un
botón o un icono a otra zona y sueltes el botón del ratón para colocar el objeto en otro lugar,
normalmente en una lista. Para algunos
preguntas, para acertar la pregunta, es posible que tengas que poner una lista de cinco cosas en el orden
adecuado.
Un testlet contiene un escenario general y varias preguntas de opción múltiple sobre el escenario.
Los testlets son ideales si confías en tu conocimiento del contenido del escenario porque puedes
aprovechar tu fuerza en múltiples preguntas.
Un simlet es similar a un testlet, en el sentido de que se le da un escenario con varias preguntas de
opción múltiple. Sin embargo, un simlet utiliza un simulador de red para permitirle acceder a una
simulación de la línea de comandos del software Cisco IOS.Puede utilizar los comandos show para
examinar el comportamiento actual de una red y responder a la pregunta.
En una simulación también se utiliza un simulador de red, pero se le asigna una tarea, como la
implementación de una solución de red o la resolución de problemas de una implementación de red
existente, para lo cual debe configurar uno o más enrutadores y conmutadores. El examen califica la
pregunta en función de la configuración que hayas cambiado o añadido. Una forma más reciente de la
pregunta de simulación es la simulación basada en GUI, que simula una interfaz gráfica como la que se
encuentra en un router Linksys o en el Cisco Security Device Manager.
xxxii 31 días antes de su examen CCNA
Aunque Cisco describe los temas generales del examen, no todos los temas pueden aparecer en el
examen CCNA; asimismo, los temas que no se enumeran específicamente pueden aparecer en el
examen. Los temas de examen que Cisco proporciona y que este libro cubre proporcionan un marco
general para la preparación del examen. Asegúrese de consultar el sitio web de Cisco para conocer los
temas de examen más recientes.
Puntos clave
Los modelos de red de Interconexión de Sistemas Abiertos (OSI) y del Protocolo de Control de
Transmisión/Protocolo de Internet (TCP/IP) son marcos conceptuales importantes para entender
las redes. Hoy repasaremos las capas y funciones de cada modelo, junto con el proceso de flujo de datos
desde el origen hasta el destino. También dedicaremos algún tiempo al Protocolo de Control de
Transmisión (TCP) y al Protocolo de Datagramas de Usuario (UDP). A continuación, concluiremos el
día con un vistazo a los dispositivos utilizados en las redes actuales, los medios utilizados para
interconectar esos dispositivos y los diferentes tipos de topologías de red.
NOTA: Este día puede parecer un poco largo. Sin embargo, debes estar muy
familiarizado con todo este contenido. Analice el día, centrándose en las áreas en las
que se sienta menos seguro de sus conocimientos.
7Aplicación
6Presentación
Aplicación
5 Sesión
Transporte
4 Transporte
Internet
3 Red
2 Enlace de datos
Acceso a la red
1 Físico
El uso de dos modelos puede ser confuso; sin embargo, estas sencillas pautas pueden ayudar:
■
Cuando se habla de las capas de un modelo, se suele hacer referencia al modelo OSI.
■
Cuando se habla de protocolos, se suele hacer referencia al modelo TCP/IP.
Las siguientes secciones repasan rápidamente las capas OSI y los protocolos TCP/IP.
Capas OSI
La Tabla 31-1 resume las capas del modelo OSI y proporciona una breve descripción funcional.
La siguiente frase mnemotécnica, en la que la primera letra representa la capa (la A significa
), puede ayudar a memorizar el nombre y el orden de las capas de arriba a abajo:
Todas las personas parecen necesitar el procesamiento de datos
En los próximos días, revisaremos estos protocolos con más detalle. De momento, a continuación se
describen brevemente los principales protocolos TCP/IP:
■
Sistema de nombres de dominio (DNS): Proporciona la dirección IP de un sitio web o
nombre de dominio para que un host pueda conectarse a él
■
Telnet: Permite a los administradores iniciar sesión en un host desde una ubicación remota
■
Protocolo Simple de Transferencia de Correo (SMTP), Protocolo de Oficina Postal
(POP3) y Protocolo de Acceso a Mensajes de Internet (IMAP): Facilitan el envío de
mensajes de correo electrónico entre clientes y servidores
■
Protocolo de configuración dinámica de host (DHCP): Asigna direcciones IP a los
clientes que lo solicitan
■
Protocolo de transferencia de hipertexto (HTTP): Transfiere información entre clientes web
y servidores web
■
Protocolo de transferencia de archivos (FTP): Facilita la descarga y carga de archivos
entre un cliente FTP y un servidor FTP
■
Protocolo simple de gestión de redes (SNMP): Permite a los sistemas de gestión de red
supervisar los dispositivos conectados a la red
■
Protocolo de Control de Transmisión (TCP): Soporta conexiones virtuales entre hosts en la
red para proporcionar una entrega fiable de datos
4 31 días antes de su examen CCNA
■
Protocolo de Datagramas de Usuario (UDP): Admite una entrega más rápida y poco
fiable de datos ligeros o sensibles al tiempo
■
Protocolo de Internet (IP): Proporciona una dirección global única a los ordenadores para
comunicarse a través de la red
■
Protocolo de resolución de direcciones (ARP): Encuentra la dirección de hardware de
un host cuando sólo se conoce la dirección IP
■
Protocolo de mensajes de control de Internet (ICMP): Envía mensajes de error y control,
incluyendo la posibilidad de llegar a otro host y la disponibilidad de los servicios
■
Ethernet: Sirve como el estándar LAN más popular para enmarcar y preparar los datos
para su transmisión en los medios de comunicación
■
Inalámbrico: Incluye tanto los estándares IEEE 802.11 para redes de área local inalámbricas
(WLAN) como las opciones de acceso celular.
Los siguientes pasos resumen el proceso de comunicación desde cualquier origen a cualquier destino:
Paso 2. A medida que los datos descienden por la pila de protocolos en el dispositivo de
origen, se segmentan y encapsulan.
Paso 3. Los datos se generan en el soporte en la capa de acceso a la red de la pila.
Paso 4. Los datos se transportan a través de la red interna, que está formada por los medios de
comunicación y cualquier dispositivo intermedio.
Paso 5. El dispositivo de destino recibe los datos en la capa de acceso a la red.
Día 31 5
Paso 6. A medida que los datos suben por la pila en el dispositivo de destino, se
desencapsulan y se vuelven a ensamblar.
Paso 7. Los datos se pasan a la aplicación de destino en la capa de aplicación del
dispositivo de destino.
Paso 6. TCP encapsula los datos HTTP con una cabecera TCP.
Paso 7.Las capas inferiores procesan y envían la respuesta al cliente web solicitante.
Si los datos se pierden en algún momento de este proceso, TCP debe recuperarlos. HTTP en la capa de
aplicación no se involucra en la recuperación de errores.
6 31 días antes de su examen CCNA
Además de proporcionar TCP, la capa de transporte proporciona UDP, un protocolo sin conexión y poco
fiable para el envío de datos que no requiere ni necesita recuperación de errores. La Tabla 31-4 enumera
las principales funciones que soportan los protocolos de transporte. Tanto TCP como UDP soportan
la primera función; sólo TCP soporta el resto.
FunciónDescripción
Multiplexación mediante puertosFunciónque permite a los hosts receptores elegir la
aplicación correcta para
al que se destinan los datos, en función del número de puerto de destino.
Recuperación de errores (fiabilidad)Proceso de numeración y acuse de recibo de los datos
con los campos de cabecera Sequence y Acknowledgment.
Control de flujo
Proceso que implica un tamaño de ventana deslizante que los dos dispositivos
mediante ventanas
finales acuerdan dinámicamente en varios puntos durante la conexión virtual. El
tamaño de la ventana, representado en bytes, es la cantidad máxima de datos que el
origen enviará antes de recibir un acuse de recibo del destino.
Establecimiento y
Proceso utilizado para inicializar los números de puerto y los campos de
finalización de la
secuencia y acuse de recibo.
conexión
Un flujo continuo de bytes de un proceso de capa superior que se "segmenta"
Transferencia de
para su transmisión y se entrega a los procesos de capa superior en el
datos ordenada y
dispositivo receptor, con los bytes en el mismo orden.
segmentación de
datos
Cabecera TCP
TCP proporciona recuperación de errores, pero para ello consume más ancho de banda y utiliza más
ciclos de procesamiento que UDP. TCP y UDP se basan en IP para la entrega de extremo a extremo.
TCP se ocupa de proporcionar servicios a las aplicaciones de los ordenadores emisores y receptores.
Para proporcionar todos estos servicios, TCP utiliza una serie de campos en su cabecera (ver Figura
31-2).
20
Número de acuse de recibo (32)
Bytes
Longitud
de la Reservado (6) Bits de código Ventana (16)
cabecera (6)
(4)
Números de puerto
Los dos primeros campos de la cabecera TCP -los puertos de origen y destino- también forman parte de
la cabecera UDP (mostrada más adelante, en la Figura 31-7). Los números de puerto proporcionan a
TCP (y a UDP) una forma de multiplicidad de aplicaciones en el mismo ordenador. Los navegadores
web ahora soportan múltiples pestañas o páginas. Cada vez que se abre una nueva pestaña y se solicita
otra página web, TCP asigna un número de puerto de origen diferente y a veces múltiples números de
puerto. Por ejemplo, puedes tener cinco páginas web abiertas. TCP casi siempre asigna el puerto de
destino 80 para las cinco sesiones. Sin embargo, el puerto de origen de cada una es diferente. Así es
como TCP (y UDP) multiplexan la conversación para que el navegador web sepa en qué pestaña
mostrar los datos.
TCP y UDP suelen asignar dinámicamente los puertos de origen, empezando por 1024 hasta un
máximo de 65535. Los números de puerto por debajo de 1024 están reservados para aplicaciones
conocidas. La Tabla 31-5 enumera varias aplicaciones populares y sus números de puerto bien
conocidos.
Recuperación de errores
TCP proporciona recuperación de errores, también conocida como fiabilidad, durante las sesiones de
transferencia de datos entre dos dispositivos finales que han establecido una conexión. Los campos de
secuencia y acuse de recibo de la cabecera de TCP hacen un seguimiento de cada byte de la
transferencia de datos y garantizan la retransmisión de los bytes que faltan.
En la Figura 31-3, el campo de acuse de recibo enviado por el cliente web (4000) implica el
siguiente byte a recibir; esto se llama acuse de recibo positivo.
8 31 días antes de su examen CCNA
Servid
or web Naveg
ador web
La Figura 31-4 muestra el mismo escenario, excepto que ahora con algunos errores. El segundo
segmento TCP se perdió en la transmisión. Por lo tanto, el cliente web responde con un campo ACK
establecido en 2000. Esto se llama un acuse de recibo positivo con retransmisión (PAR) porque el
cliente web está solicitando que algunos de los datos sean retransmitidos. El servidor web vuelve a
enviar los datos a partir del segmento 2000. De este modo, se recuperan los datos perdidos.
Servid Naveg
or web ador web
Nunca recibió el segmento Nunca he recibido el segmento 2000. ACK el que falta!
1000 Bytes de Datos, Secuencia = 2000
con número de secuencia =
2000, vuelva a enviarlo. 1000 Bytes de Datos, Secuencia = 3000
Sin Datos, Confirmación = 2000
1000 Bytes de Datos, Secuencia = 2000
Control de flujo
TCP gestiona el control de flujo mediante un proceso denominado "windowing". Los dos dispositivos
finales negocian el tamaño de la ventana al establecer inicialmente la conexión; luego renegocian
dinámicamente el tamaño de la ventana durante la vida de la conexión, aumentando su tamaño hasta
que se alcanza el tamaño máximo de la ventana de 65.535 bytes o hasta que se producen errores. El
tamaño de la ventana se especifica en el campo Window de la cabecera TCP. Después de enviar la
cantidad de datos especificada en el tamaño de ventana, el origen debe recibir un acuse de recibo
antes de enviar el siguiente tamaño de ventana de datos.
Día 31 9
SEQ=1450, ACK=201
SYN, ACK, DPORT=1027, SPORT=80
Naveg Servid
ador web SEQ=201, ACK=1451 or web
ACK, DPORT=80, SPORT=1027
En la figura, DPORT y SPORT son los puertos de destino y origen. SEQ es el número de
secuencia. En negrita están SYN y ACK, cada uno de los cuales representa una bandera de 1 bit en la
cabecera TCP utilizada para señalar el establecimiento de la conexión. TCP inicializa los campos
Número de Secuencia y Número de Confirmación con cualquier número que quepa en los campos de 4
bytes. El número de secuencia inicial es un número aleatorio
Número de 32 bits que se genera con cada nueva transmisión. El número de acuse de recibo se recibe
de vuelta y aumenta el número de secuencia del remitente en 1.
Cuando se completa la transferencia de datos, se produce una secuencia de terminación de cuatro vías.
Esta secuencia utiliza un indicador adicional, denominado bit FIN (véase la Figura 31-6).
PCPC
UDP
TCP establece y termina las conexiones entre puntos finales, mientras que UDP no lo hace. Por lo tanto,
El UDP es un protocolo sin conexión. No proporciona fiabilidad, ni ventanas, ni reordenación de los datos.
Sin embargo, UDP proporciona transferencia de datos y multiplexación utilizando números de puerto,
y
lo hace con menos bytes de sobrecarga y menos procesamiento que TCP. Las aplicaciones que utilizan
UDP, como la VoIP, cambian la posibilidad de una cierta pérdida de datos por un menor retraso. La
Figura 31-7 compara las dos cabeceras.
10 31 días antes de su examen CCNA
2222
Fuente Desti Longitud Suma de
Puerto no. comprobaci
Puert ón
o
Cabecera UDP
Paso 5. El servidor web recibe las peticiones HTTP y envía un acuse de recibo TCP al cliente web
solicitante.
Paso 6. El servidor web envía la respuesta HTTP a la capa de transporte.
Paso 8. IP encapsula el segmento de transporte en un paquete, añadiendo las direcciones de origen y destino.
Paso 9.Las capas inferiores procesan y envían la respuesta al cliente web solicitante.
Paso 10. El cliente web solicitante envía un acuse de recibo al servidor web.
La capa de acceso a la red incluye muchos protocolos para tratar los diferentes tipos de medios que
los datos pueden cruzar en su camino desde el dispositivo de origen al de destino. Por ejemplo, es
posible que los datos tengan que viajar primero por un enlace Ethernet y luego cruzar un enlace
Punto a Punto (PPP), luego un enlace Frame Relay, luego un enlace Multiprotocol Label Switching
(MPLS) y finalmente un enlace Ethernet para llegar al
destino. En cada transición de un tipo de medio a otro, la capa de acceso a la red proporciona los
protocolos, los estándares de cableado, las cabeceras y los remolques para enviar los datos a través de la
red física.
Muchas veces se necesita una dirección de enlace local para transferir datos de un salto a otro. Por
ejemplo, en una LAN Ethernet, se utilizan direcciones de control de acceso al medio (MAC) entre el
dispositivo emisor y su router pasarela local. En el router pasarela (dependiendo de las necesidades de la
interfaz de salida), la cabecera Ethernet puede ser sustituida por una etiqueta MPLS. La etiqueta tiene el
mismo propósito que las direcciones MAC en Ethernet: hacer que los datos atraviesen el enlace de
un salto a otro para que puedan continuar su viaje hasta el destino. Algunos protocolos, como el PPP,
no necesitan una dirección de enlace porque sólo otro dispositivo en el enlace puede recibir los
datos.
Con la capa de acceso a la red, ya podemos finalizar nuestro ejemplo de página web. Lo siguiente
simplifica y resume en gran medida el proceso de solicitud y envío de una página web:
Paso 1. El cliente web envía una petición HTTP.
Paso 6. Los dispositivos intermedios procesan los bits en las capas de acceso a la red e Internet
y luego reenvían los datos hacia el destino.
Paso 7. El servidor web recibe los bits en la interfaz física y los envía a través de las capas
de acceso a la red e Internet.
Paso 8. El servidor web envía un acuse de recibo TCP al cliente web solicitante.
Paso 11. IP encapsula el segmento de transporte en un paquete, añadiendo las direcciones de origen
y destino.
Paso 12. La capa de acceso a la red encapsula el paquete en una trama, direccionándolo para el
enlace local.
Paso 13. La capa de acceso a la red envía la trama en forma de bits en el medio.
Paso 14. Las capas inferiores procesan y envían la respuesta al cliente web solicitante.
Paso 15. La respuesta viaja de vuelta a la fuente a través de múltiples enlaces de datos.
Paso 16. El cliente web solicitante recibe la respuesta en la interfaz física y envía los datos a
través de las capas de acceso a la red e Internet.
12 31 días antes de su examen CCNA
Paso 17. El cliente web solicitante envía un acuse de recibo TCP al servidor web.
Paso 4. Encapsular los datos suministrados por la capa de Internet dentro de una cabecera y
un tráiler de la capa de acceso a la red. Esta es la única capa que utiliza tanto una
cabecera como un tráiler.
Paso 5. Transmitir los bits. La capa física codifica una señal en el medio para transmitir la trama.
Los números de la Figura 31-8 corresponden a los cinco pasos de la lista, mostrando gráficamente el mismo
proceso de encapsulación.
Datos
1. Aplicación
TCP Datos
2. Transporte
3. Internet
IP TCP Datos
Red
4. LH IP TCP Datos LT Acceda a
Bits de transmisión
5.
Iconos de red
Para interpretar los diagramas o topologías de red, debe entender los símbolos o iconos utilizados
para representar los diferentes dispositivos y medios de red. Los iconos de la Figura 31-9 son los
símbolos de red más comunes en los estudios CCNA.
Punto de
accesoPortátilServidorTeléfono IP
Cable (Varios)
Línea de Circuito WAN Ethernet Inalámbrico
serie virtual
Disposi
tivos
En las redes cableadas actuales, los conmutadores se utilizan casi exclusivamente para conectar
dispositivos finales a una única LAN. Ocasionalmente, se puede ver un concentrador que conecte
dispositivos finales, pero los concentradores son realmente dispositivos heredados. A continuación se
exponen las diferencias entre un concentrador y un conmutador:
■
Los hubs solían elegirse como dispositivos intermedios dentro de redes LAN muy pequeñas, en las
que el uso del ancho de banda no era un problema o las limitaciones de coste eran un factor. En
las redes actuales, los conmutadores han sustituido a los hubs.
■
Los conmutadores sustituyeron a los concentradores como dispositivos intermediarios de las
redes de área local (LAN) porque un conmutador puede segmentar los dominios de colisión y
proporcionar una mayor seguridad.
14 31 días antes de su examen CCNA
Interruptores
A la hora de elegir un interruptor, estos son los principales factores a tener en cuenta:
■
Coste: El coste viene determinado por el número y el tipo de puertos, las capacidades de
gestión de la red, las tecnologías de seguridad integradas y las tecnologías de conmutación
avanzadas opcionales.
■
Características de la interfaz: El número de puertos debe ser suficiente tanto para el momento
actual como para futuras ampliaciones. Otras características son las velocidades de enlace
ascendente, una mezcla de UTP y fibra, y la modularidad.
■
Capa de red jerárquica: Los conmutadores de la capa de acceso tienen requisitos diferentes
a los de las capas de distribución o núcleo.
■
Componentes redundantes
■
Agregación de enlaces
■
QoS
Routers
Los routers son los principales dispositivos que se utilizan para interconectar las redes (LAN, WAN y
WLAN). A la hora de elegir un router, los principales factores a tener en cuenta son los siguientes:
■
Capacidad de ampliación: Proporciona flexibilidad para añadir nuevos módulos a medida que cambian
las necesidades.
■
Medios: Determina el tipo de interfaces que debe soportar el router para las distintas
conexiones de red.
■
Características del sistema operativo: Determina la versión de IOS cargada en el router.
Diferentes versiones de IOS soportan diferentes conjuntos de características. Las características a
tener en cuenta son la seguridad, la QoS, la VoIP y la complejidad del enrutamiento, entre otras.
La Figura 31-10 muestra un router Cisco 4321, que proporciona las siguientes conexiones:
■
Puertos de consola: Dos puertos de consola para la configuración inicial, utilizando un puerto RJ-45
normal y un conector USB Tipo-B (mini-B USB).
■
Puerto AUX: Un puerto RJ-45 para el acceso a la gestión remota.
■
Interfaces LAN: Dos interfaces Gigabit Ethernet para el acceso a la LAN (G0/0/0 y
G0/0/1). Si se utiliza el puerto RJ-45 G0/0/0, no se puede utilizar el puerto de factor de
forma pequeño (SFP). Los servicios WAN se proporcionarían entonces a través de una tarjeta
de expansión en las ranuras del módulo de interfaz de red (NIM).
■
Ethernet WAN: El otro puerto físico G0/0/0, un puerto SFP que soportaría varias
conexiones Ethernet WAN, normalmente de fibra. Si se utiliza, el puerto RJ-45 Gi0/0 se
desactiva.
■
Ranuras NIM: Dos ranuras que admiten diferentes tipos de módulos de interfaz, incluidos los de
serie (mostrados en la Figura 31-10), de línea de abonado digital (DSL), de puerto de
conmutación e inalámbricos.
Figura 31-10 Placa base del router de servicios integrados (ISR) Cisco 4321
Activado/desactivado Aux
Ranuras NIM
G0/0/12
USB RS-45
Consola
G0/0/0
(RJ-45 o SFP)
NIM serie de 2 puertos
16 31 días antes de su examen CCNA
Dispositivos especiales
Los conmutadores y routers constituyen la columna vertebral de una red. Además, muchas redes
integran diversos dispositivos de red especializados.
Cortafuegos
Un cortafuegos es un dispositivo de red, basado en hardware o software, que controla el acceso a la red
de la organización. Este acceso controlado está diseñado para proteger los datos y los recursos de las
amenazas externas.
Las organizaciones implementan cortafuegos de software a través de un sistema operativo de
red (NOS), como los servidores Linux/UNIX, Windows y macOS. El cortafuegos se configura en
el servidor para permitir o bloquear determinados tipos de tráfico de red. Los cortafuegos de
hardware suelen ser dispositivos de red dedicados que pueden implementarse con poca
configuración.
La Figura 31-11 muestra un firewall stateful básico.
Solicitud inicial
Internet
PC Cambia Router Cortafuegos
Respuesta
Internet
PC Cambia Router Cortafuegos
Un cortafuegos de estado permite que el tráfico se origine en una red interna de confianza y salga a una
red no fiable, como Internet. El cortafuegos permite el tráfico de retorno desde la red no fiable a la red
fiable. Sin embargo, el cortafuegos bloquea el tráfico que se origina en una red no fiable.
Día 31 17
IDS e IPS
Tanto los sistemas de detección de intrusos (IDS) como los sistemas de prevención de intrusos
(IPS) pueden reconocer los ataques a la red; se diferencian principalmente en su ubicación en la red.
Un dispositivo IDS recibe una copia del tráfico a analizar. Un dispositivo IPS se coloca en línea con el
tráfico, como muestra la Figura 31-12.
Atacante
RouterFirewallIPS SensorSwitch
Atacante
RouterFirewall
Sensor IDS
Talos
Internet
NGIPS Y NGFW
DSL
Módem
Proveedor de servicios de Internet
Cambia
Router
PC
Punto de Punto de
acceso ligero acceso ligero
20 31 días antes de su examen CCNA
Los WLC pueden utilizar el antiguo Protocolo de Puntos de Acceso Ligeros (LWAPP) o el más
actual Control y Aprovisionamiento de Puntos de Acceso Inalámbricos (CAPWAP). Con un WLC, se
puede utilizar la agrupación de VLAN para asignar direcciones IP a los clientes inalámbricos a partir de
un conjunto de subredes IP y sus VLAN asociadas.
Capa física
Antes de que pueda producirse cualquier comunicación de red, debe establecerse una conexión física
por cable o inalámbrica. El tipo de conexión física depende de la configuración de la red. En las redes
más grandes, los conmutadores y los puntos de acceso suelen ser dos dispositivos separados y
dedicados. En una empresa muy pequeña (tres o cuatro empleados) o en una red doméstica, las
conexiones inalámbricas y por cable se combinan en un solo dispositivo e incluyen un método de
banda ancha para conectarse a Internet. Estos routers inalámbricos de banda ancha ofrecen un
componente de conmutación con múltiples puertos y un AP, que permite que los dispositivos
inalámbricos también se conecten. La Figura 31-16 muestra el panel posterior de un router de banda
ancha inalámbrico Cisco WRP500.
Láseres y LEDs
Fotorreceptores
Puntos de acceso inalámbrico Ondas de radio.
Espectro ensanchado de
NICs
secuencia directa (DSSS)
Antenas
Multiplexación por división de
de radio frecuencia ortogonal (OFDM)
Cada tipo de soporte tiene ventajas y desventajas. A la hora de elegir el medio, hay que tener en cuenta
cada uno de los siguientes aspectos:
■
Longitud del cable: ¿Es necesario que el cable atraviese una habitación o vaya de un edificio a otro?
■
El coste: ¿El presupuesto permite utilizar un tipo de soporte más caro?
■
Ancho de banda: ¿La tecnología utilizada con los medios de comunicación proporciona un ancho de
banda adecuado?
■
Facilidad de instalación: ¿Tiene el equipo de implantación la capacidad de instalar el cable o es
necesario recurrir a un proveedor?
■
Susceptible a EMI/RFI: ¿Interferirá el entorno local con la señal?
La Tabla 31-7 resume los estándares de medios para el cableado de las redes LAN.
22 31 días antes de su examen CCNA
Una red de área amplia (WAN) suele conectar LANs que están separadas geográficamente. Un conjunto
de LANs conectadas por una o más WANs se denomina red interna; así tenemos Internet. El término
intranet se utiliza a menudo para referirse a una conexión privada de LANs y WANs.
Dependiendo del tipo de servicio, la conexión a la WAN funciona normalmente de una de las siguientes
maneras:
■
Conexión en serie de 60 pines a una CSU/DSU (heredada)
■
Conexión del controlador RJ-45 T1 a una CSU/DSU (heredada)
■
Conexión RJ-11 a un módem telefónico o DSL
■
Conexión coaxial por cable a un módem por cable
■
Conexión de fibra Ethernet al conmutador del proveedor de servicios
Internet
Inalámbrico DSL
24 31 días antes de su examen CCNA
Entre las tecnologías de conexión remota para apoyar a los teletrabajadores se encuentran las siguientes:
■
Tecnologías WAN privadas tradicionales, como Frame Relay, ATM y líneas alquiladas, aunque estas
tecnologías se consideran ahora heredadas
■
Acceso remoto y seguro a la red privada virtual (VPN) mediante una conexión de banda ancha a
través de la Internet pública
Los componentes necesarios para la conectividad del teletrabajador son los siguientes
■
Componentes de la oficina en casa: Ordenador, acceso de banda ancha (cable o DSL) y un
router VPN o un software cliente VPN instalado en el ordenador
■
Componentes corporativos: Enrutadores con capacidad VPN, concentradores VPN,
dispositivos de seguridad multifunción, autenticación y dispositivos de gestión central para la
agregación y terminación resistente de las conexiones VPN
Routers SOHO
La puerta de entrada a Internet para una SOHO suele ser un router multifunción integrado. Los
routers SOHO tienen las siguientes características:
■
Utilizan Internet y la tecnología VPN para sus conexiones WAN para enviar datos de ida y vuelta al
resto de la empresa.
■
Utilice un dispositivo multifunción que gestione el enrutamiento, la conmutación LAN, la VPN,
la conexión inalámbrica y otras funciones, como se muestra en la Figura 31-18.
Funciones
internas del
router SOHO
Punto de acceso
UTP
CATV
Cable
ISP/Internet
UTP R1UTP
UTP RouterMódem por cable
Cambia
Anillo
Point-to-PointMesh
Estrella
Malla BusParcial
Estrella extendida
Las topologías lógicas se refieren a la forma en que una señal viaja de un punto a otro de la red y
están determinadas en gran medida por el método de acceso: determinista o no determinista. Ethernet
es un método de acceso no determinista. Lógicamente, Ethernet funciona como una topología de bus.
Sin embargo, las redes Ethernet están casi siempre diseñadas físicamente como topologías de
estrella o estrella extendida.
Otros métodos de acceso utilizan un método de acceso determinista. Token Ring y Fiber Distributed
Data Interface (FDDI) funcionan lógicamente como topologías de anillo, pasando los datos de una
estación a la siguiente. Aunque estas redes pueden diseñarse como anillos físicos, como Ethernet, a
menudo se diseñan como topologías de estrella o estrella extendida. Sin embargo, lógicamente funcionan
como topologías de anillo.
La Figura 31-20 muestra un ejemplo de diseño de red de campus jerárquico de tres niveles.
26 31 días antes de su examen CCNA
A11 A21
A13 A23
D12Core2D22
A14 A24
D31 D32
Edificio 3
En las redes más pequeñas, el núcleo se suele colapsar en la capa de distribución para un diseño de dos
niveles, como en la Figura 31-21.
A la WAN
R1 R2
2 x 10 GbE
Capa de
2 interruptores de distribución
distribución
D1 D1
Enlaces ascendentes
GigE GigE
40 InterruptoresCapa de
de acceso
A1 A2 ..... A39 A40
acceso
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Temas clave
Hoy repasamos los conceptos en los que se basa la conmutación de Ethernet, incluyendo la historia
del desarrollo de la conmutación, cómo funciona realmente la conmutación y la variedad de
características de los conmutadores. También repasaremos los detalles del funcionamiento de
Ethernet.
Evolución a la conmutación
Las redes LAN actuales utilizan casi exclusivamente conmutadores para interconectar los dispositivos
finales; sin embargo, no siempre fue así. Al principio, los dispositivos se conectaban a un bus físico, un
largo tramo de cableado troncal coaxial. Con la introducción de 10BASE-T y el cableado UTP, el hub
ganó popularidad como una forma más barata y sencilla de conectar dispositivos. Pero incluso 10BASE-
T con hubs tenía las siguientes limitaciones:
■
Una trama enviada desde un dispositivo puede colisionar con una trama enviada por otro
dispositivo conectado a ese segmento LAN. Los dispositivos estaban en el mismo dominio de
colisión compartiendo el ancho de banda.
■
Las emisiones enviadas por un dispositivo eran escuchadas y procesadas por todos los
demás dispositivos de la LAN. Los dispositivos estaban en el mismo dominio de difusión. Al
igual que los concentradores, los conmutadores reenvían las tramas de difusión por todos los
puertos excepto por el puerto entrante.
Pronto se desarrollaron los puentes Ethernet para resolver algunos de los problemas inherentes
a una LAN compartida. Un puente básicamente segmentaba una LAN en dos dominios de colisión,
lo que reducía el número de colisiones en un segmento de la LAN. Esto aumentó el rendimiento de
la red al disminuir el tráfico innecesario de otro segmento.
Cuando los conmutadores llegaron a la escena, estos dispositivos ofrecían las mismas ventajas que los
puentes, además de las siguientes:
■
Un mayor número de interfaces para dividir el dominio de colisión en más segmentos
■
Conmutación basada en hardware en lugar de utilizar software para tomar la decisión
En una LAN en la que todos los nodos están conectados directamente al conmutador, el rendimiento de
la red aumenta de forma espectacular. Con cada ordenador conectado a un puerto independiente del
conmutador, cada uno se encuentra en un dominio de colisión independiente y tiene su propio
segmento dedicado:
■
Ancho de banda dedicado a cada puerto
■
Entorno sin colisiones
■
Funcionamiento full-duplex
30 31 días antes de su examen CCNA
Lógica de conmutación
Los conmutadores Ethernet reenvían selectivamente tramas individuales desde un puerto de
recepción al puerto donde está conectado el nodo de destino. Durante este instante, el conmutador
crea una conexión lógica punto a punto de ancho de banda completo entre los dos nodos.
Los conmutadores crean esta conexión lógica basándose en las direcciones de control de acceso al medio
(MAC) de origen y destino de la cabecera Ethernet. Específicamente, el trabajo principal de un
conmutador LAN es recibir tramas Ethernet y luego tomar la decisión de reenviar la trama o ignorarla.
Para lograr esto, el switch realiza tres acciones:
Paso 1. Decide cuándo reenviar una trama o cuándo filtrar (no reenviar) una trama, basándose en
la dirección MAC de destino
Paso 2. Aprende las direcciones MAC examinando la dirección MAC de origen de cada trama
que recibe el switch
Paso 3. Crea un entorno libre de bucles (capa 2) con otros conmutadores mediante el protocolo
de árbol de expansión (STP)
Para tomar la decisión de reenviar o filtrar, el conmutador utiliza una tabla de direcciones MAC
construida dinámicamente y almacenada en la memoria RAM. Comparando la dirección MAC de
destino de la trama con los campos de la tabla, el conmutador decide cómo reenviar y/o filtrar la
trama.
Por ejemplo, en la Figura 30-1, el switch recibe una trama del Host A con la dirección MAC de
destino OC. El conmutador busca en su tabla MAC, encuentra una entrada para la dirección MAC y
reenvía la trama por el puerto 6. El conmutador también filtra la trama al no reenviarla por ningún
otro puerto, incluyendo el puerto en el que se recibió la trama.
1 6
Además de reenviar y filtrar las tramas, el conmutador actualiza la marca de tiempo de la dirección
MAC de origen de la trama. En la Figura 30-1, la dirección MAC del Host A, OA, ya está en la tabla
MAC, por lo que el switch actualiza la entrada. Las entradas que no se actualizan eventualmente se
eliminan (después de los 300 segundos por defecto en Cisco IOS).
Día 30 31
Continuando con el ejemplo de la Figura 30-1, suponga que otro dispositivo, el Host E, está conectado al
puerto 10. El Host B envía una trama al nuevo Host E. El switch no sabe todavía dónde está el Host E,
por lo que reenvía la trama a todos los puertos activos (en un proceso conocido como flooding). El
anfitrión B envía una trama al nuevo anfitrión E. El conmutador aún no sabe dónde se encuentra el
anfitrión E, por lo que reenvía la trama a todos los puertos activos (en un proceso conocido como
inundación) excepto al puerto en el que se recibió la trama. El nuevo Host E recibe la trama. Cuando
responde al Host B, el switch aprende la dirección MAC y el puerto del Host E por primera vez y lo
almacena en la tabla de direcciones MAC. Las siguientes tramas destinadas al host E se envían sólo por
el puerto 10.
Por último, los conmutadores LAN deben disponer de un método para crear una ruta libre de bucles
para las tramas dentro de la LAN. El STP permite evitar los bucles en las redes Ethernet en las que
existen enlaces físicos redundantes.
Reenvío de tramas
Los conmutadores funcionan de varias maneras para reenviar las tramas. Pueden diferir en los métodos
de reenvío, las velocidades de los puertos, el almacenamiento en memoria y las capas OSI utilizadas
para tomar la decisión de reenvío. En las siguientes secciones se discuten estos conceptos con mayor
detalle.
■
Modo sin fragmentos: El switch espera a que pase la ventana de colisión (64 bytes) antes de
reenviar la trama. Esto significa que cada trama se comprueba en el campo de datos para
asegurarse de que no se ha producido ninguna fragmentación. El modo libre de fragmentos
proporciona una mejor comprobación de errores que el cut-through, sin aumentar
prácticamente la latencia.
Buffering de memoria
Los conmutadores almacenan las tramas durante un breve periodo de tiempo en una memoria intermedia. Existen
dos métodos de almacenamiento en memoria intermedia:
■
Memoria basada en puertos: Las tramas se almacenan en colas vinculadas a puertos de entrada
específicos.
■
Memoria compartida: Las tramas se depositan en un buffer de memoria común que
comparten todos los puertos del switch.
Conmutación de nivel 2 y 3
Un conmutador LAN de capa 2 realiza la conmutación y el filtrado basándose únicamente en las
direcciones MAC. Un conmutador de capa 2 es completamente transparente para los protocolos de red
y las aplicaciones de usuario. Un conmutador de Capa 3 funciona de forma similar a un conmutador de
Capa 2. Pero en lugar de utilizar sólo la información de la dirección MAC de Capa 2 para las decisiones
de reenvío, el conmutador de Capa 3 se basa en las direcciones MAC. Pero en lugar de utilizar sólo la
información de la dirección MAC de capa 2 para las decisiones de reenvío, un conmutador de capa 3
también puede utilizar la información de la dirección IP. Los conmutadores de Capa 3 también son
capaces de realizar funciones de enrutamiento de Capa 3, reduciendo la necesidad de routers dedicados
en una LAN. Dado que los conmutadores de capa 3 cuentan con un hardware de conmutación
especializado, normalmente pueden enrutar los datos con la misma rapidez con la que los conmutan.
Ethernet
(GigabitEthernet)
IEEE 802.3ab
IEEE 802.3z
IEEE 802.3u
(FastEthernet)
IEEE 802.3
(Ethernet)
FDDI
Capa física Capa
física de la comunicación entre la capa de red y la subcapa MAC. En general,
La subcapa LLC se encarga
LLC proporciona una forma de identificar el protocolo que se pasa de la capa de enlace de datos a la
capa de red. De este modo, los campos de la subcapa MAC no se rellenan con información sobre el
tipo de protocolo, como ocurría en anteriores implementaciones de Ethernet.
La subcapa MAC tiene dos responsabilidades principales:
■
Encapsulación de datos: Aquí se incluye el ensamblaje de tramas antes de la transmisión, el análisis
sintáctico de tramas tras la recepción de una trama, el direccionamiento MAC de la capa de
enlace de datos y la detección de errores.
■
Control de acceso al medio: Dado que Ethernet es un medio compartido y todos los
dispositivos pueden transmitir en cualquier momento, el acceso al medio se controla
mediante un método denominado Acceso Múltiple con Sentido de la Portadora/Detección
de Colisiones (CSMA/CD) cuando se opera en modo semidúplex.
En la capa física, Ethernet especifica e implementa esquemas de codificación y decodificación que
permiten transportar los bits de las tramas como señales a través de cables de cobre de par trenzado
no apantallado (UTP) y cables de fibra óptica. En las primeras implementaciones, Ethernet utilizaba
cableado coaxial.
Topología
Física: Bus
Lógica: Bus
Con el cambio de medio a UTP y la introducción de los primeros hubs, las topologías
físicas de Ethernet migraron a una estrella, como se muestra en la Figura 30-4.
Topología
Física: Estrella
Lógica: Bus
Hub
Independientemente del cambio en la topología física de un bus a una estrella, los hubs funcionan
lógicamente de forma similar a una topología de bus tradicional y requieren el uso de CSMA/CD.
CSMA/CD
Dado que Ethernet es un medio compartido en el que todos los dispositivos tienen derecho a enviar en
cualquier momento, también define una especificación para garantizar que sólo un dispositivo envíe
tráfico a la vez. El algoritmo CSMA/CD define cómo se accede al bus lógico de Ethernet.
La lógica CSMA/CD ayuda a evitar las colisiones y también define cómo actuar cuando se
produce una colisión. El algoritmo CSMA/CD funciona así:
Paso 1. Un dispositivo con una trama para enviar escucha hasta que la Ethernet
no esté ocupada. Paso 2. Cuando la Ethernet no está ocupada, el/los emisor/es
comienza/n a enviar la trama. Paso 3. El emisor o emisores escuchan para
asegurarse de que no se produce ninguna colisión.
Día 30 35
Paso 4. Si se produce una colisión, los dispositivos que estaban enviando una trama envían cada
uno una señal de interferencia para asegurarse de que todas las estaciones reconocen la
colisión.
Paso 5. Cuando la interferencia se ha completado, cada emisor aleatoriza un temporizador y
espera hasta que el temporizador expire antes de intentar reenviar la trama
colisionada.
Paso 6. Cuando cada temporizador aleatorio expira, el proceso comienza de nuevo desde el principio.
Cableado UTP
Los tres estándares de Ethernet más utilizados en la actualidad -10BASE-T (Ethernet),
100BASE-TX (Fast Ethernet o FE) y 1000BASE-T (Gigabit Ethernet o GE)- utilizan cableado UTP.
Existen algunas diferencias clave, sobre todo en cuanto al número de pares de hilos necesarios en cada
caso y al tipo (categoría) de cableado.
El cableado UTP de los estándares Ethernet más conocidos incluye dos o cuatro pares de hilos. Los
extremos del cable suelen utilizar un conector RJ-45. El conector RJ-45 tiene ocho ubicaciones físicas
específicas en las que se pueden insertar los ocho hilos del cable; se denominan posiciones de pines o,
simplemente, pines.
La Asociación de la Industria de las Telecomunicaciones (TIA) y la Alianza de la Industria Electrónica
(EIA) definen los estándares para el cableado UTP, con la codificación de colores para los hilos y los
pinouts estándar en los cables. La Figura 30-5 muestra dos estándares de pines de la TIA/EIA, con la
codificación de colores y los números de pares enumerados.
Para el examen, debes estar bien preparado para elegir qué tipo de cable (recto o cruzado) se
necesita en cada parte de la red. En resumen, los dispositivos situados en los extremos opuestos de un
cable que utilizan el mismo par de patillas para transmitir necesitan un cable cruzado. Los dispositivos
que utilizan un par de pines opuestos para transmitir necesitan un cable directo. La Tabla 30-2 enumera
los dispositivos típicos y los pares de pines que utilizan, asumiendo que usan 10BASE-T y
100BASE-TX.
directamente a la LAN)
1000BASE-T requiere cuatro pares de cables porque Gigabit Ethernet transmite y recibe en cada
uno de los cuatro pares de cables simultáneamente.
Día 30 37
Sin embargo, Gigabit Ethernet tiene un concepto de cables directos y cruzados, con una pequeña
diferencia en los cables cruzados. La disposición de las clavijas de un cable recto es la misma: la
clavija 1 con la clavija 1, la clavija 2 con la clavija 2, y así sucesivamente.
Un cable cruzado tiene la norma 568A en un extremo y la norma 568B en el otro. Esto cruza los pares
en los pines 1,2 y 3,6.
Direccionamiento Ethernet
El IEEE define el formato y la asignación de las direcciones LAN. Para garantizar una dirección MAC
única, la primera mitad de la dirección identifica al fabricante de la tarjeta. Este código se denomina
identificador único de la organización (OUI). Cada fabricante asigna una dirección MAC con su propio
OUI como primera mitad de la dirección. La segunda mitad de la dirección es asignada por el fabricante
y nunca se utiliza en otra tarjeta o interfaz de red con el mismo OUI. La Figura 30-6 muestra la
estructura de una dirección Ethernet unicast.
38 31 días antes de su examen CCNA
dígitos 00 60 2F 3A 07 BC
hexadecimales
Ejemplo
Ethernet también tiene direcciones de grupo, que identifican más de una NIC o interfaz de red. El IEEE
define dos categorías generales de direcciones de grupo para Ethernet:
■
Direcciones de difusión: Una dirección de difusión implica que todos los dispositivos de la LAN
deben procesar la trama y tiene el valor FFFF.FFFF.FFFF.
■
Direcciones de multidifusión: Una dirección de multidifusión permite que un subconjunto de
dispositivos de una LAN se comunique. Cuando IP hace multidifusión en una red Ethernet, las
direcciones MAC de multidifusión que utiliza IP siguen este formato: 0100.5exx.xxxx. La parte
xx.xxxx se divide entre la multidifusión IPv4 (00:0000-7F.FFFF) y la multidifusión MPLS
(80:0000-8F:FFFF). La conmutación de etiquetas multiprotocolo (MPLS) es un tema del
CCNP.
Encuadre Ethernet
La capa física ayuda a llevar una cadena de bits de un dispositivo a otro. El encuadre de los bits permite
al dispositivo receptor interpretar los bits. El término "framing" se refiere a la definición del
campos que se supone que están en los datos que se reciben. El encuadre define el significado de los bits
transmitidos y recibidos a través de una red.
El marco utilizado para Ethernet ha cambiado un par de veces a lo largo de los años. La Figura 30-7
muestra cada iteración de Ethernet, con la versión actual mostrada en la parte inferior.
La Tabla 30-3 explica con más detalle los campos de la última versión mostrada en la Figura 30-7.
Los bits se representan en el soporte cambiando una o varias de las siguientes características de
una señal:
■
Amplitud
■
Frecuencia
■
Fase
La naturaleza de las señales reales que representan los bits en el soporte depende del método de
señalización utilizado. Algunos métodos utilizan un atributo de una señal para representar un único 0 y
utilizan otro atributo de una señal para representar un único 1. El método de señalización real y su
funcionamiento detallado no son importantes para la preparación del examen CCNA.
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Temas clave
Hoy revisamos los fundamentos de Cisco IOS y los comandos necesarios para realizar una
configuración inicial básica de un switch. Aunque no se menciona explícitamente en los temas del
examen, puedes esperar ver preguntas que asumen que tienes esta habilidad. Revisamos las técnicas de
verificación como los comandos ping, traceroute y show. Y repasamos los problemas de la interfaz y
los cables.
Telnet
Interfaces
TFTP
Puerto auxiliar (sólo router)
PC o servidor UNIX
Historial de comandos
Por defecto, el Cisco IOS almacena en un buffer de historial los 10 comandos que has introducido
más recientemente. Esto le ofrece una forma rápida de retroceder y avanzar en el historial de
comandos, elegir uno y editarlo antes de volver a emitir el comando. Para ver o configurar el buffer del
historial de comandos, utilice los comandos de la Tabla 29-3. Aunque esta tabla muestra el prompt del
switch, estos comandos también son apropiados para un router.
RAM
Sistema operativo de la red NVRAM
Flash
Copia de Sistemas Interfaces
Programas Archivo de Tablas y seguridad del operativo
configuración topes archivo de s
activo configuración
Modos de subconfiguración
Para entrar en el modo de configuración global, introduzca el comando configure terminal.
Desde el modo de configuración global, Cisco IOS proporciona una multitud de modos de
subconfiguración. La Tabla 29-4 resume los modos de subconfiguración más comunes
pertinentes para el examen CCNA.
Definir el modo de pertenencia a la VLAN para el puerto. S1( config-if)# switchport mode access
Asigne el puerto a una VLAN. S1( config-if)# switchport access
vlan 123
Para configurar varios puertos con el mismo comando, utilice el comando de rango de interfaz.
Por ejemplo, para configurar los puertos 6-10 como puertos de acceso pertenecientes a la VLAN 10, se
introduce lo siguiente:
Switch(config)# rango de interfaz FastEthernet 0/6 -
10 Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Paso 2. ¿Puede un dispositivo final hacer ping a su puerta de enlace por defecto?
Si utiliza el comando ping en esta secuencia ordenada, podrá aislar los problemas más rápidamente.
Si la conectividad local no es un problema -en otras palabras, si el dispositivo final puede hacer ping a
su puerta de enlace predeterminada-, el uso de la utilidad traceroute puede ayudar a aislar el
punto en la ruta desde el origen hasta el destino donde se detiene el tráfico.
Como primer paso en la secuencia de pruebas, verifique el funcionamiento de la pila TCP/IP en el host
local haciendo ping a la dirección de bucle invertido, 127.0.0.1, como demuestra el Ejemplo 29-1.
Esta prueba debería tener éxito independientemente de si el host está conectado a la red, por lo que
un fallo indica un problema de software o hardware en el propio host. O bien la interfaz de red no
está funcionando correctamente o se ha eliminado inadvertidamente el soporte para la pila
TCP/IP del sistema operativo.
A continuación, verifique la conectividad con la pasarela por defecto. Determine la dirección de la puerta de enlace
por defecto utilizando
ipconfig y luego intentar hacer ping, como en el Ejemplo 29-2.
Configuración de la IP de Windows
Día 29 49
Un fallo en este punto puede indicar varios problemas, que deben comprobarse en una secuencia
sistemática. Un posible orden podría ser el siguiente:
Paso 1. ¿Es correcto el cableado del PC al conmutador? ¿Están encendidas las luces de enlace?
Paso 3. ¿Son las interfaces afectadas en el conmutador la causa del problema? ¿Hay un
desajuste de dúplex, velocidad o auto-MDIX? ¿Hay una mala configuración de la
VLAN?
Paso 4. ¿Es correcto el cableado del switch al router? ¿Están encendidas las luces de enlace?
Paso 5. ¿Es correcta la configuración en la interfaz del router según el mapa lógico de la red?
¿Está activa la interfaz?
Por último, verifique la conectividad con el destino haciendo un ping. Suponga que está tratando de
alcanzar un servidor en 192.168.3.100. El ejemplo 29-3 muestra una prueba de ping exitosa al
destino.
El fallo aquí indica un fallo en la ruta más allá de la interfaz de la puerta de enlace por defecto
porque ya ha probado con éxito la conectividad a la puerta de enlace por defecto. Desde un PC con
Windows, la mejor herramienta para encontrar la ruptura de la ruta es el comando tracert (ver
Ejemplo 29-4).
NOTA: Tanto macOS como Linux utilizan el comando traceroute en lugar de tracert.
C:\> t r a c e r t 1 9 2 .168.3.100
NOTA: El fallo en los saltos 3, 4 y 5 del Ejemplo 29-4 podría indicar que estos routers
están configurados para no enviar mensajes ICMP de vuelta al origen.
Como se muestra en el Ejemplo 29-4, el último salto exitoso en el camino al destino fue 192.168.2.2. Si
tiene derechos de administrador en 192.168.2.2, puede continuar su investigación accediendo
remotamente a la línea de comandos en 192.168.2.2 e investigando por qué el tráfico no va más allá.
Además, otros dispositivos entre 192.168.2.2 y 192.168.3.100 podrían ser el origen del problema. El
punto es que quieres usar tus pruebas de ping y tracert, así como tu documentación de red, para
proceder en una secuencia lógica desde el origen hasta el destino.
Independientemente de lo sencilla o compleja que sea su red, el uso de ping y tracert desde el
origen hasta el destino es una forma sencilla pero potente de verificar sistemáticamente la conectividad
de extremo a extremo, así como de localizar las interrupciones en una ruta de un origen a un destino.
Abajo Sí Sí
A continuación, examine la salida de los comandos show interface y show interface status,
como se describe en la siguiente sección.
Observe que ambos comandos muestran la configuración dúplex y de velocidad de la interfaz. Sin
embargo, el comando show interface status es preferible para solucionar problemas de desajuste
de dúplex o velocidad porque muestra exactamente cómo el conmutador determinó el dúplex y la
velocidad de la interfaz. En la columna dúplex, a-full significa que el conmutador autonegoció dúplex
completo. La configuración completa o media significa que el conmutador se configuró con esa
configuración dúplex. La autonegociación se ha desactivado. En la columna de velocidad, a-100
significa que el conmutador autonegoció 100 Mbps como velocidad. El ajuste 10 o 100 significa que
el conmutador se configuró con ese ajuste de velocidad.
Encontrar un desajuste de dúplex puede ser mucho más difícil que encontrar un desajuste de
velocidad, ya que si los ajustes de dúplex no coinciden en los extremos de un segmento
Ethernet, la interfaz del conmutador seguirá estando en estado de conexión (up/up). En este
caso, la interfaz funciona, pero la red puede funcionar mal, con hosts que experimentan un
rendimiento pobre y problemas de comunicación intermitentes. Para identificar los problemas de
desajuste dúplex, compruebe la configuración dúplex en cada extremo del enlace y observe el
incremento de los contadores de colisión y colisión tardía, como se destaca en la salida al final del
Ejemplo 29-5.
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Temas clave
Hoy nos centramos en repasar la estructura de una dirección IPv4, las clases y las direcciones IPv4
privadas y públicas. A continuación, nos centraremos en la creación de subredes IPv4.
A estas alturas, deberías ser capaz de hacer una subred rápidamente. Por ejemplo, debería ser capaz de
responder rápidamente a una pregunta como la siguiente: Si te dan una red /16, ¿qué máscara de subred
utilizarías para maximizar el número total de subredes y al mismo tiempo proporcionar suficientes
direcciones para la subred más grande con 500 hosts? La respuesta es 255.255.254.0, o / 2 3 . Esto le
da 128 subredes con 510 hosts utilizables por subred.Debería ser capaz de calcular rápidamente esta
información.
El examen CCNA promete contener muchas preguntas relacionadas con la creación de subredes. Por lo
tanto, dedicaremos algo de tiempo a esta habilidad necesaria y también veremos el diseño de
esquemas de direccionamiento utilizando máscaras de subred de longitud variable (VLSM).
Direccionamiento IPv4
Aunque el IPv6 está penetrando rápidamente en las redes del mundo, la mayoría de las redes siguen
teniendo grandes implementaciones de IPv4. Especialmente en las redes privadas, la migración fuera
de IPv4 tardará años en completarse. Está claro que el IPv4 y tu habilidad en su uso siguen siendo
demandados.
Formato de la cabecera
La Figura 28-1 muestra la disposición de la cabecera IPv4.
Tenga en cuenta que cada paquete IP lleva esta cabecera, que incluye una dirección IP de origen y
una dirección IP de destino.
Una dirección IP consta de dos partes:
■
ID de red: Los bits de orden superior, o más a la izquierda, especifican el componente de
dirección de red de la dirección.
■
ID de host: Los bits de orden inferior, o más a la derecha, especifican el componente de dirección del host de la
dirección.
56 31 días antes de su examen CCNA
Opciones de IP (0 o 32 si hay)
Clases de direcciones
Desde el principio, IPv4 se diseñó con una estructura de clases: Clases A, B, C, D y E. La clase D se
utiliza para las direcciones de multidifusión y la clase E se reserva para la experimentación. Las
clases A, B y C se asignan a los hosts de la red. Para proporcionar una estructura jerárquica, estas
clases se dividen en partes de red y de host, como muestra la Figura 28-2. Los bits de alto orden
especifican el ID de la red, y los bits de bajo orden especifican el ID del host.
Clase D: Multidifusión
Clase E: Investigación
En la última columna de la Tabla 28-1, la -2 para hosts por red da cuenta de las direcciones de red
y broadcast reservadas para cada red. Estas dos direcciones no se pueden asignar a los hosts.
NOTA: No revisamos el proceso de conversión entre binario y decimal. En este punto de tus
estudios, deberías sentirte cómodo moviéndote entre los dos sistemas de numeración. Si no es
así, tómate un tiempo para practicar esta habilidad necesaria. Puedes buscar en Internet
trucos, consejos y juegos de conversión binaria para practicar. La Red de Aprendizaje de Cisco
tiene un divertido juego al que puedes jugar, en
https://learningnetwork.cisco.com/docs/DOC-1803.
Tabla 28-2 Cómo sumar una dirección IP y una máscara de subred para encontrar la
dirección de red
El límite de bits ahora puede ocurrir en casi cualquier lugar de los 32 bits. La Tabla 28-3 resume los
valores del último octeto no nulo de una máscara de subred.
Si te diriges a una intranet no pública, estas direcciones privadas se utilizan normalmente en lugar de las
direcciones públicas únicas globales. Esto proporciona flexibilidad en el diseño del direccionamiento.
Cualquier organización puede aprovechar al máximo una dirección completa de Clase A (10.0.0.0/8). El
reenvío de tráfico a la Internet pública requiere la traducción a una dirección pública utilizando la
Traducción de Direcciones de Red (NAT). Pero al sobrecargar una dirección enrutable en Internet con
muchas direcciones privadas, una empresa sólo necesita un puñado de direcciones públicas. El día 8,
"NAT", revisa el funcionamiento y la configuración de NAT con más detalle.
Paso 1. Determinar cuántos bits se van a pedir prestados, en función de los requisitos del host.
Para proporcionar suficiente espacio de direcciones para 30 hosts, necesitamos dejar 5 bits. Utilice la
siguiente fórmula: 2BL - 2 = número de direcciones de host
El exponente BL son los bits que quedan en la parte del host.
Recuerde que el -2 contabiliza las direcciones de red y de difusión que no se pueden asignar a los
hosts.
En este ejemplo, dejar 5 bits en la parte del host proporciona el número correcto de direcciones de
host: 25 - 2 = 30
Como nos quedan 3 bits en la parte original del host, tomamos prestados todos estos bits para satisfacer
el requisito de "crear tantas subredes como sea posible". Para determinar cuántas subredes podemos
crear, utiliza la siguiente fórmula:
2BB = número de subredes
En este ejemplo, al tomar prestados 3 bits de la parte del host se crean ocho subredes: 23 = 8.
Como muestra la Tabla 28-4, los 3 bits se toman prestados de los bits más a la izquierda de la parte
del host. Los bits resaltados en la tabla muestran todas las posibles combinaciones de
manipulación de los 8 bits prestados para crear las subredes.
60 31 días antes de su examen CCNA
Tabla 28-5 Esquema de direccionamiento de subred para 192.168.1.0/24: 30 hosts por subred
Número de Dirección de Alcance de los Dirección de
subred subred anfitriones difusión
0 192.168.1.0 192.168.1.1–192.168.1.30 192.168.1.31
1 192.168.1.32 192.168.1.33–192.168.1.62 192.168.1.63
2 192.168.1.64 192.168.1.65–192.168.1.94 192.168.1.95
Día 28 61
A continuación se presentan tres ejemplos que utilizan los cuatro pasos de subred. Por razones de
brevedad, el paso 4 sólo enumera las tres primeras subredes.
Ejemplo de subred 1
Subreduzca el espacio de direcciones 172.16.0.0/16 para proporcionar al menos 80
direcciones de host por subred y crear tantas subredes como sea posible.
Paso 1. Hay 16 bits de host. Deja 7 bits para las direcciones de host ( 27 - 2 = 126 direcciones
de host por subred). Toma prestados los primeros 9 bits de host para crear tantas
subredes como sea posible
(29 = 512 subredes).
Paso 2. La máscara de subred original es /16, o 255.255.0.0. Active los siguientes 9 bits a partir del
segundo octeto, para obtener una nueva máscara de subred de /25 o 255.255.255.128.
Paso 3. El multiplicador de la subred es 128, que se puede encontrar como 256 - 128 = 128,
o porque el bit 128 es el último bit prestado.
Para el paso 4, la Tabla 28-6 enumera las tres primeras subredes, rangos de hosts y direcciones de difusión.
Ejemplo de subred 2
Subnet el espacio de direcciones 172.16.0.0/16 para proporcionar al menos 80 direcciones de subred.
Paso 1. Hay 16 bits de host. Toma prestados los 7 primeros bits de host para crear al menos 80 subredes
(27 = 128 subredes). Esto deja 9 bits para las direcciones de host, o 29 - 2 = 510 direcciones
de host por subred.
Paso 2. La máscara de subred original es /16, o 255.255.0.0. Active los siguientes 7 bits a partir del
segundo octeto, para obtener una nueva máscara de subred de /23, o 255.255.254.0.
Paso 3. El multiplicador de subred es 2, que se puede encontrar como 256 - 254 = 2, o porque
el bit 2 es el último bit prestado.
62 31 días antes de su examen CCNA
Para el paso 4, la Tabla 28-7 enumera las tres primeras subredes, rangos de hosts y direcciones de difusión.
Ejemplo de subred 3
Subreduzca el espacio de direcciones 172.16.10.0/23 para proporcionar al menos 60
direcciones de host por subred y cree tantas subredes como sea posible.
Paso 1. Hay 9 bits de host. Deja 6 bits para las direcciones de host ( 26 - 2 = 62 direcciones de host
por subred). Toma prestados los 3 primeros bits de host para crear tantas subredes como sea
posible (23 = 8 subredes).
Paso 2. La máscara de subred original es / 2 3 , o 255.255.254.0. Enciende los siguientes 3 bits
empezando por el último bit del segundo octeto, para una nueva máscara de subred
de /26, o 255.255.255.192.
Paso 3. El multiplicador de la subred es 64, que se puede encontrar como 256 - 192 = 64,
o porque el 64 es el último bit prestado.
Para el paso 4, la Tabla 28-8 enumera las tres primeras subredes, rangos de hosts y direcciones de difusión.
VLSM
Probablemente haya notado que el espacio de direcciones inicial en el Ejemplo de
Subnetting 3 no es una dirección completa de clase. De hecho, es la subred 5 del Ejemplo de
Subnetting 2. En el Ejemplo de Subnetting 3, por lo tanto, "subneteamos una subred". En pocas
palabras, VLSM es subnetting una subred.
Con VLSM, puedes personalizar las subredes para adaptarlas a tu red. La creación de subredes funciona
de la misma manera, sólo que hay que hacerlo más de una vez para completar el esquema de
direccionamiento. Para evitar el solapamiento de los espacios de direcciones, comience con su mayor
requisito de host, cree una subred para él y luego continúe con el siguiente requisito de host más
grande.
Considere un pequeño ejemplo. Dado el espacio de direcciones 172.30.4.0/22 y los requerimientos de
la red en la Figura 28-3, aplique un esquema de direccionamiento que conserve la mayor cantidad de
direcciones para el crecimiento futuro.
Necesitamos cinco subredes: cuatro subredes LAN y una subred WAN. Empezando por el mayor
requisito de host en la LAN 3, comience a subredar el espacio de direcciones.
Día 28 63
10 100
Anfitrione anfitriones
s LAN 4
LAN 2
Para satisfacer el requisito de 250 hosts, dejamos 8 bits de host ( 28 - 2 = 254 hosts por subred). Como
tenemos 10 bits de host en total, tomamos prestados 2 bits para crear la primera ronda de subredes (22
= 4 subredes). La máscara de subred inicial es / 2 2 , o 255.255.252.0. Activamos los siguientes 2 bits de
la máscara de subred para obtener /24, o 255.255.255.0. El multiplicador es 1. Las cuatro subredes
son las siguientes
■
Subred 0: 172.30.4.0/24
■
Subred 1: 172.30.5.0/24
■
Subred 2: 172.30.6.0/24
■
Subred 3: 172.30.7.0/24
Asignando la subred 0 a la LAN 3, nos quedan tres subredes /24. Siguiendo con la siguiente
necesidad de host en la LAN 4, seguimos con la subred 1, 172.30.5.0/24.
Para satisfacer el requisito de 100 hosts, dejamos 7 bits ( 27 - 2 = 128 hosts por subred). Como tenemos 8
bits de host en total, podemos tomar prestado sólo 1 bit para crear las subredes ( 21 = 2 subredes). La
máscara de subred inicial es /24, o 255.255.255.0. Activamos el siguiente bit de la máscara de
subred para obtener /25, o 255.255.255.128. El multiplicador es 128. Las dos subredes son las
siguientes:
■
Subred 0: 172.30.5.0/25
■
Subred 1: 172.30.5.128/25
Asignando la subred 0 a la LAN 4, nos queda una subred /25 y dos subredes /24. Continuando con
la siguiente necesidad de host en la LAN 1, seguimos con la subred 1, 172.30.5.128/25.
Para satisfacer el requisito de 60 hosts, dejamos 6 bits ( 26 - 2 = 62 hosts por subred). Como tenemos
7 bits de host en total, tomamos prestado 1 bit para crear las subredes ( 21 = 2 subredes). La máscara
de subred inicial es /25, es decir, 255.255.255.128. Activamos el siguiente bit de la máscara de
subred para obtener /26, o 255.255.255.192. El multiplicador es 64. Las dos subredes son las
siguientes:
■
Subred 0: 172.30.5.128/26
■
Subred 1: 172.30.5.192/26
Asignando la subred 0 a la LAN 1, nos queda una subred /26 y dos subredes /24. Terminando
nuestra subred LAN con la LAN 2, seguimos con la subred 1, 172.30.5.192/26.
64 31 días antes de su examen CCNA
Para satisfacer el requisito de 10 hosts, dejamos 4 bits ( 24 - 2 = 14 hosts por subred). Como tenemos 6
bits de host en total, tomamos prestados 2 bits para crear las subredes ( 22 = 4 subredes). La máscara
de subred inicial es /26, es decir, 255.255.255.192. Activamos los siguientes 2 bits de la máscara
de subred para obtener /28, o 255.255.255.240. El multiplicador es 16. Las cuatro subredes son
las siguientes
■
Subred 0: 172.30.5.192/28
■
Subred 1: 172.30.5.208/28
■
Subred 2: 172.30.5.224/28
■
Subred 3: 172.30.5.240/28
Asignando la subred 0 a la LAN 2, nos quedan tres subredes / 2 8 y dos subredes / 2 4 . Para finalizar
nuestro esquema de direccionamiento, necesitamos crear una subred para el enlace WAN, que sólo
necesita dos direcciones de host. Seguimos con la subred 1, 172.30.5.208/28.
Para satisfacer el requisito de dos hosts, dejamos 2 bits ( 22 - 2 = 2 hosts por subred). Como tenemos 4
bits de host en total, tomamos prestados 2 bits para crear las subredes ( 22 = 4 subredes). La máscara
de subred inicial es /28, es decir, 255.255.255.240. Activamos los siguientes 2 bits de la máscara
de subred para obtener /30, o 255.255.255.252. El multiplicador es 4. El multiplicador es 4. Las
cuatro subredes son las siguientes
■
Subred 0: 172.30.5.208/30
■
Subred 1: 172.30.5.212/30
■
Subred 2: 172.30.5.216/30
■
Subred 3: 172.30.5.220/30
Asignamos la subred 0 al enlace WAN. Nos quedan tres subredes /30, dos subredes /28 y dos
subredes /24.
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Temas clave
A principios de los años 90, el Grupo de Trabajo de Ingeniería de Internet (IETF) se preocupó por el
agotamiento de las direcciones de red IPv4 y comenzó a buscar un sustituto para este protocolo. Esta
actividad condujo al desarrollo de lo que hoy se conoce como IPv6. La revisión de hoy se centra en el
protocolo IPv6 y en los tipos de direcciones IPv6. También repasaremos las distintas formas de
implementar el direccionamiento IPv6, incluyendo la creación de subredes, la autoconfiguración de
hosts y la ejecución de IPv6 e IPv4 en una configuración de doble pila. La configuración de IPv6 en
■
No es necesario procesar las sumas de comprobación
■
Mecanismos de cabecera de extensión más sencillos y eficaces
■
Movilidad y seguridad: La movilidad y la seguridad ayudan a garantizar el cumplimiento de
los estándares de IP móvil e IPsec:
■
IPv4 no permite automáticamente que los dispositivos móviles se desplacen sin
interrumpir las conexiones de red establecidas.
■
En IPv6, la movilidad está incorporada, lo que significa que cualquier nodo IPv6 puede
utilizar la movilidad cuando sea necesario.
■
IPsec está habilitado en todos los nodos IPv6 y está disponible para su uso, haciendo que la
Internet IPv6 sea más segura.
■
Estrategias de transición: Puede incorporar las capacidades existentes de IPv4 con las
características añadidas de IPv6 de varias maneras:
■
Puede implementar un método de doble pila, con IPv4 e IPv6 configurado en la
interfaz de un dispositivo de red.
■
Se puede utilizar la tunelización, que será más importante a medida que crezca la adopción de IPv6.
El protocolo IPv6
La Tabla 27-1 compara las representaciones binaria y alfanumérica de las direcciones IPv4 e IPv6.
La Figura 27-1 compara la cabecera de IPv4 con la cabecera principal de IPv6. Observa que la cabecera
IPv6 se representa en palabras de 64 bits en lugar de las palabras de 32 bits utilizadas por IPv4.
Opciones de IP (0 o 32 si
Cabecera IPv6
0481216202428323640444852566063
Versión Clase de Etiqueta de Longitud de la carga Siguiente Límite de
tráfico flujo útil cabecera salto
Dirección de la
fuente
Dirección de destino
Direccionamiento IPv6
Nodo asignadoSolicitado
FF00::/8FF02::1:FF00:0000/104
Unicast
La primera clasificación de los tipos de direcciones IPv6 que se muestra en la Figura 27-2 es la
dirección unicast. Una dirección unicast identifica de forma única una interfaz en un dispositivo IPv6.
Un paquete enviado a una dirección unicast es recibido por la interfaz que está asignada a esa dirección.
Al igual que en IPv4, las direcciones IPv6 de origen deben ser direcciones unicast. Debido a que el
direccionamiento unicast -a diferencia del direccionamiento multicast y anycast- es el enfoque principal
para un candidato a CCNA, dedicamos algún tiempo a revisar la rama Unicast en la Figura 27-2.
314
2001
: 0DB8 :AAAA : 1111 : 0000 : 0000 : 0000 :0100
Cada número se refiere al número de hextetos, o segmentos de 16 bits, de esa parte de la dirección:
■
3: Tres hextetos para el prefijo de enrutamiento global
■
1: Un hexteto para el ID de la subred
■
4: Cuatro hextetos para el ID de la interfaz
000
111
101
010
100 011
Utilizando el trozo de pastel 2000::/3, la IANA asigna bloques de direcciones / 2 3 o más cortos a los
cinco Registros Regionales de Internet (RIR). A partir de ahí, a los ISP se les asignan bloques de
direcciones /23 o más cortos. A continuación, los ISP asignan a cada sitio -es decir, a cada cliente- un
bloque de direcciones /48 o más corto. La Figura 27-5 muestra el desglose de los prefijos de
enrutamiento global.
*RIR
*Prefijo ISP
*Prefijo del sitio
Posible prefijo del sitio de origen Prefijo de la subred
*Esta es una asignación mínima. La longitud del prefijo puede ser menor si se
puede justificar.
70 31 días antes de su examen CCNA
En IPv6, una interfaz puede ser configurada con múltiples direcciones unicast globales, que pueden
estar en la misma o en diferentes subredes. Además, una interfaz no tiene que estar configurada con una
dirección unicast global, pero debe tener al menos una dirección link-local.
Una dirección global unicast puede clasificarse a su vez en las distintas opciones de configuración
disponibles, como muestra la Figura 27-6.
Unicast global
Manual Dinámica
Revisaremos EUI-64 y la autoconfiguración de direcciones sin estado con más detalle más adelante
en este día. En los próximos días, revisaremos el resto de las opciones de configuración de la Figura
27-6 con más detalle. Por ahora, la Tabla 27-2 las resume.
Enlace-dirección local
Como muestra la Figura 27-2, las direcciones link-local son un tipo de dirección unicast. Las direcciones
link-local están confinadas a un solo enlace. Tienen que ser únicas para ese enlace porque los paquetes
con una dirección de origen o destino de enlace local no son enrutables fuera del enlace.
Las direcciones link-local se configuran de una de estas tres maneras:
■
Dinámicamente, utilizando EUI-64
■
Utilizar un ID de interfaz generado aleatoriamente
■
De forma estática, introduciendo manualmente la dirección link-local
Las direcciones link-local ofrecen una ventaja única en IPv6. Un dispositivo puede crear su dirección
link-local completamente por sí mismo. Las direcciones link-local unicast están en el rango FE80::/10 a
FEBF::/10, como muestra la Tabla 27-3.
1111 1110 10 ID de la
interfaz
Dirección no especificada
La dirección unicast no especificada es la dirección all-0s, representada como ::. No se puede asignar a
una interfaz, sino que se reserva para las comunicaciones cuando el dispositivo emisor no tiene
todavía una dirección IPv6 válida. Por ejemplo, un dispositivo utiliza :: como dirección de origen
cuando utiliza el proceso de detección de direcciones duplicadas (DAD). El proceso DAD garantiza una
dirección local de enlace única. Antes de que un dispositivo pueda empezar a utilizar su dirección local
de enlace recién creada, envía una multidifusión de todos los nodos a todos los dispositivos del enlace,
con su nueva dirección como destino. Si el dispositivo recibe una respuesta, sabe que la dirección local
de enlace está en uso y, por lo tanto, necesita crear otra dirección local de enlace.
72 31 días antes de su examen CCNA
Se trata de direcciones privadas. Sin embargo, a diferencia de IPv4, las ULAs de IPv6 son
globalmente únicas. Esto es posible debido a la cantidad relativamente grande de espacio de
direcciones en la parte de ID global que se muestra en la Figura 27-8: 40 bits, o más de 1 billón de
ID globales únicas. Siempre que un sitio utilice el algoritmo de ID global pseudo-aleatorio, tendrá una
probabilidad muy alta de generar un ID global único.
Las direcciones locales únicas tienen las siguientes características:
■
Poseer un prefijo único a nivel mundial o al menos tener una probabilidad muy alta de ser único
■
Permitir que los sitios se combinen o se interconecten de forma privada sin conflictos de
dirección o renumeración de direcciones
■
Son independientes de cualquier proveedor de servicios de Internet y pueden utilizarse en un
sitio sin tener conexión a Internet
■
Si se filtran accidentalmente fuera de un sitio, ya sea por enrutamiento o por el Sistema de
Nombres de Dominio (DNS), no causan un conflicto con ninguna otra dirección
■
Puede utilizarse como una dirección global de unicast
NOTA: NAT64 está fuera del alcance de los temas del examen CCNA.
Para crear una dirección IPv4 mapeada en IPv6, la dirección IPv4 se incrusta dentro del orden inferior
32 bits de IPv6. Básicamente, IPv6 sólo pone una dirección IPv4 al final, añade 16 bits todo-1 y
rellena el resto de la dirección. La dirección no tiene que ser globalmente única. La Figura 27-9 ilustra
esta estructura de dirección IPv6 mapeada en IPv4.
Día 27 73
Dirección IPv4
en decimal
punteado
80 bits16bits32bits
Multidifu
sión
La segunda gran clasificación de los tipos de direcciones IPv6 en la Figura 27-2 es la multidifusión. La
multidifusión es una técnica mediante la cual un dispositivo envía un único paquete a varios destinos
simultáneamente. Una dirección de multidifusión IPv6 define un grupo de dispositivos conocido
como grupo de multidifusión y es equivalente a IPv4 224.0.0.0/4. Las direcciones de multidifusión
IPv6 tienen el prefijo FF00::/8.
Se utilizan dos tipos de direcciones de multidifusión IPv6:
■
Multidifusión asignada
■
Multidifusión de nodo solicitado
Multidifusión asignada
Las direcciones de multidifusión asignadas se utilizan en contexto con
protocolos específicos. Dos grupos comunes de multidifusión asignada
de IPv6 son los siguientes:
■
FF02::1 Grupo de multidifusión de todos los nodos: Se trata de un grupo de multidifusión al que
se unen todos los dispositivos habilitados para IPv6. Al igual que con una difusión en IPv4, todas
las interfaces IPv6 en el enlace procesan los paquetes enviados a esta dirección. Por ejemplo, un
router que envía un Anuncio de Enrutamiento (RA) ICMPv6 utiliza la dirección FF02::1 de todos
los nodos. Los dispositivos habilitados para IPv6 pueden entonces utilizar la información del RA
para aprender la información de la dirección del enlace, como el prefijo, la longitud del prefijo y
la puerta de enlace predeterminada.
■
FF02::2 Grupo de multidifusión de todos los routers: Este es un grupo de multidifusión al que se
unen todos los routers IPv6. Un router se convierte en miembro de este grupo cuando se
habilita como router IPv6 con el comando de configuración global ipv6 unicast-routing. Un
paquete enviado a este grupo es recibido y
74 31 días antes de su examen CCNA
procesado por todos los routers IPv6 en el enlace o red. Por ejemplo, los dispositivos habilitados
para IPv6 envían mensajes ICMPv6 de solicitud de enrutamiento (RS) a la dirección multicast
de todos los enrutadores solicitando un mensaje RA.
PC-A
PC-B
■
Resolución de direcciones: En este mecanismo, que es equivalente a ARP en IPv4, un
dispositivo IPv6 envía un mensaje NS a una dirección multicast de nodo solicitado para
conocer la dirección de capa de enlace de un dispositivo en el mismo enlace. El dispositivo
reconoce la dirección IPv6 del destino en ese enlace pero necesita conocer su dirección de
enlace de datos.
■
Detección de direcciones duplicadas (DAD): Como se ha mencionado anteriormente, DAD
permite a un dispositivo verificar que su dirección unicast es única en el enlace. Se envía un
mensaje NS a la propia dirección de multidifusión del nodo solicitado del dispositivo para
determinar si alguien más tiene esta misma dirección.
Día 27 75
Como muestra la Figura 27-11, la dirección multicast del nodo solicitado consta de dos partes:
104 bits24bits
ID de
Prefijo de enrutamiento ID de la
global subre interfaz
d
Copiar
Dirección de multidifusión del nodo solicitado
104 bits24bits
FF02:0:0:0:0:1:FF00::/104
■
Prefijo de multidifusión FF02:0:0:0:0:FF00::/104: Son los primeros 104 bits de la dirección
multicast de todos los nodos solicitados.
■
Los 24 bits menos significativos: Estos bits se copian de los 24 bits de la extrema derecha de
la dirección global unicast o link-local unicast del dispositivo.
Anycast
La última clasificación importante de los tipos de direcciones IPv6 en la Figura 27-2 es la dirección
anycast. Una dirección anycast puede ser asignada a más de un dispositivo o interfaz. Un paquete
enviado a una dirección anycast es enrutado al dispositivo "más cercano" que esté configurado con la
dirección anycast, como muestra la Figura 27-12.
El coste de 10 es mi
mejor camino hacia
2001:db8:abcd:1:1. Servidor
Coste para el servidor
A 2001:db8:abcd:1:1
Destino:
2001:db8:abcd:1:1. Servidor
Coste para el servidor
B 2001:db8:abcd:1:1
2001:db8:abcd:1:1
76 31 días antes de su examen CCNA
Para facilitar un poco las cosas, dos reglas permiten acortar lo que debe configurarse para una
dirección IPv6:
■
Regla 1: Omitir los 0 iniciales en cualquier hexteto.
■
Regla 2: Omita los hextetos de todos los 0s. Represente uno o más hextetos consecutivos de
todos los 0s hexadecimales con dos puntos dobles (::), pero sólo para una ocurrencia de este
tipo en una dirección dada.
Por ejemplo, en la siguiente dirección, los dígitos hexadecimales resaltados representan la parte de la
dirección que se puede abreviar:
FE00:0000:0000:0001:0000:0000:0000:0056
Esta dirección tiene dos ubicaciones en las que uno o más hextetos tienen cuatro 0s hexadecimales, por
lo que dos opciones principales funcionan para abreviar esta dirección con la abreviatura :: en una de las
ubicaciones. Las dos opciones siguientes muestran las dos abreviaturas válidas más breves:
■
FE00::1:0:0:0:56
■
FE00:0:0:1::56
En el primer ejemplo, los hextetos segundo y tercero que preceden a 0001 se han sustituido por ::. En
el segundo ejemplo, los hextetos quinto, sexto y séptimo se han sustituido por ::. En particular, hay
que tener en cuenta que la abreviatura ::, que significa "uno o más hextetos de todos los 0", no puede
utilizarse dos veces porque sería ambiguo. Por lo tanto, la abreviatura FE00::1::56 no sería válida.
Si la longitud del prefijo no cae en un límite de hexteto (es decir, no es un múltiplo de 16), el valor
del prefijo debe enumerar todos los valores del último hexteto. Por ejemplo, supongamos que la
longitud del prefijo en el ejemplo anterior es /56. Por convención, el resto del cuarto hexteto se
escribe, después de ser puesto en 0 binario, como sigue:
2000:1234:5678:9A00::/56
La siguiente lista resume algunos puntos clave sobre cómo escribir prefijos IPv6:
■
El prefijo tiene el mismo valor que las direcciones IP del grupo para el primer número de bits,
definido por la longitud del prefijo.
■
Los bits posteriores al número de bits de la longitud del prefijo son 0s binarios.
■
El prefijo puede ser abreviado con las mismas reglas que para las direcciones IPv6.
■
Si la longitud del prefijo no está en el límite de un hexteto, anote el valor para todo el hexteto.
La Tabla 27-4 muestra varios ejemplos de prefijos, sus formatos y una breve explicación.
Subredes IPv6
En muchos sentidos, la creación de redes de direcciones IPv6 es mucho más sencilla que la creación
de redes de direcciones IPv4. A un sitio típico se le asigna un espacio de direcciones IPv6 con una
longitud de prefijo de /48. Debido a que los bits menos significativos se utilizan para el ID de la
interfaz, eso deja 16 bits para el ID de la subred y una longitud de prefijo de subred de /64, como
muestra la Figura 27-13.
Prefijo de enrutamiento
ID de ID de la
global (asignado por
subred interfaz
el ISP)
Prefijo de subred
/64
Para nuestros ejemplos de subredes, utilizamos 2001:0DB8:000A::/48, o simplemente
2001:DB8:A::/48, que incluye las subredes 2001:DB8:A::/64 hasta 2001:DB8:A:FFFF::/64. Son 216, o
65.536 subredes, cada una con 264, o 18 quintillones, de direcciones de interfaz.
78 31 días antes de su examen CCNA
Subnetting el ID de la subred
Para crear una subred en una pequeña o mediana empresa, basta con incrementar los bits menos
significativos del ID de subred (como en el ejemplo 27-1) y asignar subredes /64 a sus redes.
2001:DB8:A:0001::/64
2001:DB8:A:0002::/64
2001:DB8:A:0003::/64
2001:DB8:A:0004::/64
2001:DB8:A:0005::/64
Por supuesto, si está administrando una implementación más grande, puede utilizar los cuatro dígitos
hexadecimales del ID de subred para diseñar una jerarquía de cuatro niveles rápida y sencilla. La
mayoría de las redes empresariales grandes tienen mucho espacio para diseñar un esquema de
direcciones lógicas que agregue direcciones para una configuración de enrutamiento óptima. Además,
solicitar y recibir otra dirección /48 no es difícil.
Subredes en el ID de la interfaz
Si extiendes tu subred a la parte del ID de la interfaz de la dirección, es una buena práctica hacer la
subred en el límite del nibble. Un nibble son 4 bits, o un dígito hexadecimal. Por ejemplo
tomar prestados los 4 primeros bits de la parte del ID de interfaz de la dirección de red
2001:DB8:A:1::/64. Esto significa que la red 2001:DB8:A:1::/64 tendría ahora 24, o 16,
subredes desde 2001:DB8:A:1:0000::/68 hasta 2001:DB8:A:1:F000::/68. Enumerar las subredes es
fácil, ya que
El ejemplo 27-2 lo muestra.
2001:DB8:A:1:0000::/68
2001:DB8:A:1:1000::/68
2001:DB8:A:1:2000::/68
2001:DB8:A:1:3000::/68
a través de
2001:DB8:A:1:F000::/68
Concepto EUI-64
El día 18 revisa el direccionamiento IPv6 estático, incluyendo cómo configurar un router para usar
el direccionamiento EUI-64 (EUI significa Extended Unique Identifier). Hoy revisamos el concepto que
hay detrás de la configuración EUI-64.
Recuerda de la Figura 27-13 que la segunda mitad de la dirección IPv6 se llama ID de interfaz. El
valor de la porción del ID de interfaz de una dirección unicast global puede ser establecido a
cualquier valor, siempre y cuando ningún otro host en la misma subred intente usar el mismo valor.
Sin embargo, el tamaño del ID de la interfaz se eligió para permitir una fácil autoconfiguración de
las direcciones IP introduciendo la dirección MAC de una tarjeta de red en el campo del ID de la
interfaz en una dirección IPv6.
Día 27 79
Las direcciones MAC tienen 6 bytes (48 bits) de longitud. Para completar el ID de interfaz de 64
bits, IPv6 rellena 2 bytes más separando la dirección MAC en dos mitades de 3 bytes. Luego inserta
el hexágono FFFE entre las mitades y pone el séptimo bit del primer byte en 1 binario para
formar el campo de ID de interfaz. La Figura 27-14 muestra este formato, llamado formato
EUI-64.
Por ejemplo, las dos líneas siguientes enumeran la dirección MAC de un host y el correspondiente ID
de interfaz en formato EUI-64, asumiendo el uso de una opción de configuración de direcciones que
utiliza el formato EUI-64:
■
Dirección MAC: 0034:5678:9ABC
■
ID de interfaz EUI-64: 0234:56FF:FE78:9ABC
Formato EUI-64
Prefijo del sitio
1ª mitad 2ª mitad
de FFFE de MAC
Voltear el 7º bit
(lectura de izquierda a
derecha) del primer
byte a un 1 binario
ipv6 unicast-routing
RouterA
1
Solicitud de router NDP
"Necesito información del router"MAC:00-19-D2-8C-E0-4C
2
Anuncio del enrutador NDP PC-B
Prefijo: 2001:DB8:AAAA:1::
Longitud del prefijo: /64
3
Prefijo: 2001:DB8:AAAA:1::
ID de interfaz EUI-64: 02-19-D2-FF-FE-8C-E0-4C
Dirección Global Unicast: 2001:DB8:AAAA:1:0219:D2FF:FE8C:E04C Prefix-length: /64
4
Mensaje de solicitud de vecinos NDP - DAD
"¿Hay alguien más en este enlace que utilice la dirección:
Dirección IPv6 de destino: 2001:DB8:AAAA:1:0219:D2FF:FE8C:E04C"
Migración a IPv6
Actualmente se utilizan dos grandes estrategias de transición para migrar a IPv6:
■
Dual-stacking: En este método de integración, un nodo tiene implementación y conectividad
tanto a una red IPv4 como a una red IPv6. Esta es la opción recomendada y consiste en ejecutar
IPv4 e IPv6 al mismo tiempo.
■
Tunneling: El tunneling es un método para transportar paquetes IPv6 a través de redes sólo IPv4
encapsulando el paquete IPv6 dentro de IPv4. Existen varias técnicas de tunneling.
Debido a la simplicidad de ejecutar el apilamiento dual, lo más probable es que sea la estrategia
preferida a medida que empiecen a desaparecer las redes sólo IPv4. Sin embargo, es probable que pasen
décadas antes de que veamos redes empresariales que funcionen exclusivamente con IPv6. La figura 27-
16 ilustra una forma de pensar de Wendell Odom sobre la transición a IPv6: "Pero ¿quién sabe cuánto
tiempo llevará?"
Recuerda este consejo: "Haz una pila doble donde puedas; haz un túnel donde debas". Estos dos
métodos son las técnicas más comunes para la transición de IPv4 a IPv6. El apilamiento dual es bastante
fácil: Basta con configurar todos los dispositivos para que utilicen tanto el direccionamiento IPv4 como
el IPv6. El tunelado es más complejo y va más allá del alcance de los temas del examen CCNA.
Día 27 81
TCP/IP TCP/IP
IPv4 IPv4
TCP/IP
IPv6
TCP/IP TCP/IP
IPv6 IPv6
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Puntos clave
Hoy en día, la mayoría de las grandes redes implementan redes de área local virtuales (VLAN). Sin VLANs,
un conmutador considera que todos los puertos están en el mismo dominio de difusión. Con las VLANs,
los puertos del switch pueden agruparse en diferentes VLANs, esencialmente segmentando el dominio
de difusión. Hoy repasaremos los conceptos de VLAN, consideraremos los tipos de tráfico, discutiremos
los tipos de VLAN y revisaremos el concepto de trunking, incluyendo el Protocolo de Trunking
Dinámico (DTP). Luego revisaremos los comandos para configurar y verificar las VLAN, el trunking y
el enrutamiento entre VLAN.
Conceptos de VLAN
Aunque un conmutador sale de la caja con una sola VLAN, normalmente un conmutador se configura
para tener dos o más VLAN. Con un conmutador de este tipo, se pueden crear múltiples dominios de
difusión poniendo algunas interfaces en una VLAN y otras interfaces en otras VLAN.
Tenga en cuenta estas razones para utilizar las VLAN:
■
Agrupar a los usuarios por departamento en lugar de por ubicación física
■
Segmentar los dispositivos en LANs más pequeñas para reducir la sobrecarga de procesamiento de todos los
dispositivos de la LAN
■
Reducción de la carga de trabajo del STP limitando una VLAN a un único switch de acceso
■
Mejora de la seguridad mediante el aislamiento de los datos sensibles en redes virtuales separadas
■
Separar el tráfico de voz IP del tráfico de datos
■
Ayudar a la resolución de problemas reduciendo el tamaño del dominio de fallo (es decir, el
número de dispositivos que pueden causar un fallo o que pueden ser afectados por uno)
Las ventajas de utilizar las VLAN son las siguientes:
■
Seguridad: Los datos sensibles pueden aislarse en una VLAN, separada del resto de la red.
■
Reducción de costes: La reducción de la necesidad de costosas actualizaciones de la red y
el uso más eficiente del ancho de banda y los enlaces ascendentes existentes conducen a
un ahorro de costes.
■
Mayor rendimiento: La división de las redes planas de capa 2 en múltiples dominios lógicos de
difusión reduce el tráfico innecesario en la red y aumenta el rendimiento.
84 31 días antes de su examen CCNA
■
Mitigación de las tormentas de difusión: La segmentación de la VLAN evita que las tormentas de
difusión se propaguen por toda la red.
■
Facilidad de gestión y resolución de problemas: Un esquema de direccionamiento jerárquico
agrupa las direcciones de red de forma contigua. Dado que un esquema de direccionamiento IP
jerárquico hace que los componentes problemáticos sean más fáciles de localizar, la gestión de la
red y la resolución de problemas son más eficientes.
Tipos de tráfico
La clave para el éxito de la implantación de una VLAN es entender los patrones de tráfico y los distintos
tipos de tráfico de la organización. La Tabla 26-1 enumera los tipos comunes de tráfico de red que hay
que evaluar antes de colocar los dispositivos y configurar las VLAN.
Tipos de VLAN
Algunos tipos de VLAN se definen por el tipo de tráfico que soportan; otros se definen por las
funciones específicas que realizan. A continuación, los principales tipos de VLAN y sus descripciones:
■
VLAN de datos: configurada para transportar sólo el tráfico generado por el usuario,
asegurando que el tráfico de voz y de gestión esté separado del tráfico de datos.
■
VLAN por defecto: todos los puertos de un conmutador son miembros de la VLAN por defecto
cuando el conmutador se restablece a los valores de fábrica. La VLAN por defecto de los
conmutadores Cisco es la VLAN 1. La VLAN 1 tiene todas las características de cualquier VLAN,
excepto que no se le puede cambiar el nombre y no se puede eliminar. Es una buena práctica de
seguridad restringir la VLAN 1 para que sirva de conducto sólo para el tráfico de control de capa 2
(por ejemplo, CDP) y no admita ningún otro tipo de tráfico.
■
VLAN de agujero negro: Una buena práctica de seguridad es definir una VLAN de agujero negro
para que sea una VLAN ficticia distinta de todas las demás VLAN definidas en la LAN
conmutada. Todos los puertos de conmutación no utilizados
Día 26 85
se asignan a la VLAN de agujero negro para que cualquier dispositivo no autorizado que se
conecte a un puerto de switch no utilizado no pueda comunicarse más allá del switch al que está
conectado.
■
VLAN nativa: Este tipo de VLAN sirve como identificador común en los extremos opuestos de un
enlace troncal. Una buena práctica de seguridad es definir una VLAN nativa para que sea una
VLAN ficticia distinta de todas las demás VLAN definidas en la LAN conmutada. La VLAN
nativa no se utiliza para ningún tráfico en la red conmutada, a menos que haya dispositivos de
puente heredados en la red o que exista una interconexión multiacceso entre conmutadores
unidos por un concentrador.
■
VLAN de gestión: El administrador de la red define esta VLAN como medio para acceder a las
capacidades de gestión de un conmutador. Por defecto, la VLAN 1 es la VLAN de gestión. Una de
las mejores prácticas de seguridad es definir la VLAN de gestión como una VLAN distinta de todas
las demás VLAN definidas en la LAN conmutada.
■
VLAN de voz: Una VLAN de voz permite a los puertos del conmutador transportar el tráfico de voz
IP de un teléfono IP. El administrador de la red configura una VLAN de voz y la asigna a los
puertos de acceso. A continuación, cuando un teléfono IP se conecta al puerto del conmutador,
el conmutador envía mensajes CDP que indican al teléfono IP conectado que envíe tráfico de
voz etiquetado con el ID de la VLAN de voz.
P2
F0/18 P1 P3 PC5
Conmutador de 3Puerto
puertos
de acceso
S2
Trunking VLANs
Un tronco VLAN es un enlace Ethernet punto a punto entre una interfaz de conmutación Ethernet
y una interfaz Ethernet de otro dispositivo de red, como un router o un conmutador, que transporta el
tráfico de varias VLAN a través de un único enlace. Un tronco VLAN permite extender las VLANs a
toda una red. Un tronco VLAN no pertenece a una VLAN específica; en cambio, sirve como conducto
para las VLAN entre los conmutadores. La Figura 26-2 muestra una pequeña red conmutada con un
enlace troncal entre S1 y S2 que transporta tráfico de varias VLAN.
VLAN de
invitados PC3
30 -
172.17.30.23
Cuando se coloca una trama en un enlace troncal, se debe añadir a la trama información sobre la VLAN
a la que pertenece. Esto se consigue utilizando el etiquetado de tramas IEEE 802.1Q. Cuando un
conmutador recibe una trama en un puerto configurado en modo de acceso y destinada a un
dispositivo remoto a través de un enlace troncal, el conmutador desmonta la trama e inserta una
etiqueta VLAN, recalcula la secuencia de comprobación de trama (FCS) y envía la trama etiquetada
por el puerto troncal. La Figura 26-3 muestra la etiqueta 802.1Q insertada en una trama Ethernet.
(Nuevo)
La Tabla 26-2 resume los resultados de las negociaciones DTP basados en los diferentes
comandos de configuración DTP en los puertos locales y remotos.
Puertos
G0/1-2 son interfaces troncales
VLAN 1 - Tráfico de control - 172.17.1.0/24 802.1Q con VLAN nativa 99
VLAN 10PC1
- Facultad/Personal
172.17.10.21 - 172.17.10.0/24 S1 PC4 172.17.10.24
G0/1 G0/2
VLAN 10 - 172.17.20.0/24
VLAN 20 - Estudiantes VLAN
F0/11-17 10 en la
están
VLAN 30 - Invitado (por defecto) - 172.17.30.0/24 VLAN 15 F0/18-24
F0/11 F0/11 están en la VLAN 25
VLAN 99 - Gestión y nativa - 172.17.99.0/24
G0/1G0/2
F0/18S2 S3F0/18
F0/6 F0/6
PC2 172.17.20.22 PC5 172.17.20.25
VLAN 20 VLAN 20
PC3 PC6
172.17.30.23 172.17.30.26
VLAN 30 VLAN 30
La configuración por defecto de un conmutador Cisco es poner todas las interfaces en la VLAN 1.
Puede verificar esto con el comando show vlan brief, como se demuestra para S2 en el Ejemplo
26-1.
Día 26 89
1defaultactiveFa0/1, Fa0/2,
Fa0/3, Fa0/4 Fa0/5, Fa0/6,
Fa0/7, Fa0/8 Fa0/9, Fa0/10,
Fa0/11, Fa0/12 Fa0/13, Fa0/14,
Fa0/15, Fa0/16 Fa0/17, Fa0/18,
Fa0/19, Fa0/20 Fa0/21, Fa0/22,
Fa0/23, Fa0/24 Gig0/1, Gig0/2
1002 fddi-defaultactive
1003 token-ring-default activo
1004 fddinet-defaultactive
1005 trnet-
defaultactive S2#
Una VLAN se crea de dos maneras: en el modo de configuración global o directamente en la interfaz.
La ventaja de configurar en modo de configuración global es que se puede asignar un nombre con el
comando name vlan-name. La ventaja de configurar la VLAN en modo de configuración de interfaz
es que se asigna la VLAN a la interfaz y se crea la VLAN con un solo comando. Sin embargo, para
asignar un nombre a la VLAN, hay que volver a la configuración global
método. El ejemplo 26-2 muestra la creación de las VLANs 10 y 20 utilizando estos dos métodos.Se
nombra la VLAN 20 y se crean las restantes VLANs en el modo de configuración global.
S2# config t
Introduzca los comandos de configuración, uno por línea. Termine
con CNTL/Z. S2(config)# vlan 10
S2(config-vlan)# nombre Facultad/Personal
S2(config-vlan)# interfaz fa0/18
S2(config-if)# switchport access vlan 20
% La VLAN de acceso no existe. Crear vlan 20
S2(config-if)# vlan 20
S2(config-vlan)# nombre Estudiantes
S2(config-vlan)# vlan 30
S2(config-vlan)# nombre Guest(por defecto)
S2(config-vlan)# vlan 99
S2(config-vlan)# nombre Gestión&Nativa
S2(config-vlan)# end
%SYS-5-CONFIG_I: Configurado desde la consola por la
consola S2#
90 31 días antes de su examen CCNA
Observe en el Ejemplo 26-3 que se han creado todas las VLANs, pero sólo la VLAN 20 está asignada a
una interfaz.
Nombre de la VLANEstadoPuertos
1 defaultactiveFa0/1, Fa0/2,
Fa0/3, Fa0/4 Fa0/5, Fa0/6,
Fa0/7, Fa0/8 Fa0/9, Fa0/10,
Fa0/11, Fa0/12 Fa0/13, Fa0/14,
Fa0/15, Fa0/16 Fa0/17, Fa0/19,
Fa0/20, Fa0/21 Fa0/22, Fa0/23,
Fa0/24, Gig1/1 Gig1/2
10 Facultad/Personal Activo
20 AlumnosactivosFa0/18
30 Invitado (por defecto) activo
99 Management&Native activo
1002 fddi-default activo 1003
token-ring-default activo 1004
fddinet-default activo 1005
trnet-default activo S2#
Para asignar las interfaces restantes a las VLANs especificadas en la Figura 26-4, se puede configurar
una interfaz a la vez o se puede utilizar el comando range para configurar todas las interfaces
que pertenecen a una VLAN con un solo comando, como se muestra en el Ejemplo 26-4.
S2# config t
Introduzca los comandos de configuración, uno por línea. Termine
con CNTL/Z. S2(config)# interfaz rango fa 0/11 - 17
S2(config-if-range)# switchport access vlan 10
S2(config-if-range)# interface range fa 0/18 - 24
S2(config-if-range)# switchport access vlan 20
S2(config-if-range)# interface range fa 0/6 - 10
S2(config-if-range)# switchport access vlan 30
S2(config-if-range)# end
%SYS-5-CONFIG_I: Configurado desde la consola por la consola
S2#
Día 26 91
El comando show vlan brief del Ejemplo 26-5 verifica que todas las interfaces especificadas en la
Figura 26-4 han sido asignadas a la VLAN apropiada. Observe que las interfaces no asignadas siguen
perteneciendo a la VLAN 1 por defecto.
También puede verificar la asignación de la VLAN de una interfaz específica con el número de tipo de interfaces
show
switchport, como se muestra para FastEthernet 0/11 en el Ejemplo 26-6.
Para la topología de ejemplo mostrada en la Figura 26-4, también se configurarían las VLANs en S1 y
S3, pero sólo S3 necesita VLANs asignadas a interfaces.
S1# config t
Introduzca los comandos de configuración, uno por línea. Termine
con CNTL/Z. S1(config)# interfaz vlan 99
%LINK-5-CHANGED: Interfaz Vlan99, ha cambiado el estado
a up S1(config-if)# dirección ip 172.17.99.31
255.255.255.0 S1(config-if)# end
%SYS-5-CONFIG_I: Configurado desde la consola por la consola
S1#
Luego repetimos la configuración en S2 y S3. La dirección IP se utiliza para probar la conectividad con
el conmutador, al igual que la dirección IP que el administrador de la red utiliza para el acceso remoto
(Telnet, SSH, SDM, HTTP, etc.).
Dependiendo del modelo de conmutador y de la versión de Cisco IOS, es posible que la DTP ya
haya establecido la conexión troncal entre dos conmutadores que están conectados directamente.
Por ejemplo, la configuración troncal por defecto de los switches 2950 es dinámica deseable. Por lo
tanto, un 2950 inicia las negociaciones troncales. Para nuestros propósitos, supongamos que los switches
son todos 2960. La configuración troncal por defecto del 2960 es dinámica automática, y en esta
configuración, la interfaz no inicia las negociaciones troncales.
Día 26 93
En el Ejemplo 26-8, las primeras cinco interfaces en S1 están configuradas para trunking. Observe
también que la VLAN nativa se ha cambiado a la VLAN 99.
S1# config t
Introduzca los comandos de configuración, uno por línea. Termine
con CNTL/Z. S1(config)# rango de interfaz g0/1 - 2
S1(config-if-range)# switchport mode trunk
S1(config-if-range)# switchport trunk native vlan 99
S1(config-if-range)# end
%SYS-5-CONFIG_I: Configurado desde la consola por la
consola S1#
%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/1
(99), with S2 FastEthernet0/1 (1).
%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/3
(99), con S3 FastEthernet0/3 (1).
Si espera la siguiente ronda de mensajes CDP, debería obtener el mensaje de error que se muestra
en el Ejemplo 26-8. Aunque el trunk está funcionando entre S1 y S2 y entre S1 y S3, los switches no
están de acuerdo con la VLAN nativa. Repita los comandos de trunking en S2 y S3 para corregir el
desajuste de la VLAN nativa.
La serie 2960 sólo soporta 802.1Q, por lo que este comando no está disponible.
Para verificar que el trunking está operativo, utilice los comandos del Ejemplo 26-9.
PortVlans permitidos
en el tronco Gig0/1 1-1005
Gig0/2 1-1005
PortVlans permitidos y activos en el dominio
de gestión Gig0/1 1,10,20,30,99
Gig0/2 1,10,20,30,99
94 31 días antes de su examen CCNA
Recuerde que los hosts de la misma VLAN deben estar configurados con una dirección IP y una
máscara de subred en la misma subred. La prueba definitiva de su configuración, entonces, es verificar
que los dispositivos finales en la misma VLAN ahora pueden hacer ping entre sí. Si no pueden, utilice
los comandos de verificación para localizar sistemáticamente el problema de su configuración.
mostrar vlan
mostrar vlan mostrar interfaces
mostrar tabla de direcciones mac mostrar interfaces switchport
No No
Paso 1. Utilice el comando show vlan para comprobar si el puerto pertenece a la VLAN
esperada. Si el puerto está asignado a una VLAN incorrecta, utilice el comando
switchport access vlan para corregir la pertenencia a la VLAN. Paso 2. Utilice el
comando show mac address-table para comprobar qué direcciones se han
aprendido en un puerto concreto del switch y ver la VLAN a la que está asignado
ese puerto.
Paso 2. Si la VLAN a la que está asignado el puerto se borra, el puerto pasa a estar inactivo. Utilice
el comando show vlan o show interfaces switchport para descubrir los problemas de
las VLANs borradas. Si el puerto está inactivo, no será funcional hasta que se cree la
VLAN que falta mediante el comando vlan vlan_id.
La Tabla 26-3 resume estos comandos, que pueden ser especialmente útiles para solucionar problemas
de VLAN.
VLANs deshabilitadas
Las VLANs pueden ser deshabilitadas manualmente.Se puede verificar que las VLANs están activas
usando el comando show vlan. Como muestra el Ejemplo 26-10, las VLANs pueden estar en uno de
dos estados: activo o act/lshut. El segundo de estos estados significa que la VLAN está apagada.
1 defaultactiveFa0/1, Fa0/2,
Fa0/3, Fa0/4 Fa0/5, Fa0/6,
Fa0/7, Fa0/8 Fa0/9, Fa0/10,
Fa0/11, Fa0/12 Fa0/14, Fa0/15,
Fa0/16, Fa0/17 Fa0/18, Fa0/19,
Fa0/20, Fa0/21 Fa0/22, Fa0/23,
Fa0/24, Gi0/1
10 VLAN0010act/lshutFa0/13
20 VLAN0020activa
30 VLAN0030act/lshut
40
Los comandos resaltados en el Ejemplo 26-10 muestran los dos métodos de configuración que se
pueden utilizar para habilitar una VLAN que había sido apagada.
1
2 Marco de descarte
VLAN 10 Eth. Marco
Gi0/1 Gi0/2
S1 Lista de permitidos: 1–10 Lista de permitidos: 1–9 S2
Puede aislar este problema sólo comparando las listas permitidas en ambos extremos del
tronco. El ejemplo 26-9 muestra la salida del comando show interfaces trunk en S2.
Para comparar las VLANs permitidas en cada conmutador, necesita mirar la segunda de las tres listas
de VLANs listadas por el comando show interfaces trunk. Vea la salida en el Ejemplo 26-11.
PortVlans permitidos
en la troncal Gi0/21-4094
La palabra clave add proporciona la capacidad de añadir una o más VLANs al tronco sin tener que
especificar de nuevo todas las VLANs existentes que ya están permitidas.
98 31 días antes de su examen CCNA
Ejemplo 26-12 Verificación del estado del tronco para una interfaz específica
Compruebe siempre el estado operativo del tronco en ambos lados del mismo. Los mejores
comandos para comprobar los hechos relacionados con el tronco son show interfaces trunk y
show interfaces switchport.
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Temas clave
La revisión de hoy cubre el funcionamiento y la configuración del Protocolo de Árbol de expansión
(STP). El estándar original de STP IEEE 802.1D permitía la ejecución de una sola instancia de STP
para toda una red conmutada. Los administradores de redes actuales pueden implementar el árbol de
expansión por VLAN (PVST) y el STP rápido (RSTP), que mejoran el estándar original.
Acceda a
Distribución
Núcleo
Distribución
Acceda a
Centro de datos
WAN Internet
Algoritmo STP
El STP es un estándar del Comité IEEE definido como 802.1D. El STP coloca ciertos puertos en estado
de bloqueo para que no escuchen, reenvíen o inunden tramas de datos. STP crea un árbol que asegura
que sólo existe una ruta para cada segmento de la red en cualquier momento. Si algún segmento
experimenta una interrupción en la conectividad, STP reconstruye un nuevo árbol activando la ruta
previamente inactiva pero redundante.
El algoritmo que utiliza STP elige las interfaces que deben pasar a estado de reenvío. En el caso de las
interfaces no elegidas para estar en estado de reenvío, el STP las coloca en estado de bloqueo.
Los switches intercambian mensajes de configuración del STP cada 2 segundos, por defecto, utilizando una
multidifusión
La trama llamada unidad de datos de protocolo de puente (BPDU). Los puertos bloqueados escuchan
estas BPDU para detectar si el otro lado del enlace está caído, lo que requiere un recálculo del STP.
Una de las informaciones incluidas en la BPDU es el ID del puente (BID).
Como muestra la Figura 25-2, el BID es único para cada switch. Consta de un valor de prioridad (2
bytes) y la dirección MAC del puente (6 bytes).
2 Bytes 6 Bytes
Dirección
MAC
Día 25 101
La prioridad por defecto es de 32.768. El puente raíz es el puente con el BID más bajo. Por lo tanto, si
no se cambia el valor de la prioridad por defecto, el switch con la dirección MAC más baja se convierte
en la raíz.
Convergencia STP
La convergencia STP es el proceso por el cual los switches se dan cuenta colectivamente de que
algo ha cambiado en la topología de la LAN. Los switches determinan si necesitan cambiar qué
puertos bloquean y
qué puertos reenviar. Los siguientes pasos resumen el algoritmo STP utilizado para lograr la convergencia:
Paso 1. Elegir un puente raíz (es decir, el switch con el BID más bajo). Sólo puede existir un
puente raíz por red. Todos los puertos del puente raíz son puertos de reenvío.
Paso 2. Elija un puerto raíz para cada switch no raíz, basándose en el menor coste de la ruta
raíz. Cada conmutador no raíz tiene un puerto raíz. El puerto raíz es el puerto a través
del cual el puente no raíz tiene su mejor camino hacia el puente raíz.
Paso 3. Elegir un puerto designado para cada segmento, basándose en el menor coste de la ruta
raíz. Cada enlace tiene un puerto designado.
Paso 4. Los puertos raíz y los puertos designados pasan al estado de reenvío, y los demás
puertos permanecen en el estado de bloqueo.
La Tabla 25-1 resume las razones por las que el STP coloca un puerto en estado de reenvío o de bloqueo.
El ancho de banda del puerto se utiliza para determinar el coste para alcanzar el puente raíz. La Tabla
25-2 enumera los costes de puerto por defecto definidos por el IEEE; éstos tuvieron que ser
revisados con la llegada de los puertos de 10 Gbps.
El STP utiliza los cuatro estados de la Figura 25-3 como transiciones de puertos de bloqueo a reenvío.
Bloqueo
(Pérdida de BPDU
detectada) (Edad máxima
Un quinto Reenvío
estado, desactivado, se produce cuando un administrador de red desactiva manualmente el
puerto o cuando una violación de seguridad desactiva el puerto.
Bloqueo (se
mueve a la
Escucha (retardo escucha
Aparece el
de avance = 15 segundos) Después de
Variedades de STP decidir si es
un puerto raíz
Tras el IEEE 802.1D original surgieron varias variedades de STP:
■
STP: La Aprendizaje
especificación original de STP, definida en 802.1D, proporciona una topología sin bucles en
(retardo de con
una red avance = 15 redundantes. El STP se denomina a veces árbol de expansión común (CST)
enlaces
porque asume una instancia de árbol de expansión para toda la red puenteada, independientemente
del número de VLAN.
■
PVST+: Per-VLAN Spanning Tree Plus (PVST+) es una mejora de Cisco de STP que proporciona
una instancia de árbol de expansión 802.1D independiente para cada VLAN configurada en la
red.
■
RSTP: El STP rápido (RSTP), o IEEE 802.1w, es una evolución del STP que proporciona una
convergencia más rápida que el STP. Sin embargo, el RSTP sigue proporcionando una única
instancia de STP.
■
PVST+ rápido: Rapid PVST+ es una mejora de Cisco de RSTP que utiliza PVST+. Rapid
PVST+ proporciona una instancia independiente de 802.1w por VLAN.
■
MSTP y MST: El Protocolo de Árbol de Expansión Múltiple (MSTP) es un estándar IEEE
inspirado en la anterior implementación de STP de Instancia Múltiple (MISTP), propiedad de
Cisco. MSTP asigna varias VLAN a la misma instancia del árbol de expansión. La
implementación de MSTP de Cisco
es el árbol de expansión múltiple (MST), que proporciona hasta 16 instancias de RSTP y combina
muchas VLAN con la misma topología física y lógica en una instancia RSTP común.
Día 25 103
Funcionamiento de PVST
PVST Plus (PVST+) es la configuración predeterminada en todos los conmutadores Cisco Catalyst.
En un entorno PVST+, se pueden ajustar los parámetros de spanning-tree para que la mitad de las
VLAN se reenvíen por cada enlace ascendente.
de las VLANs en la red y un segundo switch para ser elegido como puente raíz para la otra mitad de las
VLANs. En el ejemplo de la Figura 25-4, S1 es el puente raíz para la VLAN 10, y S3 es el puente raíz
para la VLAN 20.
F0/3 F0/2
Puerto de reenvío VLAN 20 Puerto de bloqueo para VLAN 10 Puerto de reenvío para la VLAN 10 Puerto de bloqueo para
S2
VLAN 10
VLAN 20
Desde la perspectiva de S2, un puerto está reenviando o bloqueando dependiendo de la instancia VLAN.
Tras la convergencia, el puerto F0/2 reenviará tramas de la VLAN 10 y bloqueará tramas de la VLAN
20. El puerto F0/3 reenvía tramas de la VLAN 20 y bloquea tramas de la VLAN 10.
104 31 días antes de su examen CCNA
Las redes conmutadas que ejecutan PVST+ tienen las siguientes características:
■
La configuración de PVST por VLAN permite aprovechar al máximo los enlaces redundantes.
■
Cada instancia de árbol de expansión adicional para una VLAN añade más ciclos de CPU a todos
los conmutadores de la red.
Estados portuarios
El árbol de expansión se determina inmediatamente después de que un switch termine de arrancar. Si un
puerto del switch pasa directamente del estado de bloqueo al estado de reenvío sin información
sobre la topología completa durante la transición, el puerto puede crear temporalmente un bucle de
datos. Por esta razón, el STP introduce los cinco estados de puerto. La Tabla 25-4 describe los estados
de puerto que garantizan que no se creen bucles durante la creación del árbol de expansión lógico.
ID de puente sin el ID
de sistema extendido Prioridad del puente
Dirección MAC
2 Bytes 6 Bytes
ID del puente = 8 Bytes
ID de puente extendido
con ID de sistema = Priorid ID del
VLAN Dirección MAC
ad del sistema
puente ampliado
4 Bits12 Bits48Bits
Día 25 105
Con el RSTP, el IEEE mejoró el rendimiento de convergencia del STP de 50 segundos a menos
de 10 segundos con su definición de STP rápido (RSTP) en el estándar 802.1w. RSTP es idéntico a STP
en los siguientes aspectos:
■
Elige el conmutador raíz utilizando los mismos parámetros y desempates.
■
Elige el puerto raíz en los switches que no son raíz utilizando las mismas reglas.
■
Elige los puertos designados en cada segmento de la LAN utilizando las mismas reglas.
■
Coloca cada puerto en estado de reenvío o de descarte, aunque el RSTP llama al estado de bloqueo
el estado de descarte.
El RSTP elimina la necesidad del estado de escucha y reduce el tiempo requerido para el estado
de aprendizaje descubriendo activamente el nuevo estado de la red. El STP espera pasivamente las
nuevas BPDU y reacciona a ellas durante los estados de escucha y aprendizaje. Con el RSTP, los
switches negocian con los switches vecinos enviando mensajes RSTP. Los mensajes permiten a los
conmutadores determinar rápidamente si una interfaz puede pasar inmediatamente a un estado de
reenvío. En muchos casos, el proceso dura sólo uno o dos segundos para todo el dominio RSTP.
F0/4 F0/4
Puente raíz
S3 S1
F0/1 F0/2
F0/3 F0/2
S2
Puertos de borde
Además de los roles de puerto que acabamos de describir, el RSTP utiliza un concepto de puerto
de borde que se corresponde con la función PVST+ PortFast. Un puerto de borde se conecta
directamente a un dispositivo final. Por lo tanto, el switch asume que ningún otro switch está conectado
a él. Los puertos de borde RSTP deben pasar inmediatamente al estado de reenvío, con lo que se saltan
los estados de escucha y aprendizaje del puerto original 802.1D, que tanto tiempo consumen. La única
advertencia es que el puerto debe ser un enlace punto a punto. Si se trata de un enlace compartido, el
puerto no es un puerto de borde y no debe configurarse PortFast. ¿Por qué? Otro conmutador podría
añadirse a un enlace compartido, a propósito o sin querer. La Figura 25-7 muestra ejemplos de puertos
de borde.
Puente raíz
S3 S1
S2 S4
PC2 PC3
PC1
Base de datos
108 31 días antes de su examen CCNA
Configuración y verificación de
variedades de STP
Por defecto, todos los switches Cisco utilizan el STP sin necesidad de que el administrador de la red lo
configure. Sin embargo, dado que el STP se ejecuta por VLAN, se pueden aprovechar varias opciones
para equilibrar la carga del tráfico en los enlaces redundantes.
100 Mbps: 19
10 Mbps: 100
Prioridad del puerto VLAN del árbol de
expansión (configurable por VLAN) 128
100 Mbps: 19
10 Mbps: 100
Temporizadores del árbol de expansiónTiempo de saludo : 2 segundos
La Figura 25-8 muestra una topología STP simple de tres switches sin enlaces redundantes.
Tronco3
S3F0/1 F0/2 F0/2S1 F0/1
Tronco2 Tronco1
F0/2 F0/1
S2
F0/11 F0/13
F0/12
El administrador de la red quiere asegurarse de que S1 sea siempre el puente raíz y que S2 sea el
puente raíz de reserva. Los siguientes comandos logran este objetivo:
S1(config)# spanning-tree vlan 1 root primary
!---------
S2(config)# spanning-tree vlan 1 root secondary
NOTA: En este ejemplo, estos comandos cambiaron los valores de prioridad sólo para
la VLAN 1. Se deben introducir comandos adicionales para cada VLAN para aprovechar
el equilibrio de carga.
Para verificar las instancias del árbol de expansión y los puentes raíz actuales, utilice el comando show
spanning-tree
(ver Ejemplo 25-1).
VLAN0001
Protocolo de árbol de expansión
habilitado i e e e Root
IDPriority24577
Address001b.5302.4e80
Este puente es la raíz
Tiempo de bienvenida 2 seg. Edad máxima 20 seg. Retraso de avance 15
seg.
Dado que se utiliza un ID de sistema ampliado en el BID, el valor de la prioridad incluye la adición del
ID de la VLAN. Por lo tanto, una prioridad de 24576 más una VLAN de 1 da como resultado una salida
de prioridad de 24577.
Como alternativa, puede configurar los comandos globales spanning-tree portfast default y
spanning-tree bpduguard default, que habilitan PortFast y BPDU Guard en todos los puertos de acceso.
Muestra información del STP sólo para las interfaces activasSwitch# show
spanning-tree active Muestra información abreviada para todas las instancias del STP Switch#
show spanning-tree bridge Muestra información detallada para todas las instancias
del STPSwitch# show spanning-tree
detail Muestra información del STP para la interfaz especificada Switch# show spanning-tree
interfaz interfaz-id
Muestra la información del STP para la VLANSwitch# show spanning-tree vlan vlan-id especificada
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Temas clave
La tecnología EtherChannel permite agrupar varias interfaces físicas en un canal lógico para
aumentar el ancho de banda en los enlaces punto a punto. Además, EtherChannel proporciona
una forma de evitar la necesidad de convergencia del Protocolo de Árbol de Expansión (STP) cuando
se produce un solo puerto o un fallo de cable.
La mayoría de los dispositivos finales no almacenan rutas para llegar a redes remotas. En su lugar, un
dispositivo final suele estar configurado con una pasarela por defecto que se encarga del enrutamiento
del dispositivo. ¿Pero qué pasa si esa pasarela por defecto falla? Para garantizar que un dispositivo
siga teniendo acceso a las redes remotas, hay que implementar algún tipo de redundancia de pasarela
por defecto en la red. Esa es la función de los protocolos de redundancia de primer salto (FHRP).
Funcionamiento de EtherChannel
EtherChannel, una tecnología desarrollada por Cisco, puede agrupar hasta ocho enlaces de igual
velocidad entre dos conmutadores, como se puede ver entre los dos conmutadores de la capa de
distribución en la Figura 24-1.
EtherChannel EtherChannel
114 31 días antes de su examen CCNA
STP ve el conjunto de enlaces como una única interfaz. Como resultado, si al menos uno de los
enlaces está activo, la convergencia STP no tiene que producirse. De esta forma se aprovecha
mucho mejor el ancho de banda disponible y se reduce el número de veces que el STP debe
converger. Sin el uso de EtherChannel o la modificación de la configuración de STP, éste
bloquearía todos los enlaces excepto uno.
Ventajas de EtherChannel
Cuando se configura EtherChannel, la interfaz virtual resultante se denomina canal de puertos. Las
interfaces físicas se agrupan en una interfaz de canal de puertos. EtherChannel tiene las siguientes
ventajas:
■
La mayoría de las tareas de configuración pueden realizarse en la interfaz EtherChannel
en lugar de en cada puerto individual, lo que garantiza la coherencia de la
configuración en todos los enlaces.
■
EtherChannel se basa en los puertos de los conmutadores existentes para aumentar el ancho de banda.
No es necesario actualizar el hardware.
■
El equilibrio de carga es posible entre los enlaces que forman parte del mismo EtherChannel.
(La configuración del equilibrio de carga está fuera del alcance del examen CCNA).
■
EtherChannel crea una agregación que STP reconoce como un enlace lógico.
■
EtherChannel proporciona redundancia. La pérdida de un enlace físico no crea un cambio en la
topología.
Restricciones de aplicación
Tenga en cuenta algunas limitaciones al implementar EtherChannel en los conmutadores Cisco 2960
Catalyst:
■
Los tipos de interfaz, como Fast Ethernet y Gigabit Ethernet, no pueden mezclarse dentro del
mismo EtherChannel.
■
Cada EtherChannel puede constar de hasta ocho puertos Ethernet configurados de forma compatible.
■
El software Cisco IOS admite actualmente hasta seis EtherChannels.
■
Algunos servidores también admiten EtherChannel al conmutador para aumentar el ancho de banda;
sin embargo, el servidor necesita entonces al menos dos EtherChannels para proporcionar
redundancia, ya que sólo puede enviar tráfico a un conmutador a través del EtherChannel.
■
La configuración de EtherChannel debe ser coherente en los dos conmutadores. La
configuración de trunking (VLAN nativa, VLANs permitidas, etc.) debe ser la misma. Además,
todos los puertos deben ser de capa 2.
■
Todos los puertos del EtherChannel deben ser de capa 2, o todos los puertos del
EtherChannel deben ser de capa 3.
Protocolos EtherChannel
Puede configurar EtherChannel como estático o incondicional; sin embargo, también puede utilizar dos
protocolos para configurar el proceso de negociación: Port Aggregation Protocol (PAgP, que es
propiedad de Cisco) y Link Aggregation Control Protocol (LACP, que es IEEE 802.3ad). Estos dos
protocolos garantizan que los dos lados del enlace tengan configuraciones compatibles: la misma
velocidad, configuración dúplex e información VLAN. Los modos de cada uno difieren ligeramente.
G0/1 G0/1
■
Pasivo: La interfaz responde a los paquetes LACP que recibe pero no inicia la negociación
LACP.
Al igual que con PAgP, los modos LACP deben ser compatibles en los dos lados del EtherChannel. Por
ejemplo, Sw1 y Sw2 en la Figura 24-2 deben ser configurados con una combinación particular de
ajustes, como se muestra en la Tabla 24-2.
Configuración de EtherChannel
Para implementar EtherChannel, siga estos pasos:
Paso 1. Especifique las interfaces que desea agrupar en un solo enlace utilizando la opción
comando de rango de interfaces.
Utilizando la topología de la Figura 24-2, suponga que Sw1 ya está configurado para EtherChannel con
trunking G0/1 y G0/2. La VLAN nativa es la 86. Las VLANs permitidas son 1, 10, 20 y 86.
EtherChannel se activa de forma forzada. No se necesita PAgP o LACP. El ejemplo 24-1 muestra
la configuración para Sw2.
Día 24 117
Al configurar PAgP o LACP, utilice la palabra clave de modo apropiada para el comando channel-
group. Sólo hay que asegurarse de que los comandos de ambos lados del canal son compatibles, según
las Tablas 24-1 y 24-2.
Verificación de EtherChannel
Si ha configurado el direccionamiento de gestión, puede verificar rápidamente ambos lados de un
paquete EtherChannel haciendo ping a través del tronco. Los dos conmutadores deberían poder hacer
ping el uno al otro. Los dispositivos configurados como miembros de las distintas VLAN también
deberían poder hacer ping entre sí.
Para verificar la configuración, utilice el comando show run (ver Ejemplo 24-2).
Para verificar el estado operativo de una interfaz específica en el paquete EtherChannel, utilice el
comando show interface switchport (véase el Ejemplo 24-4).
Núcleo
En la figura, las interfaces G0/0 en R1 y R2 están configuradas con las direcciones IP mostradas.
Sin embargo, ambos routers también están configurados con la dirección IP virtual. Esta dirección IP
virtual es la dirección de la pasarela por defecto configurada en los dispositivos finales. Un protocolo de
redundancia proporciona el mecanismo para determinar qué router debe tomar el papel activo en el
reenvío de tráfico. También determina cuándo un router de reserva debe asumir el papel de reenvío. La
transición de un router de reenvío a otro es transparente para los dispositivos finales. Esta capacidad de
una red para recuperarse dinámicamente del fallo de un dispositivo que actúa como pasarela por
defecto se conoce como redundancia de primer salto.
Independientemente del FHRP que se implemente, los siguientes pasos tienen lugar cuando el router activo falla:
Paso 1. El router en espera deja de ver los mensajes hello del router de reenvío.
Paso 3. Como el nuevo router de reenvío asume tanto las direcciones IP como MAC del
router virtual, las estaciones finales no reconocen una interrupción del servicio.
FHRP
La siguiente lista define las tres opciones disponibles para los FHRP:
■
Protocolo de router en espera en caliente (HSRP): Un FHRP propietario de Cisco diseñado
para permitir la conmutación por error transparente de un dispositivo IPv4 de primer salto. La
función del router en espera HSRP es supervisar el estado operativo del grupo HSRP y asumir
rápidamente la responsabilidad del reenvío de paquetes si el router activo falla. HSRP para IPv6
proporciona soporte para redes IPv6.
■
Protocolo de Redundancia de Enrutadores Virtuales (VRRP): Un estándar del IETF que
asigna dinámicamente la responsabilidad de uno o más routers virtuales a los routers VRRP de
una LAN IPv4. Su funcionamiento es similar al de HSRP. VRRPv3 es compatible con IPv4 e
IPv6.
■
Protocolo de equilibrio de carga de pasarela (GLBP): Un FHRP propietario de Cisco que
protege el tráfico de datos de un router o circuito fallido, como en HSRP y VRRP, a la vez que
permite el equilibrio de carga (también llamado reparto de carga) entre un grupo de routers
redundantes. GLBP para IPv6 proporciona soporte para redes IPv6.
El examen CCNA cubre el HSRP.
Día 24 121
Versiones de HSRP
Cisco IOS utiliza por defecto la versión 1 de HSRP. La Tabla 24-3 compara la versión 1 y la versión 2 de HSRP.
NOTA: Los tres últimos dígitos hexadecimales de la dirección MAC virtual indican
el número de grupo configurado. Los números de grupo son importantes para
configuraciones HSRP más avanzadas, que están fuera del alcance del examen
CCNA.
122 31 días antes de su examen CCNA
La interfaz debe estar en la misma subred que el otro u otros routers HSRP. El número de grupo y la
dirección IP virtual deben ser los mismos en todos los routers HSRP.
A menos que se utilice el comando de prioridad, el primer router configurado se convierte en el
router activo de HSRP. Por lo tanto, aunque en el Ejemplo 24-5 el R1 se configura primero, se incluye
una configuración de prioridad para asegurarse de que el R1 sea siempre el router activo. Además, para
asegurarse de que el R1 retome el rol de router activo después de perder la conectividad, se
configura el comando standby preempt.
Para verificar que el HSRP está en funcionamiento, utilice el comando show standby o la
versión breve del comando, como en el Ejemplo 24-6.
El comando show standby brief muestra la información más pertinente que puede necesitar en
unas pocas líneas de salida. El comando show standby, más verboso, proporciona información
adicional, como el número de cambios de estado, la dirección MAC virtual, los hellos y el nombre del
grupo.
Núcleo
IPs virtuales
R1 10.1.10.254 R2
Activo G0/0.10 10.1.10.1 10.1.20.254 G0/0.10 10.1.10.2 En espera
Standby G0/0.20 10.1.20.1 G0/0.20 10.1.20.2 Activo
PC1PC2
VLAN 10
VLAN 20
10.1.10.10
10.1.20.20
Para implementar el equilibrio de carga HSRP para diferentes VLANs, configure el R1 como el router
activo para la mitad de las VLANs y el R2 como el router activo para la otra mitad de las VLANs (ver
Ejemplo 24-7).
interfaz GigabitEthernet0/0 no
ip address
duplex auto
velocidad
auto
!
interface GigabitEthernet0/0.10
encapsulation dot1Q 10
dirección ip 10.1.10.1 255.255.255.0
versión de espera 2
standby 1 ip 10.1.10.254
espera 1 prioridad 150
standby 1 preempt
!
interface GigabitEthernet0/0.20
encapsulation dot1Q 20
dirección ip 10.1.20.1 255.255.255.0
versión de espera 2
standby 1 ip 10.1.20.254
Día 24 125
interfaz GigabitEthernet0/0 no
ip address
duplex auto
velocidad
auto
!
interface GigabitEthernet0/0.10
encapsulation dot1Q 10
dirección ip 10.1.10.2 255.255.255.0
versión de espera 2
standby 1 ip 10.1.10.254
!
interface GigabitEthernet0/0.20
encapsulation dot1Q 20
dirección ip 10.1.20.2 255.255.255.0
versión de espera 2
standby 1 ip 10.1.20.254
espera 1 prioridad 150
standby 1 preempt
!
Para verificar que el HSRP con equilibrio de carga está operativo, utilice el comando show standby o el
versión breve del comando (ver Ejemplo 24-8).
1150Activelocal10.1.20.110.1.20.254
126 31 días antes de su examen CCNA
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Temas clave
Imagina que tienes que configurar manualmente la dirección IP de cada dispositivo que quieras
conectar a la red. Además, imagina que tienes que escribir la dirección IP de cada sitio web que
quieres visitar. Hoy revisamos los dos protocolos que automatizan este proceso: El protocolo de
configuración dinámica de host (DHCP) y el sistema de nombres de dominio (DNS). DHCP y DNS
facilitan la vida de los usuarios de Internet. También repasamos cómo verificar la configuración IP de
los dispositivos finales para Windows, macOS y Linux.
DHCPv4
DHCPv4 permite a un host obtener una dirección IP de forma dinámica cuando se conecta a la red. El
cliente DHCPv4 se pone en contacto con el servidor DHCPv4 enviando una solicitud de dirección IP. El
servidor DHCPv4 elige una dirección de un rango configurado de direcciones llamado pool y la
asigna al cliente host por un periodo determinado. La Figura 23-1 muestra gráficamente el proceso por
el cual un servidor DHCPv4 satisface una solicitud de un cliente DHCPv4.
Cuando un dispositivo configurado con DHCPv4 arranca o se conecta a la red, el cliente emite un
paquete DHCPDISCOVER para identificar cualquier servidor DHCPv4 disponible en la red. Un
servidor DHCPv4 responde con un DHCPOFFER, que es un mensaje de oferta de arrendamiento con
una dirección IP asignada, una máscara de subred, un servidor DNS y la información de la puerta de
enlace predeterminada, así como la duración del arrendamiento.
El cliente puede recibir varios paquetes DHCPOFFER si la red local tiene más de un servidor
DHCPv4. El cliente elige la primera oferta y emite un paquete DHCPREQUEST que identifica el
servidor explícito y la oferta de arrendamiento que está aceptando.
Suponiendo que la dirección IP sigue siendo válida, el servidor elegido devuelve un mensaje
DHCPACK (acuse de recibo), finalizando el arrendamiento. Si la oferta ya no es válida por alguna
razón, el servidor elegido responde al cliente con un mensaje DHCPNAK (acuse de recibo negativo).
Una vez arrendado, el cliente renueva antes de la expiración del arrendamiento mediante otra
DHCPREQUEST. Si el cliente se apaga o se retira de la red, la dirección se devuelve al pool para
su reutilización.
128 31 días antes de su examen CCNA
ServidorCliente
DHCP
DHCPDISCOVER Transmisión
1
Unicast DHCPOFFER
2 3
Difusión de DHCPREQUEST
"He examinado su oferta y me gusta".
4 Unicast DHCPACK
"¡Estamos listos! Aquí está su configuración".
Paso 2. Cree el pool DHCPv4 utilizando el comando ip dhcp pool pool-name, que le
sitúa en el modo de configuración DHCP:
R1(config)# ip dhcp pool LAN-POOL-10
R1(dhcp-config)#
La Tabla 23-2 enumera algunas de las tareas opcionales más comunes de DHCPv4.
R1
G0/0 G0/1
192.168.10.1/24 192.168.11.1/24
S S
PC1PC2
El ejemplo 23-1 muestra los comandos requeridos y opcionales de DHCPv4 para configurar R1
como servidor DHCPv4 para ambas LANs en la Figura 23-2.
Configure las direcciones IP que desea excluir del pool de direcciones DHCPv4
R1(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.9
R1(config)# ip dhcp excluded-address 192.168.10.254
R1(config)# ip dhcp excluded-address 192.168.11.1 192.168.11.9
R1(config)# ip dhcp excluded-address 192.168.11.254
130 31 días antes de su examen CCNA
R1 necesita dos pools DHCPv4 para las dos LANs. Cada pool está configurado con
comandos obligatorios y opcionales.
R1(config)# ip dhcp pool LAN-POOL-10
R1(dhcp-config)# red 192.168.10.0 255.255.255.0
R1(dhcp-config)# default-router 192.168.10.1
R1(dhcp-config)# dns-server 192.168.50.195 209.165.202.158
R1(dhcp-config)# nombre-dominio cisco.com
R1(dhcp-config)# lease 2
R1(dhcp-config)# netbios-name-server 192.168.10.254
R1(dhcp-config)# ip dhcp pool LAN-POOL-11
R1(dhcp-config)# red 192.168.11.0 255.255.255.0
R1(dhcp-config)# default-router 192.168.11.1
R1(dhcp-config)# dns-server 192.168.50.195 209.165.202.158
R1(dhcp-config)# nombre-dominio cisco.com
R1(dhcp-config)# lease 2
R1(dhcp-config)# netbios-name-server 192.168.11.254
R1(dhcp-config)# end
El software Cisco IOS soporta el servicio DHCPv4 por defecto. Para desactivarlo, utilice el comando
global no service dhcp.
Para verificar las operaciones DHCPv4 en R1 en la Figura 23-2, utilice los comandos del Ejemplo 23-2.
Mensajes malformados 0
Entradas arp seguras 0
MensajeRecibido
Día 23 131
BOOTREQUEST0
DHCPDISCOVER2
DHCPREQUEST2
DHCPDECLINE0
DHCPRELEASE0
DHCPINFORM0
MensajeEnviado
BOOTREPLY0
DHCPOFFER2
DHCPACK2
DHCPNAK0
R1#
Como PC1 y PC2 están conectados a las LANs, cada uno recibe automáticamente su información de
direccionamiento IP desde el servidor DHCPv4 del router. El ejemplo 23-3 muestra la salida del
comando ipconfig/all en PC1.
C:\> ipconfig/all
Configuración de la IP de Windows
C:\>
R1
G0/0 G0/1
192.168.10.1/24 192.168.11.1/24
S1 S2
192.168.11.5/24
PCs configurados para obtener
automáticamente direcciones
IP
Observe que los comandos se introducen en la interfaz que recibirá las difusiones DHCPv4.
R1 entonces reenvía los mensajes de difusión DHCPv4 como unicast a 192.168.11.5. Por defecto,
el comando ip helper-address reenvía los siguientes ocho servicios UDP:
■
Puerto 37: Tiempo
■
Puerto 49: TACACS
■
Puerto 53: DNS
■
Puerto 67: Servidor DHCP/BOOTP
■
Puerto 68: Cliente DHCP/BOOTP
■
Puerto 69: TFTP
■
Puerto 137: Servicio de nombres NetBIOS
■
Puerto 138: Servicio de datagramas NetBIOS
Para especificar puertos adicionales, utilice el comando global ip forward-protocolo u d p [número de puerto |
protocolo]. Para desactivar las emisiones de un protocolo concreto, utilice la forma no del comando.
G0/1
RAMA ISP
Cliente DHCP
DHCPv6
IPv6 tiene dos métodos para obtener automáticamente una dirección global unicast:
■
Autoconfiguración de direcciones sin estado (SLAAC)
■
Stateful DHCPv6 (Protocolo de configuración dinámica de host para IPv6)
SLAAC
SLAAC utiliza mensajes ICMPv6 Router Solicitation (RS) y Router Advertisement (RA) para
proporcionar direcciones y otra información de configuración. Un cliente utiliza entonces la
información RA para construir una dirección IPv6 y verificarla con un tipo especial de mensaje
Neighbor Solicitation (NS)
mediante la detección de direcciones duplicadas (DAD). Estos tres tipos de mensajes -RS, RA y NS-
pertenecen al Protocolo de Descubrimiento de Vecinos:
■
Mensaje de solicitud del router (RS): Cuando un cliente está configurado para obtener su
información de direccionamiento automáticamente usando SLAAC, el cliente envía un
mensaje RS al router. El mensaje RS se envía a la dirección multicast de todos los routers
IPv6, FF02::2.
■
Mensaje de Anuncio de Enrutamiento (RA): Un cliente utiliza esta información para crear su
propia dirección unicast global IPv6. Un router envía mensajes RA periódicamente o en respuesta
a mensajes RS. Un mensaje RA incluye el prefijo y la longitud del prefijo del segmento local. Por
defecto, los routers Cisco envían mensajes RA cada 200 segundos. Los mensajes RA se envían a la
dirección de multidifusión de todos los nodos IPv6, FF02::1.
■
Mensaje de Solicitud de Vecinos (NS): Un mensaje NS se utiliza normalmente para
conocer la dirección de la capa de enlace de datos de un vecino en la misma red. En el
proceso SLAAC, un host utiliza DAD insertando su propia dirección IPv6 como dirección
de destino en un mensaje NS.
El mensaje NS se envía a la red para verificar que una dirección IPv6 recién acuñada es única.
Si se recibe un mensaje Neighbor Advertisement, el host sabe que la dirección IPv6 no es única.
La Figura 23-5 muestra el proceso SLAAC utilizando tres mensajes de NDP.
Día 23 135
ipv6 unicast-routing
RouterA
1
Solicitud de router NDP
"Necesito información del router" MAC:00-19-D2-8C-E0-4C
2
Anuncio del enrutador NDP PC-B
Prefijo: 2001:DB8:AAAA:1::
Longitud del prefijo: /64
3
Prefijo: 2001:DB8:AAAA:1::
ID de interfaz EUI-64: 02-19-D2-FF-FE-8C-E0-4C
Dirección Global Unicast: 2001:DB8:AAAA:1:0219:D2FF:FE8C:E04C Prefix-length: /64
4
Mensaje de solicitud de vecinos NDP - DAD
"¿Hay alguien más en este enlace que utilice la dirección:
Dirección IPv6 de destino: 2001:DB8:AAAA:1:0219:D2FF:FE8C:E04C"
Paso 1. PC-B envía un mensaje RS a la dirección multicast de todos los routers, FF02::2, para
informar al router IPv6 local de que necesita un mensaje RA.
Paso 2. El routerA recibe el mensaje RS y responde con un mensaje RA. El mensaje RA incluye el
prefijo y la longitud del prefijo de la red. El mensaje RA se envía a la dirección multicast
de todos los nodos IPv6, FF02::1, con la dirección local de enlace del router como
dirección de origen IPv6.
Paso 3. El PC-B utiliza esta información para crear su propia dirección unicast global IPv6. Añade
la dirección de prefijo de 64 bits a su propio ID de interfaz de 64 bits generado localmente,
que crea utilizando el proceso EUI (ver Figura 23-5) o un generador de números aleatorios.
Utiliza la dirección link-local del RouterA como gateway por defecto.
Paso 4. Antes de que el PC-B pueda utilizar esta dirección IPv6 recién creada, utiliza el proceso
DAD, enviando un mensaje NS para verificar que la dirección es única.
NOTA: El sistema operativo de un cliente puede ser configurado para ignorar los
mensajes RA, en cuyo caso el cliente siempre opta por utilizar los servicios de un servidor
DHCPv6.
PC1
R1 G0/0
Solicitud de router
1
Operaciones DHCPv6
ANUNCIAR Unicast
4
SOLICITUD o INFORMACIÓN
SOLICITAR Unicast
5
REPLY Unicast
6
Día 23 137
R1G0/1 R3
Servidor DHCPv6Cliente DHCPv6
Para configurar R1 como un servidor DHCP sin estado, debe asegurarse de que ipv6 unicast-routing
está activado. Luego, en el modo de configuración global, configure el nombre del pool, el servidor
DNS y el nombre de dominio. Finalmente, habilite el pool DHCPv6 en la interfaz apropiada y
establezca la bandera O para que los clientes en esa interfaz sepan que deben solicitar los servicios
DHCPv6 del router. El ejemplo 23-5 muestra la configuración para el R1.
138 31 días antes de su examen CCNA
Para configurar una interfaz del router como cliente DHCPv6, habilite IPv6 en la interfaz e
introduzca el comando ipv6 address autoconfig, como en el Ejemplo 23-6. Verifique la
configuración con el comando show ipv6 interface.
http://www.cisco.com/index.html
NOTA: Muchas personas utilizan los términos dirección web y localizador universal (o
uniforme) de recursos (URL). Sin embargo, identificador uniforme de recursos (URI) es el
término formal correcto.
Cuando escribes un nuevo URI en tu navegador, tu ordenador utiliza el DNS para enviar una
petición para resolver el URI en una dirección IP. La Figura 23-9 resume el proceso DNS.
Cliente 64.100.1.1
3 Respuesta a la resolución de nombres
Encabezado
Fuente 192.31.7.1 IPEncabezado UDPSolicitudDNS
Destino. 64.100.1.1 Fuente 53 La dirección IP es
Destino. 1030 198.133.219.25
www.cisco.com Servidor
web 198.133.219.25
El servidor DNS almacena diferentes tipos de registros de recursos utilizados para resolver nombres.
Estos registros contienen el nombre, la dirección y el tipo de registro. Algunos de estos tipos de
registros son los siguientes:
■
A: Una dirección IPv4 del dispositivo final
■
NS: Un servidor de nombres autoritativo
■
AAAA: Una dirección IPv6 del dispositivo final (se pronuncia "quad-A")
■
MX: Un registro de intercambio de correo
Cuando un cliente realiza una consulta, el proceso DNS del servidor busca primero en sus propios
registros para resolver el nombre. Si no puede resolver el nombre utilizando sus registros
almacenados, se pone en contacto con otros servidores para resolver el nombre.
142 31 días antes de su examen CCNA
Los servidores raíz del DNS gestionan los sufijos del dominio principal, como estos:
■
.com:Empresas comerciales
■
.edu:Organizaciones educativas
■
.gov:Organizaciones gubernamentales
■
.mil: Organizaciones militares
■
.net:Organizaciones de redes, como los ISP
■
.org:Organizaciones no comerciales
También existen servidores DNS de primer nivel para cada código de país, como .ca (Canadá), .de (Alemania),
.ru (Rusia) y .cn (China).
Configuración de la IP de Windows
<salida omitida>
DHCP Habilitado. . . . . . . . : Sí
Autoconfiguración habilitada . . .: Sí
Dirección IPv4. . . . . . . . : 10.10.10.2(Preferido)
Máscara de subred ... ... ... ... : 255.255.255.0
Contrato de arrendamiento obtenido. . . . . . . : Domingo, 13 de noviembre
de 2016 1:28:51 PM El contrato de arrendamiento expira . . . . . . . :
lunes, 14 de noviembre de 2016 1:28:50 PM Puerta de enlace
predeterminada . . . . . . : 10.10.10.1
Servidor DHCP . . . . . . . : 10.10.10.1
Servidores DNS.......................:10.10.10.1
Por lo tanto, los problemas con el DNS se deben probablemente a problemas con el router de la puerta
de enlace por defecto o la conexión con su ISP. Si conoce la dirección IP de un servidor disponible
públicamente, puede verificar que el DNS es el problema si puede hacer ping a la dirección IP pero
no al URI.
En las organizaciones más grandes, el administrador de la red es responsable de asegurarse de que el servidor
DHCP
está configurado con direcciones IP DNS precisas. Lo más probable es que esos servidores DNS se
gestionen internamente para reducir la cantidad de tráfico saliente hacia los servidores DNS
públicos. Desconfiguración del servidor DNS
Día 23 143
podría ser la causa de que los dispositivos de los usuarios finales no puedan resolver los URI. Por lo
tanto, la jerarquía de los servidores DNS dentro de la organización debe garantizar que haya
servidores DNS de reserva y que, cuando un registro no exista, el servidor DNS pueda reenviar con
precisión la solicitud a otro servidor DNS.
Configuración IP
Para que funcione correctamente, un host IP necesita conocer estos valores:
■
Direcciones IP del servidor DNS
■
Dirección IP de la pasarela por defecto (router)
■
Dirección IP propia del dispositivo
■
Máscara de subred propia del dispositivo
Sin embargo, los administradores de red suelen abrir una ventana de línea de comandos para verificar la
configuración IP.
Todas las versiones de Windows soportan ipconfig e ipconfig /all, como se muestra en el Ejemplo
23-9. Ambos muestran la dirección, la máscara y la puerta de enlace predeterminada. Pero se necesita
ipconfig /all para ver la configuración del servidor DNS.
144 31 días antes de su examen CCNA
También observe en el Ejemplo 23-9 que el adaptador Ethernet no tiene una puerta de enlace por
defecto. Esto se debe a que el ordenador está utilizando actualmente el adaptador inalámbrico para
la conectividad de red.
C:\> ipconfig
<alguna salida omitida>
Configuración de la IP de Windows
Configuración de la IP de Windows
C:-Users\allan>
En la línea de comandos para macOS, utilice el comando ifconfig para ver la información de
direccionamiento IP, como se muestra en el Ejemplo 23-10. Otros comandos útiles son
networksetup -listallnetworkservices, networksetup -getinfo <servicio de red> , y networksetup -
getdnsservers <servicio de red> (no se muestra).
El ejemplo 23-11 muestra los comandos para verificar la configuración IP en una máquina Linux.
allan@allan-VirtualBox:~$ dirección ip
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 6 5 5 3 6 qdisc noqueue state UNKNOWN group d e f a u l t
qlen 1000
link/loopback 00:00:00:00:00 brd 00:00:00:00:00 inet
127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
148 31 días antes de su examen CCNA
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Temas clave
Las especificaciones inalámbricas se detallan en la familia de normas IEEE 802.11, incluyendo
topologías inalámbricas, asignación de espectro y seguridad inalámbrica. Hoy repasamos los
conceptos básicos de las redes inalámbricas.
Normas inalámbricas
Las normas WLAN IEEE 802.11 definen cómo se utilizan las radiofrecuencias (RF) para los enlaces
inalámbricos. Para evitar las interferencias, se pueden utilizar diferentes canales dentro de una RF.
Espectro RF
El espectro de RF, que se muestra en la Figura 22-1, incluye todos los tipos de comunicaciones de
radio, incluidas las frecuencias de 2,4 GHz y 5 GHz utilizadas por los dispositivos inalámbricos.
150 31 días antes de su examen CCNA
Frecuencia Notación
(Hz) de Rayos cósmicos
frecuencia
1021
Rayos Gamma
1020
1019
1018 Rayos X
1017
1016
1015 Luz ultravioleta
1014
1013 Luz visible
1012 Luz infrarroja
1011 100 GHz Inalámbrico de 5 GHz
1010 10 GHz Microondas y radar
109
1 GHz
Inalámbrico de 2,4 GHz
108
100 MHz Televisión y radio FM
107
10 MHz Radio de onda corta
106
1 MHz Radio AM
105
100 kHz Sonido de radio de baja
104
10 kHz Radiofrecuencias (RF)
103
1 kHz frecuencia
102
100 Hz
101
10 Hz
Subsonic
0 0 Hz
Canales
Un rango de frecuencias suele denominarse banda de frecuencias. Por ejemplo, un dispositivo de LAN
inalámbrica con una antena de 2,4 GHz puede utilizar cualquier frecuencia entre 2,4000 y 2,4835 GHz.
La banda de 5 GHz se encuentra entre 5,150 y 5,825 GHz.
Las bandas se subdividen a su vez en canales de frecuencia. Los canales adquieren especial importancia
cuando los dispositivos inalámbricos de una zona concreta se saturan. Cada canal se conoce por un
número de canal y se asigna a una frecuencia concreta. Siempre que los canales estén definidos por un
organismo de normalización nacional o internacional, podrán utilizarse de forma coherente en todos los
lugares. La Figura 22-2 y la Figura 22-3 muestran la disposición de los canales para las bandas de
2,4 y 5 GHz, respectivamente.
GHz 2.412 2.417 2.422 2.427 2.432 2.437 2.442 2.447 2.452 2.457 2.462 2.467 2.472 2.484
DSSS: 22 MHz
OFDM: 20
Día 22 151
GHz
5.1805.240 5.2605.320 5.500 5.7005.745 5.825
20
MHz
Observe en la Figura 22-3 que la banda de 5 GHz consta de canales no superpuestos. A cada canal
se le asigna un rango de frecuencias que no invade ni solapa las frecuencias asignadas a ningún
otro canal. No ocurre lo mismo con la banda de 2,4 GHz de la Figura 22-2. La única forma de evitar
cualquier solapamiento entre canales adyacentes es configurar los puntos de acceso (AP) para que
utilicen sólo los canales 1, 6 y 11.
Normas 802.11
La mayoría de los estándares especifican que un dispositivo inalámbrico debe tener una antena
para transmitir y recibir señales inalámbricas en la radiofrecuencia especificada (2,4 GHz o 5 GHz).
Algunos de los estándares más recientes que transmiten y reciben a mayor velocidad requieren que los
puntos de acceso y los clientes inalámbricos tengan varias antenas utilizando la tecnología MIMO
(Multiple Input, Multiple Output). MIMO utiliza múltiples antenas como transmisor y receptor para
mejorar el rendimiento de la comunicación. Se pueden admitir hasta cuatro antenas.
A lo largo de los años se han desarrollado varias implementaciones del estándar IEEE
802.11. La Tabla 22-1 destaca estos estándares.
Topologías inalámbricas
El estándar 802.11 identifica dos modos principales de topología inalámbrica: el modo de
infraestructura y el conjunto de servicios básicos independientes (IBSS). El IBSS también se conoce
como modo ad hoc. Con la ubicuidad de las redes inalámbricas, las topologías de malla son ahora
comunes.
Modo Infraestructura
Con el modo infraestructura, los clientes inalámbricos se interconectan a través de un AP. La Figura
22-4 ilustra la terminología del modo infraestructura. Observe que la configuración de los AP para
compartir el mismo SSID permite a los clientes inalámbricos desplazarse entre BSAs.
Día 22 153
DS
ESS VLAN 10
BSS-1 BSS-2
AP-1 AP-2
BSSID: d4:20:6d:90:ad:20 BSSID: e6:22:47:af:c3:70
■
Conjunto de servicios ampliados (ESS): Cuando un único BSS no proporciona suficiente
cobertura, se pueden unir dos o más BSS a través de un DS común en un ESS. Un ESS es la
unión de dos o más BSS interconectados por un DS cableado. Cada ESS se identifica por su
SSID, y cada BSS por su BSSID.
Malla
Tener un DS cableado que conecte todos los AP no siempre es práctico o necesario. En su lugar, los
APs pueden ser configurados para conectarse en modo malla. En este modo, los AP hacen de puente
entre el tráfico de los clientes, como se muestra en la Figura 22-6.
LAN
Cada AP de la malla mantiene un BSS en un canal utilizado por los clientes inalámbricos. A
continuación, los AP hacen un puente entre ellos utilizando otros canales. La red de malla ejecuta su
propio protocolo de enrutamiento dinámico para determinar la mejor ruta hacia la red cableada.
Día 22 155
Arquitecturas AP
Los puntos de acceso pueden conectarse en red en una variedad de arquitecturas. El tamaño y la
escalabilidad de la red determinan qué arquitectura es la más adecuada para una implementación
determinada.
Arquitectura de AP autónomo
Un AP autónomo es un dispositivo autónomo con hardware tanto cableado como inalámbrico,
de modo que puede hacer un puente con la infraestructura de VLAN cableada de los clientes
inalámbricos que pertenecen a los SSID, como se muestra en
Figura 22-7. Cada AP autónomo debe configurarse con una dirección IP de gestión para que se pueda
acceder a él de forma remota mediante Telnet, SSH o una interfaz web. Cada AP debe ser gestionado y
mantenido individualmente a menos que se utilice una plataforma de gestión como Cisco DNA
Center.
Capa central
Capa de acceso
Autónomo
APs Gestión: 10.10.10.10
SSIDs:
wlan100 SSIDs: SSIDs: SSIDs:
wlan200 wlan100 wlan100 wlan100
wlan200 wlan200 wlan200
Distribución
Capa
Enlace troncal
Capa de acceso
Enlace troncal
Cisco Meraki
Datos
APs
Obsérvese que hay dos vías distintas para el tráfico de datos y para el tráfico de gestión, que
corresponden a las dos funciones siguientes:
■
Un plano de control: Tráfico utilizado para controlar, configurar, gestionar y supervisar el propio AP
■
Un plano de datos: El tráfico del usuario final que pasa por el AP
Arquitecturas ligeras de AP
Los controladores de LAN inalámbrica (WLCs) utilizan el Protocolo de Punto de Acceso Ligero
(LWAPP) para comunicarse con los APs ligeros (LAPs), como se muestra en la Figura 22-9. Los LAPs
son útiles en situaciones donde se requieren muchos APs en la red. Son "ligeros" porque sólo realizan la
operación inalámbrica 802.11 para los clientes inalámbricos. Cada LAP es configurado y gestionado
automáticamente por el WLC.
Día 22 157
LWAPP
LAG
Observe en la Figura 22-9 que el WLC tiene cuatro puertos conectados a la infraestructura de
conmutación. Estos cuatro puertos están configurados como un grupo de agregación de enlaces (LAG)
para que puedan agruparse. Al igual que EtherChannel, el LAG proporciona redundancia y
equilibrio de carga.
AP ligero
■
Túnel de mensajes de control CAPWAP: Lleva los intercambios que se utilizan para
configurar el LAP y gestionar su funcionamiento. Los mensajes de control están autenticados y
encriptados, por lo que el LAP es controlado de forma segura sólo por el WLC apropiado y luego
se transporta a través del túnel de control utilizando el puerto UDP 5246.
■
Túnel de datos CAPWAP: Se utiliza para los paquetes que viajan hacia y desde los clientes
inalámbricos que están asociados con el AP. Los paquetes de datos se transportan a través del
túnel de datos utilizando el puerto UDP 5247, pero no están cifrados por defecto. Cuando se activa
el cifrado de datos para un LAP, los paquetes se protegen con la seguridad de la capa de
transporte de datagramas (DTLS).
Durante este proceso, las tramas transmitidas pueden llegar a cualquier dispositivo dentro del alcance. Si
la conexión inalámbrica no está asegurada, otros pueden leer el tráfico, como se muestra en la Figura
22-11.
Su contraseña es
nihao123
Mi contraseña es
nihao123
Cliente nihao123
AP
Su contraseña es
nihao123
Método de Descripción
autenticación
WPA2Es el estándar actual de la industria para asegurar las redes inalámbricas. Utiliza el estándar
de cifrado avanzado (AES) para el cifrado. AES se considera actualmente el protocolo
de cifrado más potente.
WPA3La próxima generación de seguridad Wi-Fi. Todos los dispositivos con WPA3 utilizan
los métodos de seguridad más recientes, no permiten los protocolos heredados
obsoletos y requieren el uso de marcos de gestión protegidos (PMF). Sin embargo,
los dispositivos con WPA3 aún no están disponibles.
WPA y WPA2
Los routers domésticos suelen tener dos opciones de autenticación: WPA y WPA2. WPA2 es la más
fuerte de las dos. Los métodos de autenticación de WPA2 son los siguientes:
■
Personal: Pensado para redes domésticas o de pequeñas oficinas, los usuarios se autentican
mediante una clave precompartida (PSK). Los clientes inalámbricos se autentican con el router
inalámbrico mediante una contraseña precompartida. No se requiere ningún servidor de
autenticación especial.
■
Empresa: Está pensada para redes empresariales, pero requiere un servidor de autenticación
RADIUS (Remote Authentication Dial-In User Service). Aunque es más complicado de
configurar, proporciona seguridad adicional. El dispositivo debe ser autenticado por el servidor
RADIUS y, a continuación, los usuarios deben autenticarse mediante el estándar 802.1X, que
utiliza el Protocolo de Autenticación Extensible (EAP) para la autenticación.
802.1X/EAP
Con la autenticación abierta y WEP, los clientes inalámbricos se autentican localmente en el punto de
acceso sin más intervención. El escenario cambia con 802.1X: el cliente utiliza la autenticación abierta
para asociarse con el AP, y luego el proceso de autenticación del cliente ocurre en un servidor de
autenticación dedicado. La Figura 22-11 muestra la disposición tripartita de 802.1X, que consta de las
siguientes entidades:
■
Solicitante: El dispositivo cliente que solicita el acceso.
■
Autenticador: El dispositivo de red que proporciona acceso a la red. En la Figura 22-11, el AP
reenvía el mensaje del suplicante al WLC.
■
Servidor de autenticación (AS): El dispositivo que permite o deniega el acceso a la red en
función de una base de datos de usuarios y políticas (normalmente un servidor RADIUS).
WPA3
WPA3 incluye cuatro características:
■
WPA3-Personal: En WPA2-Personal, los actores de las amenazas pueden escuchar el
"apretón de manos" entre un cliente inalámbrico y el AP y utilizar ataques de fuerza bruta
para intentar adivinar el PSK. WPA3-Personal frustra este tipo de ataques mediante el uso
de la Autenticación Simultánea de Iguales (SAE), una función especificada en la norma IEEE
802.11-2016. El PSK nunca se expone, lo que hace imposible que el actor de la amenaza lo
adivine.
Día 22 161
■
WPA3-Enterprise: WPA3-Enterprise sigue utilizando la autenticación 802.1X/EAP. Sin
embargo, requiere el uso de un conjunto criptográfico de 192 bits y elimina la mezcla
de seguridad
protocolos de los anteriores estándares 802.11. WPA3-Enterprise se adhiere al conjunto de
algoritmos de seguridad nacional comercial (CNSA), que se utiliza habitualmente en las redes Wi-
Fi de alta seguridad.
■
Redes abiertas: Las redes abiertas en WPA2 envían el tráfico del usuario en texto plano no
autenticado. En WPA3, las redes Wi-Fi abiertas o públicas siguen sin utilizar ninguna
autenticación. Sin embargo, utilizan el cifrado inalámbrico oportunista (OWE) para cifrar todo
el tráfico inalámbrico.
■
Incorporación de IoT: Aunque WPA2 incluía la Configuración Protegida de Wi-Fi (WPS) para
incorporar rápidamente los dispositivos que no estaban previamente configurados, WPS es
vulnerable a una serie de ataques y no se recomienda. Además, los dispositivos IoT suelen ser
headless, es decir, no tienen una interfaz gráfica de usuario integrada para la configuración y
necesitan cualquier forma fácil de conectarse a la red inalámbrica. El Protocolo de
Aprovisionamiento de Dispositivos (DPP) se diseñó para satisfacer esta necesidad. Cada
dispositivo sin cabeza tiene una clave pública codificada. La clave suele estar estampada en el
exterior del dispositivo o en su embalaje como un código de respuesta rápida (QR). El
administrador de la red puede escanear el código QR y subir rápidamente el dispositivo. Aunque
DPP no forma parte estrictamente de la norma WPA3, con el tiempo sustituirá a WPS.
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Temas clave
Hoy revisamos los pasos para configurar un controlador de LAN inalámbrica (WLC). Las figuras
muestran la interfaz gráfica de usuario (GUI) y los menús de un controlador inalámbrico Cisco 3504
(ver Figura 21-1). Sin embargo, otros modelos de WLC tienen menús y características similares.
La página de Resumen de Red es un panel que proporciona una rápida visión general del
número de redes inalámbricas configuradas, puntos de acceso (AP) asociados y clientes activos,
como se muestra en la Figura 21-3.
Haga clic en Avanzado para acceder a la página de Resumen avanzado, como se muestra en la Figura
21-5. Desde aquí se puede acceder a todas las funciones del WLC.
1
4
2
3
1
3
Paso 4. Para reenviar los mensajes DHCP a un servidor DHCP dedicado, configure la dirección
del servidor DHCP como se muestra en la Figura 21-10.
Paso 5. Desplácese hasta la parte superior y haga clic en Aplicar, como se muestra en la
Figura 21-11. Haz clic en OK en el mensaje de advertencia.
Paso 6. Para verificar la interfaz virtual recién configurada, haga clic en Interfaces. La
nueva interfaz vlan5 se muestra ahora en la lista de interfaces con su dirección IPv4,
como se muestra en la Figura 21-12.
Paso 1. Para crear una nueva WLAN, haga clic en la pestaña WLANs y luego en Go, como se muestra en la
Figura 21-13.
Paso 3. Para habilitar la WLAN para la vlan5, cambie el estado a Enabled y elija vlan5 en la
lista desplegable Interface/Interface Group(G). Haga clic en Aplicar y en Aceptar
para aceptar el mensaje emergente, como se muestra en la Figura 21-15.
Paso 4. Para verificar AES y los valores predeterminados de 802.1X, haga clic en la pestaña
Seguridad para ver la configuración de seguridad predeterminada para la nueva
WLAN, como se muestra en la Figura 21-16. La WLAN debería utilizar la seguridad
WPA2 con cifrado AES. El tráfico de autenticación se gestiona mediante 802.1X entre
el WLC y el servidor RADIUS.
170 31 días antes de su examen CCNA
Paso 5. Para configurar la seguridad de la WLAN para utilizar el servidor RADIUS, haga clic
en la pestaña Servidores AAA, como se muestra en la Figura 21-17. En el cuadro
desplegable, seleccione el servidor RADIUS que fue configurado en el WLC
previamente.
Paso 6. Para configurar un perfil QoS, haga clic en la pestaña QoS, como se muestra en la Figura
21-18. Desde aquí, puede configurar un perfil QoS que se adhiera a la política de la
empresa. Actualmente está seleccionado Silver (mejor esfuerzo). Haga clic en Apply
(Aplicar) para aplicar los cambios.
Día 21 171
Paso 7. Para verificar que la nueva WLAN está listada y habilitada, haga clic en el submenú
WLANs de la izquierda. En la Figura 21-19, observe que la WLAN CompanyName
está habilitada y utiliza seguridad WPA2 con autenticación 802.1X.
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Temas clave
El repaso de hoy es un torbellino de temas relacionados con la seguridad de la LAN y el
endurecimiento de los dispositivos. Revisaremos la seguridad de los puntos finales, el control de
acceso, la seguridad de los puertos y las técnicas de mitigación de las amenazas de la LAN.
Cisco ESA
Cisco ESA es un dispositivo especial diseñado para supervisar el protocolo principal del correo
electrónico, el Protocolo Simple de Transferencia de Correo (SMTP). Cisco ESA puede hacer lo
siguiente:
■
Bloquear las amenazas conocidas
■
Remediar contra el malware sigiloso que evade la detección inicial
■
Descartar los correos electrónicos con enlaces erróneos
174 31 días antes de su examen CCNA
■
Bloquear el acceso a los sitios recién infectados
■
Cifrar el contenido del correo electrónico saliente para evitar la pérdida de datos
La Figura 20-1 muestra el proceso de Cisco ESA para descartar un ataque de phishing dirigido.
ESA 3
Ejecutivo de la empresa
Cisco WSA
Cisco WSA combina la protección avanzada contra el malware, la visibilidad y el control de las
aplicaciones, los controles de la política de uso aceptable y la elaboración de informes. Cisco WSA
proporciona un control completo sobre cómo los usuarios acceden a Internet. Determinadas funciones y
aplicaciones, como el chat, la mensajería, el vídeo y el audio, pueden permitirse, restringirse con límites
de tiempo y ancho de banda, o bloquearse, según los requisitos de la organización. WSA puede realizar
listas negras de URLs, filtrado de URLs, escaneo de malware, categorización de URLs, filtrado de
aplicaciones web y cifrado y descifrado del tráfico web.
La Figura 20-2 muestra a un usuario corporativo intentando conectarse a un sitio conocido de la lista negra.
Figura 20-2 El WSA de Cisco descarta un paquete destinado a un sitio de la lista negra
WSA 3
Internet
1
Día 20 175
Paso 3. La WSA evalúa la URL y determina que es un sitio conocido de la lista negra. La WSA
descarta el paquete y envía un mensaje de acceso denegado al usuario.
Control de acceso
Se pueden realizar muchos tipos de autenticación en los dispositivos de red para controlar el acceso, y
cada método ofrece distintos niveles de seguridad.
Autenticación local
El método más simple de autenticación de acceso remoto es configurar una combinación de nombre
de usuario y contraseña en la consola, las líneas vty y los puertos auxiliares, como se muestra en el
Ejemplo 20-1.Este método, sin embargo, no proporciona ninguna responsabilidad, y la contraseña se
envía en texto plano. Cualquiera con la contraseña puede entrar en el dispositivo.
En lugar de utilizar una contraseña compartida sin nombre de usuario, puede utilizar el nombre de usuario secreto
para configurar pares de nombre de usuario/contraseña locales. Requiere un par de nombre de
usuario/contraseña con el comando de configuración de línea login local. Utilice el comando de
configuración de línea no password para eliminar cualquier contraseña configurada. En el Ejemplo
20-2, se configura un par de nombre de usuario/contraseña y se aplica a las líneas, y luego se prueba
el acceso Telnet desde un conmutador. Observe que el
La contraseña ha sido cifrada con MD5, indicada por el siguiente secreto en la salida del comando
show run.
Nombre de usuario:
allanj Contraseña:
R1> habilitar
Contraseña:
R1# show run | include username
username allanj secret 5 $1$mERr$e/edsAr7D0CyM/z3tMvyL/
R1#
Configuración SSH
Secure Shell (SSH) se considera una de las mejores prácticas de seguridad porque Telnet (puerto 23)
utiliza una transmisión insegura de texto plano tanto del inicio de sesión como de los datos a través de la
conexión. SSH (puerto 22) es una forma más segura de acceso remoto:
■
Requiere un nombre de usuario y una contraseña, ambos encriptados durante las transmisiones.
■
El nombre de usuario y la contraseña se pueden autenticar mediante el método de la base de datos local.
■
Proporciona más responsabilidad porque el nombre de usuario se registra cuando un usuario se conecta.
El ejemplo 20-3 ilustra los métodos SSH y de base de datos local de acceso remoto.
Paso 1. Verifique que el conmutador soporta SSH usando el comando show ip ssh. Si no se
reconoce el comando, sabrá que SSH no es compatible.
Paso 2. Configure un nombre de dominio DNS con el comando de configuración global
ip domain-name.
Paso 3. Configure el conmutador utilizando el comando crypto key generate rsa para
generar un par de claves RSA y habilitar automáticamente SSH. Cuando se generan
claves RSA, se le pide que introduzca una longitud de módulo. Cisco recomienda un
tamaño de módulo mínimo de 1024 bits, como en el Ejemplo 20-3.
NOTA: Para eliminar el par de claves RSA, utilice el comando crypto key zeroize rsa. Esto
desactiva el servicio SSH.
Paso 4. Cambie las líneas vty para utilizar nombres de usuario, con nombres de usuario
configurados localmente o con un servidor de autenticación, autorización y contabilidad
(AAA). En el Ejemplo 20-3, el subcomando login local vty define el uso de nombres de
usuario locales, reemplazando el subcomando login vty.
Paso 5. Configure el conmutador para que sólo acepte conexiones SSH con el subcomando
transport input ssh vty. (El valor por defecto es transport input telnet).
Paso 6. Añade uno o más comandos de configuración global de nombre de usuario y
contraseña para configurar los pares de nombre de usuario y contraseña.
Paso 7. Si lo desea, modifique la configuración SSH por defecto para cambiar la versión SSH a
2.0, el número de intentos de autenticación y el tiempo de espera, como en el Ejemplo
20-3.
Paso 8. Verifique sus parámetros SSH utilizando el comando show ip ssh.
178 31 días antes de su examen CCNA
Incluso cuando se apagan los puertos no utilizados en los conmutadores, si un dispositivo está
conectado a uno de esos puertos y la interfaz está habilitada, puede producirse el trunking. Además,
todos los puertos están en la VLAN 1 por defecto. Una buena práctica es poner todos los puertos no
utilizados en una VLAN de agujero negro. El ejemplo 20-4 demuestra esta mejor práctica,
asumiendo que los puertos 20-24 están sin usar.
AAA
Configurar nombres de usuario y contraseñas en todos los dispositivos de la red no es muy escalable.
Una mejor opción es utilizar un servidor externo para centralizar y asegurar todos los pares de nombres
de usuario y contraseñas. Para solucionar este problema, los dispositivos Cisco admiten el marco de
autenticación, autorización y contabilidad (AAA) para ayudar a asegurar el acceso a los dispositivos.
Los dispositivos Cisco admiten dos protocolos de autenticación AAA:
■
Sistema de control de acceso a la terminal Plus (TACACS+, pronunciado como "tack-axe
plus")
■
Servicio de autenticación remota de usuarios (RADIUS)
Día 20 179
¿Quién es usted?
802.1X
IEEE 802.1X es un protocolo estándar de control de acceso y autenticación basado en puertos. Es ideal
para restringir el acceso no autorizado a través de dispositivos LAN de acceso público, como
conmutadores y puntos de acceso inalámbricos.
180 31 días antes de su examen CCNA
802.1 X define tres roles para los dispositivos en la red, como muestra la Figura 20-4:
PC1
R2 R110.1.1.1 SW1
DHCP
1 2 10.1.1.11
10.1.1.2 GW=10.1.1.2
Servidor
DHCP de Servidor DHCP erróneo
confianza
■
Cliente (suplicante): Suele ser el puerto habilitado para 802.1X en el dispositivo que solicita
acceso a los servicios de la LAN y del conmutador y responde a las solicitudes del conmutador.
En la Figura 20-4, el dispositivo es un PC que ejecuta un software cliente compatible con
802.1X.
■
Conmutador (autentificador): El conmutador controla el acceso físico a la red, basándose en el
estado de autenticación del cliente. El conmutador actúa como un proxy entre el cliente y el
servidor de autenticación. Solicita información de identificación al cliente, verifica esa
información con el servidor de autenticación y transmite una respuesta al cliente.
■
Servidor de autenticación: El servidor de autenticación realiza la autenticación real del
cliente. El servidor de autenticación valida la identidad del cliente y notifica al switch si el cliente
está autorizado a acceder a la LAN y a los servicios del switch. Como el switch actúa como
proxy, el servicio de autenticación es transparente para el cliente. RADIUS es el único servidor
de autenticación soportado.
La Figura 20-5 muestra los flujos de autenticación para un proceso típico de 802.1X.
SW1
1
Identifíquese
2
Usuario/Contraseña 3
Usuario/Contraseña
4
¡Autorizado!
El proceso 802.1X se resume como sigue:
■
El servidor de autenticación RADIUS está configurado con nombres de usuario y contraseñas.
■
Cada conmutador LAN está habilitado como autentificador 802.1X, está configurado con la
dirección IP del servidor de autentificación y tiene 802.1X habilitado en todos los puertos
necesarios.
Día 20 181
■
Los usuarios que conectan dispositivos a puertos habilitados para 802.1X deben conocer el
nombre de usuario/contraseña antes de poder acceder a la red.
Seguridad portuaria
Si sabe qué dispositivos deben estar cableados y conectados a determinadas interfaces de un
conmutador, puede utilizar la seguridad de los puertos para restringir esa interfaz de modo que sólo
puedan utilizarla los dispositivos previstos. Esto reduce la exposición a algunos tipos de ataques en
los que el atacante conecta un portátil a la toma de corriente o utiliza el cable conectado a otro
dispositivo final para acceder a la red.
Paso 2. Habilite la seguridad del puerto mediante el subcomando switchport port-security interface.
Tabla 20-2 Acciones cuando se produce una violación de la seguridad del puerto
Opción en el comando switchport proteger restringir apagado
port-security violation
Descarta el tráfico infractor Sí Sí Sí
Envía mensajes de registro y SNMP No Sí Sí
Desactiva la interfaz, descartando todo el tráfico No No Sí
El ejemplo 20-5 muestra una configuración de seguridad de puertos en la que cada interfaz de
acceso tiene permitido un máximo de tres direcciones MAC. Si se detecta una cuarta dirección MAC,
sólo se descarta el tráfico del dispositivo infractor. Si la opción de violación no está configurada
explícitamente, el tráfico de los dispositivos permitidos en el puerto también se descarta porque el
puerto se cerraría por defecto.
Para verificar la configuración de seguridad del puerto, utilice el comando más general show
port-security o el comando más específico show port-security interface type number. El ejemplo
20-6 demuestra el uso de ambos comandos. En los ejemplos, observe que sólo un dispositivo está
actualmente conectado a un puerto de acceso en S1.
Fa0/20300Restricto
Fa0/21300Restrict
Fa0/22300Restrict
Fa0/23300Restrict
Aging:Disabled Máximo de
direcciones MAC3
Total de direcciones MAC1
Direcciones MAC configuradas0
Direcciones MAC pegajosas1
Última dirección de
origen :Vlan:0014.22dd.3
7a3:1 Recuento de
violaciones de seguridad0
S1#
Sep 20 06:44:54.966: %PM-4-ERR_DISABLE: Se ha detectado un error de violación de
seguridad en Fa0/18,
poner Fa0/18 en estado de err-disable
Sep 20 06:44:54.966: %PORT_SECURITY-2-PSECURE_VIOLATION: Violación de seguridad
causado por la dirección MAC 000c.292b.4c75 en el puerto FastEthernet0/18.
Sep 20 06:44:55.973: %LINEPROTO-5-PPDOWN: Protocolo de línea en la interfaz
Día 20 185
Puede utilizar el comando show interface type number status o show port-security interface
type number para verificar el estado actual del puerto. Para restaurar el puerto, primero debe apagar
manualmente la interfaz y luego reactivarla, como en el Ejemplo 20-8.
Una VLAN de gestión es cualquier VLAN configurada para acceder a las capacidades de gestión de un
conmutador. La VLAN 1 es la VLAN de gestión por defecto. A la VLAN de gestión se le asigna una
dirección IP y una máscara de subred, lo que permite gestionar el conmutador a través de HTTP,
Telnet, SSH o SNMP.
Es una buena práctica configurar la VLAN nativa como una VLAN no utilizada, distinta de la VLAN 1
y de otras VLAN. De hecho, no es inusual dedicar una VLAN fija para servir el papel de la VLAN
nativa para todos los puertos troncales en el dominio conmutado. Asimismo, la VLAN de gestión debe
configurarse como algo distinto a la VLAN 1. La VLAN de gestión y la VLAN nativa pueden configurarse
como la misma VLAN, como en el ejemplo 20-9.
S1(config)# vlan 86
S1(config-vlan)# nombre Gestión&Nativa
S1(config-vlan)# interfaz vlan 86
*Jul 13 14:14:04.840: %LINEPROTO-5-UPDOWN: Protocolo de línea en la interfaz Vlan86,
ha cambiado el estado a down
S1(config-if)# dirección ip 10.10.86.10 255.255.255.0
S1(config-if)# no shutdown
S1(config-if)# ip default-gateway 10.10.86.254
S1(config)# interface range fa0/21 - 24
S1(config-if-range)# switchport mode trunk
S1(config-if-range)# switchport trunk native vlan 86
S1(config-if-range)#
*Jul 13 14:15:55.499: %LINEPROTO-5-UPDOWN: Protocolo de línea en la interfaz Vlan86,
ha cambiado de estado a up
S1(config-if-range)#
En primer lugar, se crea una VLAN que se utilizará para la gestión y la VLAN nativa. A continuación,
activando la interfaz VLAN 86, el switch puede ser gestionado remotamente. Por último, se configuran
estáticamente los puertos troncales y se establece la VLAN 86 como VLAN nativa para todo el tráfico
no etiquetado. Una vez configurada, se activa la interfaz VLAN 86.
Ataques VLAN
Los ataques a la VLAN pueden lanzarse de tres maneras:
■
Suplantación de mensajes del Protocolo de Troncalidad Dinámica (DTP): La suplantación
de mensajes DTP desde el host atacante puede hacer que el switch entre en modo trunking.
Desde aquí, el atacante puede enviar tráfico etiquetado con la VLAN de destino, y el conmutador
entonces entrega los paquetes al destino.
■
Introducir un switch falso y habilitar el trunking: Después de hacer esto, un atacante
puede acceder a todas las VLANs del switch víctima desde el switch rogue.
■
Montar un ataque de doble etiquetado (o doble encapsulado): Este tipo de ataque de salto de
VLAN se aprovecha del funcionamiento del hardware de la mayoría de los conmutadores. Un actor
de la amenaza en situaciones específicas podría incrustar una etiqueta 802.1Q oculta dentro de
la trama que ya tiene una etiqueta 802.1Q. Esta etiqueta permite que la trama vaya a una VLAN
que la etiqueta 802.1Q original no especificaba.
Día 20 187
Paso 1. Desactivar las negociaciones DTP (auto trunking) en los puertos no trunking utilizando la opción
comando de configuración de la interfaz switchport mode access.
Ataques al DHCP
Dos tipos de ataques a DHCP son el DHCP starvation y el DHCP spoofing. Ambos ataques se
mitigan implementando DHCP snooping.
Snooping DHCP
Para protegerse de los ataques a DHCP, DHCP snooping utiliza el concepto de puertos de
confianza y no confianza. Como muestra la Figura 20-7, SW2, R1 y el servidor DHCP están
conectados a puertos de confianza en SW1. Los otros dispositivos, incluyendo el punto de acceso
inalámbrico, están conectados a puertos no confiables.
TrustedUntrusted
SW1
SW1
R1
DHCP
Servidor
Día 20 189
Algunas características críticas de una configuración de DHCP snooping son las siguientes:
■
Puertos de confianza: Los puertos de confianza permiten todos los mensajes DHCP entrantes.
■
Puertos no confiables, mensajes de servidor: Los puertos no confiables descartan todos los
mensajes entrantes que se consideran mensajes de servidor.
■
Puertos no confiables, mensajes de clientes: Los puertos no confiables aplican una lógica más
compleja para los mensajes considerados de cliente. Comprueban si cada mensaje DHCP
entrante entra en conflicto con la información de la tabla de vinculación DHCP existente; si es así,
descartan el mensaje DHCP. Si el mensaje no tiene conflictos, el conmutador permite el paso del
mensaje, lo que suele dar lugar a la adición de nuevas entradas en la tabla de vinculación
DHCP.
■
Limitación de velocidad: Esta función limita opcionalmente el número de mensajes DHCP
recibidos por segundo por puerto.
Siga los siguientes pasos para activar DHCP snooping:
Paso 3. Limite el número de mensajes de descubrimiento DHCP que se pueden recibir por
segundo en los puertos no confiables utilizando el comando de configuración de
interfaz ip dhcp snooping limit rate number. Esto ayuda a mitigar los ataques de
inanición de DHCP.
Paso 4. Habilite DHCP snooping por VLAN o por un rango de VLANs utilizando el
comando de configuración global ip dhcp snooping vlan.
Para un escenario sencillo, considere la topología de la Figura 20-8.
Servidor
F0/5S1 F0/1
DHCP 192.168.10.10
Puerto de
confianza Puerto de
no confianza
FastEthernet0/1yesunlimited Circuitos
personalizados:
FastEthernet0/5nono6
Circuitos personalizados:
FastEthernet0/6nono6
Circuitos personalizados:
S1# show ip dhcp snooping binding
MacAddressIpAddressLease(sec) TipoVLAN
Interfaz
00:03:47:B5:9F:AD 192.168.10.10193185dhcp-snooping
5FastEthernet0/5 S1#
Ataques ARP
En las redes LAN Ethernet, se permite a los hosts enviar una respuesta no solicitada del Protocolo de
Resolución de Direcciones (ARP) llamada mensaje ARP gratuito. Estos mensajes ARP hacen que
todos los demás hosts de la LAN almacenen la dirección MAC y la dirección IP en sus cachés ARP. El
problema es que un atacante puede enviar un mensaje ARP gratuito que contenga una dirección MAC
falsa a un conmutador, y éste actualizará su tabla MAC en consecuencia. Por lo tanto, cualquier host
puede pretender ser el propietario de cualquier combinación de direcciones IP y MAC.
Por ejemplo, en la Figura 20-9, R1 y PC1 han eliminado la entrada correcta de la dirección MAC
del otro y la han sustituido por la dirección MAC de PC2. El actor de la amenaza ha envenenado las
cachés ARP de todos los dispositivos de la subred. El envenenamiento de ARP conduce a varios
ataques man-in-the-middle, planteando un
Día 20 191
una grave amenaza para la seguridad de la red. Todo el tráfico entre R1 y PC1 fluirá ahora a través del
PC2 del actor de la amenaza.
Dirección IP Dirección
IP: 10.0.0.12 MAC
MAC: CC:CC:CC PC2
10.0.0.1 AA:AA:AA
10.0.0.11 BB:BB:BB
PC1
IP: 10.0.0.11 IP: 10.0.0.1R1
MAC: BB:BB:BB
MAC: AA:AA:AA
Dirección IP Nota:
Dirección
Las direcciones MAC se muestran como 24 bits paraDirección IP
simplificar. Dirección
MAC MAC
10.0.0.1 CC:CC:CC 10.0.0.11 CC:CC:CC
Inspección
10.0.0.12 dinámica de ARP
CC:CC:CC 10.0.0.12 CC:CC:CC
Para evitar la suplantación de ARP y el envenenamiento de ARP, un conmutador debe asegurarse
de que sólo se retransmitan solicitudes y respuestas ARP válidas. La inspección dinámica de ARP
(DAI) requiere DHCP snooping y ayuda a prevenir los ataques ARP haciendo lo siguiente:
■
No retransmitir respuestas ARP inválidas o gratuitas a otros puertos de la misma VLAN
■
Interceptar todas las solicitudes y respuestas ARP en puertos no confiables
■
Verificación de cada paquete interceptado para un enlace válido entre IP y MAC
■
Descartar y registrar las respuestas ARP procedentes de una fuente no válida para evitar el envenenamiento
de ARP
■
Error al deshabilitar la interfaz si se excede el número de paquetes ARP configurado en el DAI
Para mitigar las posibilidades de suplantación de ARP y envenenamiento de ARP, siga estas
directrices de implementación de DAI:
■
Habilitar el DHCP snooping globalmente.
■
Activar DHCP snooping en las VLANs seleccionadas.
192 31 días antes de su examen CCNA
■
Habilitar DAI en las VLANs seleccionadas.
■
Configurar interfaces de confianza para DHCP snooping e inspección ARP.
PC1
F0/1
F0/24
S1 R1
F0/2
Puerto de confianza
Puerto no fiable
PC2
En la Figura 20-10, S1 está conectando dos usuarios en la VLAN 10. En el Ejemplo 20-12, DAI está
configurado para mitigar los ataques de ARP spoofing y ARP poisoning. Observe que DHCP snooping
está habilitado porque DAI requiere la tabla de enlace de DHCP snooping para operar.
DAI también puede configurarse para comprobar tanto las direcciones MAC como las IP de
destino o de origen con el comando ip arp inspection validate. Sólo se puede configurar un
comando. Introducir varios comandos ip arp inspection validate sobrescribe el comando anterior.
Para incluir más
más de un método de validación, introdúzcalos en la misma línea de comandos, como se muestra y
verifica en el Ejemplo 20-13.
Día 20 193
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Temas clave
Hoy repasaremos los conceptos básicos de enrutamiento, incluyendo exactamente cómo un paquete es
procesado por los dispositivos intermediarios (routers) en su camino desde el origen hasta el destino. A
continuación, revisaremos los métodos básicos de enrutamiento, incluyendo las rutas conectadas,
estáticas y dinámicas. Concluimos el repaso del día con una inmersión profunda en el funcionamiento
de los protocolos de enrutamiento dinámico.
Reenvío de paquetes
El reenvío de paquetes por parte de los routers se realiza a través de las funciones de
determinación de la ruta y de conmutación. La función de determinación de la ruta es el proceso
que utiliza el router para determinar la ruta que debe utilizar al reenviar un paquete. Para determinar
la mejor ruta, el router busca en su tabla de enrutamiento una dirección de red que coincida con la
dirección IP de destino del paquete.
Esta búsqueda da como resultado una de las tres determinaciones de la trayectoria:
■
Red conectada directamente: Si la dirección IP de destino del paquete pertenece a un
dispositivo en una red que está directamente conectada a una de las interfaces del router, ese
paquete se reenvía directamente a ese dispositivo. Esto significa que la dirección IP de destino del
paquete es una dirección de host en la misma red que la interfaz de este router.
■
Red remota: Si la dirección IP de destino del paquete pertenece a una red remota, el paquete se
reenvía a otro router. Sólo se puede acceder a las redes remotas reenviando los paquetes a otro
router.
■
No se ha determinado la ruta: Si la dirección IP de destino del paquete no pertenece a una red
conectada o remota y el router no tiene una ruta por defecto, el paquete se descarta. El router envía
un mensaje de protocolo de mensajes de control de Internet (ICMP) inalcanzable a la
dirección IP de origen del paquete.
En los dos primeros resultados, el router completa el proceso conmutando el paquete por la interfaz
correcta. Lo hace reencapsulando el paquete IP en el formato de trama de enlace de datos de Capa 2
apropiado para la interfaz de salida. El tipo de interfaz determina el tipo de encapsulación de Capa 2. Por
ejemplo, si la interfaz de salida es Fast Ethernet, el paquete se encapsula en una trama Ethernet. Si la
interfaz de salida es una interfaz serie configurada para PPP, el paquete IP se encapsula en una trama
PPP.
196 31 días antes de su examen CCNA
PC1
.1 .1 .2 .1 .1 PC2
S0/0/0 .2
G0/0 R1G0/1 G0/0 R2 S0/0/0 R3G0/0
00-10 00-20 0B-31 0C-22
192.168.1.10 192.168.4.10
0A-10 0B-20
NOTA: Por razones de brevedad, la Figura 19-1 muestra sólo los dos últimos octetos de la dirección
MAC.
Paso 1. PC1 tiene un paquete para enviar a PC2. Usando la operación AND en la dirección IP
de destino y la máscara de subred de PC1, PC1 ha determinado que las direcciones IP de
origen y destino están en diferentes redes. Por lo tanto, PC1 comprueba su tabla de
Protocolo de Resolución de Direcciones (ARP) para la dirección IP de la puerta de
enlace por defecto y su dirección MAC asociada. A continuación, encapsula el paquete
en una cabecera Ethernet y lo reenvía a R1.
Paso 2. El router R1 recibe la trama Ethernet. El router R1 examina la dirección MAC de
destino, que coincide con la dirección MAC de la interfaz receptora, G0/0. Por lo tanto, el
R1 copia la trama en su buffer para ser procesada.
R1 decapsula la trama Ethernet y lee la dirección IP de destino. Como no coincide con
ninguna de las redes conectadas directamente de R1, el router consulta su tabla de
enrutamiento para enrutar este paquete.
R1 busca en la tabla de enrutamiento una dirección de red y una máscara de subred que
incluyan la dirección IP de destino de este paquete como una dirección de host en esa red.
Selecciona la entrada con la coincidencia más larga (prefijo más largo). R1 encapsula el
paquete en el formato de trama apropiado para la interfaz de salida y conmuta la trama a
la interfaz (G0/1 en este ejemplo). A continuación, la interfaz la reenvía al siguiente
salto.
Paso 3. El paquete llega al router R2. R2 realiza las mismas funciones que R1, pero esta vez, la
interfaz de salida es una interfaz serie, no Ethernet. Por lo tanto, R2 encapsula el paquete en
el formato de trama apropiado para la interfaz serie y lo envía a R3. Para este ejemplo,
supongamos que la interfaz está utilizando el control de enlace de datos de alto nivel
(HDLC), que utiliza la dirección de enlace de datos 0x8F. Recuerda que las interfaces serie
no utilizan direcciones MAC.
Paso 4. El paquete llega a R3. R3 decapsula la trama HDLC del enlace de datos. La búsqueda en
la tabla de enrutamiento da como resultado una red que es una de las redes
conectadas directamente de R3.
Como la interfaz de salida es una red Ethernet conectada directamente, R3 necesita resolver
la dirección IP de destino del paquete con una dirección MAC de destino.
R3 busca la dirección IP de destino del paquete, 192.168.4.10, en su caché ARP. Si la
entrada no está en la caché ARP, R3 envía una solicitud ARP por su interfaz G0/0.
PC2 devuelve una respuesta ARP con su dirección MAC. R3 actualiza su caché ARP con
una entrada para 192.168.4.10 y la dirección MAC devuelta en la respuesta ARP.
Día 19 197
Métodos de enrutamiento
Un router puede aprender rutas de tres fuentes básicas:
■
Rutas conectadas directamente: Se introducen automáticamente en la tabla de enrutamiento
cuando se activa una interfaz con una dirección IP
■
Rutas estáticas: Configuradas manualmente por el administrador de la red e introducidas en la
tabla de enrutamiento si la interfaz de salida de la ruta estática está activa
■
Rutas dinámicas: Aprendidas por los routers al compartir rutas con otros routers que utilizan
el mismo protocolo de enrutamiento
En muchos casos, la complejidad de la topología de la red, el número de redes y la necesidad de que
la red se ajuste automáticamente a los cambios requieren el uso de un protocolo de enrutamiento
dinámico. El enrutamiento dinámico tiene ciertamente varias ventajas sobre el enrutamiento estático;
sin embargo, las redes siguen utilizando el enrutamiento estático. De hecho, las redes suelen utilizar
una combinación de enrutamiento estático y dinámico.
La Tabla 19-1 compara las características del enrutamiento dinámico y estático. A partir de esta
comparación, se pueden enumerar las ventajas de cada método de enrutamiento. Las ventajas de un
método son las desventajas del otro.
EIGRP para
RIPng OSPFv3IS-IS IPv6 MP BGP-4 (IPv6)
IPv6 para
IPv6
IGP y EGP
Un sistema autónomo (AS) es un conjunto de routers bajo una administración común que presenta
una política de enrutamiento común y claramente definida a Internet. Los ejemplos típicos son la red
interna de una gran empresa y la red de un ISP. La mayoría de las redes empresariales no son sistemas
autónomos;
en la mayoría de los casos, la red de una empresa es una red dentro del sistema autónomo de su ISP.
Como Internet se basa en el concepto de sistema autónomo, se necesitan dos tipos de protocolos
de encaminamiento:
■
Protocolos de pasarela interior (IGP): Se utiliza para el enrutamiento intra-AS, es decir, el enrutamiento
dentro de un AS
■
Protocolos de pasarela exterior (EGP): Se utiliza para el enrutamiento entre sistemas
autónomos.
Con algunos protocolos de enrutamiento de vector distancia, los routers envían periódicamente
actualizaciones de su información de enrutamiento a sus vecinos. Los protocolos de enrutamiento
de estado de enlace no utilizan actualizaciones periódicas. Una vez que la red ha convergido, sólo
se envía una actualización de estado de enlace cuando cambia la topología.
Los protocolos de estado de enlace funcionan mejor en estas situaciones:
■
Cuando el diseño de la red es jerárquico, como suele ocurrir en las grandes redes
■
Cuando los administradores tienen un buen conocimiento del protocolo de
enrutamiento de estado de enlace implementado
■
Cuando la convergencia rápida de la red es crucial
200 31 días antes de su examen CCNA
<salida omitida>
Observe en la salida que una red, 192.168.6.0/24, tiene dos rutas. RIP equilibrará la carga entre
estas rutas de igual coste. Todos los demás protocolos de enrutamiento son capaces de equilibrar
automáticamente la carga del tráfico para un máximo de cuatro rutas de igual coste, por defecto. EIGRP
también es capaz de equilibrar la carga entre rutas de coste desigual.
Distancia administrativa
A veces un router aprende una ruta a una red remota desde más de una fuente de enrutamiento.
Por ejemplo, una ruta estática puede haber sido configurada para la misma red/máscara de subred
que fue aprendida dinámicamente por un protocolo de enrutamiento dinámico, como RIP. El router
debe elegir qué ruta instalar.
Aunque es menos común, se puede desplegar más de un protocolo de enrutamiento dinámico en la
misma red. En algunas situaciones, puede ser necesario enrutar la misma dirección de red usando
múltiples protocolos de enrutamiento, como RIP y OSPF. Debido a que los diferentes protocolos de
enrutamiento utilizan diferentes métricas-por ejemplo, RIP utiliza el conteo de saltos y OSPF utiliza el
ancho de banda-no es posible comparar las métricas para determinar la mejor ruta.
La distancia administrativa (AD) define la preferencia de una fuente de enrutamiento. Cada fuente de
enrutamiento -incluidos los protocolos de enrutamiento específicos, las rutas estáticas e incluso las
redes conectadas directamente- se prioriza en orden de mayor a menor preferencia, utilizando un valor
de AD. Los routers de Cisco utilizan la función AD para seleccionar la mejor ruta cuando conocen la
misma red de destino a través de dos o más fuentes de enrutamiento diferentes.
202 31 días antes de su examen CCNA
El valor AD es un valor entero de 0 a 255. Cuanto más bajo sea el valor, más preferida será la fuente de
la ruta. Una distancia administrativa de 0 es la más preferida. Sólo una red conectada directamente tiene
una AD de 0, que no se puede cambiar. Una AD de 255 significa que el router no creerá la fuente de esa
ruta, y no se instalará en la tabla de enrutamiento.
En la tabla de enrutamiento del Ejemplo 19-1, el valor AD es el primer valor que aparece entre
paréntesis.Puede ver que el valor AD para las rutas RIP es 120.También puede verificar el valor
AD con el comando show ip protocols, como lo demuestra el Ejemplo 19-2.
R2#
La Tabla 19-2 muestra los diferentes valores de distancia administrativa para varios protocolos de
enrutamiento.
Fuente de la ruta AD
BGP externo 20
EIGRP interno 90
IGRP 100
OSPF 110
IS-IS 115
RIP 120
EIGRP externo 170
BGP interno 200
Tabla 19-3 Comparación de las características de los IGP: RIPv2, OSPF y EIGRP
Características RIPv2 OSPF EIGRP
Métrica Recuento de Ancho de banda Función de ancho de
saltos banda, retardo
Envía actualizaciones Sí (30 segundos) No No
periódicas
Actualizaciones de Completo Parcialmente Parcialmente
enrutamiento completas o
parciales
Dónde se envían las (224.0.0.9) (224.0.0.5, 224.0.0.6) (224.0.0.10)
actualizaciones
Ruta considerada inalcanzable 16 saltos Depende de MaxAge de Un retraso de todos los 1s
LSA, que nunca se
incrementa más allá de 3600
segundos
Admite el equilibrio de No No Sí
carga de coste desigual
■
Temporizadores de retención: Los routers tienen instrucciones de retener cualquier cambio
que pueda afectar a las rutas durante un periodo de tiempo determinado. Si una ruta se identifica
como caída o posiblemente caída, cualquier otra información para esa ruta que contenga el mismo
estado, o peor, se ignora durante una cantidad de tiempo predeterminada (el periodo de
retención) para que la red tenga tiempo de converger.
■
Horizonte dividido: Se evita un bucle de enrutamiento al no permitir que los anuncios se
envíen de vuelta a través de la interfaz donde se originaron. La regla de horizonte dividido
impide que un router incremente una métrica y luego envíe la ruta de vuelta a su origen.
■
Envenenamiento de rutas o envenenamiento inverso: La ruta se marca como
inalcanzable en una actualización de enrutamiento que se envía a otros routers.
Inalcanzable se interpreta como una métrica que se ajusta al máximo.
■
Actualizaciones desencadenadas: Una actualización de la tabla de enrutamiento se envía
inmediatamente en respuesta a un cambio de enrutamiento. Las actualizaciones activadas
no esperan a que expiren los temporizadores de actualización. El router detector envía
inmediatamente un mensaje de actualización a los routers adyacentes.
■
Campo TTL en la cabecera IP: El campo TTL (Time To Live) evita una situación en la que un
paquete que no se puede entregar circula interminablemente por la red. Con el TTL, el
dispositivo de origen del paquete establece el campo de 8 bits con un valor. Este valor TTL se
reduce en 1 por cada router en la ruta hasta que el paquete llega a su destino. Si el valor TTL
llega a 0 antes de que el paquete llegue a su destino, el paquete se descarta y el router envía un
mensaje de error ICMP a la fuente del paquete IP.
Construir la LSDB
Los routers de estado de enlace envían información detallada sobre la red interna a todos los
demás routers, de modo que todos ellos tengan la misma información sobre la red interna. Los routers
utilizan esta base de datos de estado de enlace (LSDB) para calcular las mejores rutas actuales hacia
cada subred.
OSPF, el protocolo de enrutamiento IP de estado de enlace más popular, anuncia información en
mensajes de actualización de enrutamiento de varios tipos. Las actualizaciones contienen información
denominada anuncios de estado de enlace (LSA).
La Figura 19-3 muestra la idea general del proceso de inundación. El R8 está creando e inundando su
LSA de enrutador. Obsérvese que la Figura 19-3 muestra sólo un subconjunto de la información en
el LSA del router del R8.
La Figura 19-3 muestra el proceso básico de inundación. El R8 está enviando el LSA original para sí
mismo, y los otros routers están inundando el LSA reenviándolo hasta que cada router tenga una
copia.
Día 19 205
R8 R8 R2R3R4
R8 LSAR8LSA
R8 LSA
R8
R8 LSA Subred X
Fa0/0
R1 R5 R6 R8 172.16.3.1/24
Coste 10
R8 LSA R8 LSA
R7
R8 Router LSA - Contenido parcial
ID del router:8.8.8.8
Una vez que se ha inundado el LSA, incluso si los LSA no cambian, losInt. protocolos
Dirección IP: de estado de
172.16.3.1/24
Estado:UP
enlace requieren un reflote periódico de los LSA por defecto cada 30 minutos. Sin embargo, si un
Coste:10
LSA cambia, el router inunda inmediatamente el LSA cambiado. Por ejemplo, si la interfaz LAN del
router R8 fallara, el R8 tendría que volver a inundar el LSA R8, indicando que la interfaz está
ahora caída.
Coste 10 Coste 30
R1
Coste 20
R2
Coste 60
R5
Coste 30
R7 R3
Coste 180 Coste 20
R6
Coste 40
R4
Coste 5
R8
Coste 10
La Tabla 19-4 enumera las tres rutas mostradas en la Figura 19-2, con sus costos acumulados.Puede
ver que la mejor ruta de R1 hacia 172.16.3.0/24 comienza pasando por R5.
Como resultado del análisis del algoritmo SPF de la LSDB, R1 añade a su tabla de enrutamiento una
ruta a la subred 172.16.3.0/24, con R5 como enrutador de siguiente salto.
Paso 2. Todos los routers ejecutan de nuevo el algoritmo SPF para ver si ha cambiado alguna ruta.
Día 19 207
Paso 3. Todos los routers reemplazan las rutas, según sea necesario, basándose en los
resultados del SPF. Por ejemplo, R1 cambia su ruta para la subred X
(172.16.3.0/24) para utilizar R2 como el router de siguiente salto.
Estos pasos permiten que el protocolo de enrutamiento de estado de enlace converja
rápidamente, mucho más rápido que los protocolos de enrutamiento de vector distancia.
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Temas clave
Hoy revisamos la configuración básica del router. En primer lugar, nos centramos en la configuración y
verificación de los ajustes iniciales, incluyendo el direccionamiento IPv4. Veremos los detalles del
comando show interface
para entender cómo puede ayudar a identificar los problemas de la interfaz y de los cables. Luego
revisamos el direccionamiento IPv6 y la verificación de la conectividad de la red. La mayor parte de
esto debería ser muy familiar en este punto de sus estudios porque estas habilidades son fundamentales
para todas las demás tareas de configuración del router. También repasamos la configuración de
pequeñas oficinas u oficinas domésticas (SOHO).
■
Configuración de interfaces
■
Configurar un banner
■
Guardar los cambios en un router
■
Verificación de la configuración básica y de las operaciones del router
Ejemplo de configuración
Vamos a recorrer una configuración básica para R1. Primero, entre en el modo EXEC privilegiado y luego en el
modo de configuración global:
Router> habilitar
Router# config t
Día 18 211
A continuación, nombra el router e introduce la contraseña cifrada para entrar en el modo EXEC
privilegiado. Este comando anula el anterior comando enable password password, por lo que no vas a
introducir ese:
Router(config)# hostname R1
R1(config)# habilitar clase secreta
A continuación, configure la contraseña de la consola y exija que se introduzca con la contraseña de acceso:
R1(config)# línea consola 0
R1(config-line)# contraseña
cisco R1(config-line)# login
Configurar SSH y deshabilitar Telnet son las mejores prácticas de seguridad, así que configura las
líneas vty para usar sólo SSH:
Configure el banner del mensaje del día (MOTD). Se utiliza un carácter delimitador como el # tanto
al principio como al final del mensaje. Como mínimo, un banner debe advertir contra el acceso no
autorizado. Una buena política de seguridad prohíbe configurar un banner que dé la bienvenida a un
usuario no autorizado:
R1(config)# banner motd
Introduzca un mensaje de texto . Termine con el carácter '#'.
******************************************
WARNING!! Prohibido el acceso no autorizado!!
******************************************
#
Ahora configure las interfaces individuales del router con direcciones IP y otra información. En primer
lugar, entre en el modo de configuración de la interfaz especificando el tipo y el número de interfaz
y, a continuación, configure la dirección IP y la máscara de subred:
R1(config)# interfaz Serial0/0/0
R1(config-if)# dirección ip 192.168.2.1 255.255.255.0
212 31 días antes de su examen CCNA
Es una buena práctica configurar una descripción en cada interfaz para ayudar a documentar
la información de la red:
R1(config-if)# description Ciruit#VBN32696-123 (help desk:1-800-555-1234)
Activar la interfaz:
R1(config-if)# no shutdown
Asumiendo que el otro lado del enlace está activado en R2, la interfaz serie está ahora levantada.
Termina R1 configurando la interfaz GigabitEthernet 0/0:
R1(config-if)# interfaz GigabitEthernet0/0
R1(config-if)# dirección ip 192.168.1.1
255.255.255.0 R1(config-if)# descripción R1 LAN
R1(config-if)# no shutdown
Ejemplo de verificación
Puedes utilizar el comando show running-config para verificar toda la configuración actual del
router. Sin embargo, algunos otros comandos básicos pueden ayudarte a verificar la configuración y
también a empezar a solucionar cualquier problema potencial.
Asegúrese de que las redes de sus interfaces están ahora en la tabla de enrutamiento utilizando el
comando show ip route, como se muestra en el Ejemplo 18-1.
Si falta una red, compruebe el estado de su interfaz con el comando show ip interface brief, como
se muestra en el Ejemplo 18-2.
La salida del comando show ip interface brief proporciona tres datos importantes:
■
Dirección IP
■
Estado de la línea (columna 5)
■
Estado del protocolo (columna 6)
La dirección IP debe ser correcta y los códigos de estado deben ser up y up. La Tabla 18-2 resume los
dos códigos de estado y sus significados.
Si es necesario, utilice el comando show interface más detallado si necesita rastrear un problema con
una interfaz y obtener la salida para cada interfaz física y virtual.También puede especificar una
interfaz. El ejemplo 18-3 muestra la salida para GigabitEthernet 0/0.
Este comando tiene una gran cantidad de resultados. Sin embargo, a veces es la única manera de
encontrar un problema. La Tabla 18-4 analiza y explica cada parte importante de la salida de show
interface.
DescripciónCadena de texto de descripción configurada para la interfaz (con un máximo de 240 caracteres).
Dirección de InternetDirección IP seguida de la longitud del prefijo
(máscara de subred).
MTUMáxima unidad de transmisión (MTU) de la interfaz.
BWAncho de banda de la interfaz, en kilobits por segundo. El parámetro BW se utiliza para calcular las
métricas del protocolo de enrutamiento y otros cálculos.
DLYRetraso de la interfaz, en microsegundos.
relyRelación de la interfaz como una fracción de 255 (donde 255/255 es el 100%
de fiabilidad), calculada como una media exponencial durante 5 minutos.
loadCargaen la interfaz como una fracción de 255 (donde 255/255 es
completamente saturada), calculada como una media exponencial durante 5
minutos.
EncapsulaciónMétodo de encapsulación asignado a una interfaz.
LoopbackSi el loopback está activado. Puede indicar un problema con la
portadora. KeepaliveSi los keepalives están configurados.
Tipo de ARPTipo de protocolo de resolución de direcciones (ARP) asignado.
Última entradaNúmero de horas, minutos y segundos desde que el último paquete fue recibido con
éxito por una interfaz. Útil para saber cuándo falló una interfaz muerta.
outputNúmero de horas, minutos y segundos desde que el último paquete fue transmitido con
éxito por una interfaz. Útil para saber cuándo ha fallado una interfaz muerta.
output hangNúmero de horas, minutos y segundos (o nunca) desde que la interfaz se reinició por última vez
debido a una transmisión que tardó demasiado. Cuando el número de horas en
cualquiera de los campos anteriores excede de 24, se imprime el número de días y
horas. Si ese campo se desborda, se imprimen asteriscos.
216 31 días antes de su examen CCNA
OutputDescription
Última limpiezaHoraen la que los contadores que miden las estadísticas acumulativas
mostradas en este informe (como el número de bytes transmitidos y recibidos) se
pusieron a cero por última vez. Tenga en cuenta que las variables que podrían afectar
al enrutamiento (por ejemplo, la carga y la fiabilidad) no se borran cuando se borran
los contadores. Los asteriscos indican que el tiempo transcurrido es demasiado grande
para ser mostrado. Reinicie los contadores con el comando clear interface.
Cola de salida, cola de
Número de paquetes en las colas de salida y entrada. Cada número va seguido de una
entrada, cola de caída
barra (/), el tamaño máximo de la cola y el número de paquetes descartados debido a una
cola llena.
Velocidad de entrada
Número medio de bits y paquetes transmitidos por segundo en los últimos 5 minutos. Si
de cinco minutos,
la interfaz no está en modo promiscuo, detecta el tráfico de red que envía y recibe (en
velocidad de salida de
lugar de todo el tráfico de red). Las tasas de entrada y salida de 5 minutos deben
cinco minutos
utilizarse sólo como una aproximación del tráfico por segundo durante un periodo de
5 minutos determinado. Estas tasas son medias ponderadas exponencialmente con una
constante de tiempo de
5 minutos. Debe transcurrir un periodo de cuatro constantes de tiempo para que la
media se sitúe dentro del 2% de la tasa instantánea de un flujo de tráfico uniforme
durante ese periodo.
entrada de paquetesNúmero total de paquetes sin errores que ha recibido el sistema.
bytes inputNúmero total de bytes, incluyendo datos y encapsulación MAC, en los paquetes sin errores
recibidos por el sistema.
no buffersNúmero de paquetes recibidos descartados porque el sistema principal no
tenía espacio en el buffer. Compárese con el recuento de ignorados. Las tormentas
de difusión en Ethernet son a menudo responsables de los eventos de ausencia de
búfer de entrada.
Número total de paquetes de difusión o multidifusión recibidos por la interfaz. El número de
difusiones debe mantenerse tan bajo como sea posible. Un umbral aproximado es
menos del 20% del número total de paquetes de entrada.
runtsNúmero de tramas Ethernet que se descartan porque son más pequeñas que el
tamaño mínimo de la trama Ethernet. Cualquier trama Ethernet que sea inferior a 64
bytes se considera un runt. Los runts suelen estar causados por colisiones. Si se recibe
más de un runt por millón de bytes, debe investigarse.
gigantesNúmero de tramas Ethernet descartadas por exceder el tamaño máximo de
la trama Ethernet. Cualquier trama Ethernet que supere los 1518 bytes se considera
gigante.
error de entradaRunts , gigantes, sin búfer, comprobación de redundancia cíclica (CRC), trama,
desbordamiento y recuentos ignorados. Otros errores relacionados con la entrada
también pueden aumentar el recuento de errores de entrada, y algunos datagramas
pueden tener más de un error. Por lo tanto, esta suma puede no estar equilibrada con
la suma de los recuentos de errores de entrada enumerados.
La CRCCRC generada por la estación LAN de origen o el dispositivo de extremo
lejano no coincide con la suma de comprobación calculada a partir de los datos
recibidos. En una LAN, esto suele indicar problemas de ruido o de transmisión en la
interfaz LAN o en el propio bus LAN. Un valor alto de
número de CRC suele ser el resultado de colisiones o de una estación que transmite datos
erróneos.
frameNúmero de paquetes recibidos como incorrectos que tienen un error de
CRC y un número no entero de octetos. En una LAN, esto suele ser el resultado de
colisiones o de un mal funcionamiento del dispositivo Ethernet.
overrunNúmerode veces que el hardware del receptor no pudo recibir datos
en un búfer de hardware porque la tasa de entrada superó la capacidad del receptor
para manejar los datos.
ignoradoNúmero de paquetes recibidos ignorados por la interfaz porque el
hardware de la interfaz se quedó sin búferes internos. Estos búferes son diferentes de
los búferes del sistema mencionados en la descripción del búfer. Las tormentas de
difusión y las ráfagas de ruido pueden hacer que el recuento de ignorados aumente.
Día 18 217
OutputDescription
paquetes de
El error de bit de goteo indica que una trama es ligeramente demasiado larga. Este
entrada con
contador de errores de trama se incrementa sólo con fines informativos; el router acepta
condición de
la trama.
regateo
detectados
salida de paquetesNúmero total de mensajes transmitidos por el sistema.
bytesNúmero total de bytes, incluyendo datos y encapsulación MAC, transmitidos por el sistema.
underrunsNúmero de veces que el transmisor ha estado funcionando más rápido de lo que el
router puede manejar.
Es posible que nunca se informe de ello en algunas interfaces.
errores de salidaSuma de todos los errores que impidieron la transmisión final de
los datagramas fuera de la interfaz examinada. Tenga en cuenta que esto podría no
cuadrar con la suma de los errores de salida enumerados porque algunos
datagramas podrían tener más de un error y otros podrían tener errores que no
entran en ninguna de las categorías específicamente tabuladas.
colisionesNúmero de mensajes retransmitidos debido a una colisión Ethernet. Esto suele ser el resultado
de una LAN demasiado extensa (cable Ethernet o transceptor demasiado largo, más
de dos repetidores entre estaciones o demasiados transceptores multipuerto en
cascada). Un paquete que colisiona se cuenta sólo una vez en los paquetes de
salida.
interface resetsNúmero de veces que una interfaz se ha reiniciado completamente. Esto puede ocurrir si los
paquetes en cola para la transmisión no se enviaron en varios segundos. En una línea
serie, esto puede ser causado por un módem que funciona mal y no suministra la
señal de reloj de transmisión, o puede ser causado por un problema de cable. Si el
sistema observa que la línea de detección de portadora de una interfaz serie está
activada pero el protocolo de la línea está desactivado, reinicia periódicamente la
interfaz en un esfuerzo por reiniciarla. Los reinicios de la interfaz también pueden
producirse cuando se produce un bucle de retorno o un cierre de la interfaz.
R1S0/0/0
R2
PC2 G0/1
2001:0DB8:ACAD:2::/64
Para configurar una dirección IPv6 en la interfaz de un router, tiene una de varias opciones:
■
Configure la interfaz para utilizar el método de direccionamiento EUI-64:
Router(config)# dirección ipv6 ipv6-prefix/longitud de prefijo eui-64
■
Configure la dirección unicast global completa. Para configurar manualmente una dirección IPv6
completa, utilice la siguiente sintaxis de comando:
Router(config)# dirección ipv6 dirección ipv6/longitud de prefijo
■
Configurar la interfaz como no numerada (ver Día 27, "Direccionamiento IPv6").
■
Configurar la interfaz como cliente DHCPv6 (ver Día 23, "DHCP y DNS").
Ejemplo de configuración
El método de configuración de IPv6 preferido a menudo es configurar manualmente la dirección
IPv6 completa porque se puede controlar el número de dígitos hexadecimales que se deben escribir
cuando se prueba la conectividad o se soluciona un problema.Se puede ver esto comparando el
método EUI-64 con una configuración completa. En el Ejemplo 18-4, las interfaces en R1 están
todas configuradas usando el método EUI-64.
Observe el número de dígitos hexadecimales en las direcciones IPv6 resaltadas en la salida del
comando show ipv6 interface brief. Imagina que tienes que hacer ping a la dirección
GigabitEthernet 0/0 2001:DB8:ACAD:1:2D0:97FF:FE20:A101.
Día 18 219
Además, observe que las direcciones link-local también son bastante complejas. Para reducir la
complejidad de la configuración, verificación y resolución de problemas del router, es una buena
práctica configurar manualmente la dirección link-local así como la dirección global unicast IPv6. En el
Ejemplo 18-5, R1 es reconfigurado con direcciones IPv6 más simples y con FE80::1 como dirección
link-local en todas las interfaces. Recuerde que la dirección link-local necesita ser única sólo en el
enlace de esa interfaz.
Compare la salida resaltada del comando show ipv6 interface brief en el Ejemplo 18-5 con la
salida en el Ejemplo 18-4. Puede ver que simplificar la implementación del direccionamiento IPv6
puede hacer su trabajo de verificación y solución de problemas mucho más fácil.
Para verificar la configuración completa de una interfaz, utilice el comando show ipv6
interface. El Ejemplo 18-6 muestra la salida para la interfaz GigabitEthernet 0/0 de R1.
220 31 días antes de su examen CCNA
Concéntrese en la salida resaltada en el Ejemplo 18-6. IPv6 está habilitado en esta interfaz con una
bonita y corta dirección link-local. La dirección global unicast y su subred están listadas, así como la
dirección de los grupos multicast a los que esta interfaz se unió automáticamente. ¿Recuerdas para qué
se utilizan las direcciones FF02::1 y FF02::1:FF00:1? Si no es así, vuelve a visitar el día 27.
Esas son todas las configuraciones de IPv6 por hoy. A medida que continuemos revisando los temas del
examen en los próximos días, incorporaremos temas de IPv6.
Verificación de la conectividad
de las redes IPv4 e IPv6
Como se revisó en el Día 29, "Fundamentos de la configuración del conmutador", ping y traceroute
son herramientas útiles para verificar la conectividad de la red. El Ejemplo 18-7 demuestra la salida de
ping exitosa en el router.
R1#
La salida del ping sin éxito muestra puntos (. ) en lugar de signos de exclamación (! ), como demuestra
el Ejemplo 18-8. La salida sería la misma en IPv6.
Los trazados sin éxito muestran el último salto con éxito y los asteriscos de cada intento hasta que
el usuario lo cancele. Para cancelar el comando traceroute en un router, utilice la combinación de
teclas Ctrl+Mayús+6 y luego presione la tecla x. El ejemplo 18-10 muestra la salida del traceroute
sin éxito. La salida sería la misma con IPv6.
222 31 días antes de su examen CCNA
El uso de Telnet o SSH para acceder remotamente a otro dispositivo también prueba la conectividad. Y
lo que es más importante, estos métodos de acceso remoto comprueban si un dispositivo se ha
configurado correctamente para poder acceder a él con fines de gestión. Esto puede ser importante
cuando un dispositivo es realmente remoto (por ejemplo, al otro lado de la ciudad o en otra ciudad). El
día 20, "Seguridad de la LAN y endurecimiento de los dispositivos" revisa la configuración y
verificación de SSH con mayor detalle.
Durante las tareas de configuración básica anteriores, usted introdujo los comandos para configurar
correctamente las líneas vty para el acceso remoto SSH. Si está accediendo a un dispositivo
configurado con SSH desde un PC, utilizará la configuración SSH en su cliente de terminal. Sin
embargo, puede utilizar el comando ssh en un router o switch para acceder a otro dispositivo
configurado con SSH. El Ejemplo 18-11 muestra cómo usar SSH para acceder remotamente a R2
desde R1.
R1# ssh ?
-c Seleccionar el algoritmo de encriptación
-l Iniciar sesión con este nombre de usuario
-m Seleccionar el algoritmo HMAC
-o Especificar opciones
-p Conectar con este puerto
-v Especifica la versión del protocolo SSH
-vrf Especifica el nombre de la vrf
WORD Dirección IP o nombre de host de un sistema remoto
R1# ssh -l ?
WORD Nombre de
usuario R1# ssh -l
admin ?
-c Seleccionar el algoritmo de encriptación
-m Seleccionar el algoritmo HMAC
-o Especificar opciones
-p Conectar con este puerto
-v Especifica la versión del protocolo SSH
-vrf Especifica el nombre de la vrf
WORD Dirección IP o nombre de host de un sistema remoto
Día 18 223
******************************************
WARNING!! Prohibido el acceso no
autorizado!!
******************************************
R2>
NOTA: Durante sus estudios y prácticas de laboratorio de CCNA, lo más probable es que
haya utilizado una configuraciónde Telnet para acceder de forma remota a su equipo de
laboratorio. Aunque Telnet es más fácil de usar que SSH, recuerde que el uso de SSH se
considera la mejor práctica. Por lo tanto, durante el examen CCNA, prepárese para
utilizar SSH para acceder remotamente a los dispositivos en las preguntas de simulación,
ya que Telnet podría no estar configurado o permitido.
DSL
Internet
Celular
Teletrabajador
Proveedor de servicios de Internet
Satélite
Las opciones de conexión que se muestran en la Figura 18-3 son las siguientes:
■
Cable: Ofrecido normalmente por los proveedores de servicios de televisión por cable (CATV), el
cable transmite la señal de datos de Internet por el mismo cable que suministra la televisión por
cable. Ofrece un gran ancho de banda, alta disponibilidad y una conexión permanente a Internet.
■
DSL: La línea de abonado digital, que funciona a través de las líneas telefónicas, proporciona un
gran ancho de banda, alta disponibilidad y una conexión permanente a Internet.
224 31 días antes de su examen CCNA
■
Celular: El acceso a Internet por móvil utiliza una red de telefonía celular para conectarse.
Dondequiera que haya una señal de telefonía móvil, se puede tener acceso a Internet por celular. El
rendimiento está limitado por las capacidades del teléfono y la torre celular a la que está
conectado.
■
Satélite: el acceso a Internet por satélite se utiliza en zonas que, de otro modo, no
tendrían ninguna conexión a Internet. Las antenas parabólicas requieren una línea de visión
clara hacia el satélite.
■
Teléfono de acceso telefónico: El acceso telefónico es una opción de bajo ancho de
banda que utiliza cualquier línea telefónica y un módem. La marcación se considera una
tecnología heredada, pero es posible que la veas en el examen.
Un router SOHO se utiliza normalmente para crear la conexión con el usuario doméstico y las
conexiones de la pequeña oficina en la Figura 18-4. Los routers SOHO suelen tener dos
características que un router de empresa no suele tener:
■
Los routers SOHO casi siempre utilizan Internet y la tecnología de red privada virtual (VPN)
para sus conexiones WAN para enviar datos de ida y vuelta al resto de la empresa.
■
Un router SOHO es casi siempre un dispositivo multifuncional que realiza tareas de
enrutamiento, conmutación de LAN, VPN, conexión inalámbrica y quizás otras funciones.
La Figura 18-4 muestra un típico sitio SOHO. Los tres iconos que representan un router, un switch y
un punto de acceso existen en realidad dentro de una caja. Los cables UTP se muestran sólo para
indicar que estos dispositivos están conectados. La conexión real está en el hardware del router
SOHO. A la izquierda, el router SOHO proporciona servidores LAN alámbricos e inalámbricos, y a la
derecha, proporciona acceso WAN a través de una conexión a Internet por cable.
Funciones
internas del
router SOHO
Punto de acceso
UTP
CATV
Cable
ISP/Internet
UTP R1UTP
UTP RouterMódem por cable
Cambia
La pasarela por defecto se utiliza cuando el host quiere enviar un paquete a un dispositivo de otra
red. La dirección de la pasarela por defecto suele ser la dirección de la interfaz del router conectada
a la red local a la que está conectado el host.
Para resolver una puerta de enlace por defecto configurada manualmente de forma incorrecta,
consulte la documentación de topología y direccionamiento para verificar cuál debería ser la puerta
de enlace por defecto del dispositivo; normalmente es un router conectado a la misma LAN.
NOTA: Un servidor DHCP mal configurado también puede causar un problema de puerta de enlace
predeterminada.
Algunas configuraciones del servidor DHCP, como la función Easy IP IOS, pueden
requerir que el administrador configure manualmente la dirección de la puerta de
enlace predeterminada. Si esto se configura incorrectamente, ningún dispositivo
tendrá acceso más allá de la LAN. El DHCP se revisa en el día 23.
Direcciones IP duplicadas
En algunas circunstancias, pueden producirse conflictos de direcciones IP duplicadas entre un
dispositivo de red configurado estáticamente y un PC que obtiene información de direccionamiento IP
automático del servidor DHCP. Para resolver dicho conflicto de direcciones IP, puede realizar una de
las siguientes acciones:
■
Convertir el dispositivo de red con la dirección IP estática en un cliente DHCP
■
En el servidor DHCP, excluya la dirección IP estática del dispositivo final del conjunto de
direcciones DHCP
La primera solución es un arreglo rápido que se puede hacer sobre el terreno. Sin embargo, es más que
probable que el dispositivo necesite una configuración estática. La segunda solución puede ser la mejor
opción a largo plazo. Sin embargo, requiere que usted tenga privilegios administrativos para
configurar el servidor DHCP.
También puede encontrarse con conflictos de direccionamiento IP al configurar manualmente la
IP en un dispositivo final en una red que sólo utiliza direcciones IP estáticas. En este caso, debe
determinar qué direcciones IP están disponibles en la subred IP particular y configurar en
consecuencia. Este caso ilustra por qué es tan importante para un administrador de red mantener una
documentación detallada, incluyendo las asignaciones de direcciones IP y topologías, para los
dispositivos finales.
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para
estudiar más.
Recursos Módulo o capítulo
Introducción a las redes v7 10
17
Fundamentos de conmutación, enrutamiento e inalámbricos 1
Guía oficial del CCNA 200-301, volumen 1 15
Guía del mando portátil 14
Esta página se ha dejado intencionadamente en blanco
La tabla de enrutamiento
Temas clave
Hoy repasamos las dos funciones del router: la determinación de la ruta y el reenvío de paquetes. Los
routers utilizan tablas de enrutamiento para determinar la mejor ruta. Un router utiliza una ruta
conectada directamente, una ruta a una red remota o una ruta por defecto. Hoy revisamos la estructura de
la tabla de enrutamiento y sus entradas.
En la Tabla 17-2, un paquete IPv6 como dirección IPv6 de destino 2001:db8:c000::99. Este ejemplo
muestra tres entradas de ruta, pero sólo dos de ellas son coincidencias válidas; una de ellas es la
coincidencia más larga. Las dos primeras entradas de ruta tienen longitudes de prefijo que tienen el
número requerido de bits de coincidencia, como indica la longitud del prefijo. La tercera entrada de
ruta no es una coincidencia porque su prefijo /64 requiere 64 bits de coincidencia. Para que el prefijo
2001:db8:c000:5555::/64 coincida, los primeros 64 bits deben coincidir con la dirección IPv6 de
destino del paquete. Sólo los primeros 48 bits coinciden, por lo que esta entrada de ruta no se considera
una coincidencia.
■
Ruta por defecto: La ruta por defecto se utiliza cuando no hay una coincidencia mejor (más
larga) en la tabla de enrutamiento IP. En la Figura 17-1, la tabla de enrutamiento IPv4 de R1
tiene una ruta por defecto para reenviar todos los paquetes a R2 para cualquier red remota
para la que no tenga una ruta más explícita.
Red remota
10.0.4.0/24
Red remota
Red conectada directamente ISP
Redes remotas Internet
En la Figura 17-1, R1 y R2 están usando el enrutamiento OSPF para anunciar redes conectadas
directamente. R2 está conectado a Internet. El administrador configuró una ruta por defecto en R2
y la propagó a R1 en el proceso de enrutamiento OSPF. R1 utiliza esta ruta por defecto propagada
(O*E2) para enviar paquetes a R2 cuando no hay una entrada más específica en la tabla de
enrutamiento que coincida con la dirección IP de destino. La tabla de enrutamiento en el Ejemplo
17-1 muestra todas las rutas de destino IPv4 conocidas para R1.
Al principio de cada entrada de la tabla de enrutamiento hay un código que se utiliza para
identificar el tipo de ruta o cómo se aprendió la ruta. Las fuentes de ruta más comunes (códigos)
son las siguientes:
■
L: Dirección IP de la interfaz local conectada directamente
■
C: Red conectada directamente
■
S: Ruta estática configurada manualmente por un administrador
■
O: OSPF
■
D: EIGRP
Para las rutas conectadas directamente, R1 añade tres entradas de ruta con los códigos C (para la
red conectada) y L (para la dirección IP de la interfaz local de la red conectada). Las entradas de ruta
también identifican la interfaz de salida que se debe utilizar para llegar a la red.
R1 y R2 también están utilizando el protocolo de enrutamiento dinámico OSPF para intercambiar
información de enrutamiento. Por lo tanto, R1 tiene una entrada de ruta, designada con el código
O, para las redes 10.0.4.0/24 y 10.0.5.0/24.
Una ruta por defecto tiene una dirección de red de todos los ceros. Por ejemplo, la dirección de red IPv4
es 0.0.0.0. En lugar de estar configurada estáticamente, la ruta por defecto se aprendió a través de OSPF
y se codificó como O*E2 para IPv4 y OE2 para IPv6. El asterisco (*) en IPv4 significa que se trata
de un candidato a ruta por defecto. El E2 en IPv6 designa esta ruta como una ruta externa de tipo 2. En
OSPF, esto significa que la ruta es hacia otro dominio de enrutamiento fuera de OSPF. En este caso, la
ruta es hacia el router del ISP conectado a la red, como se muestra en la topología de la Figura 17-1.
R2 está configurado con una ruta estática por defecto y está propagando esa ruta en OSPF con el
comando default-information originate configurado en el modo de configuración de
enrutamiento.
La información de enrutamiento sobre una ruta R1 recibe un paquete con la dirección IP de destino de
no proporciona información de enrutamiento de PC1 y la dirección IP de origen de PC3. El hecho de que R1
retorno. sepa que debe reenviar el paquete por su interfaz G0/0/0
no significa necesariamente que R1 sepa cómo la red remota de PC3.
reenviar los paquetes que se originan en PC1 a
232 31 días antes de su examen CCNA
O2001:DB8:ACAD:4::/64 [110/50]
vía FE80::2:C, Serial0/1/1
5 7
2. Red de destino (prefijo y longitud del prefijo): Identifica la dirección de la red remota.
3. Distancia administrativa: Identifica la fiabilidad de la fuente de la ruta. Los valores más bajos
indican las fuentes de ruta preferidas.
4. Métrica: Identifica el valor asignado para alcanzar la red remota. Los valores más bajos indican
rutas preferidas.
5. Siguiente salto: Identifica la dirección IP del siguiente router al que se reenvía el paquete.
6. Marca de tiempo de la ruta: Identifica el tiempo transcurrido desde que se aprendió la ruta.
7. Interfaz de salida: Identifica la interfaz de salida que se utilizará para que los paquetes
salientes lleguen a su destino final.
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Puntos clave
Hoy revisamos el enrutamiento entre VLANs. Como los switches de capa 2 no pueden realizar la
función de enrutamiento, es necesario implementar un dispositivo de capa 3 para enrutar entre VLANs.
R1
VLAN 10 VLAN 30
G0/0 G0/1
G0/1 G0/2
S2
F0/11 F0/6
VLAN 10 VLAN 30
PC1 PC3
172.17.10.21172.17.30.23
Router en un palo
Hoy en día el software del router hace posible configurar una interfaz del router como múltiples
troncales utilizando subinterfaces. En la Figura 16-2, la interfaz física GigabitEthernet 0/0 está
lógicamente subdividida en dos interfaces lógicas. El tronco de un conmutador está configurado para
enlazar tanto la VLAN 10 como la VLAN 30, y a cada subinterfaz del router se le asigna una VLAN
distinta. El router realiza el enrutamiento entre VLANs aceptando el tráfico con etiqueta VLAN en la
interfaz troncal procedente del switch adyacente. A continuación, el router reenvía el tráfico enrutado,
con etiqueta VLAN para la VLAN de destino, por la misma interfaz física que utilizó para recibir el
tráfico.
R1
VLAN 10 G0/0,10 G0/0,30 VLAN 30
F0/11 S2F0/6
VLAN 10 VLAN 30
PC1 PC3
172.17.10.21172.17.30.23
Día 16 235
Conmutación multicapa
El router en un palo funciona bien en una pequeña empresa con uno o dos routers. Pero la solución
más escalable en las redes empresariales de hoy en día es utilizar un conmutador multicapa para
reemplazar tanto el router como el conmutador, como en la Figura 16-3. Un conmutador multicapa
realiza ambas funciones: conmutar el tráfico dentro de la misma VLAN y enrutar el tráfico entre
VLANs.
F0/11 F0/6
VLAN 10 VLAN 30
PC1 PC3
172.17.10.21172.17.30.23
Con un conmutador multicapa, los paquetes se reenvían por una única línea troncal para obtener nueva
información de etiquetado VLAN. Un conmutador multicapa no sustituye por completo la
funcionalidad de un router, sino que puede considerarse como un dispositivo de capa 2 que se
actualiza para tener algunas capacidades de enrutamiento.
R1
G0/0
Subinterfaces:
G0/0.10: 172.17.10.1/24 G0/0.30: 172.17.30.1/24
Trunking Todas las VLAN
G0/1
S2
F0/11 F0/6
PC1 PC3
172.17.10.21 172.17.30.23
VLAN 10 VLAN 30
Este router en una topología de palo se configura utilizando los siguientes pasos en el router:
Paso 1. Active la interfaz física que está haciendo trunking con el switch utilizando el
comando no shutdown.
Paso 2. Entrar en el modo de configuración de la subinterfaz para la primera VLAN que necesita
ser enrutada. Una convención es utilizar el número de la VLAN como número de
subinterfaz. Por ejemplo, el comando interface g0/1.10 entra en el modo de
configuración de subinterfaz para la VLAN 10.
Paso 3. Configure el tipo de encapsulación de trunking mediante el comando de
configuración de subinterfaz encapsulation {dot1q | isl} vlan-number [native].
Configure la encapsulación como dot1q.
■
La encapsulación de enlaces entre conmutadores (ISL), un método de trunking
propietario de Cisco, existía antes del estándar IEEE 802.1Q, que es ahora la mejor
práctica recomendada. Sin embargo, es posible que los switches más antiguos que
aún se utilizan sólo admitan ISL. En esos casos, se sustituye la palabra clave dot1q
por isl.
■
En algunos enrutadores, la palabra clave opcional nativa debe ser configurada para
la VLAN nativa antes de que el enrutador enrute el tráfico de la VLAN nativa. Los
siguientes ejemplos no utilizan el enrutamiento de la VLAN nativa; consulte sus
recursos de estudio para obtener más información sobre este tema.
Paso 4. Configurar la dirección IP y la máscara de subred.
Paso 5. Repita los pasos 2-4 para cada VLAN adicional que necesite ser enrutada.
Asumiendo que el switch ya está configurado con VLANs y trunking, el Ejemplo 16-1 muestra los
comandos para configurar R1 para proporcionar enrutamiento entre la VLAN 10 y la VLAN 30.
Día 16 237
Para verificar la configuración, utilice los comandos show vlans, show ip route y show ip
interface brief para asegurarse de que las nuevas redes están en la tabla de enrutamiento y las
subinterfaces están en funcionamiento, como en el Ejemplo 16-2.
Asumiendo que el switch y los PCs están configurados correctamente, los dos PCs deberían ser capaces
de hacer ping el uno al otro. R1 debería enrutar el tráfico entre la VLAN 10 y la VLAN 30.
Todos los conmutadores Cisco Catalyst de capa 3 (series 3500, 4500 y 6500) admiten protocolos de
enrutamiento. Los conmutadores Catalyst 2960 Series que ejecutan Cisco IOS versión 12.2(55) o
posterior admiten el enrutamiento estático.
Internet
Servidor web
G0/1 64.100.10.10
192.0.2.2/24
Interfaz SVI
Interfaz SVI
VLAN 10
VLAN 30
172.17.10.1
172.17.30.1
F0/11 F0/6
PC PC
172.17.10.21
172.17.30.23
VLAN 10
VLAN 30
Día 16 239
Cree una SVI utilizando el comando interface vlan vlan-id. El vlan-id utilizado corresponde a la
etiqueta VLAN asociada a las tramas de datos procedentes de esa VLAN. Por ejemplo, al crear un SVI
como puerta de enlace para la VLAN 10, utilice el comando interface VLAN 10. Asigne una dirección
IP y habilite el nuevo SVI con el comando no shutdown.
Además, el conmutador debe estar configurado para hacer enrutamiento de capa 3 con el
comando de configuración global ip routing.
A continuación se exponen algunas ventajas de los IVS (y la única desventaja es que los
conmutadores multicapa son más caros):
■
Son mucho más rápidos que los routers en un palo porque todo está conmutado y enrutado
por hardware.
■
No se necesitan enlaces externos desde el switch al router para el enrutamiento.
■
No están limitados a un solo enlace. Se pueden utilizar EtherChannels de capa 2 entre los
conmutadores para obtener más ancho de banda.
■
La latencia es mucho menor porque no necesita salir del conmutador.
MLS(config)# ip routing
MLS(config)# vlan 10
MLS(config)# vlan 30
MLS(config)# interfaz vlan 10
MLS(config-if)# dirección ip 172.17.10.1 255.255.255.0
MLS(config-if)# interfaz vlan 30
MLS(config-if)# dirección ip 172.30.10.1 255.255.255.0
MLS(config-if)# interfaz f0/11 MLS(config-
if)# switchport mode access MLS(config-
if)# switchport access vlan 10 MLS(config-
if)# interfaz f0/6
MLS(config-if)# switchport mode access
MLS(config-if)# switchport access vlan 30
MLS(config-if)# end
MLS# show ip route
<Salida de código omitida>
Como el comando ip routing está configurado, MLS tiene una tabla de enrutamiento. Ahora PC1 y
PC3 pueden hacer ping entre sí.
El comando show ip route verifica que el switch de capa 3 tiene una ruta a Internet. PC1 y PC3
pueden ahora acceder al servidor web.
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Temas clave
Hoy nos centramos en el enrutamiento estático y por defecto para IPv4 e IPv6. Las rutas estáticas son
una parte común de la política de enrutamiento de una empresa. Las rutas estáticas pueden utilizarse
para forzar el tráfico a utilizar una ruta específica o para establecer una ruta por defecto fuera de la
empresa. El administrador de la red codifica las rutas estáticas en la tabla de enrutamiento. Por lo tanto,
un administrador de red debe supervisar y mantener las rutas estáticas para garantizar la conectividad.
Las rutas estáticas se suelen utilizar cuando se enruta desde una red más grande a una red stub
(una red a la que se accede por un único enlace). Las rutas estáticas también pueden ser útiles para
especificar una ruta por defecto o una pasarela de último recurso. Por ejemplo, en la Figura 15-1,
R2 está conectado a una red stub.
En la Figura 15-1, no existe ninguna otra ruta que salga de la red stub salvo para enviar paquetes
a HQ. Por lo tanto, tiene sentido configurar el R2 con una ruta por defecto que apunte a la interfaz
conectada al HQ. Del mismo modo, el HQ sólo tiene una forma de enrutar los paquetes destinados a la
red stub conectada al R2. Por lo tanto, tiene sentido configurar el HQ con una ruta estática que
apunte a la interfaz conectada al R2. Sí, podría configurar ambos routers con un protocolo de
enrutamiento dinámico, pero eso podría introducir un nivel de complejidad que podría no ser
necesario en una situación de red stub.
242 31 días antes de su examen CCNA
HQ R2
Además, el parámetro opcional de distancia administrativa se utiliza cuando se configura una ruta
estática flotante, como se verá más adelante en la revisión de hoy.
La Figura 15-2 muestra la topología que utilizamos hoy en día para revisar el enrutamiento estático y por
defecto de IPv4.
172.16.2.0/24 192.168.0.0/24
172.16.3.0/24 192.168.1.0/24
La Tabla 15-1 muestra el esquema de direccionamiento IPv4 utilizado con la topología de la Figura 15-2.
Supongamos que R1 está configurado y conoce sus propias redes conectadas directamente. El ejemplo
15-1 muestra la tabla de enrutamiento de R1 antes de que se configure cualquier enrutamiento
estático.
La interfaz que se dirige al siguiente salto debe estar activa y en funcionamiento antes de que las
rutas estáticas puedan ser introducidas en la tabla de enrutamiento. El ejemplo 15-3 verifica que las
rutas estáticas están ahora en la tabla de enrutamiento.
Ejemplo 15-3 Tabla de enrutamiento del R1 después de configurar las rutas estáticas
Cuando se utiliza el parámetro de siguiente salto, el router debe tener una ruta en la tabla hacia la
red a la que pertenece la dirección de siguiente salto. En la línea resaltada en el Ejemplo 15-3, vemos
que R1 tiene efectivamente una ruta a la red 172.16.2.0/24, que incluye la dirección de siguiente
salto 172.16.2.1. Sin embargo, la configuración de una dirección de siguiente salto requiere que el
router realice una búsqueda recursiva para encontrar la interfaz de salida antes de que pueda enviar el
paquete por la interfaz Serial 0/0/0.
Cualquier ruta estática anterior a esta red que utilice una dirección IP de siguiente salto debe ser
eliminada. El R2 tiene ahora dos rutas estáticas en su tabla de enrutamiento (véase el Ejemplo 15-4)
que puede utilizar inmediatamente para dirigirse a las redes 172.16.3.0/24 y 192.168.1.0/24 sin
tener que hacer una búsqueda recursiva de rutas.
NOTA: Aunque la salida resaltada en el Ejemplo 15-4 muestra que las rutas están
directamente conectadas, técnicamente, eso no es cierto. Sin embargo, en lo que
respecta a R2, la interfaz de salida es la forma de llegar al destino, al igual que con las
rutas verdaderamente conectadas directamente. Otra ventaja de utilizar la
configuración de la interfaz de salida en lugar de la configuración de la dirección del
siguiente salto es que la ruta estática no depende de la estabilidad de la dirección IP
del siguiente salto. La mayoría de las veces, utilizar la configuración de la interfaz de
salida es la mejor práctica, por lo que utilizaremos la configuración de la interfaz de
salida para todas las rutas estáticas y por defecto mientras continuamos con las
revisiones.
Un paquete destinado a 172.16.1.10, la dirección IP de destino del paquete, coincide con ambas rutas.
Sin embargo, la ruta 172.16.1.0 es la más específica porque el destino coincide con los primeros 24
bits, mientras que el destino sólo coincide con los primeros 16 bits de la ruta 172.16.0.0. Por lo tanto, el
router utiliza la ruta con la coincidencia más específica.
Una ruta por defecto es una ruta que coincide con todos los paquetes. Comúnmente llamada ruta
cuádruple cero, una ruta por defecto utiliza 0.0.0.0 (de ahí el término cuádruple cero) para los
parámetros de dirección de red y máscara de subred, como en esta sintaxis:
Router(config)# ip route 0.0.0.0 0.0 0.0 {dirección-ip | interfaz-salida}
Refiriéndose a la topología de la Figura 15-2, suponga que la sede central tiene una conexión a
Internet. Desde la perspectiva de R2, todo el tráfico por defecto puede enviarse a HQ para su
enrutamiento fuera del dominio conocido por R2.
El siguiente comando configura el R2 con una ruta por defecto que apunta al HQ:
R2(config)# ip route 0.0.0.0 0.0.0 serial 0/1/0
R2 tiene ahora una pasarela de último recurso en la tabla de enrutamiento, una ruta candidata por
defecto indicada por el asterisco (*) junto al código S (véase el ejemplo 15-5).
Desde la perspectiva de R1 y R3, R2 es la ruta por defecto. Los siguientes comandos configuran R1 y
R3 con una ruta por defecto que apunta a R2:
R1(config)# ip route 0.0.0.0 0.0 serial 0/0/0
!
R3(config)# ip route 0.0.0.0 0.0 serial 0/0/1
De nuevo, podemos verificar que la ruta por defecto está ahora en la tabla de enrutamiento de R1 (ver Ejemplo
15-6).
!R1!!!!!!!!!!!
R1# show ip route
<algunos códigos omitidos>
* - candidato por defecto, U - ruta estática por usuario, o
- ODR P - ruta estática descargada periódicamente
El R2 también tiene una ruta de salida hacia el cuartel general para los destinos que no conoce.
¿Pero qué pasa con la sede central? Actualmente, la sede central no tiene rutas de vuelta a ninguna de
las redes accesibles a través de R2. Por lo tanto, cualquier tráfico procedente de PC1, PC2 y PC3 está
actualmente confinado a las redes R1, R2 y R3. Ninguno de estos PCs puede hacer ping a la
dirección de interfaz de la sede central 10.10.10.1. En la salida de traceroute en el Ejemplo 15-7, la
falla ocurre después de que R2 responde. Esto se debe a que HQ recibe las solicitudes ICMP de PC1
pero no tiene una ruta de regreso a la red 172.16.3.0/24. Por lo tanto, el cuartel general descarta los
paquetes.
Ejemplo 15-8 Cálculo de la ruta de resumen para las rutas estáticas de la sede central
La ruta resumen para las redes 172.16 es 172.16.0.0/22 porque las tres direcciones de red tienen
22 bits en común. Aunque esta ruta estática resumida no forma parte del esquema de direccionamiento
actual, también incluye la ruta 172.16.0.0/24. La ruta resumen para las redes 192.168 es
192.168.0.0/23 porque las dos direcciones de red tienen 23 bits en común.
Día 15 249
Ahora podemos configurar HQ con dos rutas estáticas de resumen en lugar de cinco rutas estáticas
individuales:
HQ(config)# ip route 172.16.0.0 255.255.252.0 serial 0/0/0
HQ(config)# ip route 192.168.0.0 255.255.254.0 Serial0/0/0
Ahora PC1 puede trazar con éxito una ruta a la interfaz HQ, como muestra el Ejemplo 15-9.
Rastreo completo.
C:\>
El rastreo es exitoso porque HQ ahora tiene una ruta de regreso a la red de PC1, como se muestra
en el Ejemplo 15-10.
2001:DB8:1:2::/64 2001:DB8:1:A0::/64
2001:DB8:1:3::/64 2001:DB8:1:A1::/64
La Tabla 15-2 muestra el esquema de direccionamiento IPv6 utilizado con la topología de la Figura 15-3.
FE80::1
R2 G0/0 2001:DB8:1:1::1/64 -—
S0/0/0 2001:DB8:1:2::1/64 -—
S0/0/1 2001:DB8:1:A0::1/64 -—
S0/1/0 2001:DB8:1:F::2/64 -—
Por lo tanto, los siguientes comandos configuran a R2 con rutas estáticas hacia las LAN de R1 y R3:
R2(config)# ipv6 route 2001:DB8:1:3::/64 Serial0/0/0
R2(config)# ipv6 route 2001:DB8:1:A1::/64 Serial0/0/1
Como se destaca en la salida del comando show ipv6 route en el Ejemplo 15-11, R2 ahora tiene
rutas en la tabla de enrutamiento hacia las LANs de R1 y R3.
Ejemplo 15-11 Tabla de enrutamiento IPv6 del R2 después de configurar las rutas estáticas
Al igual que con el cuádruple cero en IPv4, los dos puntos (::) significan todos los 0s o cualquier
dirección, y el /0 significa cualquier longitud de prefijo.
Continuando con el ejemplo de la Figura 15-3, podemos configurar R1, R2 y R3 con las siguientes
rutas por defecto:
R1(config)# ipv6 route ::/0 serial 0/0/0
R2(config)# ipv6 route ::/0 serial 0/1/0
R3(config)# ipv6 route ::/0 serial 0/0/1
Los puntos destacados en el Ejemplo 15-12 muestran las rutas por defecto para R1, R2 y R3.
Ejemplo 15-12 Rutas por defecto en las tablas de enrutamiento para R1, R2 y R3
!R1!!!!!!!!!!!
R1# show ipv6 route
Tabla de enrutamiento IPv6 - 6 entradas
<código de salida
omitido> S::/0 [1/0]
vía ::, Serial0/0/0
<se omite la salida d e l a s rutas conectadas y locales>
!R2!!!!!!!!!!!
R2# show ipv6 route
Tabla de enrutamiento IPv6 - 12 entradas
<código de salida
omitido> S::/0 [1/0]
vía ::, Serial0/1/0
S2001:DB8:1:3::/64 [1/0]
vía ::, Serial0/0/0
S2001:DB8:1:A1::/64 [1/0]
vía ::, Serial0/0/1
<se omite la salida d e l a s rutas conectadas y locales>
!R3!!!!!!!!!!!
R3# show ipv6 route
Tabla de enrutamiento IPv6 - 6 entradas
<código de salida
omitido> S::/0 [1/0]
vía ::, Serial0/0/1
<se omite la salida d e l a s rutas conectadas y locales>
Día 15 253
Cálculo resumido para los cuatro primeros hextetos de las redes 2001:DB8:1:1::/64,
2001:DB8:1:2::/64 y 2001:DB8:1:3::/64:
0010000000000001:0000110110111000:0000000000000001:0000000000000001::
0010000000000001:0000110110111000:0000000000000001:0000000000000010::
0010000000000001:0000110110111000:0000000000000001:0000000000000011::
Cálculo resumido para los cuatro primeros hextetos de las redes 2001:DB8:1:A0::/64 y
2001:DB8:1:A1::/64:
0010000000000001:0000110110111000:0000000000000001:0000000010100000::
0010000000000001:0000110110111000:0000000000000001:0000000010100001::
La primera ruta resumida es 2001:DB8:1::/62 porque las tres direcciones de red tienen 62 bits en
común. Aunque esta ruta estática resumida no forma parte del esquema de direccionamiento actual,
también incluye la red 2001:DB8:1::/64. La segunda ruta resumida es 2001:DB8:1:A0::/63 porque las
dos direcciones de red tienen 63 bits en común.
Ahora puede configurar el HQ con las siguientes dos rutas estáticas de resumen:
HQ(config)# ipv6 route 2001:DB8:1::/62 Serial0/0/0
HQ(config)# ipv6 route 2001:DB8:1:A0::/63 Serial0/0/0
Ahora el HQ tiene dos rutas de resumen, como puede ver en las entradas resaltadas en el Ejemplo 15-14.
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Temas clave
Hoy revisamos el funcionamiento básico de OSPF. OSPFv2 se utiliza para el enrutamiento IPv4, y
OSPFv3 se utiliza para el enrutamiento IPv6. Aunque las dos versiones comparten los mismos
principios básicos de funcionamiento, también revisaremos en qué se diferencian. Mañana, revisaremos
la configuración de OSPFv2 de área única.
Establecimiento de vecinos
Los vecinos OSPF intercambian paquetes hello para establecer adyacencia. La Figura 14-2 muestra la
cabecera OSPF y el paquete hello.
Día 14 257
Encabezado Cabecera del paquete Cabecera del paquete OSPF Datos específicos del tipo de paquete
de trama de IP OSPF Paquete de
enlace de datos bienvenida
Bits
07
815 1623 2431
ID del router
OSPF
Encabeza Identificación de la zona
dos de
paquetes Suma de AuType
comprobación
Autenticación
Autenticación
Máscara de red
Lista de vecinos
La recepción de un paquete OSPF hello en una interfaz confirma a un router que existe otro
router OSPF en este enlace. OSPF entonces establece adyacencia con el vecino. Para establecer
adyacencia, dos routers OSPF deben tener los siguientes valores de interfaz coincidentes:
■
Hola Intervalo
■
Intervalo muerto
■
Tipo de red
■
Identificación de la zona
Antes de que los dos routers puedan establecer una adyacencia, ambas interfaces deben formar parte de
la misma red, incluyendo la misma máscara de subred. La adyacencia completa se produce después de
que los dos routers hayan intercambiado las LSU necesarias y tengan bases de datos de estado de enlace
idénticas. Por defecto, los paquetes hello de OSPF se envían a la dirección multicast 224.0.0.5
(ALLSPFRouters) cada 10 segundos en segmentos de multiacceso y punto a punto y cada 30
segundos en segmentos de multiacceso sin difusión (NBMA) (Frame Relay, X.25, ATM). El
intervalo muerto por defecto es cuatro veces el intervalo hola.
Anuncios de enlace
Los LSUs son los paquetes utilizados para las actualizaciones de enrutamiento OSPF. Un paquete LSU
puede contener 11 tipos de LSA, como muestra la Figura 14-3.
Tipo de Descripción
Tipo Nombre del LSA Descripción
paquete
1 LSAs del router
1 LSA y LSU
Las siglas Holasuelen Descubre a los vecinos y construye adyacencias entre ellos.
utilizarse indistintamente. 2 LSA de red
2 DBD Comprueba la sincronización de la base de datos entre los routers.
Una LSU contiene uno o más 3o4 Resumen LSAs
3 LSR Solicita registros de estado de enlace específicos de router a router.
LSAs.
5 Sistema autónomo LSA externo
4 LSU Envía los registros de estado de enlace solicitados específicamente.
6 LSAs OSPF de multidifusión
5 LSAck Reconoce los otros tipos de paquetes.
7 Definido para las zonas no tan pobladas
Los LSA contienen información 8 Atributos externos LSA para el Protocolo de Pasarela de Fronteras
de ruta para las redes de destino. (BGP)
OSPF DR y BDR
Las redes multiacceso crean dos retos para OSPF en lo que respecta a la inundación de LSAs:
■
Creación de múltiples adyacencias, con una adyacencia por cada par de routers
■
Amplia inundación de LSAs
Algoritmo OSPF
Cada router OSPF mantiene una base de datos de estado de enlace que contiene los LSAs
recibidos de todos los demás routers. Cuando un router ha recibido todos los LSA y ha construido su
base de datos de estado de enlaces local, OSPF utiliza el algoritmo del camino más corto de Dijkstra
(SPF) para crear un árbol SPF. Este algoritmo acumula los costes a lo largo de cada camino, desde el
origen hasta el destino. El árbol SPF se utiliza entonces para rellenar la tabla de enrutamiento IP con
las mejores rutas hacia cada red.
Por ejemplo, en la Figura 14-4, cada ruta está etiquetada con un valor arbitrario de coste. El costo del
camino más corto para que R2 envíe paquetes a la LAN conectada a R3 es 27 (20 + 5 + 2 = 27).
Obsérvese que este coste no es 27 para que todos los routers lleguen a la LAN conectada a R3.
Cada router determina su propio coste para cada destino en la topología. En otras palabras, cada
router utiliza el algoritmo SPF para calcular el coste de cada camino a una red y determina el mejor
camino a esa red
desde su propia perspectiva.
La Tabla 14-1 muestra la ruta más corta a cada LAN para R1, junto con el coste.
Debería poder crear una tabla similar para cada uno de los otros routers de la Figura 14-4.
260 31 días antes de su examen CCNA
R2
20 10
2 5 2 2
R1R3R5
20 10 10
R4
2
Ruta más corta para que el host de la LAN R2 llegue al host de la LAN R3:
R2 a R1 (20) + R1 a R3 (5) + R3 a LAN (2) = 27
área han recibido los LSPs. Cada router almacena una copia de cada LSP recibido de
sus vecinos en una base de datos local.
Paso 5. Cada router utiliza la base de datos para construir un mapa completo de la
topología y calcula el mejor camino a cada red de destino. El algoritmo SPF se utiliza
para construir el mapa de la topología y determinar el mejor camino hacia cada red.
Todos los routers tienen un mapa o árbol común de la topología, pero cada router
determina de forma independiente el mejor camino a cada red dentro de esa
topología.
■
Algunos routers pueden ser internos a un área, con todas las interfaces asignadas a esa única área.
■
Algunos routers pueden ser routers de frontera de área (ABR) porque algunas interfaces se
conectan al área troncal y otras se conectan a áreas no troncales.
■
Todas las áreas no troncales deben conectarse al área troncal (Área 0) teniendo al menos un
ABR conectado tanto al área troncal como al área no troncal.
La Figura 14-5 muestra un diseño OSPF multiárea simple con dos áreas (Área 1 y Área 2) conectadas a
un backbone, el Área 0.
Internet
Área 0 (Backbone)
D3
C1
Router de SW SW
ASBR
red troncal
Enrutador de frontera de
D1
área (ABR) D2
La figura también muestra algunos términos importantes del diseño OSPF multiárea. La Tabla
14-4 describe estos términos.
TérminoDescripción
Enrutador de frontera de área (ABR)Un enrutador OSPF con interfaces conectadas al área troncal y a en
al menos un área más.
TermDescription
ÁreaConjunto de enrutadores y enlaces que comparten la misma información detallada de la LSDB, pero no
con los enrutadores de otras áreas, para una mayor eficiencia
Área troncalUn área OSPF especial a la que deben conectarse todas las demás
áreas, como el Área 0 Ruta intraáreaUna ruta a una subred dentro de la misma área que el
router
Ruta interáreaUna ruta a una subred en un área de la que el router no forma parte
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Recursos Módulo o capítulo
Redes empresariales, seguridad y automatización 1
Guía oficial del CCNA 200-301, volumen 1 19
21
Guía del mando portátil 16
Implementación
de OSPF de área
única
Temas clave
En el Día 14, "Operación de OSPF", revisamos la implementación básica de OSPF multiárea. Hoy
revisamos la implementación básica de OSPFv2 para diseños de redes de área única. Revisamos los
comandos para configurar y verificar la implementación.
G0/0
R2
S0/0/0 S0/0/1
172.16.3.0/30 192.168.10.8/30
T11024 kbps
S0/0/0 S0/0/1
64 kbps
R1 S0/0/1 R3
G0/0 192.168.10.4/30 S0/0/0 G0/0
266 31 días antes de su examen CCNA
process-id es un número entre 1 y 65535 y es elegido por el administrador de la red. El ID del proceso
es localmente significativo. No tiene que coincidir con otros routers OSPF para establecer adyacencias
con esos vecinos. Esto difiere del Protocolo de Enrutamiento de Pasarela Interior Mejorado (EIGRP). El
ID del proceso EIGRP y el número de sistema autónomo deben coincidir antes de que dos vecinos
EIGRP puedan ser adyacentes.
Para nuestra revisión, habilitamos OSPF en los tres routers usando el mismo ID de proceso, 10.
ID del router
El ID del router juega un papel importante en OSPF, ya que identifica de forma única a cada router en
el dominio de enrutamiento OSPF. Los routers Cisco obtienen el ID del router de la siguiente
manera:
Paso 1. El router utiliza la dirección IP configurada con el comando OSPF router-id.
Paso 2. Si el ID del router no está configurado, el router elige la dirección IP más alta de cualquiera
de sus interfaces loopback.
Paso 3. Si no hay interfaces loopback configuradas, el router elige la dirección IP activa más alta de
cualquiera de sus interfaces físicas.
El ID del router se puede ver con varios comandos, incluyendo show ip o s p f interfaces, show
ip protocols y show ip o spf .
Debido a que el administrador de la red puede controlar el comando router-id de OSPF y a que
las interfaces de bucle de retorno saturan la tabla de enrutamiento, es una buena práctica configurar el
comando router-id. El comando router-id acepta una dirección IPv4 como su único argumento. El
ejemplo 13-1 muestra las configuraciones del ID del enrutador para los enrutadores en nuestra
topología.
Día 13 267
El ID del enrutador se selecciona cuando OSPF se configura con su primer comando de red
OSPF, por lo que el comando router-id ya debería estar configurado. Sin embargo, puede forzar a
OSPF a liberar su ID actual y utilizar el ID de enrutador configurado borrando el proceso de
enrutamiento OSPF:
Router# clear ip o s p f process
El mando de la red
El comando de red se utiliza en el modo de configuración del router:
Router(config-router)# network network-address wildcard-mask area area-id
El comando de red OSPF utiliza una combinación de dirección de red y máscara comodín. La
dirección de red, junto con la máscara comodín, especifica la interfaz o el rango de interfaces que se
habilitarán para OSPF utilizando este comando de red.
La máscara comodín se configura habitualmente como la inversa de una máscara de subred. Por
ejemplo, la interfaz Serial 0/0/0 de R1 está en la red 172.16.3.0/30. La máscara de subred para esta
interfaz es /30, o 255.255.255.252. La inversa de la máscara de subred da como resultado la
máscara comodín 0.0.0.3.
area area-id se refiere al área OSPF. Un área OSPF es un grupo de routers que comparten información
de estado de enlace. Todos los routers OSPF en la misma área deben tener la misma información de
estado de enlace en sus bases de datos de estado de enlace. Por lo tanto, todos los routers dentro de la
misma área OSPF deben ser configurados con el mismo ID de área en todos los routers. Por
convención, el ID de área es 0.
Como alternativa, se puede habilitar OSPFv2 utilizando la red intf-ip-address 0.0.0.0 area-id
comando del modo de configuración del router.
El ejemplo 13-2 muestra los comandos de red para los tres routers, habilitando OSPF en todas las
interfaces. Para el R1, se configura la dirección IP de la interfaz alternativa y la máscara comodín
cuádruple cero.
R1(config)# router o s p f 10
R1(config-router)# red 172.16.1.1 0.0.0 área 0
R1(config-router)# red 172.16.3.1 0.0.0.0 área 0
R1(config-router)# red 192.168.10.5 0.0.0.0 área 0
R2(config)# router o s p f 10
R2(config-router)# red 172.16.2.0 0.0.0.255 área 0
R2(config-router)# red 172.16.3.0 0.0.0.3 área 0
R2(config-router)# red 192.168.10.8 0.0.0.3 área 0
268 31 días antes de su examen CCNA
R3(config)# router o s p f 10
R3(config-router)# red 192.168.1.0 0.0.255 área 0
R3(config-router)# red 192.168.10.4 0.0.0.3 área 0
R3(config-router)# red 192.168.10.8 0.0.0.3 área 0
Interfaces pasivas
Por defecto, los mensajes OSPF se reenvían a todas las interfaces habilitadas para OSPF. Sin embargo,
estos mensajes realmente necesitan ser enviados sólo a las interfaces que se conectan a otros routers
habilitados para OSPF. El envío de mensajes innecesarios en una LAN afecta a la red de tres
maneras:
■
Uso ineficiente del ancho de banda: el ancho de banda disponible se consume transportando
mensajes innecesarios.
■
Uso ineficiente de los recursos: Todos los dispositivos de la LAN deben procesar el mensaje.
■
Mayor riesgo de seguridad: Los mensajes OSPF pueden ser interceptados y las
actualizaciones de enrutamiento pueden ser modificadas, corrompiendo la tabla de
enrutamiento.
Utilice el comando passive-interface para evitar que las actualizaciones OSPF se envíen por
interfaces innecesarias. Para nuestra topología en la Figura 13-1, la interfaz GigabitEthernet 0/0
de cada router debe ser configurada como pasiva con el siguiente comando:
Router(config)# passive-interface gigabitethernet 0/0
Como alternativa, puede hacer que todas las interfaces sean pasivas utilizando el comando passive-
interface default. A continuación, puede volver a habilitar las interfaces que no deberían ser pasivas
utilizando el comando no passive- interface interface.
En la Tabla 13-2, 10GigE, Gigabit Ethernet y Fast Ethernet tienen el mismo costo. Esto se debe a que
el valor del costo OSPF debe ser un número entero. Esto no era un problema antes de la introducción
del gigabit y de tasas de datos más altas.
Sin embargo, las redes actuales funcionan ciertamente a velocidades de gigabit. Por lo tanto, como
cuestión de política, debería cambiar el ancho de banda de referencia para acomodar las redes con
enlaces más rápidos que 100.000.000 bps (100 Mbps). Utilice el siguiente comando para cambiar el
ancho de banda de referencia:
Router(config-router)# auto-costes referencia-ancho de banda Mbps
Debido a que el valor introducido está en megabits por segundo, cambiar el ancho de banda de
referencia a 10000 asegura que todos los routers OSPF están preparados para calcular con precisión el
coste de las redes de 10GigE. Cuando se utiliza, este comando debe ser introducido en todos los
routers para que la métrica de enrutamiento OSPF permanezca consistente. De hecho, el Cisco IOS
responde con el siguiente mensaje syslog cuando se configura el comando auto-cost reference-
bandwidth:
% OSPF: Se cambia el ancho de banda de referencia.
Por favor, asegúrese de que el ancho de banda de referencia es consistente en todos los
routers.
Para nuestra topología en la Figura 13-1, introducimos los comandos mostrados en el Ejemplo 13-3.
La Tabla 13-3 muestra los valores de coste modificados con el nuevo ancho de
banda de referencia de 10.000.000.000 bps, o 1010.
Tabla 13-3 Valores de coste OSPF con ancho de banda de referencia modificado = 10000
Tipo de interfaz 1010/bps Coste
= Coste
10 Gigabit Ethernet (10 Gbps) 1010/10 1
.000.000.000 bps = 1
Gigabit Ethernet (1 Gbps) 1010/1 10
.000.000.000 bps = 1
Fast Ethernet (100 Mbps) 1010/100 100
.000.000 bps = 1
Ethernet (10 Mbps) 1010/10 1000
.000.000 bps = 10
T1 (1,544 Mbps) 1010/1 6477
.544.000 bps = 64
128 kbps 1010/128 78125
.000 bps = 781
64 kbps 1010/64 156250 (véase la nota)
.000 bps = 1562
270 31 días antes de su examen CCNA
NOTA: Aunque el coste para una velocidad de 64 kbps se calcula en 156250, el coste
máximo de OSPF para una interfaz de router Cisco es de 65535.
Pero no hemos terminado: Todavía tenemos que hacer un ajuste más para asegurarnos de que OSPF
está utilizando costes precisos. En los routers Cisco, el ancho de banda por defecto en la mayoría de las
interfaces seriales está configurado a velocidad T1, o 1.544 Mbps. Pero en nuestra topología de la
Figura 13-1, tenemos las siguientes velocidades reales:
■
El enlace entre R1 y R2 funciona a 1544 kbps (valor por defecto).
■
El enlace entre R2 y R3 funciona a 1024 kbps.
■
El enlace entre R1 y R3 funciona a 64 kbps.
Una de las ventajas de configurar un coste en lugar de establecer el ancho de banda de la interfaz es
que el router no tiene que calcular la métrica cuando el coste se configura manualmente. Además, el
comando ip o s p f cost es útil en entornos de varios proveedores, donde los routers que no son de
Cisco pueden utilizar una métrica distinta del ancho de banda para calcular los costes de OSPF.
La Tabla 13-4 muestra las dos alternativas que se pueden utilizar para modificar los costes de
los enlaces serie en la topología de la Figura 13-1. La parte derecha de la figura muestra los
equivalentes del comando ip o s p f cost de los comandos de ancho de banda de la izquierda.
Verificación de OSPFv2
Para verificar cualquier configuración de enrutamiento, lo más probable es que dependa de los
comandos show ip interface brief, show ip route y show ip protocols. Todas las interfaces
previstas deben estar activas y
Día 13 271
y deberían estar configurados con las direcciones IP correctas. La tabla de enrutamiento debe tener
todas las rutas esperadas. El estado del protocolo debería mostrar el enrutamiento para todas las redes
esperadas, y también debería mostrar todas las fuentes de enrutamiento esperadas. El ejemplo 13-4
muestra la salida de R1 de estos tres comandos básicos.
Interfaz(es) pasiva(s):
GigabitEthernet0/0
Fuentes de información de
enrutamiento: Puerta de
enlace Distancia Última
actualización 3.3.3.3 110
00:09:00
2.2.2.2 110 00:09:00
Distancia: (por defecto es 110)
Puede verificar que los vecinos esperados han establecido adyacencia con el comando
show ip ospf neighbor. El ejemplo 13-5 muestra las tablas de vecinos de los tres routers.
Para cada vecino, el comando show ip ospf neighbor muestra la siguiente salida:
■
ID del vecino: El ID del router vecino.
■
Pri: La prioridad OSPF de la interfaz. El ejemplo 13-5 muestra 0 para esta columna porque
los enlaces punto a punto no eligen un DR o BDR.
■
Estado: El estado OSPF de la interfaz. El estado FULL significa que la interfaz del router es
totalmente adyacente a su vecino y que tienen bases de datos de estado de enlace OSPF
idénticas.
■
Tiempo muerto: La cantidad de tiempo restante que el enrutador esperará para recibir un
paquete de hola OSPF del vecino antes de declarar al vecino como caído. Este valor se
restablece cuando la interfaz recibe un paquete hello.
■
Dirección: La dirección IP de la interfaz del vecino a la que está conectado directamente este router.
■
Interfaz: La interfaz en la que este router ha formado adyacencia con el vecino.
Día 13 273
El comando show ip o s p f en el Ejemplo 13-6 para R1 también puede ser usado para examinar el
ID del proceso OSPF y el ID del router. Además, este comando muestra la información del área OSPF
y la última vez que se calculó el algoritmo SPF.
R1# show ip o sp f
Proceso de enrutamiento "ospf 10" con ID 1.1.1.1
Hora de inicio: 00:29:52.316, Tiempo transcurrido:
00:45:15.760 Sólo admite rutas TOS(TOS0) simples
Admite LSA opacos
Admite la señalización de enlace local
(LLS) Admite la capacidad de tránsito de
área Admite NSSA (compatible con RFC
3101)
Registro de eventos activado, Número máximo de eventos 1000,
Modo: cíclico El router no está originando router-LSAs con
métrica máxima Retraso inicial del programa SPF 5000 msecs
Tiempo mínimo de espera entre dos SPFs consecutivos 10000
mseg Tiempo máximo de espera entre dos SPFs consecutivos
10000 mseg Incremental-SPF desactivado
Intervalo mínimo de LSA 5 seg.
Llegada mínima de LSA 1000 mseg.
Temporizador de ritmo del grupo
LSA 240 seg.
Temporizador de ritmo de inundación de la interfaz
33 msecs Temporizador de ritmo de retransmisión 66
msecs
Número de LSA externas 0. Checksum Suma 0x000000
Número de AS LSA opacas 0. Checksum Suma 0x000000
Número de AS LSA externas y opacas DCbitless 0
Número de AS LSA externas y opacas DoNotAge 0
El número de áreas de este router es 1. 1 normal 0 stub 0 nssa
El número de áreas con capacidad de tránsito es 0
Longitud de la lista de
inundación externa 0 Soporte de
ayuda IETF NSF activado Soporte
de ayuda Cisco NSF activado
La unidad de ancho de banda de referencia
es 10000 mbps Área BACKBONE(0)
El número de interfaces en esta área es
3 El área no tiene autenticación
Algoritmo SPF ejecutado por última vez hace
00:18:32.788 Algoritmo SPF ejecutado 7 veces
Los rangos de área son
Número de LSA 3. Suma de comprobación 0x01BB59
274 31 días antes de su examen CCNA
La forma más rápida de verificar la configuración de la interfaz OSPF es utilizar el comando show
ip ospf interface brief. Como se muestra en la salida para R1 en el Ejemplo 13-7, este comando
proporciona una lista detallada para cada interfaz habilitada para OSPF. El comando también es útil
para ver rápidamente el costo de cada interfaz y determinar si las declaraciones de red fueron
configuradas correctamente.
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Temas clave
La revisión de hoy se centra en el ajuste fino y la resolución de problemas de OSPFv2. El ajuste fino
de OSPF incluye la modificación de temporizadores, la realización de elecciones de DR/BDR y la
propagación de una ruta por defecto. También nos centramos en la resolución de problemas del
proceso OSPF.
G0/0
R2
S0/0/0 S0/0/1
172.16.3.0/30 192.168.10.8/30
T11024 kbps
S0/0/0 S0/0/1
64 kbps
S/1/0
R1 S0/0/0 R3
Internet S0/0/1 192.168.10.4/30 G0/0
G0/0
172.16.1.0/24 192.168.1.0/24
276 31 días antes de su examen CCNA
El ejemplo 12-1 muestra los comandos de red para los tres routers para habilitar OSPFv2
en todas las interfaces.
R1(config)# router o s p f 10
R1(config-router)# router-id 1.1.1.1
R1(config-router)# red 172.16.1.0 0.0.255 área 0
R1(config-router)# red 172.16.3.0 0.0.0.3 área 0
R1(config-router)# red 192.168.10.4 0.0.0.3 área 0
R1(config-router)# passive-interface g0/0
R1(config-router)# auto-cost reference-bandwidth 10000
R1(config-router)# interfaz S0/0/1
R1(config-if)# ancho de banda 64
R2(config)# router o s p f 10
R2(config-router)# router-id 2.2.2.2
R2(config-router)# red 172.16.2.0 0.0.0.255 área 0
R2(config-router)# red 172.16.3.0 0.0.0.3 área 0
R2(config-router)# red 192.168.10.8 0.0.0.3 área 0
R2(config-router)# passive-interface g0/0
R2(config-router)# auto-costes reference-bandwidth 10000
R2(config-router)# interfaz S0/0/1
R2(config-if)# ancho de banda 1024
R3(config)# router o s p f 10
R3(config-router)# router-id 3.3.3.3
R3(config-router)# red 192.168.1.0 0.0.255 área 0
Día 12 277
Modificación de OSPFv2
Esta sección revisa los conceptos relacionados y los comandos para redistribuir una ruta por defecto,
ajustar las interfaces OSPF y manipular el proceso de elección del enrutador
designado/enrutador designado de respaldo (DR/BDR).
Tanto R2 como R3 deberían tener ahora rutas por defecto identificadas con el código
O*E2, como en el ejemplo 12-3.
Aunque el intervalo muerto es por defecto cuatro veces el intervalo hola y no tiene que ser
configurado explícitamente, es una buena práctica documentar el nuevo intervalo muerto en la
configuración. El ejemplo 12-4 muestra el intervalo hello y el intervalo dead modificados a 5
segundos y 20 segundos, respectivamente, en la interfaz Serial 0/0/0 para R1.
Recuerde que, a diferencia de lo que ocurre con el Protocolo de Enrutamiento de Pasarela Interior
Mejorado (EIGRP), con OSPF los intervalos de hola y muerte deben ser equivalentes entre vecinos.
Por lo tanto, R2 debe configurarse con los mismos intervalos que R1.
■
Inundación extensiva de LSAs: Los routers de estado de enlace inundan sus paquetes de
estado de enlace cuando OSPF se inicializa o cuando la topología cambia. Esta inundación
puede llegar a ser excesiva sin un mecanismo para reducir el número de adyacencias.
Elección DR/BDR
La solución para gestionar el número de adyacencias y la inundación de LSAs en una red
multiacceso es el router designado (DR). Para reducir la cantidad de tráfico OSPF en redes
multiacceso, OSPF elige un DR y un DR de respaldo (BDR). El DR es responsable de actualizar
todos los demás routers OSPF cuando se produce un cambio en la red multiacceso. El BDR
supervisa al DR y toma el relevo como DR si el DR actual falla.
Los siguientes criterios se utilizan para elegir el DR y el BDR:
■
El DR es el router con la mayor prioridad de la interfaz OSPF.
■
El BDR es el router con la segunda mayor prioridad de la interfaz OSPF.
■
Si las prioridades de las interfaces OSPF son iguales, el ID de router más alto rompe el empate.
Cuando se elige el DR, sigue siendo el DR hasta que se da una de las siguientes condiciones:
■
El RD falla.
■
El proceso OSPF en el DR falla.
■
La interfaz multiacceso en el DR falla.
Si el DR falla, el BDR asume el papel de DR, y se realiza una elección para elegir un nuevo BDR.
Si un nuevo router entra en la red después de que el DR y el BDR hayan sido elegidos, no se
convertirá en el DR o el BDR aunque tenga una prioridad de interfaz OSPF o un ID de router más
alto que el DR o el BDR actuales. El nuevo router puede ser elegido como BDR si el actual DR o
BDR falla. Si el DR actual falla, el BDR se convierte en el DR, y el nuevo router puede ser
elegido el nuevo BDR.
Sin configuración adicional, puedes controlar los routers que ganan las elecciones de DR y BDR
haciendo cualquiera de las siguientes acciones:
■
Arranca primero el DR, seguido por el BDR, y luego arranca todos los demás routers.
■
Apague la interfaz en todos los routers y luego emita un no shutdown en el DR, luego en el
BDR y luego en todos los demás routers.
Sin embargo, la forma recomendada para controlar las elecciones de DR/BDR es cambiar la prioridad de la
interfaz.
El valor de prioridad por defecto es 1 para todas las interfaces de los routers, lo que significa que
el ID del router determina el DR y el BDR. Sin embargo, si se cambia el valor por defecto de 1 a
un valor más alto, el router con la prioridad más alta se convierte en el DR, y el router con la
siguiente prioridad más alta se convierte en el BDR. Un valor de 0 hace que el router no sea
elegible para convertirse en DR o BDR.
Todos los routers de la Figura 12-2 arrancaron al mismo tiempo con una configuración OSPF
completa. En esta situación, el R3 es elegido como DR y el R2 como BDR, basándose en los IDs de
router más altos, como se puede ver en la salida de la tabla de vecinos del R1 en el Ejemplo 12-5.
G0/1 .1
RID: 2.2.2.2
R2
G0/0 .2 BDR
192.168.1.0/28
172.16.1.0/24 172.16.3.0/24
G0/1 G0/0 G0/0.3 G0/1.1
.1R1 .1R3
RID: 1.1.1.1RID : 3.3.3.3
DR
Supongamos que R1 es el mejor candidato para ser DR y que R2 debe ser BDR. El Ejemplo 12-6
muestra una forma de controlar la elección de DR/BDR en la topología de la Figura 12-2.
Observa que hemos cambiado ambos routers. Aunque el R2 era el BDR sin hacer nada, perdería
este papel a favor del R3 si no hubiéramos configurado la prioridad del R2 para que fuera mayor
que la predeterminada.
Antes de que R1 pueda convertirse en DR, el proceso OSPF necesita reiniciarse. Podemos hacer que
esto suceda apagando las interfaces o simplemente ingresando el comando clear ip ospf process en
modo EXEC privilegiado, como en el Ejemplo 12-7. La tabla de vecinos en R3 muestra que R1 es
ahora el DR, y R2 es el BDR.
Estados OSPF
La Figura 12-3 lista los estados OSPF. Cuando solucione problemas de vecinos OSPF, tenga en cuenta
que los estados FULL y TWO-WAY son normales. Todos los demás estados son transitorios.
282 31 días antes de su examen CCNA
Estado de Down
Estado bidireccional
Estado de ExStart
Sincronizar OSPF
Bases de datos Estado de los intercambios
Estado de carga
Estado completo
Adyacencia OSPF
La falta de adyacencia es un problema común en la resolución de problemas OSPF porque los
dos vecinos OSPF deben estar de acuerdo en varias configuraciones. Las adyacencias OSPF no se
forman por varias razones:
■
Las interfaces no están en la misma red.
■
Los tipos de red OSPF no coinciden.
■
Los temporizadores OSPF hello o dead no coinciden.
■
La interfaz hacia el vecino está configurada incorrectamente como pasiva.
■
Falta un comando de red OSPF o es incorrecto.
■
La autenticación está mal configurada.
■
show ip ospf interface: Muestra los parámetros OSPF configurados en una interfaz, como el ID
del proceso OSPF, el área, el coste y los intervalos del temporizador.
■
show ip o s p f : Examina el ID del proceso OSPF y el ID del router. Este comando también muestra
la información del área OSPF y la última vez que se calculó el algoritmo SPF.
■
show ip route ospf: Muestra sólo las rutas aprendidas de OSPF en la tabla de enrutamiento.
■
clear ip ospf process: Restablece las adyacencias de los vecinos de OSPFv2.
La figura 12-4 ilustra un método para utilizar estos comandos de forma sistemática.
Sí
¿Red funcional?
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Recursos Módulo o capítulo
Redes empresariales, seguridad y automatización 2
Guía oficial del CCNA 200-301, volumen 1 20
Guía del mando portátil 16
Esta página se ha dejado intencionadamente en blanco
Conceptos de seguridad de la red
Temas clave
Las redes informáticas alámbricas e inalámbricas son esenciales para las actividades cotidianas. Los
individuos y las organizaciones dependen de sus ordenadores y redes. La intrusión de una persona
no autorizada puede provocar costosas interrupciones de la red y pérdidas de trabajo. Los ataques a una
red pueden ser devastadores y provocar pérdidas de tiempo y dinero debido al daño o al robo de
información o activos importantes. Hoy revisaremos los fundamentos de la seguridad, incluyendo las
amenazas, las vulnerabilidades y los ataques.
Fundamentos de la seguridad
Los ciberdelincuentes disponen ahora de la experiencia y las herramientas necesarias para derribar
infraestructuras y sistemas críticos. Se utiliza una terminología específica para describir sus
herramientas y ataques.
Condiciones de seguridad
Los activos deben ser identificados y protegidos. Las vulnerabilidades deben ser abordadas antes de
que se conviertan en amenazas y sean explotadas. Se requieren técnicas de mitigación antes, durante y
después de un ataque. Revise los términos de seguridad en la Tabla 11-1.
Descripción de la herramienta
Herramientas de análisis de paquetesEstas herramientas se utilizan para comprobar la solidez de un
cortafuegos mediante el uso de herramientas especiales.
paquetes falsificados.
Packet sniffersEstas herramientas se utilizan para capturar y analizar paquetes en la Ethernet tradicional
LANs o WLANs.
Detectores de RootkitEste es un comprobador de integridad de directorios y archivos
utilizado por los sombreros blancos para detectar
rootkits instalados.
Herramientas forensesEstasherramientas son utilizadas por los hackers de sombrero
blanco para olfatear cualquier rastro de evidencia
existente en un ordenador.
DepuradoresEstasherramientas son utilizadas por los sombreros negros
para realizar ingeniería inversa de los archivos binarios al escribir exploits.
También las utilizan los sombreros blancos cuando analizan el malware.
Sistemas operativos de hackingSon sistemas operativos especialmente diseñados y
precargados con herramientas
optimizado para la piratería.
Herramientas de encriptaciónLas herramientas de encriptación utilizan esquemas
de algoritmos para codificar los datos y evitar
acceso no autorizado a los datos encriptados.
Herramientas de explotación de vulnerabilidadesEstas herramientas
identifican si un host remoto es vulnerable a un ataque de seguridad.
Escáneres de vulnerabilidadEstas herramientas escanean una red o un sistema para
identificar los puertos abiertos. Pueden
también se puede utilizar para buscar vulnerabilidades conocidas y
escanear máquinas virtuales (VM), dispositivos llevados al trabajo por
individuos en una situación de "traiga su propio dispositivo" (BYOD) y
bases de datos de clientes.
Tipos de ataque
Los actores de las amenazas pueden utilizar herramientas para crear una variedad de ataques. La Tabla
11-4 muestra los tipos de ataques más comunes.
Tipo de ataqueDescripción
Ataque Man-in-the-middleEste ataque se produce cuando los actores de la amenaza
se han posicionado entre
un origen y un destino. Pueden supervisar, capturar y controlar activamente
la comunicación de forma transparente.
Ataque de clave comprometidaSi un actor de la amenaza obtiene una clave secreta, esa clave
se denomina
clave comprometida. Una clave comprometida puede utilizarse para acceder a una
comunicación segura sin que el emisor o el receptor se den cuenta del ataque.
Ataque de snifferUn sniffer es una aplicación o dispositivo que puede leer,
monitorizar y capturar intercambios de datos de red y leer paquetes de
red. Si los paquetes no están encriptados, un sniffer proporciona una
visión completa de los datos dentro del paquete.
Tipos de malware
El malware, que es la abreviatura de software malicioso, es un código o software diseñado específicamente
para dañar, interrumpir, robar o infligir una acción "mala" o ilegítima sobre los datos, los hosts o las
redes.Los virus, los gusanos y los troyanos son tipos de malware:
■
Un gusano ejecuta código arbitrario e instala copias de sí mismo en la memoria del ordenador
infectado. El objetivo principal de un gusano es replicarse automáticamente y propagarse por la
red de un sistema a otro.
■
Un virus es un software malicioso que ejecuta una función específica, no deseada y a menudo
dañina en un ordenador.
■
Un troyano es un tipo de malware que no se auto-replica. Suele contener un código malicioso que
está diseñado para parecer otra cosa, como una aplicación o un archivo legítimos. Cuando se
descarga y abre una aplicación o archivo infectado, el troyano puede atacar el dispositivo final
desde dentro.
La Tabla 11-5 describe algunos otros tipos de malware.
MalwareDescripción
AdwareEl adware suele distribuirse mediante la descarga de software en línea.
MalwareDescription
RootkitLos actores de la amenaza utilizan rootkits para obtener acceso a nivel de cuenta
de administrador a un ordenador.
Son muy difíciles de detectar porque pueden alterar el cortafuegos, la protección antivirus,
los archivos del sistema e incluso los comandos del sistema operativo para ocultar su
presencia.
Un rootkit puede proporcionar una puerta trasera a los actores de la amenaza, dándoles
acceso al PC y permitiéndoles cargar archivos e instalar nuevo software para utilizarlo
en un ataque DoS distribuido (DDoS).
Se deben utilizar herramientas especiales de eliminación de rootkits para eliminarlos, o
puede ser necesaria una reinstalación completa del sistema operativo.
El spywareSpyware es similar al adware pero se utiliza para recopilar información
sobre el usuario y enviarla a los actores de la amenaza sin el consentimiento del
usuario.
El spyware puede ser una amenaza baja, que recopila datos de navegación, o puede ser
una amenaza alta, que captura información personal y financiera.
Ataques a la red
Los ataques a la red incluyen ataques de reconocimiento, ataques de acceso, ataques DoS, ataques de
ingeniería social y ataques para explotar las vulnerabilidades del conjunto de protocolos TCP/IP.
Ataques de reconocimiento
El reconocimiento es la recopilación de información. Los actores de la amenaza utilizan los ataques de
reconocimiento (o recon) para hacer un descubrimiento y mapeo no autorizado de sistemas, servicios o
vulnerabilidades. Los ataques de reconocimiento preceden a los ataques de acceso o a los ataques DoS.
La Tabla 11-6 describe algunas técnicas comunes de ataques de reconocimiento.
Ataques de acceso
El objetivo de los ataques de acceso es conseguir la entrada a cuentas web, bases de datos
confidenciales y otra información sensible. Los actores de la amenaza utilizan los ataques de acceso en
los dispositivos de red y ordenadores para recuperar datos, obtener acceso o escalar los privilegios de
acceso al estado de administrador. La Tabla 11-7 describe los ataques de acceso.
PhishingAtaque en el que un actor de la amenaza envía un correo electrónico fraudulento que se disfraza
como si fuera de una fuente legítima y de confianza para engañar al
destinatario para que
instalar programas maliciosos en su dispositivo o compartir información
personal o financiera.
Spear phishingAtaque en el que un actor de la amenaza crea un ataque de phishing dirigido a una persona u
organización específica.
SpamCorreo electrónico no solicitado, también conocido como correo basura, que a menudo contiene enlaces
dañinos, malware o contenido engañoso.
Día 11 291
Ataque de Descripción
ingeniería social
Algo por algoA veces se denomina quid pro quo, un ataque en el que un actor de la amenaza solicita
información personal de una parte a cambio de algo como un regalo.
BaitingAtaque en el que un actor de la amenaza deja una unidad flash
infectada con malware en un lugar público. Una víctima encuentra la
unidad y la inserta en un portátil, instalando involuntariamente el
malware.
Suplantación de identidadUn ataque en el que un actor de la amenaza se hace pasar por
alguien que no es para
ganarse la confianza de la víctima.
TailgatingAtaque en el que un actor de la amenaza sigue rápidamente a una persona autorizada en un lugar
seguro para acceder a una zona segura.
Shoulder surfingAtaque en el que un actor de la amenaza mira discretamente por encima de alguien
hombro para robar contraseñas u otra información.
Búsqueda en el contenedor de basuraAtaque en el que un actor de la amenaza rebusca
en los contenedores de basura para descubrir
documentos confidenciales.
Ataques IP
IP no valida si la dirección IP de origen contenida en un paquete procede realmente de esa fuente.
Por esta razón, los actores de la amenaza pueden enviar paquetes utilizando una dirección IP de origen
falsa. Los actores de las amenazas también pueden manipular los demás campos de la cabecera IP para
llevar a cabo sus ataques. Los analistas de seguridad deben entender los diferentes campos de las
cabeceras IPv4 e IPv6. La Tabla 11-9 describe algunos de los ataques más comunes relacionados con
IP.
292 31 días antes de su examen CCNA
Programa de seguridad
Una organización debe educar a su comunidad de usuarios a través de un programa de seguridad. Un
programa de seguridad eficaz incluye los siguientes elementos básicos:
■
Concienciación de los usuarios: Todos los usuarios deben ser conscientes de la necesidad de
la confidencialidad de los datos para proteger la información corporativa, así como sus propias
credenciales e información personal. También deben ser conscientes de las amenazas
potenciales, de los esquemas para engañar y de los procedimientos adecuados para informar de
los incidentes de seguridad. También se debe instruir a los usuarios para que sigan directrices
estrictas sobre la pérdida de datos.
■
Formación de los usuarios: Se debe exigir a todos los usuarios que participen en una
formación formal periódica para que se familiaricen con todas las políticas de seguridad de
la empresa.
■
Control de acceso físico: Los lugares de la infraestructura, como los armarios de la red y los
centros de datos, deben permanecer cerrados con seguridad. Los administradores deben
controlar el acceso físico y eliminar rápidamente el acceso cuando un empleado sea
despedido.
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Temas clave
Una de las habilidades más importantes que necesita un administrador de red es el dominio de
las listas de control de acceso (ACL). Los administradores utilizan las ACL para detener el tráfico o
permitir sólo el tráfico especificado en sus redes. Las ACL estándar y extendidas pueden aplicar una
serie de funciones de seguridad, como el enrutamiento basado en políticas, la calidad de servicio
(QoS), la traducción de direcciones de red (NAT) y la traducción de direcciones de puerto (PAT).
También puedes configurar ACLs estándar y extendidas en las interfaces de los routers para
controlar el tipo de tráfico que se permite a través de un determinado router. Hoy repasaremos los
conceptos de las ACL, incluyendo qué son, cómo las utiliza un router para filtrar el tráfico y qué tipos
de ACL están disponibles.
Operación ACL
El funcionamiento por defecto de un router es reenviar todos los paquetes, siempre que exista una ruta
para el paquete y el enlace esté activo. Las ACLs pueden ayudar a implementar un nivel básico de
seguridad. Sin embargo, no son la única solución de seguridad que una gran organización debería
implementar. De hecho, las ACLs aumentan la latencia de los routers. Si una organización es muy
grande, con routers que gestionan el tráfico de cientos o miles de usuarios, lo más probable es que el
administrador utilice una combinación de otras implementaciones de seguridad que están fuera del
alcance del CCNA.
TRÁFICO DE ENTRADA
Hacer una búsqueda en la tabla de rutas TRÁFICO DEDescartar
SALIDA mensaje ICMP
¿Paquete no rastreable?
Sí
Paquete
entrante
Para el tráfico de entrada, el router comprueba si hay una ACL de entrada aplicada a la interfaz antes de
hacer una búsqueda en la tabla de rutas. Luego, para el tráfico saliente, el router se asegura de que
existe una ruta al destino antes de comprobar si hay ACLs. Finalmente, si una declaración ACL resulta
en un paquete perdido, el router envía un mensaje ICMP de destino inalcanzable.
La elección de utilizar una ACL de entrada o de salida es fácil de hacer si, en primer lugar, te colocas
dentro del router, es decir, eres el router. Desde esta posición, puedes visualizar el procesamiento de un
paquete que llega a una interfaz del router (de entrada), decidir qué hacer con el paquete (¿Hay una
ACL de entrada? ¿Hay una ruta al destino?), y reenviar el paquete (¿Cuál es la interfaz de salida? ¿Hay
una ACL en la interfaz?).
10.1.1.1
F1/1
A
S1
F0/0 S0/0/0 F0/0
B R1 S0/0/1R2
F0/1
10.1.1.2 ACL 1 Pseudocódigo
C Si el origen es 10.1.1.1
Permitir Si el origen es
10.1.1.x Denegar
10.3.3.3 Si Fuente = 10.x.x.x Permiso
Implícito "Denegar cualquiera"
La leyenda:
El cuadro debajo de la topología muestra la lógica de cómo se procesan los paquetes de cada
dirección de origen del host (etiquetada como S_IP en la figura). Observe que cuando se produce una
coincidencia para el host A y el host B, se aplica la condición (el host A está permitido y el host B
está denegado), y no se evalúan más declaraciones. El host C coincide con la última sentencia de la
lista y está permitido.
El host D no coincide con ninguno de los elementos de la ACL, por lo que el paquete se descarta. La
razón es que cada ACL IP tiene un deny any implícito al final de la ACL.
Tipos de ACL
Las ACL pueden configurarse para filtrar cualquier tipo de tráfico de protocolo, incluidos otros
protocolos de la capa de red como AppleTalk e IPX. Para el examen CCNA, nos centramos en
las ACL de IPv4 e IPv6, que vienen en los siguientes tipos:
■
ACLs IPv4 estándar: Filtran el tráfico basándose únicamente en la dirección de origen
■
ACLs IPv4 e IPv6 ampliadas: Puede filtrar el tráfico en función de la dirección de origen y
destino, protocolos específicos y puertos TCP y UDP de origen y destino
Puede utilizar dos métodos para identificar tanto las ACL estándar como las extendidas:
■
ACLs IPv4 numeradas: Utiliza un número para la identificación
■
ACLs IPv4 e IPv6 con nombre: Utiliza un nombre o número descriptivo para su identificación
Las ACLs con nombre deben utilizarse con algunos tipos de configuraciones de Cisco IOS, incluyendo
las ACLs IPv6. Sin embargo, proporcionan dos ventajas básicas para las ACLs IPv4 estándar y
extendidas:
■
Al utilizar un nombre descriptivo (como BLOCK-HTTP), un administrador de red puede determinar
más rápidamente el propósito de una ACL. Esto es especialmente útil en redes grandes, donde un
router puede tener muchas ACL con cientos de declaraciones.
■
Reducen la cantidad de escritura que debe hacer para configurar cada declaración en una ACL
con nombre, como se ve en el Día 9, "Implementación de ACL".
Tanto las ACL numeradas como las nombradas pueden ser configuradas para implementaciones de
ACL estándar y extendidas. La Figura 10-3 resume las categorías de ACL IPv4.
Numerado: Nombrado:
Identificación con númeroID con nombre
Comandos globales Subcomandos
Identificación de ACL
La Tabla 10-1 enumera los diferentes rangos de números de ACL para el protocolo IPv4. La tabla no es
exhaustiva. Hay otros números de ACL disponibles para otros tipos de protocolos que se usan poco o
están fuera del alcance del CCNA. IPv6 sólo utiliza ACLs con nombre.
Día 10 299
Las ACLs con nombre le dan más flexibilidad para trabajar con las entradas de la ACL. Además
de utilizar nombres más memorables, el uso de ACLs con nombre en lugar de ACLs numeradas le
permite eliminar declaraciones individuales en una lista de acceso IP con nombre.
La versión 12.3 del software Cisco IOS introdujo la numeración secuencial de las entradas de
las listas de acceso IP tanto para las ACL numeradas como para las nombradas. La numeración
secuencial de las entradas de la lista de acceso IP ofrece las siguientes ventajas:
■
Puede editar el orden de las declaraciones ACL.
■
Puede eliminar declaraciones individuales de una ACL.
■
Puede utilizar el número de secuencia para insertar nuevas sentencias en medio de la ACL.
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Temas clave
En el Día 10, "Conceptos de ACL", revisamos los conceptos de ACL. Hoy nos centraremos en la
configuración, verificación y resolución de problemas de las ACL de IPv4 e IPv6.
Utilicemos la topología simple de la Figura 9-1 para demostrar cómo configurar ACLs IPv4
estándar y extendidas.
No
172.16.3.0/24172.16.0.0172.16.4.0/24
S0/0/0
G0/1 172.16.4.13
G0/0
R1
302 31 días antes de su examen CCNA
La sentencia de ejemplo coincide con cualquier dirección que empiece por 172.16.x.x. Puede
utilizar la opción
opción de comentario para añadir una descripción a la ACL.
Paso 2. Aplique la ACL. Utilice el comando de configuración de la interfaz para seleccionar una
interfaz a la que aplicar la ACL. A continuación, utilice el comando de configuración de
interfaz ip access-group para activar la ACL existente en una interfaz para una
dirección específica (entrada o salida):
R1(config)# interfaz gigabitethernet 0/0
Este paso activa la ACL 1 IPv4 estándar en ambas interfaces como filtro de salida.
Esta ACL sólo permite que el tráfico de la red de origen 172.16.0.0 se reenvíe por G0/0 y G0/1.
El tráfico procedente de otras redes distintas de la 172.16.0.0 se bloquea con el deny any
implícito.
Esta ACL está diseñada para bloquear el tráfico de una dirección específica, 172.16.4.13, y para permitir
que el resto del tráfico se reenvíe por la interfaz G0/0. La primera declaración también se puede escribir
con la palabra clave host sustituyendo la máscara comodín 0.0.0, de la siguiente manera:
R1(config)# access-list 1 deny host 172.16.4.13
De hecho, a partir de la versión 12.3 del software Cisco IOS, se puede introducir lo siguiente:
R1(config)# access-list 1 deny 172.16.4.13
La segunda declaración puede escribirse con la palabra clave any sustituyendo la dirección de
origen 0.0.0.0 y la máscara comodín 255.255.255.255, de la siguiente manera:
R1(config)# access-list 1 permit any
Día 9 303
Ejemplo 9-2 ACL que impide el tráfico procedente de una subred específica
Esta ACL está diseñada para bloquear el tráfico de una subred específica, 172.16.4.0, y permitir que el
resto del tráfico sea reenviado por G0/0.
Ejemplo 9-3 Lista de acceso que permite el acceso remoto de un solo host a R1
En este ejemplo, sólo el host 172.16.4.13 tiene permitido el Telnet en R1. Todas las demás direcciones
IP se deniegan implícitamente.
Ejemplo 9-4 Lista de acceso que impide el tráfico FTP desde subredes específicas
Las sentencias deny bloquean el tráfico FTP procedente de la subred 172.16.4.0 a la subred
172.16.3.0. La sentencia permit permite el resto del tráfico IP que sale por la interfaz G0/0. Deben
introducirse dos sentencias para la aplicación FTP porque el puerto 21 se utiliza para establecer,
mantener y terminar una sesión FTP, mientras que el puerto 20 se utiliza para la tarea de
transferencia de archivos propiamente dicha.
Ejemplo 9-5 Lista de acceso que impide el tráfico de Telnet desde una subred específica
Este ejemplo deniega el tráfico Telnet de 172.16.4.0 que se envía por la interfaz G0/0. El resto del
tráfico IP de cualquier otra fuente a cualquier destino se permite en G0/0.
Paso 2. Crear la ACL. Desde el modo de configuración de ACL con nombre estándar, utilice
las sentencias permit o deny para especificar una o más condiciones para determinar
si un paquete se reenvía o se descarta:
Router(config-std-nacl)# [sequence-number] {permit | deny} source
source-wildcard
Ejemplo 9-6 ACL con nombre que impide el tráfico de un host específico
Paso 2. Cree la ACL. Desde el modo de configuración de ACL con nombre extendido, utilice
las sentencias permit o deny para especificar una o más condiciones para determinar
si un paquete se reenvía o se descarta:
Router(config-ext-nacl)# [sequence-number] {deny | permit} protocol
source source-wildcard [operator port] destination destination-wildcard
[operator port] [established] [log]
Paso 3. Aplique la ACL. Active la ACL nombrada en una interfaz con el comando ip access-group
comando de nombre:
El ejemplo 9-8 muestra cómo añadir un comentario a una ACL con nombre.
Observe en la salida del comando show access-lists en el Ejemplo 9-9 que los números de
secuencia se incrementan en 10, probablemente porque el administrador no introdujo un número de
secuencia.
Observe también que este comando le indica cuántas veces Cisco IOS ha hecho coincidir un
paquete con una sentencia: 25 veces, en el caso de la primera sentencia de la ACL ENG
nombrada.
El comando show ip interface muestra información de la interfaz IP e indica si hay alguna ACL
IP configurada en la interfaz. En la salida del comando show ip interface g0/0 del Ejemplo 9-10,
se ha configurado la ACL IP 1 en la interfaz G0/0 como ACL de entrada. No se ha configurado
ninguna ACL IP de salida en la interfaz G0/0.
Por último, también puede verificar la creación y aplicación de la ACL con el comando show running-config
(véase el ejemplo 9-11).
308 31 días antes de su examen CCNA
Tenga en cuenta que la sintaxis del comando para nombrar una ACL IPv6 es la misma si está
configurando ACLs IPv6 estándar o extendidas. Sin embargo, las ACLs IPv6 estándar y extendidas
son diferentes de las ACLs IPv4 estándar y extendidas.
Las ACLs IPv6 extendidas coinciden con muchos más campos de cabecera de paquetes IPv6, así como
con mensajes TCP, UDP e ICMPv6 y cabeceras de extensión IPv6. La sintaxis de las ACLs IPv6
extendidas es la siguiente:
Router(config-ipv6-acl)# [permit | deny] protocol {source-ipv6-prefix/
prefix-length | any | host source-ipv6-address} [operador [número de
puerto]]
{destination-ipv6- prefix/prefix-length | any | host destination-ipv6-address}
[operador [número de puerto]] [dest-option-type [doh-number | d o h - t y p e ] ] [valor
dscp] [valor flow-label] [fragmentos] [log] [log-input] [movilidad][mobility-type
[número-mh | tipo-mh]] [reflect name [timeout value]] [enrutamiento][tipo de enrutamiento
número de enrutamiento] [valor de la secuencia] [nombre del rango de tiempo]
Si eliges icmp, tcp o udp como protocolo, hay opciones de filtrado adicionales disponibles para
coincidir con esas cabeceras específicas. Por ejemplo, la configuración de icmp como protocolo
permite filtrar las cabeceras
310 31 días antes de su examen CCNA
icmp-type. Configurar tcp como protocolo permite filtrar las seis banderas TCP, ACK, FIN, PSH, RST,
SYN y URG. Configurar u d p como protocolo permite filtrar las cabeceras de extensión IPv6, como
IPsec.
La sintaxis para aplicar una ACL IPv6 a las líneas vty es similar a la de IPv4. Sólo hay que sustituir ip
por ipv6, como sigue:
Router(config-line)# ipv6 access-class access-list-name
No
2001:DB8:1:3::/64 2001:DB8:1::/48 2001:DB8:1:4::/64
S0/0/0
G0/1 2001:DB8:1:4::13
G0/0
R1
El ejemplo 9-12 demuestra cómo crear y aplicar una ACL IPv6 para permitir sólo a
2001:DB8:1:4::13 conectarse remotamente a las líneas vty de R1.
La sentencia permit sólo permite un host, 2001:DB8:1:4::13. Todo el resto del tráfico IPv6 es denegado.
La ACL IPv6 se aplica entonces a las cinco primeras líneas vty con el comando ipv6 access-class.
Ejemplo 9-13 Lista de acceso que impide el tráfico web de subredes específicas
La primera sentencia permit permite que el tráfico del prefijo 2001:DB8:1:4::/64 acceda a los
servicios web en cualquier dispositivo del prefijo 2001:DB8:1:3::/64. La sentencia deny asegura que
todo el resto del tráfico desde 2001:DB8:1:4::/64 a 2001:DB8:1:3::/64 está bloqueado. La última
sentencia permit permite el resto del tráfico entrante desde 2001:DB8:1:4::/64 a cualquier destino.
Sin embargo, la configuración de los routers de producción suele ser larga y compleja. Para las
preguntas de simulación del examen CCNA, es posible que ni siquiera tengas acceso al comando
show run.
Por lo tanto, debe utilizar comandos de verificación que proporcionen de forma más precisa y eficaz la
información que necesita.
Por ejemplo, show access-lists revela rápidamente todas las ACLs IPv4 e IPv6 configuradas en el
dispositivo, como muestra el Ejemplo 9-15.
Observe que Cisco IOS ha añadido números de secuencia al final de las ACLs IPv6 en lugar
de al principio, como hace con las ACLs IPv4.
En el Ejemplo 9-16, sólo se muestran las ACLs IPv6. Esta salida se generó después de que varios
paquetes coincidieran con cada una de las declaraciones de las ACL.
Para verificar la colocación de una ACL IPv6 en una interfaz, puede utilizar el comando show
ipv6 interface. Si se aplica una ACL, la salida tendrá una entrada de línea como la resaltada en
el Ejemplo 9-17.
Digamos que ha determinado que un problema está en la configuración de ACL. Los siguientes tres
pasos resumen un proceso estructurado de solución de problemas que puede utilizar para
localizar el problema:
Paso 1. Dado que las configuraciones de ACL no pueden causar un problema hasta que se aplican,
determine qué interfaces se ven afectadas por las ACL utilizando el comando show
run o show ip interfaces.
Paso 2. Verifique la configuración de la ACL mediante las funciones show access-lists, show ip access-
lists o
comando "show run".
Paso 3. Analice las ACL para determinar qué paquetes coinciden. Los comandos show access-lists
y show ip access-lists ayudan identificando el número de veces que los paquetes han
coincidido con una declaración.
Algunos errores comunes de configuración de ACL son los siguientes:
■
Las declaraciones de ACL están fuera de lugar.
■
Las direcciones y/o puertos de origen y destino se invierten.
■
El ACL se aplica en la dirección equivocada.
■
Los errores de sintaxis o de ortografía hacen que la ACL tenga un efecto erróneo o no tenga efecto.
■
Las ACL estándar se acercan al origen en lugar de al destino.
Consulte sus recursos de estudio para ver varios ejemplos excelentes de solución de
problemas para ACLs IPv4 e IPv6.
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Recursos Módulo o capítulo
Redes empresariales, seguridad y automatización 5
Guía oficial del CCNA 200-301, volumen 2 2
3
Guía del mando portátil 21
NAT
Temas clave
Para hacer frente al agotamiento de las direcciones IPv4, se han desarrollado varias soluciones a corto
plazo. Una solución a corto plazo es utilizar direcciones privadas y la traducción de direcciones de red
(NAT). La NAT permite que los hosts de la red interna tomen prestada una dirección IPv4 legítima
de Internet mientras acceden a los recursos de Internet. Cuando el tráfico solicitado regresa, la
dirección IPv4 legítima se reutiliza y está disponible para la siguiente solicitud de Internet por parte de
un host interno. Con el uso de NAT, los administradores de red sólo necesitan una o unas pocas
direcciones IPv4 para que el router las proporcione a los hosts, en lugar de una única dirección
IPv4 para cada cliente que se incorpore a la red. Aunque IPv6 resuelve en última instancia el problema
del agotamiento del espacio de direcciones IPv4 para el que se creó NAT, sigue siendo muy utilizado en
las estrategias actuales de implementación de redes. Hoy revisaremos los conceptos, la configuración
y la resolución de problemas de NAT.
Conceptos NAT
NAT, definido en el RFC 3022, tiene muchos usos. Su uso principal es conservar las direcciones IPv4
permitiendo a las redes utilizar direcciones IPv4 privadas. NAT traduce las direcciones internas no
enrutables y privadas en direcciones públicas enrutables. NAT también tiene la ventaja de ocultar las
direcciones IPv4 internas de las redes externas.
Un dispositivo con NAT suele operar en la frontera de una red stub. La Figura 8-1 muestra la topología
maestra utilizada durante la revisión de hoy. R2 es el router de frontera y es el dispositivo utilizado para
las configuraciones de ejemplo de hoy.
316 31 días antes de su examen CCNA
Router
Red corporativa de estupefacientes: Una sola salida de frontera con NAT
al exterior
S0/1/0209.165.200.226/27 209.165.200.226/27
S0/0/0
10.1.1.2 /30 R2 ISP
S0/0/1
10.2.2.1 /30
S0/0/0S0/0/1
10.1.1.1 /30DCEDCE10.2.2.2 /30
R3
Fa0/0Fa0/1 Fa0/1
R1 192.168.10.1 / 2 4 192.168.11.1 /24 192.168.11.1 /24
192.168.10.0 / 2 4 192.168.11.0 /24
Fa0/1 Fa0/1 Fa0/1 192.168.11.0 /24
S1 S2 S3
192.168.10.2 /24 Fa0/2 Fa0/2 192.168.11.2 /24 Fa0/2 192.168.30.2 /24
En la terminología de NAT, la red interna es el conjunto de redes que están sujetas a la traducción
(cada red en la región sombreada en la Figura 8-1). La red exterior son todas las demás direcciones. La
Figura 8-2 muestra cómo referirse a las direcciones al configurar NAT:
■
Dirección local interior: Lo más probable es que sea una dirección privada. En la
figura, la dirección IPv4 192.168.10.10 asignada a PC1 es una dirección local
interna.
■
Dirección global interna: Una dirección pública válida que se le da al host interno cuando
sale del router NAT. Cuando el tráfico de PC1 está destinado al servidor web en 209.165.201.1,
R2
debe traducir la dirección local interna a una dirección global interna, que es 209.165.200.226 en
este caso.
■
Dirección global externa: Una dirección IPv4 alcanzable asignada a un host en Internet.
Por ejemplo, se puede acceder al servidor web en la dirección IPv4 209.165.201.1.
■
Dirección local externa: La dirección IPv4 local asignada a un host en la red exterior. En la
mayoría de las situaciones, esta dirección es idéntica a la dirección global exterior de ese
dispositivo exterior. (Las direcciones locales externas están fuera del alcance del CCNA).
Día 8 317
SA 209.165.200.226
PC1
Red interior
R2 ISP
192.168.10.10
Tabla NAT
Dirección local interior
Dirección global interior
Dirección global exterior
Servidor web
192.168.10.10 209.165.200.226 209.165.201.1
209.165.201.1
Un ejemplo de
NAT
Refiriéndose a la Figura 8-1, los siguientes pasos ilustran el proceso de NAT cuando PC1 envía tráfico
a Internet:
Paso 1. PC1 envía un paquete destinado a Internet a R1, la puerta de enlace por defecto.
Paso 3. R2 consulta su tabla de enrutamiento e identifica el siguiente salto como el router del ISP.
A continuación, comprueba si el paquete coincide con los criterios especificados para la
traducción. El R2 tiene una ACL que identifica la red interna como un host válido para la
traducción. Por lo tanto, traduce una dirección IPv4 local interna a una dirección IPv4
global interna, que, en este caso, es 209.165.200.226. Almacena este mapeo de la
dirección local a la dirección global en la tabla NAT.
Paso 4. R2 modifica el paquete con la nueva dirección IPv4 de origen (la dirección global
interna) y lo envía al router ISP.
Paso 5. El paquete llega finalmente a su destino, que envía su respuesta a la dirección global
interna 209.165.200.226.
Paso 6. Cuando R2 recibe las respuestas del destino, consulta la tabla NAT para hacer
coincidir la dirección global interna con la dirección local interna correcta. A
continuación, R2 modifica el paquete, insertando la dirección local interna
(192.168.10.10) como dirección de destino y enviándolo a R1.
Paso 7. R1 recibe el paquete y lo reenvía a PC1.
318 31 días antes de su examen CCNA
Sobrecarga de NAT
La sobrecarga de NAT (también llamada Traducción de Direcciones de Puerto [PAT]) mapea
múltiples direcciones IPv4 privadas a una única dirección IPv4 pública o a unas pocas direcciones.
Para ello, un número de puerto rastrea también cada dirección privada. Cuando se recibe una respuesta
del exterior, los números de puerto de origen determinan el cliente correcto para que el router NAT
traduzca los paquetes.
La Figura 8-3 y los siguientes pasos ilustran el proceso de sobrecarga de NAT:
Dentro de
PC1
4
En el exterior
SA DA 209.165.201.1
192.168.10.10:1555 209.165.201.1:80
1 2 SA DA R2 Internet
192.168.10.11:1331 209.165.202.129:80
PC2
209.165.202.129
Paso 2. Cuando los paquetes llegan a R2, la sobrecarga de NAT cambia la dirección de origen a
la dirección IPv4 global interior y mantiene un registro de los números de puerto de
origen asignados (1555 y 1331, en este ejemplo) para identificar el cliente del que
proceden los paquetes.
Paso 3. R2 actualiza su tabla NAT. Observe los puertos asignados. A continuación, el R2
enruta los paquetes hacia Internet.
Día 8 319
Paso 4. Cuando el servidor web responde, R2 utiliza el puerto de origen de destino para traducir el
paquete al cliente correcto.
La sobrecarga de NAT intenta conservar el puerto de origen original. Sin embargo, si este puerto de
origen ya está utilizado, la sobrecarga de NAT asigna el primer número de puerto disponible,
empezando por el principio del grupo de puertos apropiado 0-511, 512-1023, o 1024-65535.
Limitaciones de la NAT
Las limitaciones del uso de NAT son las siguientes:
■
El rendimiento se degrada: NAT aumenta los retrasos en la conmutación porque la
traducción de cada dirección IPv4 en las cabeceras de los paquetes lleva tiempo.
■
La funcionalidad de extremo a extremo se degrada: Muchos protocolos y aplicaciones de
Internet dependen de la funcionalidad de extremo a extremo, con paquetes no modificados
reenviados desde el origen hasta el destino.
■
Se pierde la trazabilidad IP de extremo a extremo: El seguimiento de los paquetes que
sufren numerosos cambios de dirección de paquetes a través de múltiples saltos de NAT se
vuelve mucho más difícil, lo que dificulta la resolución de problemas.
■
La creación de túneles es más complicada: El uso de NAT también complica los
protocolos de túnel, como IPsec, porque NAT modifica los valores de las cabeceras que
interfieren con las comprobaciones de integridad que hacen IPsec y otros protocolos de
túnel.
■
Los servicios pueden ser interrumpidos: Los servicios que requieren el inicio de conexiones
TCP desde la red exterior, o los protocolos sin estado como los que utilizan UDP, pueden verse
interrumpidos.
desea asignar una dirección global interna a una dirección local interna específica que está
asignada a su servidor web interno. Los pasos y la sintaxis para configurar la NAT estática son los
siguientes:
Paso 1. Configurar la traducción estática de una dirección local interna a una dirección global interna:
inside
outside
S0/0/0 S0/1/0
10.1.1.2 209.165.200.226
Red interior Internet
R2
Servidor 209.165.201.30
192.168.10.254
Paso 2. Definir una lista de acceso estándar que permita las direcciones que se van a traducir:
Router(config)# access-list access-list-number source source-wildcard
inside
outside
PC1
192.168.10.10
S0/0/0 S0/1/0
Red interior Internet
10.1.1.2 R2
209.165.200.226
PC2
192.168.11.10
El ejemplo 8-2 muestra la configuración del NAT dinámico.
La configuración es similar al uso de NAT dinámico, excepto que en lugar de utilizar un conjunto de
direcciones, se utiliza la palabra clave interfaz para identificar la dirección IPv4 exterior. La palabra
clave overload habilita PAT para que los números de puerto de origen sean rastreados durante la
traducción.
El ejemplo 8-3 muestra cómo el R2 de la Figura 8-5 está configurado para sobrecargar su
dirección IPv4 registrada en la interfaz serie.
También se puede sobrecargar un pool de direcciones NAT, lo que podría ser necesario en
organizaciones que potencialmente tienen muchos clientes que necesitan traducciones simultáneamente.
En el ejemplo 8-2, NAT está configurado con un grupo de 15 direcciones (209.165.200.226-
209.165.200.240). Si el R2 está traduciendo las 15 direcciones en un momento dado, los paquetes para
el 16º cliente se pondrán en cola para ser procesados y posiblemente se agotarán. Para evitar este
problema, añada la palabra clave overload (sobrecarga) al comando que vincula la lista de acceso
al pool de NAT, como se indica a continuación:
R2(config)# ip nat inside source list 1 pool NAT-POOL1 overload
Curiosamente, Cisco IOS utiliza la primera dirección IPv4 del pool hasta que se le acaban los números
de puerto disponibles. Entonces pasa a la siguiente dirección IPv4 del grupo.
Verificación de NAT
Suponga que las topologías de NAT estática y dinámica de las Figuras 6-4 y 6-5 están configuradas
en el R2, con el servidor interno traducido estáticamente a 209.165.200.254 y NAT-POOL1
configurado con la palabra clave overload. Además, suponga que dos clientes internos se han
conectado a un host externo. Puede utilizar el comando show ip nat translations para verificar las
traducciones actuales en la tabla NAT del R2, como muestra el Ejemplo 8-4.
Ejemplo 8-4 Verificación de las operaciones NAT con show ip nat translations
La entrada estática está siempre en la tabla. Actualmente, la tabla tiene dos entradas dinámicas. Observe
que ambos clientes internos recibieron la misma dirección global interna, pero los números de puerto de
origen son diferentes (47392 para PC1 y 50243 para PC2).
Día 8 323
El comando show ip nat statistics, mostrado en el Ejemplo 8-5, muestra información sobre el
número total de traducciones activas, los parámetros de configuración de NAT, el número de
direcciones en el pool y cuántas han sido asignadas.
Ejemplo 8-5 Verificación de las operaciones NAT con show ip nat statistics
Alternativamente, utilice el comando show run y busque los comandos relacionados con NAT,
lista de comandos de acceso, interfaz o pool con los valores requeridos. Examina
cuidadosamente la salida de estos comandos para descubrir cualquier error.
A veces es útil borrar las entradas dinámicas antes de lo establecido. Esto es especialmente cierto
cuando se prueba la configuración de NAT. Para borrar las entradas dinámicas antes de que el tiempo
de espera haya expirado, utilice el comando EXEC privilegiado clear ip nat translation *.
Paso 4. Revisa en detalle lo que ocurre con el paquete y verifica que los routers tienen la
información de enrutamiento correcta para reenviar el paquete.
Utilice el comando debug ip nat para verificar el funcionamiento de la función NAT
mostrando información sobre cada paquete que el router traduce, como en el Ejemplo 8-6.
324 31 días antes de su examen CCNA
Puedes ver que el host interno 192.168.10.10 inició el tráfico hacia el host externo
209.165.201.30 y ha sido traducido a la dirección 209.165.200.226.
Al decodificar la salida de depuración, observe lo que indican los siguientes símbolos y valores:
■
*: El asterisco junto a NAT indica que la traducción se produce en la ruta de conmutación
rápida. El primer paquete de una conversación siempre se conmuta por proceso, que es más
lento. Los paquetes restantes pasan por la ruta de conmutación rápida si existe una entrada
en la caché.
■
s=: Se refiere a la dirección IPv4 de origen.
■
a.b.c.d->w.x.y.z: Esto indica que la dirección de origen a.b.c.d se traduce en w.x.y.z.
■
d=: Se refiere a la dirección IPv4 de destino.
■
[xxxx]: El valor entre paréntesis es el número de identificación de la IP. Esta información puede ser
útil para la depuración porque permite la correlación con otras trazas de paquetes de los
analizadores de protocolos.
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para
estudiar más.
Recursos Módulo o capítulo
Redes empresariales, seguridad y automatización 6
Guía oficial del CCNA 200-301, volumen 2 10
Guía del mando portátil 18
WAN, VPN e IPsec
Temas clave
Hoy es un repaso relámpago de las topologías WAN, las opciones de conexión WAN, las redes privadas
virtuales (VPN) y la seguridad del protocolo de Internet (IPsec). La mayoría de estos temas del examen
son de naturaleza conceptual y no requieren conocimientos de configuración, así que lee este repaso
varias veces y consulta tus recursos de estudio para profundizar en ellos.
Topologías WAN
La Figura 7-1 muestra las cuatro opciones básicas de topología WAN que una empresa puede
seleccionar para su infraestructura WAN:
■
Punto a punto: Normalmente utiliza una conexión de línea alquilada dedicada, como T1/E1.
■
Hub-and-spoke: Ofrece una topología de punto a multipunto con un único hogar en la que
una única interfaz en el router hub puede compartirse con varios routers spoke mediante
el uso de interfaces virtuales.
■
Malla completa: Da a cada router una conexión con cada uno de los otros routers. Requiere un
gran número de interfaces virtuales.
■
Doblemente conectado: Proporciona redundancia para una topología de concentrador y radios
de un solo hogar al proporcionar un segundo concentrador para conectarse a los routers de
radios.
Una empresa puede optar por implementar una variedad de estas topologías. Por ejemplo, una
empresa puede optar por implementar una topología de malla completa entre sus sedes regionales.
También puede utilizar una topología hub-and-spoke entre las sedes regionales y las sucursales. Si
dos de las sucursales
oficinas se comunican con frecuencia, los administradores de la red podrían contratar un enlace punto a
punto para reducir la carga de tráfico en los routers centrales. El uso de conexiones duales a Internet
garantiza que los clientes, socios y teletrabajadores puedan acceder siempre a los recursos de la
empresa.
326 31 días antes de su examen CCNA
Radio A
Punto a punto
Cubo y radio
Radio C
Sitio B
Radio A
Cubos
Radio C
Sitio D
WAN
Conmutador
uit- ched
Circ Pac Switcket- hed
Líneas alquiladas VPN de banda ancha
DSU/CSU T3 E3 DSU/CSU
Red de proveedores de servicios
Las líneas alquiladas suelen ser más caras que los servicios conmutados debido al coste dedicado y
permanente de proporcionar el servicio WAN al cliente. La capacidad dedicada elimina la latencia y el
jitter y proporciona una capa de seguridad porque sólo se permite el tráfico del cliente en el enlace. La
Tabla 7-1 enumera los tipos de líneas alquiladas disponibles y sus capacidades de tasa de bits.
RDSI
Adaptador de terminal
RDSI (TA)
64 kbps
2B64
kbps
144 kbps
D16
kbps 6x
23B (T1) o
64 kbps T1 1,544 Mbps
30B (E1)
cada o
D uno E1 2.048 Mbps
(Incluye la
64 kbps sincronización)
NOTA: Frame Relay es también una tecnología de conmutación de paquetes que todavía
tiene cierta cuota de mercado. Sin embargo, el examen CCNA ya no la cubre.
Metro Ethernet
Metro Ethernet (MetroE) utiliza conmutadores Ethernet compatibles con IP en la nube de red del
proveedor de servicios para ofrecer a las empresas servicios convergentes de voz, datos y vídeo a
velocidades de Ethernet. Considere algunas ventajas de Metro Ethernet:
■
Reducción de gastos y administración: Permite a las empresas conectar de forma económica
numerosas sedes de un área metropolitana entre sí y con Internet sin necesidad de realizar
costosas conversiones a ATM o Frame Relay
■
Fácil integración con las redes existentes: Se conecta fácilmente a las redes LAN Ethernet existentes
■
Mejora de la productividad empresarial: Permite a las empresas aprovechar las aplicaciones
IP que mejoran la productividad y que son difíciles de implementar en las redes TDM o Frame
Relay, como las comunicaciones IP alojadas, la VoIP y la transmisión de vídeo.
330 31 días antes de su examen CCNA
MPLS
La conmutación de etiquetas multiprotocolo (MPLS) tiene las siguientes características:
■
Multiprotocolo: MPLS puede transportar cualquier carga útil, incluyendo tráfico IPv4, IPv6,
Ethernet, ATM, DSL y Frame Relay.
■
Etiquetas: MPLS utiliza etiquetas dentro de la red del proveedor de servicios para
identificar rutas entre routers distantes en lugar de entre puntos finales.
■
Conmutación: MPLS enruta los paquetes IPv4 e IPv6, pero todo lo demás se conmuta.
Como muestra la Figura 7-5, MPLS es compatible con una amplia gama de tecnologías WAN,
incluidas las líneas alquiladas en serie, Metro Ethernet, ATM, Frame Relay y DSL (no se muestra).
Serie
(TDM)
CE1 PE1 PE3 CE2
Frame Relay
MPLS:
Detalles ocultos
Metro Ethernet
ATM
CE4 PE2 PE4 CE3
10.1.4.0/24 10.1.3.0/24
Enlaces de acceso
En la Figura 7-5, CE se refiere a los routers de borde del cliente. PE son los routers de borde del
proveedor que añaden y eliminan etiquetas.
DSL
La tecnología DSL, mostrada en la Figura 7-6, es una tecnología de conexión permanente que
utiliza las líneas telefónicas de par trenzado existentes para transportar datos de gran ancho de
banda y proporciona servicios IP a los abonados.
Día 7 331
Teletrabajad
or
Sede de la
empresa
Proveedor de
servicios
Proveedor de
WAN
servicios
DSL
Ethernet Internet
Router
Módem DSL
DSLAM
Punto de presencia (POP)
Las tecnologías DSL actuales utilizan sofisticadas técnicas de codificación y modulación para
alcanzar velocidades de datos de hasta 8,192 Mbps. Existen varios tipos de DSL, estándares y
tecnologías emergentes. DSL es
una opción popular para que los departamentos de TI de las empresas apoyen a los trabajadores a domicilio.
Teletrabajador
Sede de la empresa
Inalámbrico
En el pasado, la principal limitación del acceso inalámbrico era la necesidad de estar dentro del alcance
de un router inalámbrico o de un módem inalámbrico con conexión por cable a Internet; sin
embargo, las siguientes tecnologías inalámbricas permiten a los usuarios conectarse a Internet
desde casi cualquier lugar:
■
Wi-Fi municipal: Muchas ciudades han empezado a crear redes inalámbricas municipales.
Algunas de estas redes proporcionan acceso a Internet de alta velocidad de forma gratuita o
por un precio sustancialmente inferior al de otros servicios de banda ancha.
■
WiMAX: Worldwide Interoperability for Microwave Access (WiMAX) es una tecnología IEEE
802.16 que está empezando a utilizarse. Ofrece un servicio de banda ancha de alta velocidad con
acceso inalámbrico y proporciona una amplia cobertura similar a la de una red de telefonía
móvil en lugar de a través de pequeños puntos de acceso Wi-Fi.
■
Internet por satélite: Esta tecnología se suele utilizar en zonas rurales donde el cable y el DSL no
están disponibles.
■
Servicio celular: El servicio celular es una opción para conectar a los usuarios y a las
ubicaciones remotas donde no hay otra tecnología de acceso WAN disponible. Los métodos de
acceso celular más habituales son el acceso celular 3G/4G (tercera y cuarta generación) y el
acceso celular Long-Term Evolution (LTE).
Tecnología VPN
Una red privada virtual (VPN) es una conexión cifrada entre redes privadas a través de
una red pública como Internet. En lugar de utilizar una conexión de capa 2 dedicada, como una
línea alquilada, una VPN utiliza conexiones virtuales denominadas túneles VPN, que se enrutan a
través de Internet desde la red privada de la empresa hasta el sitio remoto o el host del
empleado.
Beneficios de la VPN
Las ventajas de la VPN son las siguientes
■
Ahorro de costes: Elimina la necesidad de costosos enlaces WAN dedicados y bancos de módems
■
Seguridad: Utiliza protocolos avanzados de encriptación y autenticación que protegen los
datos del acceso no autorizado
■
Escalabilidad: Puede añadir grandes cantidades de capacidad sin añadir una infraestructura significativa
■
Compatibilidad con la tecnología de banda ancha: Compatible con los proveedores de
servicios de banda ancha, por lo que los trabajadores móviles y los teletrabajadores pueden
aprovechar su servicio de Internet de alta velocidad en casa para acceder a sus redes
corporativas
LAN
ISP A
Internet
ISP C
LAN
Rama B
334 31 días antes de su examen CCNA
■
VPN de acceso remoto: Las VPNs de acceso remoto permiten a hosts individuales, como
teletrabajadores, usuarios móviles y consumidores de extranet, acceder a una red de la empresa de
forma segura a través de Internet, como en la Figura 7-9. Cada host suele tener un software cliente
para una conexión VPN basada en el cliente o utiliza un navegador web para una conexión VPN
sin cliente. Las VPN sin cliente basadas en la web también suelen denominarse conexiones Secure
Sockets Layer (SSL) sin cliente. Sin embargo, la VPN se establece realmente utilizando Transport
Layer Security (TLS). TLS es la versión más reciente de SSL y a veces se expresa como
SSL/TLS.
Pasarela VPN
Túnel VPN
Internet
ISP
DSL Cable
Intranet WEB/TFTP
Servidor
Teletrabajador 1 Teletrabajador 2
■
Encapsulación de enrutamiento genérico (GRE): Una VPN IPsec estándar (no GRE) sólo
puede crear túneles seguros para el tráfico unicast. GRE es un protocolo de túnel VPN de sitio a
sitio no seguro que puede soportar el tráfico de multidifusión y difusión necesario para los
protocolos de la capa de red. Sin embargo, GRE no admite por defecto el cifrado; por lo
tanto, no proporciona un túnel VPN seguro. Para resolver este problema, se puede encapsular el
tráfico del protocolo de enrutamiento utilizando un paquete GRE y luego encapsular el paquete
GRE en un paquete IPsec para reenviarlo de forma segura a la pasarela VPN de destino. Los
términos utilizados para describir la encapsulación de GRE sobre el túnel IPsec son protocolo de
pasajero para el protocolo de enrutamiento, protocolo de portador para GRE y protocolo de
transporte para IPsec, como se muestra en la Figura 7-10.
Día 7 335
Protocolo de pasajeros
Portador
Protocolo
■
VPN dinámica multipunto (DMVPN): DMVPN es una solución propietaria de Cisco para
construir muchas VPNs de una manera fácil, dinámica y escalable. DMVPN permite a un
administrador de red formar dinámicamente túneles hub-to-spoke y túneles spoke-to-spoke, como
en la Figura 7-11. DMVPN simplifica la configuración del túnel VPN y proporciona una opción
flexible para conectar un sitio central con los sitios de las sucursales. Utiliza una
configuración hub-and-spoke para establecer una topología de malla completa. Los sitios de
enlace establecen túneles VPN seguros con el sitio central. Cada sitio se configura utilizando la
encapsulación de enrutamiento genérico multipunto (mGRE). La interfaz de túnel mGRE
permite que una única interfaz GRE soporte dinámicamente múltiples túneles IPsec.
Radio C
Radio A
Radio B
336 31 días antes de su examen CCNA
Componentes de la VPN
La Figura 7-12 ilustra una topología típica de VPN. Los componentes necesarios para establecer esta
VPN son los siguientes:
■
Una red empresarial existente con servidores y estaciones de trabajo
■
Una conexión a Internet
■
Pasarelas VPN, como routers, cortafuegos, concentradores VPN y Adaptive Security Appliances
(ASA), que actúan como puntos finales para establecer, gestionar y controlar las conexiones VPN
■
Software adecuado para crear y gestionar túneles VPN
Día 7 337
Red empresarial
o corporativa
VPN
Cortafuegos Concentrador
Internet
Router
perimetra
Oficina remota con router l
POP
Túnel VPN
El tunelado utiliza tres clases de protocolos:
■
Protocolo de portador: El protocolo por el que viaja la información, como Frame Relay, PPP o
MPLS
■
Protocolo de encapsulación: El protocolo que se envuelve alrededor de los datos
originales, como GRE, IPsec, L2F, PPTP o L2TP
■
Protocolo pasajero: El protocolo sobre el que se transportaron los datos originales, como
IPX, AppleTalk, IPv4 o IPv6
La figura 7-13 ilustra un mensaje de correo electrónico que viaja por Internet a través de una conexión VPN.
338 31 días antes de su examen CCNA
IPsec
Dispositivo VPN
Dispositivo Servido
Internet VPN r de
acceso
EmisorReceptor
Hashes
Las redes privadas virtuales utilizan un algoritmo de integridad de datos de código de
autenticación de mensajes con clave (HMAC) para garantizar la integridad y autenticidad
de un mensaje sin necesidad de mecanismos adicionales.
La fuerza criptográfica del HMAC depende de la fuerza criptográfica de la función hash
subyacente, del tamaño y la calidad de la clave y del tamaño de la longitud de salida del hash, en bits.
Hay dos algoritmos HMAC comunes:
■
Message Digest 5 (MD5): Utiliza una clave secreta compartida de 128 bits
■
Algoritmo de hash seguro 1 (SHA-1): Utiliza una clave secreta de 160 bits
Día 7 339
Mensaje:
Mensaje de prueba: R2, ¿estás ahí? Valor Hash:
Hash: MD5 Fsd$#^@43@Ad5J$
Función/algoritmo Hash
Mensaje:
Mensaje de prueba: ABCD1234
Valor Hash:
Fsd$#^@43@Ad5J$
R1 R2
Valor Hash:
Hash: Fsd$#^@43@Ad5J$
MD5
Función Hash/Algoritmo Mensaje:
Mensaje de prueba: R2, ¿estás ahí?
Valor Hash:
Fsd$#^@43@Ad5J$
R1 R2
340 31 días antes de su examen CCNA
Un HMAC tiene dos parámetros: un mensaje de entrada y una clave secreta compartida que sólo
conocen el emisor del mensaje y los destinatarios. En la Figura 7-14, tanto R1 como R2 conocen la
clave secreta compartida. El proceso de la Figura 7-14 utiliza los siguientes pasos:
Paso 1. R1 utiliza MD5 para realizar la función hash, que produce un valor hash. Este valor hash
se añade al mensaje original y se envía a R2.
Paso 2. R2 elimina el valor hash del mensaje original, ejecuta la misma operación hash y luego
compara su valor hash con el valor hash enviado por R1. Si los dos hashes coinciden, la
integridad de los datos no se ha visto comprometida.
Autenticación VPN
El dispositivo en el otro extremo del túnel VPN debe ser autenticado antes de que la ruta de
comunicación se considere segura. Los dos métodos de autenticación de pares son los siguientes:
■
Clave precompartida (PSK): Una clave secreta se comparte entre las dos partes
utilizando un canal seguro antes de que tenga que ser utilizada.
■
Firma RSA: Este método utiliza el intercambio de certificados digitales para autenticar a los compañeros.
IPsec detalla la mensajería necesaria para asegurar las comunicaciones VPN, pero se basa en los
algoritmos existentes. Los dos protocolos principales del marco IPsec son los siguientes:
■
Cabecera de autenticación (AH): Se utiliza cuando no se requiere o no se permite la
confidencialidad. AH proporciona autenticación e integridad de los datos para los paquetes IP
que pasan entre dos sistemas. Verifica el origen de cualquier mensaje y que cualquier mensaje
pasado no ha sido modificado durante el tránsito. AH no proporciona confidencialidad de los
datos (encriptación) de los paquetes. Si se utiliza solo, el protocolo AH proporciona una
protección débil. Por lo tanto, se utiliza con el protocolo ESP para proporcionar encriptación
de datos y características de seguridad de manipulación.
Día 7 341
■
Carga útil de seguridad encapsulada (ESP): Proporciona confidencialidad y autenticación
encriptando el paquete IP. Aunque tanto el cifrado como la autenticación son opcionales en ESP,
como mínimo se debe seleccionar uno de ellos.
IPsec se basa en los algoritmos existentes para implementar el cifrado, la autenticación y el intercambio
de claves. La Figura 7-15 muestra cómo está estructurado IPsec.
IPsec proporciona el marco, y el administrador elige los algoritmos utilizados para implementar los
servicios de seguridad dentro de ese marco. Como ilustra la Figura 7-15, el administrador debe rellenar
los cuatro cuadros del marco IPsec:
■
Elija un protocolo IPsec.
■
Elija el algoritmo de encriptación adecuado para el nivel de seguridad deseado.
■
Elija un algoritmo de autenticación para proporcionar la integridad de los datos.
■
El último cuadrado es el grupo del algoritmo Diffie-Hellman (DH), que establece la compartición
de información de claves entre pares. Elija qué grupo utilizar: DH1, DH2 o DH5.
Opciones
ESP
Protocolo IPsec
ESP + AH AH
Codificación 3
DES DES AES
Autenticación
MD5 SHA
DH
DH1 DH2 DH5
342 31 días antes de su examen CCNA
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Temas clave
Hoy revisamos la calidad de servicio (QoS), que se refiere a las herramientas y técnicas que los
administradores de red pueden utilizar para priorizar el tráfico en una red.
QoS
El funcionamiento normal por defecto de los switches y routers es procesar las tramas y paquetes
en el orden en que se reciben. Este mecanismo de cola de entrada y salida (FIFO) no discrimina entre
tipos de tráfico.
Las herramientas de QoS se utilizan para clasificar los tipos de tráfico en función de las cuatro características
siguientes:
■
Latencia (retardo): La latencia, o retardo, es el tiempo que tardan los datos en llegar al receptor.
Las herramientas de QoS pueden reducir el retardo de los paquetes sensibles al tiempo, como
los de voz y vídeo.
■
Jitter: El jitter es la variación en el retraso de los paquetes. Las herramientas de QoS pueden igualar
el retraso de los paquetes para mejorar la experiencia del usuario final.
■
Pérdidas: La pérdida se refiere al número de mensajes perdidos, normalmente como un
porcentaje de los paquetes enviados. Las herramientas de QoS reducen la pérdida de
paquetes, especialmente para el tráfico sensible al tiempo.
■
Ancho de banda: el ancho de banda es una medida de la cantidad de datos que una interfaz
puede enviar cada segundo. Las herramientas de QoS pueden gestionar qué tipo de tráfico es
el siguiente en utilizar el ancho de banda y qué parte del ancho de banda obtiene cada tipo
de tráfico a lo largo del tiempo.
En la Figura 6-1 se enumeran los tres principales tipos de tráfico. Para la voz y el vídeo, se muestran
los valores mínimos de las características del tráfico.
344 31 días antes de su examen CCNA
La Figura 6-2 muestra la secuencia de eventos de la QoS a medida que el tráfico se reenvía por una interfaz.
Clasificar y
marcar
IP ToS escrito
VoIP HTTP FTP VoIP HTTP FTP
Vigilancia,
reducción Cola de Programaci
y espera ón y
eliminació conformació
n
n
Las herramientas de QoS que se muestran en la Figura 6-2 son las siguientes:
■
Clasificación y marcado: Las herramientas de QoS supervisan los flujos de tráfico y
clasifican los paquetes en función del contenido de la cabecera. A continuación, los
mensajes se marcan cambiando los bits de la cabecera.
■
Evitar la congestión: Cuando el tráfico supera los recursos disponibles en la red, parte del tráfico
puede ser descartado, retrasado o remarcado de forma selectiva para evitar la congestión.
■
Gestión de la congestión: Las herramientas de QoS gestionan la programación y
conformación del tráfico mientras los paquetes esperan su turno en una cola para salir de
la interfaz.
Clasificación y marcado
La clasificación se refiere al proceso de cotejar campos en las cabeceras para tomar algún tipo de
acción de QoS en el paquete. Estos campos pueden incluir todos los campos normales filtrados por las
ACL, así como el campo Tipo de Servicio (ToS) en un paquete IPv4 o el campo Clase de Tráfico en un
paquete IPv6.
Día 6 345
El marcado se refiere al proceso de cambiar los valores de los bits en el campo ToS o Clase de Tráfico.
El contenido de estos dos campos es idéntico, como muestra la Figura 6-3.
Tipo de
Versión IHL Servicio Longitud total Versión Clase de Etiqueta de
tráfico flujo
Desplazam Siguie Lími
Identificación Band Longitud de la carga útil
iento de nte te de
eras
fragment cabecer salto
os a
Suma de
TTL Protocolo
76543210 comprobaci Dirección de la fuente
Precedencia IPPuntoóndedecódigo
la DiffServ no utilizado (DSCP)IP ECN
cabecera RFC 2474
Extensiones DiffServ RFC 3168
Dirección de la
Bits IP ECN
La Figura 6-3 destaca los bits del Punto de Código de Servicios Diferenciados (DSCP), que son el
núcleo del modelo de Servicios Diferenciados (DiffServ) para la QoS. Las herramientas de QoS pueden
utilizar los 2 bits asignados para la Notificación Explícita de Congestión (ECN) de IP para informar a
los enrutadores descendentes de la congestión en el flujo de tráfico.
DSCP y IPP
Tal y como se estandarizó en el RFC 2474, los 8 bits DSCP proporcionan 64 clasificaciones diferentes
que la QoS puede utilizar. Se trata de una gran mejora con respecto a las ocho clasificaciones asignadas
para los 3 bits del anterior campo de Precedencia IP (IPP) (RFC 791). Por compatibilidad con el
pasado, los bits DSCP incluyen los valores del Selector de Clase (CS) que se designan para que
coincidan con los bits IPP, como en la Figura 6-4.
Decimal
IPP IPP CS DSCP
0 CS0 0
1 CS1 8
2 CS2 16
3 CS3 24
DSCP CSx 00 0 4 CS4 32
5 CS5 40
6 CS6 48
7 CS7 56
Para los enlaces troncales de capa 2, el tercer byte de la cabecera 802.1Q de 4 bytes está
reservado para la Clase de Servicio (CoS), y las herramientas de QoS pueden utilizarlo para marcar
las tramas. Sin embargo, este campo sólo existe mientras la trama atraviesa los enlaces troncales,
como muestra la Figura 6-5. Para continuar con el mismo nivel de servicio a medida que el tráfico es
enrutado en la Capa 3, el campo ToS debe ser marcado.
346 31 días antes de su examen CCNA
Los campos adicionales que pueden ser marcados para QoS incluyen el campo Identificador de Tráfico
(TID) en la trama 802.11 y el campo EXP en MPLS. La Tabla 6-1 enumera todos los campos de
QoS.
NOTA: El campo EXP de MPLS fue renombrado como campo de Clase de Tráfico en el RFC
5462. Sin embargo, EXP se sigue utilizando habitualmente. El nombre EXP proviene de la
designación "uso experimental".
EF y AF
Expedited Forwarding (EF) es un valor decimal DSCP único de 46 que se sugiere para su uso con
paquetes que requieren baja latencia, baja fluctuación y baja pérdida. Las implementaciones de QoS
suelen utilizar EF para marcar los paquetes de voz.
Assured Forwarding (AF), especificado en el RFC 2597, define un conjunto de 12 valores DSCP que
están dispuestos en una matriz, como en la Figura 6-6.
La mejor La peor
caída caída
La mejor cola
AF41 AF42 AF43
(34) (36) (38)
La peor cola
AF31 AF32 AF33
(26) (28) (30)
Las cuatro filas de la Figura 6-6 muestran las prioridades de la cola. Las tres columnas muestran la
prioridad de caída. Los nombres de los AF siguen el formato AFXY, donde X se refiere a la cola e
Y a la prioridad de caída.
Gestión de la congestión
La gestión de la congestión se refiere a las herramientas de QoS utilizadas para gestionar las colas
mientras los paquetes esperan para salir de una interfaz. La mayoría de los dispositivos de red pueden
tener un sistema de colas que puede clasificar los paquetes en varias colas. Un planificador decide
entonces qué mensaje será el siguiente cuando la interfaz esté disponible.
Una herramienta popular es la cola justa basada en clases (CBWFQ), que asigna clases de tráfico a las
colas y garantiza un ancho de banda mínimo para una cola. A continuación, el planificador utiliza un
algoritmo round-robin para recorrer las colas en orden, como se muestra en la Figura 6-7.
Q1 Q2 20%
Q3 30% Transmitir
50%
Round Robin
Sin embargo, la CBWFQ por sí sola no satisface las necesidades del tipo de tráfico más sensible al
tiempo durante los periodos de gran congestión del ancho de banda. Cada llamada de voz necesita entre
30 y 320 kbps, un retardo máximo de 150 ms, un jitter máximo de 30 ms y menos de un 1% de pérdida
de paquetes. La solución es añadir la cola de baja latencia (LLQ) a CBWFQ. El planificador siempre
toma el siguiente paquete de voz de la LLQ, como muestra la Figura 6-8.
Clasificador Programador
LLQ-Siguiente
voz
datos 1
datos 2 Transmitir
por
defecto
Round Robin
La vigilancia tiene sentido en el borde de la WAN. Por ejemplo, considere un enlace WAN Metro
Ethernet que está contratado para no permitir más de 200 Mbps, como en la Figura 6-9.
Figura 6-9 Borde de la WAN con un CIR inferior a la velocidad del enlace
R1 G0/1 SW SW G0/2 R2
Policía a Policía a
200 Mbps 200 Mbps
En el lado del cliente del enlace de la Figura 6-9, el administrador de la red puede utilizar un
conformador para ralentizar el tráfico para que coincida con el CIR de 200 Mbps. El conformador
ralentiza el tráfico poniendo en cola los paquetes y luego programando los paquetes en función de la
tasa de conformación, como muestra la Figura 6-10.
Shaper
El Shaping no puede reducir la velocidad física de una interfaz. En su lugar, envía y espera. Por ejemplo,
con un CIR de 200 Mbps y una interfaz de 1000 Mbps, el conformador envía tráfico a 1000 Mbps el
20% del tiempo. El otro 80% del tiempo, el conformador está en espera.
Esta táctica de envío-espera puede afectar negativamente al tráfico de voz y vídeo sensible al
tiempo. Por lo tanto, se recomienda establecer el intervalo de tiempo en 10 ms. Entonces el
conformador enviará 1000 Mbps durante 2 ms y esperará 8 ms. Esto garantiza que un paquete de
voz no tendrá que esperar más de 10 ms antes de ser enviado, lo que está muy por debajo del
requisito de retardo máximo de 150 ms.
Día 6 349
QoS y TCP
Sin herramientas para evitar la congestión, puede producirse una caída de la cola (véase la Figura 6-11).
congestiónMediacongestiónMuchacongestión
Caída de la cola
Caída de la cola
A medida que las colas inferiores se llenan, los paquetes recibidos en último lugar se descartan.
Los servicios orientados a la conexión de TCP ayudan a las herramientas de QoS a minimizar la caída
de la cola. Recordemos que TCP utiliza un proceso de ventana entre el emisor y el receptor para
cambiar dinámicamente la cantidad de datos que se envían antes de recibir un acuse de recibo. Las
herramientas de QoS pueden explotar esta función de ventana descartando algunos segmentos TCP
antes de que se llenen las colas. Esto obliga a que las conexiones TCP sean más lentas, reduce la
congestión y evita la caída de la cola.
Las herramientas de QoS monitorizan la profundidad de las colas a lo largo del tiempo. Los umbrales
configurados especifican qué porcentaje de paquetes TCP deben ser descartados a medida que la
cola se llena, como en la Figura 6-12.
Gotas completas
Umbral máximo
% Gotas
Umbral mínimo
Sin gotas
Cola vacía
350 31 días antes de su examen CCNA
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Módulo de recursos o capítulo
Redes empresariales, seguridad y automatización9
CCNA 200-301 Official Cert Guide,Volumen 211
CDP y LLDP
Temas clave
El Protocolo de Descubrimiento de Cisco (CDP) es un protocolo de capa 2 propiedad de Cisco que
se utiliza para recopilar información sobre los dispositivos de Cisco en el mismo enlace de datos. Los
dispositivos Cisco también soportan el Link Layer Discovery Protocol (LLDP), que es un protocolo de
descubrimiento de vecinos basado en estándares, similar a CDP. Hoy revisaremos la configuración y
verificación de CDP y LLDP.
R1 S1
CDP se ejecuta en todos los equipos fabricados por Cisco. Recoge las direcciones de protocolo de
los dispositivos vecinos y descubre las plataformas de esos dispositivos. CDP se ejecuta sólo en la
capa de enlace de datos.
Esto significa que dos sistemas que soportan diferentes protocolos de capa 3 pueden aprender el
uno del otro. La Tabla 5-1 resume los valores predeterminados de CDP.
■
ID del puerto: El nombre del puerto local o del puerto remoto
■
Capacidades: Si el dispositivo es un router o un switch o tiene otras capacidades
■
Versión: La versión de CDP que se ejecuta en el dispositivo.
■
Plataforma: La plataforma de hardware del dispositivo, como un router Cisco 1941 o un switch 2960
Configuración de CDP
CDP está habilitado en un dispositivo para todas las interfaces, como muestra el Ejemplo 5-1.
Observe en la salida del ejemplo 5-1 que una interfaz no tiene que ser configurada con una
dirección de capa 3 para enviar o recibir anuncios CDP. La interfaz sólo necesita ser activada con el
comando no shutdown. En el Ejemplo 5-2, el switch conectado al router en el Ejemplo 5-1 ha
reunido información CDP sobre el router. Los dos dispositivos se están comunicando a través del
enlace de capa 2 sin ninguna dirección de capa 3.
Para desactivar el CDP en el dispositivo, utilice el comando de configuración global CDP no cdp run:
Router(config)# no cdp run
Verifique que el dispositivo ya no está ejecutando CDP utilizando el comando show cdp:
Router# show cdp
% CDP no está
habilitado Router#
Después de esperar a que expire el tiempo de espera de 180 segundos en el switch, puede verificar que el
switch ya no recibe información sobre el router (ver Ejemplo 5-3).
También se puede desactivar el CDP por interfaz. Esta opción de configuración es una buena práctica de
seguridad para las interfaces que están conectadas a redes no confiables. Para deshabilitar CDP en una
interfaz, utilice el comando no cdp enable (ver Ejemplo 5-4).
354 31 días antes de su examen CCNA
Observe en la salida del comando show cdp interface que la interfaz Serial 0/0/0 ya no está en la
lista, como lo estaba en el Ejemplo 5-1.
Para ajustar el tiempo de los anuncios CDP, utilice el comando de configuración global cdp timer:
Router(config)# cdp timer seconds
ID del dispositivo:
R3.31days.com Dirección(es)
de entrada:
Dirección IP: 192.168.1.1
Plataforma: Cisco CISCO1941/K9, Capacidades: Router Source-Route-Bridge Switch
IGMP
Interfaz: FastEthernet0/5, ID de puerto (puerto de salida): GigabitEthernet0/1
Tiempo de espera : 162 seg.
Versión :
Software Cisco IOS, software C1900 (C1900-UNIVERSALK9-M), versión 15.4(3)M2,
SOFTWARE DE LIBERACIÓN (fc2)
Soporte técnico: http://www.cisco.com/techsupport Copyright
(c) 1986-2015 by Cisco Systems, Inc.
Compilado Fri 06-Feb-15 17:01 por prod_rel_team
S3#
Cuando la documentación es escasa o incompleta, se puede utilizar CDP para reunir información
sobre los dispositivos y descubrir la topología de la red. El ejemplo 5-6 muestra cómo acceder
remotamente a R3 y descubrir que R2 está conectado a R3.
ID del dispositivo:
S3.31days.com Dirección(es)
de entrada:
Dirección IP: 192.168.1.2
Plataforma: cisco WS-C2960-24TT-L, Capacidades: Switch IGMP
Interfaz: GigabitEthernet0/1, ID de puerto (puerto de salida): FastEthernet0/5
Tiempo de espera : 126 seg.
Versión :
356 31 días antes de su examen CCNA
versión de la publicidad: 2
Protocolo Hola: OUI=0x00000C, Protocol ID=0x0112; payload len=27, value=00000000FF
FFFF010221FF0000000000000CD996E87400FF0000
Dominio de gestión VTP: ''
VLAN nativa: 1
Dúplex: completo
Dirección de la dirección:
Dirección IP: 192.168.1.2
ID del dispositivo:
R2.31days.com Dirección(es)
de entrada:
Dirección IP: 192.168.10.1
Plataforma: Cisco CISCO1941/K9, Capacidades: Router Source-Route-Bridge Switch
Interfaz IGMP: Serial0/0/1, ID de puerto (puerto de salida): Serial0/0/1
Tiempo de espera :
148 seg Versión :
Software Cisco IOS, software C1900 (C1900-UNIVERSALK9-M), versión 15.4(3)M2,
SOFTWARE DE LIBERACIÓN (fc2)
Soporte técnico: http://www.cisco.com/techsupport
Copyright (c) 1986-2015 by Cisco Systems, Inc.
Compilado Fri 06-Feb-15 17:01 por prod_rel_team
Ahora puedes acceder al router R2, con autenticación, y seguir descubriendo la red.
Como muestra el Ejemplo 5-7, se utiliza el comando show cdp traffic para verificar cuántos paquetes
CDP ha enviado y recibido un dispositivo.
Configuración de LLDP
Para activar el LLDP globalmente, introduzca el comando lldp run:
Router(config)# lldp run
Cuando se activa globalmente, el LLDP está activado en todas las interfaces. Para desactivar el LLDP en una
interfaz, utilice la opción
comandos no lldp transmit y no lldp receive:
Router(config)# interface interface-id
Router(config-if)# no lldp transmit
Router(config-if)# no lldp receive
Router(config-if)# end
Router#
Para ajustar el tiempo de los anuncios LLDP, utilice el comando de configuración global lldp timer:
Router(config)# lldp timer seconds
Para la topología de la Figura 5-2, la política es que LLDP debe tener los mismos
temporizadores que CDP. Los routers no deberían transmitir mensajes LLDP por las
interfaces LAN.
R1 S1
El ejemplo 5-8 muestra los comandos para implementar la política LLDP.
Verificación de LLDP
Los comandos de verificación de LLDP son similares a los de CDP. Simplemente sustituya la palabra clave cdp
con llpd. El ejemplo 5-9 muestra la salida de los comandos de verificación LLDP.
GigabitEthernet0/1:
Tx:
desactivado
Rx: activado
Estado de transmisión: INIT
Estado Rx: WAIT FOR FRAME
<salida omitida>
R1# show lldp neighbors
Códigos de capacidad:
(R) Router, (B) Puente, (T) Teléfono, (C) Dispositivo de cable DOCSIS
(W) Punto de acceso WLAN, (P) Repetidor, (S) Estación, (O) Otros
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Temas clave
El repaso de hoy abarca las herramientas utilizadas para supervisar, gestionar y mantener los routers y
los switches. Para la supervisión de dispositivos, revisamos cómo configurar y verificar el Protocolo
simple de gestión de redes (SNMP), syslog y el Protocolo de tiempo de red (NTP). Para la gestión de
dispositivos, revisamos la copia de seguridad y la restauración de la configuración del dispositivo y las
licencias de Cisco IOS. Para el mantenimiento del dispositivo, revisamos la gestión del sistema de
archivos, las actualizaciones de Cisco IOS y la recuperación de contraseñas.
Funcionamiento de SNMP
SNMP es un protocolo de capa de aplicación que proporciona un formato de mensaje para la
comunicación entre gestores y agentes.
Componentes SNMP
El sistema SNMP consta de tres elementos:
■
Gestor SNMP
■
Agentes SNMP (nodo gestionado)
■
Base de información de gestión (MIB)
Mensajes SNMP
El gestor SNMP forma parte de un sistema de gestión de red (NMS) y ejecuta el software de
gestión SNMP. Los agentes SNMP son dispositivos gestionados. La MIB almacena las variables
SNMP. SNMP utiliza tres mensajes básicos entre los gestores y los agentes SNMP: mensajes get, set y
trap.
El gestor SNMP utiliza mensajes get para sondear un dispositivo en busca de información y
mensajes set para cambiar un parámetro del dispositivo. Un agente SNMP puede utilizar trampas
SNMP para notificar de forma independiente al NMS cuando se produce un problema.
362 31 días antes de su examen CCNA
Por ejemplo, SNMP puede monitorizar la utilización de la CPU en un router Cisco. El NMS puede
muestrear este valor periódicamente y advertir al administrador de la red cuando el valor se desvía
de la línea base. Un agente SNMP también puede ser configurado para enviar un mensaje trap
cuando la utilización de la CPU se aleja de los valores normales de la red. La Tabla 4-1 resume las
acciones get y set.
OperaciónDescripción
get-requestRecupera un valor de una variable específica.
get-next-requestRecupera un valor de una variable dentro de una tabla. El gestor de SNMP no necesita
conocer el nombre exacto de la variable. Se realiza una búsqueda secuencial para
encontrar la variable necesaria dentro de una tabla.
get-bulk-requestRecupera grandes bloques de datos, como varias filas de una tabla, que de otro modo
requerirían la transmisión de muchos bloques de datos pequeños. (Esto sólo funciona
con SNMPv2 o posterior).
get-responseResponde a una get-request, get-next-request o set-request enviada por un NMS.
set-requestApoya un valor en una variable específica.
Versiones de SNMP
Existen varias versiones de SNMP:
■
SNMPv1: El SNMP original, definido en el RFC 1157.
■
SNMPv2c: Definido en las RFCs 1901 a 1908. Utiliza un marco administrativo basado en
cadenas de comunidad.
■
SNMPv3: Protocolo interoperable basado en estándares definido originalmente en los RFCs
2273 a 2275. Proporciona acceso seguro a los dispositivos mediante la autenticación y el
cifrado de los paquetes en la red.
SNMPv1 y SNMPv2c utilizan cadenas de comunidad que controlan el acceso a la MIB. Las cadenas de
comunidad son contraseñas en texto plano. Existen dos tipos de cadenas de comunidad:
■
Sólo lectura (ro): Proporciona acceso a las variables de la MIB, pero no permite que estas
variables sean modificadas (sólo lectura)
■
Lectura-escritura (rw): Proporciona acceso de lectura y escritura a todos los objetos de la MIB
iso (1).
org (3).
dod (6).
cisco (9).
Internet (1).
variables locales (2). cisco mgmt (9).
privado (4).
grupo de interfaces (2). grupo de flashes cisco (10).
El texto en negrita muestra un comando bastante largo con varios parámetros resaltados:
■
-v2c: La versión de SNMP en uso
■
-c comunidad: La contraseña de SNMP, llamada cadena de comunidad.
■
10.250.250.14: La dirección IP del dispositivo supervisado
■
1.3.6.1.4.1.9.2.1.58.0: El OID numérico de la variable MIB
La última línea muestra la respuesta. La salida muestra una versión abreviada de la variable MIB. A
continuación, muestra el valor real en la ubicación MIB; en este ejemplo, significa que la CPU está al
11% de utilización.
364 31 días antes de su examen CCNA
Configuración de SNMP
La configuración de SNMPv2c en un router o switch de Cisco sólo requiere un comando de
configuración global: snmp-server community. Los siguientes pasos incluyen algunos comandos
opcionales:
Paso 1. (Obligatorio) Configure la cadena de comunidad y el nivel de acceso (sólo lectura o
lectura-escritura) con el comando global snmp-server community string {RO|RW}.
Paso 2. (Opcional) Documente la ubicación del dispositivo mediante el comando snmp-server location
comando de configuración global text-describing-location.
Paso 3. (Opcional) Documente la ubicación del dispositivo utilizando el contacto del servidor snmp
comando de configuración global contact-name.
Paso 4. (Opcional) Restrinja el acceso a SNMP a los hosts NMS que están permitidos por
una lista de control de acceso (ACL) definiendo una ACL y haciendo referencia a la
ACL en el comando de configuración global snmp-server community string acl.
El ejemplo 4-2 demuestra el uso de los comandos obligatorios y opcionales.
Verificación de SNMP
Para verificar la configuración de SNMP, utilice el comando show snmp (ver Ejemplo 4-3).
La salida del comando show snmp no muestra información relacionada con la cadena de
comunidad SNMP o la ACL asociada (si es aplicable). El ejemplo 4-4 muestra el uso del comando
show snmp community para mostrar la cadena de comunidad SNMP y la información de ACL.
Nombre de la comunidad:
4md!n0n1y Índice de la
comunidad: cisco7
Seguridad comunitariaNombre: 4md!n0n1y
storage-type: nonvolatileactiveaccess-list: SNMP_ACCESS
Nombre de la comunidad:
4md!n0n1y Índice de la
comunidad: cisco8
Seguridad comunitariaNombre: 4md!n0n1y
storage-type: nonvolatile active
access-list: SNMP_ACCESS
Syslog
Syslog es un término utilizado para describir un estándar que el IETF documentó por primera vez
en el RFC 3164 en 2001. Es un protocolo popular que utilizan muchos dispositivos de red, como
routers, switches, servidores de aplicaciones, firewalls y otros dispositivos de red. Estos dispositivos
pueden enviar sus mensajes a través de la red para ser almacenados en servidores syslog para que
los administradores de la red puedan acceder a ellos posteriormente.
366 31 días antes de su examen CCNA
Operación Syslog
Syslog utiliza el puerto UDP 514 para enviar mensajes de notificación de eventos a través de las
redes IP a los recolectores de mensajes de eventos, como ilustra la Figura 4-2.
R1 S1
En los dispositivos de red de Cisco, el protocolo syslog comienza enviando los mensajes del sistema y la
salida de depuración a un proceso de registro local interno del dispositivo. Es posible supervisar de
forma remota los mensajes del sistema viendo los registros en un servidor syslog o accediendo al
dispositivo a través de Telnet, Secure Shell (SSH) o el puerto de la consola.
Los dispositivos Cisco producen mensajes syslog como resultado de eventos de red. Cada mensaje
syslog contiene un nivel de gravedad y una facilidad. La Tabla 4-2 muestra la lista completa de
niveles de gravedad de syslog.
Además de especificar la gravedad, los mensajes syslog contienen información sobre la instalación.
Las facilidades de syslog son identificadores de servicio que identifican y categorizan los datos
de estado del sistema para la notificación de mensajes de error y eventos. Las opciones de
instalaciones de registro disponibles son específicas del dispositivo de red. Las instalaciones de
mensajes syslog más comunes que se informan en los routers Cisco IOS son las siguientes:
■
IP
■
Protocolo OSPF
■
Sistema operativo SYS
■
Seguridad IP (IPsec)
■
Interfaz IP (IF)
CampoExplicación
seq noNúmero de secuencia estampado en el mensaje de registro. Aparece sólo si el comando de
configuración global service sequence-numbers está configurado.
timestampFecha y hora del mensaje o evento. Sólo aparece si se ha configurado el comando de
configuración global service timestamps.
instalaciónLa instalación a la que se refiere el mensaje.
severityCódigo de un solo dígito de 0 a 7 que indica la gravedad del mensaje.
Cadena de texto MNEMONIC que describe de forma única el mensaje.
descriptionCadena de texto que contiene información detallada sobre el evento que se está reportando.
Utilizando el formato del mensaje y la Tabla 4-3, puede interpretar fácilmente el siguiente mensaje:
00:00:46: %LINK-3-UPDOWN: Interfaz Puerto-canal1, ha cambiado el estado a up
En este mensaje, se puede ver que el comando de servicio de números de secuencia no fue
configurado, pero el comando de servicio de marcas de tiempo fue configurado. La instalación es
LINK, la gravedad es 3, y MNEMONIC es UPDOWN. El resto del mensaje proporciona una
descripción del evento.
Para configurar el router para que envíe mensajes del sistema a un servidor syslog, complete
los tres pasos siguientes:
Paso 1. Configure la dirección IP del servidor syslog en el modo de configuración global:
R1(config)# registro 192.168.1.3
Paso 2. Controle los mensajes que se enviarán al servidor syslog con el comando de modo de
configuración global logging trap level. Por ejemplo, para limitar los mensajes a los
niveles 4 e inferiores (0 a 4), utilice uno de los dos comandos equivalentes siguientes:
R1(config)# logging trap 4
Día 4 369
o:
R1(config)# logging trap warning
El ejemplo 4-6 muestra la salida del comando show logging. La configuración por defecto ha sido
cambiada, como se observa en los resaltados.
activo.
S0/0/0 S0/0/1
R1 .1 .2 R2 .2
Mensajes de registro
Un mensaje de registro suele incluir la fecha y la hora como parte del mensaje, de modo que un
ingeniero de red que revise el mensaje sepa exactamente cuándo se produjo.
El Protocolo de Hora de Red (NTP) proporciona una forma de sincronizar el reloj de la hora del día
para que las marcas de tiempo sean consistentes en todos los dispositivos, lo que facilita la resolución
de problemas.
Para configurar un router o switch para sincronizar su hora con un servidor NTP existente,
utilice el comando ntp server, como en el Ejemplo 4-7.
La salida del comando show ntp status da el estado de NTP en la primera línea; en el Ejemplo 4-
7, puede ver que R1 está sincronizado con el servidor NTP en 172.16.2.2. El comando show
Día 4 371
El comando ntp associations muestra una sola línea de salida para cada dispositivo NTP con el que
el router se ha asociado.
Un router o un conmutador pueden ser realmente el servidor NTP con un solo comando (ntp
master) también. Además, NTP puede utilizar la autenticación para que un router o un switch
no sea engañado para cambiar su marca de tiempo.
Comandos IFS
El ejemplo 4-8 muestra la salida del comando show file systems.
Size(b)Free(b)TypeFlagsPrefixes
- -opaquerwarchive:
- -opaquerwsystem:
- -opaquerwtmpsys:
- -opaquerwnull:
- -red rwtftp:
262136251594nvramrwnvram:
- -opaquewosyslog:
- -opaquerwxmodem:
- -opaquerwymodem:
- -red rwrcp:
- -red rwhttp:
- -red rwftp:
- -red rwscp:
- -opaquerotar:
- -red rwhttps:
- -opaquerocns:
1002143744 683163648usbflash
rwusbflash1:
*255537152 183939072usbflash rwusbflash0: flash:
Router#
Las columnas muestran la cantidad de memoria disponible y libre, en bytes, y el tipo de sistema de
archivos y sus permisos. Los permisos incluyen sólo lectura (ro), sólo escritura (wo) y lectura y
escritura (rw).
372 31 días antes de su examen CCNA
Aunque se enumeran varios sistemas de archivos, los que nos interesan son los sistemas de archivos
TFTP, Flash y NVRAM.
Observe que el sistema de archivos Flash tiene un asterisco ( *) delante, lo que indica que es el sistema
de archivos por defecto. Para el router 1900 en el Ejemplo 4-8, el sistema de archivos se inicia desde
USB Flash. El alias flash: se asocia con usbflash0 para que pueda utilizar flash: en sus comandos (como
en show flash:).
Como muestra el Ejemplo 4-9, el comando dir lista el directorio principal de los sistemas de archivos por defecto,
mientras que
show flash: muestra todo el contenido del sistema de archivos por defecto.
Ejemplo 4-9 Directorios y archivos del sistema de archivos por defecto en Flash
Router# dir
Directorio de usbflash0:/
Router#
Día 4 373
De particular interés es el primer listado, que es el nombre de archivo para la imagen de Cisco IOS.
Observe que la salida no muestra los archivos de configuración almacenados en la NVRAM. Para ver
estos archivos, primero cambie de directorio (cd) al directorio NVRAM (nvram:) y luego liste el
contenido con el comando dir, como en el Ejemplo 4-10.
Router# cd nvram:
Router# dir
Directorio de nvram:/
NOTA: También puede utilizar simplemente el comando dir nvram: para listar el
contenido del directorio nvram:.
El archivo que más les interesa a los candidatos al examen CCNA es el archivo startup-config.
Figura 4-4 Uso de una URL para especificar la ubicación del TFTP
TFTP
Servidor 192.168.20.0/24
G0/0
192.168.20.1/24
R2
192.168.20.254/24
La URL TFTP de la Figura 4-4 es un ejemplo de URL remota. Algunos ejemplos de URL para acceder
al IFS local de Cisco son los siguientes:
■
flash:configs/backup-config
■
system:running-config (que accede a la RAM)
■
nvram:startup-config
El comando dice
Comando: "copiar la configuración en ejecución de la RAM del sistema a la NVRAM y
copiar
guardarla con el nombre de archivo startup-config".
El ejemplo 4-11 demuestra cómo copiar la configuración actual en un nuevo directorio
local llamado configs que usted crea.
Día 4 375
o simplemente:
Router# copy run tftp
o simplemente:
Router# copy tftp run
o simplemente:
Router# copy tftp nvram
Los comandos de copia mediante TFTP requieren más configuración (cubierta en la siguiente sección)
después de introducirlos para llevar a cabo la instrucción.
Flash
Router Servidor TFTP
172.16.1.100
c1900-universalk9-mz.SPA.152-4.M3.bin
376 31 días antes de su examen CCNA
!!!!!
R1#
Paso 2. Copie el archivo de imagen del sistema actual del router al servidor TFTP de la red
utilizando el comando copy flash: tftp: en modo EXEC privilegiado.
se le pedirá que introduzca la dirección IP del host remoto y el nombre de los
archivos de imagen del sistema de origen y destino:
R1# copy flash: tftp:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
<Salida omitida>
R1#
Durante el proceso de copia, los signos de exclamación (!) indican el progreso. Cada signo
de exclamación significa que se ha transferido con éxito un segmento del Protocolo de
Datagramas de Usuario (UDP).
R1# dir
Directorio de usbflash0:/
El ejemplo 4-13 muestra los comandos necesarios para copiar una imagen almacenada en el servidor TFTP a Flash.
El comando pide la dirección IP del servidor TFTP y, a continuación, el nombre del archivo de imagen
del Cisco IOS almacenado en el servidor TFTP que se desea copiar. Cuando se le pide el nombre del
archivo de destino, puede cambiarlo, pero no se recomienda hacerlo.
Recuperación de contraseñas
Los procedimientos de recuperación de contraseñas para cualquier router o switch de Cisco están
fácilmente disponibles en Internet. Por ejemplo, busque "1941 password recovery" y encontrará
rápidamente los procedimientos que debe seguir para restablecer la contraseña. Por ello, la seguridad
física es imprescindible para todos los dispositivos de red. Los routers y switches deben estar
detrás de puertas cerradas.
378 31 días antes de su examen CCNA
Los siguientes pasos son comunes a la mayoría de los routers Cisco. Los switches tienen un proceso similar.
Paso 1. Utilice el interruptor de encendido para apagar el router y luego vuelva a encenderlo.
Paso 6. Introduzca enable en el prompt Router> para entrar en modo EXEC privilegiado,
donde debería ver el prompt Router#.
Paso 7. Introduzca copy startup-config running-config para copiar el archivo de
configuración de la NVRAM de respaldo en la memoria.
Paso 8. Entrar en el terminal de configuración.
Paso 9. Introduzca el comando enable secret password para cambiar la contraseña secreta de enable.
Paso 10. Emita el comando no shutdown en cada interfaz que desee activar.
Paso 11. Desde el modo de configuración global, introduzca config-register 0x2102 para restaurar la
configuración original del registro.
Paso 12. Pulse Ctrl+Z o introduzca fin para salir del modo de configuración.
Paso 13. Introduzca copy running-config startup-config para confirmar los cambios.
puede emitir el comando show ip interface brief para confirmar que la configuración
de la interfaz es correcta. Todas las interfaces que desee utilizar deben mostrar up y
up.
Ahora ha completado la recuperación de la contraseña.Puede introducir el comando show version
para confirmar que el router utilizará la configuración del registro configurado en el próximo
reinicio.
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para
estudiar más.
Recursos Módulo o capítulo
Redes empresariales, seguridad y automatización 10
Guía oficial del CCNA 200-301, volumen 2 9
12
Guía del mando portátil 19
Nube, virtualización y SDN
Temas clave
La computación en nube y la virtualización son servicios cada vez más importantes que las redes
ofrecen a los usuarios finales. Las redes empresariales pueden utilizar diferentes ofertas de nube para
mejorar la productividad y reducir los costes.
La programabilidad de la red a través de las redes definidas por software (SDN) se está
convirtiendo en una parte integral de las redes empresariales, ya que los administradores de red
pueden gestionar rápida y eficazmente miles de dispositivos de red.
Hoy repasamos las tecnologías que hay detrás de la computación en nube, la virtualización y la SDN.
Computación en la nube
La computación en nube implica un gran número de ordenadores conectados a través de una red
que puede estar ubicada físicamente en cualquier lugar. La computación en nube ofrece las
siguientes ventajas:
■
Permite el acceso a los datos de la organización en cualquier momento y lugar
■
Agiliza las operaciones informáticas al permitir suscribir sólo los servicios necesarios
■
Elimina o reduce la necesidad de equipos informáticos, mantenimiento y gestión in situ
■
Reduce los costes de equipamiento, energía, requisitos de la planta física y necesidades de formación del
personal
■
Permite responder rápidamente a las crecientes necesidades de volumen de datos
Los proveedores de servicios en la nube se basan en gran medida en la virtualización para hacer posible las
soluciones que ofrecen a los clientes.
Virtualización de servidores
Históricamente, las organizaciones compraban varios servidores de hardware y el administrador del
servidor instalaba una o más aplicaciones de red en el servidor, como un servidor de correo
electrónico o un servidor de archivos (véase la Figura 3-1).
380 31 días antes de su examen CCNA
Cada uno de estos servidores tenía su propia CPU, memoria, NIC y espacio en disco. Sin embargo,
este modelo se enfrenta a varios retos:
■
Si un componente falla, el servicio no está disponible hasta que el componente sea reparado o sustituido.
■
Los servidores a veces permanecen inactivos durante largos periodos de tiempo, a la espera de que los clientes
los utilicen.
■
Los servidores ocupan espacio y gastan energía.
OS OS OS OS
Hardware
vNIC vNIC vNIC vNIC del
servidor
(Host)
Interruptor virtual
Troncos
Interruptor físico
SW1
En un centro de datos, se colocan varios servidores en un rack. Las dos NIC físicas de la Figura 3-3 están
conectadas a dos conmutadores redundantes de la parte superior del rack (ToR). Los bastidores están
alineados en filas y gestionados por dos conmutadores redundantes de final de fila (EoR). La Figura 3-
4 muestra esta disposición física de un centro de datos tradicional.
Aunque este proceso funciona, no tiene las características de un servicio de computación en la nube
según la definición del Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos:
■
Autoservicio a la carta: El usuario puede pedir, modificar y finalizar el servicio sin
interacción humana.
■
Amplio acceso a la red: Se puede acceder al servicio desde diversos dispositivos a través de
cualquier red.
■
Agrupación de recursos: El proveedor dispone de un pool de recursos que puede ser asignado
dinámicamente a los usuarios. El usuario no suele conocer la ubicación física de los recursos.
■
Rápida elasticidad: Para el usuario, la reserva de recursos parece ser ilimitada; puede expandirse
y contraerse según las necesidades.
■
Servicio medido: El proveedor puede medir el uso y luego informar de ese uso al consumidor,
tanto para la transparencia como para la facturación.
Los proveedores de servicios en la nube pueden ofrecer una variedad de servicios para satisfacer las necesidades de
los clientes, incluyendo estos:
■
Software como servicio (SaaS): El proveedor de la nube se encarga del acceso a los servicios que se
prestan a través de Internet, como el correo electrónico, la comunicación y Office 365. Los
usuarios solo tienen que proporcionar sus datos.
■
Plataforma como servicio (PaaS): El proveedor de la nube se encarga de acceder a las
herramientas y servicios de desarrollo utilizados para ofrecer las aplicaciones. Los clientes
pueden personalizar el hardware virtualizado.
■
Infraestructura como servicio (IaaS): El proveedor de la nube es responsable del acceso al
equipo de red, los servicios de red virtualizados y el soporte de la infraestructura de red.
Existen cuatro modelos principales de nube:
■
Nubes públicas: Las aplicaciones y servicios basados en la nube que se ofrecen en una
nube pública se ponen a disposición de la población en general. La nube pública utiliza
Internet para proporcionar servicios.
■
Nubes privadas: Las aplicaciones y servicios basados en la nube que se ofrecen en una nube
privada están destinados a una organización o entidad específica, como el gobierno. Una nube
privada utiliza la red privada de la organización.
■
Nubes híbridas: Una nube híbrida se compone de dos o más nubes (por ejemplo, parte privada
y parte pública). Cada parte sigue siendo un objeto distinto, pero las dos partes están conectadas
mediante una única arquitectura.
■
Nubes comunitarias: Una nube comunitaria se crea para uso exclusivo de una comunidad
específica. Las diferencias entre las nubes públicas y las comunitarias son las necesidades
funcionales que se han personalizado para la comunidad.
Un proveedor de nube podría ofrecer a un cliente (inquilino) una solución IaaS que incluya un SLB
virtual. El cliente podría entonces instalar VNFs, como una versión virtual del Cisco Adaptive Security
Appliance (ASAv) y el Cisco Cloud Services Router (CSR), para gestionar el tráfico de red.
El plano de control realiza todos los cálculos para rellenar las tablas utilizadas por el plano de datos
y gestiona los mensajes de control entre otros dispositivos de red. La Figura 3-6 muestra un ejemplo de
OSPF operando en el plano de control mientras que el plano de datos es responsable de reenviar los
paquetes usando la mejor ruta.
384 31 días antes de su examen CCNA
paquete
Plano de datos paquete
Plano de datos paquete
Plano de datos paquete
El plano de gestión es responsable de todas las funciones que no están directamente relacionadas
con el control del plano de datos. Los protocolos de gestión, como los de la Figura 3-7, son ejemplos
de funciones del plano de gestión.
Controladores
Tradicionalmente, el plano de control ha formado parte del sistema operativo del dispositivo y se ha
distribuido por todos los dispositivos. Esto significa que cada dispositivo debe gastar algunos recursos
para calcular y mantener las estructuras de datos de Capa 2 y Capa 3 (tablas ARP, tablas de
enrutamiento, etc.). Cuando se ve como un todo, el plano de control de la red se distribuye a través de
todos los dispositivos de red.
En la SDN, las funciones del plano de control pueden eliminarse por completo de los dispositivos
físicos de red y colocarse en una aplicación centralizada llamada controlador. Esto libera a los
dispositivos para que se centren en las tareas del plano de datos.
El controlador se sitúa en la parte superior de un diagrama de topología de red, y las
conexiones a los dispositivos de red se denominan interfaz sur (SBI) (véase la Figura 3-
8).
Día 3 385
Controlador
Interfaz en dirección sur (SBI)
paquete
paquete Plano de datos paquete Plano de datos paquete Plano de datos
También existe una interfaz northbound (NBI) entre el controlador SDN y las aplicaciones que se
instalan en el controlador. Estas aplicaciones son las que permiten la programabilidad de la red.
NB
I
Núcl
eo
del
OS
Su aplicación
Controlador
API REST
OpenFlow,
Además de OpenFlow, el controlador tiene SBIs para otras actividades, como la configuración de
dispositivos de red (NetConf), la gestión del enrutamiento (BGP-LS y PCEP) y la conmutación de
tráfico entre máquinas virtuales (OVSDB).
Las NBI suelen incluir APIs de Java para aplicaciones y la API RESTful. REST (Representational
State Transfer) utiliza mensajes HTTP para transferir datos a otras aplicaciones que no se ejecutan en
el controlador.
La definición y el funcionamiento de estos protocolos SBI y NBI están fuera del alcance del
examen. Sólo hay que saber que la ONF está investigando continuamente mejores protocolos
para implementarlos en el proyecto OpenDaylight.
La versión comercial de Cisco del controlador OpenDaylight es el Cisco Open SDN Controller
(OSC). OSC está disponible en un número limitado de routers y switches de Cisco.
Virtualización
Software
ACI DC con switches Nexus 9000
Nube
Software APIC
Controlador
Automatización
Software OpFlex
GUI o
Guiones Algunos planos de control en los conmutadores
OpFlex es la solución de Cisco para la comunicación de SDN con los dispositivos de red. Mientras que
OpenFlow centraliza el control de la red enviando los comandos directamente desde el controlador
SDN, OpFlex utiliza políticas para enviar la implementación de los comandos a una red distribuida
de controladores.
Día 3 387
Su aplicación
Controlado
NB r Aplicaciones de Cisco
I API REST Visualizaci Traza Plug n iWAN
ón de la do de Play
topología la ruta
Núcl Características
principales
OS
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Recursos Módulo o capítulo
Academia de Redes Cisco: CCNA 3 13
Guía oficial del CCNA 200-301, volumen 2 15
16
17
SDA y Cisco DNA Center
Temas clave
Hoy revisamos el papel que desempeña Cisco DNA Center en el mundo del acceso definido por
software. Para ello, es necesario repasar también el acceso definido por software (SDA) de Cisco, que
proporciona una nueva forma de construir redes de campus en comparación con el diseño y la
implementación de redes tradicionales.
Arquitectura SDA
SDA utiliza un controlador e interfaces de programación de aplicaciones (API) para comunicarse a
través de interfaces de dirección sur (SBI) con la infraestructura de red, como se muestra en la Figura
2-1. Cisco DNA Center es un ejemplo de controlador. Las SBIs incluyen Telnet/SSH, SNMP,
NETCONF y RESTCONF.
API REST
Aplicación de Cisco o del proveedor
Centro de ADN
API REST API REST
Telnet/SSHNETCONF SNMPRESTCONF
Fab ric
390 31 días antes de su examen CCNA
Tejido
La infraestructura de red, denominada tejido, se divide en dos partes:
■
Subyacente: Se trata de la parte más asociada a la red física. La capa inferior revela los dispositivos
adicionales y especifica cómo se conectan estos dispositivos. Los puntos finales acceden a la red a
través de los dispositivos de capa 2. El plano de control de la capa inferior es responsable de las
tareas de reenvío simples.
■
Superposición: Aquí es donde se implementan los protocolos de túnel como la LAN Extensible
Virtual (VXLAN) para transportar los protocolos de capa 3 como la Seguridad IP (IPsec) y el
Control y Aprovisionamiento de Puntos de Acceso Inalámbricos (CAPWAP). La superposición
es donde se especifican las políticas. La superposición no se ocupa de cómo están conectados
física o lógicamente los dispositivos. Su trabajo consiste en abstraer estas complejidades y
limitaciones inherentes.
Por ejemplo, en la Figura 2-2 los dos conmutadores, SW1 y SW2, crean dinámicamente un túnel
VXLAN entre los puntos finales de la superposición. La ruta exacta que siguen los datos entre los dos
conmutadores está determinada por el proceso de capa 2 y capa 3 de la capa inferior.
VXLAN
SW1SW2
Subyacente
Subyacente
El subyacente incluye los conmutadores, routers, cables y enlaces inalámbricos utilizados para crear la
red física. También incluye la configuración y el funcionamiento de la red subyacente para apoyar el
trabajo de la red superpuesta.
Día 2 391
La configuración de la capa base SDA incluye diferentes roles SDA que son ocupados por cada
dispositivo. Estos roles incluyen
■
Nodo de borde de tejido: Un conmutador que se conecta a los dispositivos de punto final
■
Nodo de frontera de la tela: Un conmutador que se conecta a dispositivos fuera del control
de SDA, como los conmutadores que se conectan a los routers WAN
■
Nodo de control del tejido: Un conmutador que realiza funciones especiales del plano de
control para el underlay, que requiere más CPU y memoria
Superposición
Cisco eligió el protocolo VXLAN para crear los túneles utilizados por SDA. Cuando un punto final
SDA (por ejemplo, un ordenador de usuario final) envía una trama de enlace de datos a un nodo de
borde SDA, el nodo de borde de entrada encapsula la trama y la envía a través de un túnel VXLAN al
nodo de borde de salida, como se muestra en la Figura 2-3.
Marco
Paso 4. Los demás nodos del underlay reenvían la trama basándose en los detalles del túnel VXLAN.
Cisco DNA Center admite varias APIs de dirección sur para que el controlador pueda comunicarse
con los dispositivos que gestiona:
■
Telnet, SSH y SNMP para soportar los dispositivos de red tradicionales
■
NETCONF y RESTCONF para admitir nuevos dispositivos
ACE 1
ACE 2 1
ACE 3
ACE 4
6
ACE 5
3
5 ACE 6
ACE 7
ACE 8 4
ACE 9
ACE 10
ACE 11 2
ACE 12
(Permiso
)
Determinar dónde colocar las nuevas entradas de control de acceso (ACEs) dentro de la ACL
existente puede ser un proceso complejo y arriesgado. Además, a menos que una ACL esté
completamente documentada, nunca se sabe con certeza qué efectos tendrá una nueva política sobre
las políticas existentes, o incluso si la política existente sigue siendo válida.
Sin embargo, con los grupos de seguridad SDA, puede aplicar una política sin ni siquiera pensar en
rangos de direcciones IP y ACLs. En lugar de escribir nuevas ACEs cada vez que es necesario
implementar una política, la política se define en el Centro DNA. A continuación, según sea necesario,
el Centro DNA configura los dispositivos en el tejido para aplicar la seguridad, como se muestra en la
Figura 2-5.
Día 2 393
ADN-C
Tejido SDA
Para aplicar las políticas en SDA, se vinculan a los grupos de seguridad. Un grupo de seguridad se
identifica con una etiqueta (SGT). Si el Centro DNA ve una acción de permiso entre el par de SGT
de origen/destino, el Centro DNA dirige los nodos de borde para crear el túnel VXLAN. Los SGT de
origen y destino se añaden a la cabecera VXLAN, junto con los ID VXLAN (VNID), como se muestra
en la Figura 2-6.
SW1 SW2
10.1.1.1
10.1.2.2
VXLAN
394 31 días antes de su examen CCNA
Cinco menús en la parte superior de la pantalla permiten acceder a las cinco áreas principales del Centro de
ADN:
■
Diseño: Modele toda su red, desde los sitios y edificios hasta los dispositivos y enlaces,
tanto físicos como virtuales, en el campus, la sucursal, la WAN y la nube.
■
Políticas: Utilice las políticas para automatizar y simplificar la gestión de la red, reduciendo
los costes y los riesgos y acelerando el despliegue de servicios nuevos y mejorados.
■
Provisión: Proporcione nuevos servicios a los usuarios con facilidad, rapidez y seguridad en toda
la red de la empresa, independientemente del tamaño y la complejidad de la red.
Día 2 395
■
Garantía: Utilice la supervisión proactiva y los conocimientos de la red, los dispositivos y las
aplicaciones para predecir los problemas con mayor rapidez y garantizar que los cambios en
las políticas y la configuración logren la intención empresarial y la experiencia del usuario
que desea.
■
Plataforma: Utilice las API para integrarse con sus sistemas informáticos preferidos
para crear soluciones integrales y añadir compatibilidad con dispositivos de varios
proveedores.
Las características del Cisco DNA Center se centran en simplificar el trabajo de las empresas, con el
objetivo de reducir los costes y el tiempo de despliegue. Algunas de las características exclusivas de
Cisco DNA Center son las siguientes:
■
EasyQoS: Permite el despliegue de la calidad de servicio (QoS) con unas pocas y sencillas
opciones desde Cisco DNA Center.
■
Análisis de tráfico cifrado: Utiliza algoritmos para reconocer las amenazas a la seguridad
incluso en el tráfico cifrado.
■
Dispositivo 360 y Cliente 360: Ofrecen vistas completas (de 360 grados) del estado del
dispositivo.
■
Viaje en el tiempo de la red: Muestra el rendimiento pasado del cliente en una línea de
tiempo para compararlo con el comportamiento actual.
■
Trazado de la ruta: Descubre la ruta real que tomarían los paquetes desde el origen hasta
el destino, basándose en las tablas de reenvío actuales.
Asegúrese de buscar en Internet demos o tutoriales de Cisco DNA Center para revisar esta
herramienta antes de realizar el examen de certificación.
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Módulo de recursos o capítulo
Redes empresariales, seguridad y automatización14
CCNA 200-301 Official Cert Guide,Volumen 217
Esta página se ha dejado intencionadamente en blanco
Automatización de la red
Temas clave
Hoy revisamos cómo la automatización de la red afecta a la gestión de la misma. En concreto,
revisaremos las herramientas de gestión de la configuración Puppet, Chef y Ansible. Estas herramientas,
así como otras herramientas de gestión de redes, hacen uso de las interfaces de programación de
aplicaciones de Transferencia de Estado Representativa (REST API) y de los datos de Notación de
Objetos de JavaScript (JSON).
Formatos de datos
Los formatos de datos proporcionan una forma de almacenar e intercambiar datos en un formato
estructurado. Estos son algunos de los formatos de datos más comunes utilizados en la
automatización y programación de redes:
■
Notación de objetos de JavaScript (JSON)
■
Lenguaje de marcado extensible (XML)
■
YAML no es un lenguaje de marcado (YAML)
En la tabla 1-1 se comparan las principales finalidades y usos habituales de estos formatos de datos.
El ejemplo 1-2 muestra cómo se puede representar esta información en formato JSON.
{
"ietf-interfaces:interfaz": {"name":
"GigabitEthernet0/0/0",
"descripción": "Red de área amplia",
"enabled": true,
"ietf-ip:ipv4":
{"dirección":
[
{
"ip": "172.16.0.2",
"máscara de red": "255.255.255.0"
}
]
}
}
}
Día 1 399
{
"direcciones": [
{
"ip": "172.16.0.2",
"máscara de red": "255.255.255.0"
},
{
"ip": "172.16.0.3",
"máscara de red": "255.255.255.0"
},
{
"ip": "172.16.0.4",
"máscara de red": "255.255.255.0"
}
]
}
400 31 días antes de su examen CCNA
APIs RESTful
Las APIs existen para permitir que dos programas intercambien datos. Algunas API son para las
comunicaciones entre programas dentro de un único sistema operativo (SO). Otras APIs están
disponibles para programas que se ejecutan en otros ordenadores. Estas APIs deben definir el protocolo
de red. Muchas se basan en REST.
REST es un estilo arquitectónico para diseñar aplicaciones de servicios web. Una API REST es una
API que funciona sobre el protocolo HTTP. Define un conjunto de funciones que los
desarrolladores pueden utilizar para realizar peticiones y recibir respuestas a través de HTTP, como
GET y POST. Una API puede considerarse RESTful si tiene las siguientes características:
■
Cliente/servidor: El cliente se encarga del front-end y el servidor del back-end. Cualquiera de
los dos puede ser sustituido independientemente del otro.
■
Sin estado: No se almacenan datos del cliente en el servidor entre peticiones. El estado de la sesión se
almacena en el cliente.
■
Con caché: Los clientes pueden almacenar en caché las respuestas para mejorar el rendimiento.
Implementación RESTful
Un servicio web RESTful es una colección de recursos con cuatro aspectos definidos:
■
El formato de datos soportado por el servicio web, que suele ser JSON, XML o YAML
■
El conjunto de operaciones soportadas por el servicio web mediante métodos HTTP
■
La API, que debe ser de hipertexto
■
El identificador uniforme de recursos (URI) base para el servicio web, como los recursos de
http://example.com/
Las APIs RESTful utilizan métodos HTTP comunes, como POST, GET, PUT, PATCH y
DELETE. Como se muestra en la Tabla 1-2, estos métodos se corresponden con las operaciones
RESTful: crear, leer, actualizar y eliminar (o CRUD).
■
Localizador uniforme de recursos (URL): Define la ubicación de un recurso específico en
la red.
https://www.example.com/author/book.html#page155
URI
Estas son las partes de un URI, como se muestra en la Figura 1-1:
■
Protocolo/esquema: HTTPS u otro protocolo, como FTP, SFTP, mailto o NNTP
■
Nombre de host: En este caso, www.example.com
■
Ruta y nombre del archivo: En este caso, /autor/libro.html
■
Fragmento: En este caso, #página155
Una solicitud de API RESTful obtiene una respuesta del servidor de la API. Por ejemplo, el URI de la
Figura 1-2 es una solicitud GET correctamente formada al servidor de la API de MapQuest para
obtener direcciones de San José a Monterey en formato JSON.
http://www.mapquestapi.com/directions/v2/route? outFormat=json&key=KEY&from=San+Jose,Ca&to=Monterey,Ca
El comienzo de la carga útil JSON entregada por la solicitud de la Figura 1-2 tendría el aspecto que
se muestra en el Ejemplo 1-4.
402 31 días antes de su examen CCNA
{
"route":
{"hasTollRoad":
false, "hasBridge":
true, "boundingBox":
{
"lr": {
"lng": -121.667061,
"lat": 36.596809
},
"ul": {
"lng": -121.897125,
"lat": 37.335358
}
},
"distance": 71,712,
"hasTimedRestriction": false,
"hasTunnel": false,
"hasHighway": true,
"computedWaypoints": [],
"routeError": {
"errorCode": -400,
"message": ""
},
(salida omitida)
Ansible
Ansible utiliza una arquitectura sin agentes para gestionar los dispositivos de red. Agentless significa que
el dispositivo de red no necesita código. Ansible utiliza SSH o NETCONF para realizar cambios y
extraer información. Ansible utiliza un modelo push, como se muestra en la Figura 1-3.
Subconjunto
Inventario
Libro de jugadas
3
SSH Configuración de empuje 2 Correr
Libro de jugadas
R1 Plantillas
Variables
En la Figura 1-3, el ingeniero crea todos los archivos necesarios (1). A continuación, el ingeniero indica
al servidor de control de Ansible que ejecute un libro de jugadas (2), que luego se envía al
dispositivo (3) o a los dispositivos.
Marioneta
Puppet suele utilizar una arquitectura basada en agentes para el soporte de dispositivos de red. Algunos
dispositivos de red permiten el soporte de Puppet a través de un agente en el dispositivo. Sin
embargo, no todos los sistemas operativos de Cisco soportan los agentes de Puppet, y Puppet
resuelve ese problema utilizando un agente proxy que se ejecuta en algún host externo (lo que se
denomina operación sin agente). El agente externo utiliza entonces SSH para comunicarse con el
dispositivo de red, como se muestra en la Figura 1-4.
404 31 días antes de su examen CCNA
Manifiesto
API
R1
SSH
API
R2
Agente externo
Titiritero
Puppet utiliza un modelo pull para conseguir que una configuración aparezca en el dispositivo, como se muestra en
la Figura 1-5.
2 Manifiesto
Agent
e de 3 Detalles del tirón
R1 Plantillas
inicio 4 Pull Config
Variables
Titiritero
Puppet utiliza varios archivos de texto importantes con diferentes componentes (consulte la Figura 1-5):
■
Manifiesto: Un archivo de texto legible por humanos que define el estado de configuración deseado de un
dispositivo
■
Recurso, clase y módulo: Componentes del manifiesto, siendo el componente más grande
(módulo) el que se compone de clases más pequeñas, que a su vez se componen de recursos
■
Plantilla: Un archivo utilizado para crear un manifiesto, con nombres de variables que serán sustituidos
En la Figura 1-5, el ingeniero crea todos los archivos necesarios (1) y configura el agente del
dispositivo o el agente externo (2). A continuación, el agente o su proxy extrae los detalles de
configuración (3) y actualiza la configuración (4), cuando es necesario.
Día 1 405
Chef
Chef, al igual que Puppet, utiliza una arquitectura basada en agentes. Chef utiliza varios archivos de texto
importantes:
■
Recurso: Un objeto de configuración cuyo estado es gestionado por Chef (por ejemplo, un
conjunto de comandos de configuración para un dispositivo de red)
■
Receta: La lógica de Chef aplicada a los recursos para determinar cuándo, cómo y si se
debe actuar contra los recursos
■
Libro de cocina: Un conjunto de recetas sobre los mismos tipos de trabajo, agrupadas para
facilitar la gestión y el intercambio
■
Lista de ejecución: Una lista ordenada de recetas que deben ser ejecutadas contra un determinado
dispositivo
Recursos de estudio
Para los temas del examen de hoy, consulte los siguientes recursos para estudiar más.
Recursos Módulo o capítulo
Redes empresariales, seguridad y automatización 14
Guía oficial del CCNA 200-301, volumen 2 16
17
18
19
Esta página se ha dejado intencionadamente en blanco
Hoy es su oportunidad de demostrar que tiene lo que se necesita para gestionar una red de
sucursales de pequeñas empresas. Sólo 120 minutos se interponen entre usted y su certificación
CCNA. Utilice la siguiente información para centrarse en los detalles del proceso para el día de su
examen CCNA.
Resumen
Su estado de ánimo es un factor clave para su éxito en el examen CCNA. Si conoce los detalles de
los temas del examen y los detalles del proceso de examen, podrá comenzar el examen con confianza y
concentración. Llegue temprano al examen. Lleve tapones para los oídos por si un vecino de examen
tiene una tos fuerte o algún hábito nervioso ruidoso. No dejes que una pregunta extremadamente difícil o
específica te impida avanzar. No puedes volver a las preguntas del examen que ya has contestado, así
que responde a cada pregunta con confianza y sigue adelante.
Esta página se ha dejado intencionadamente en blanco
Informaciónposterior al
examen
Inscribirse y realizar el examen CCNA no es un logro menor. Muchos ingenieros de redes han
evitado los exámenes de certificación durante años. En las siguientes secciones se discuten sus
opciones después del día del examen.
Recibir el certificado
Si ha aprobado el examen, recibirá su certificado oficial CCNA en unas 6 semanas (8 semanas a nivel
internacional) después del día del examen. Su certificado se enviará por correo a la dirección que
proporcionó cuando se inscribió en el examen.
Necesita su informe de puntuación del examen para acceder al sistema de seguimiento de la
certificación y establecer un inicio de sesión para comprobar el estado de su certificación. Si no recibe
su certificado, puede abrir un caso en el soporte en línea del certificado ubicado en la siguiente
dirección web:
https://ciscocert.secure.force.com/english/MainPage
Cuando recibas tu certificado, tal vez quieras enmarcarlo y ponerlo en la pared. Un certificado en la
pared es mucho más difícil de perder que un certificado en un archivador o una carpeta al azar.
Su CCNA es válido durante 3 años. Para mantener la validez de su certificado, debe volver a
aprobar el examen CCNA o aprobar una certificación más avanzada antes de que finalice el
periodo de 3 años.
Si no ha aprobado el examen
Si no has superado tu primer intento del CCNA, debes esperar al menos 5 días naturales después del
día del examen para volver a examinarte. Manténgase motivado y regístrese para volver a hacer el
examen dentro de los 30 días siguientes a
su primer intento. El informe de resultados señala tus puntos débiles. Busca un grupo de estudio y utiliza
la comunidad online The Cisco Learning Network (http://learningnetwork.cisco.com) para que te
ayude con esos temas.
Si estás familiarizado con los conceptos generales, céntrate en hacer exámenes de práctica y memorizar
los pequeños detalles que hacen que el examen sea tan difícil. Si eres un ex alumno de Cisco
Networking Academy, tienes acceso al plan de estudios. Packet Tracer también proporciona un
excelente simulador de red. Considera tu primer intento como un examen de práctica formal y una
excelente preparación para aprobar el segundo intento.
Resumen
Tanto si exhibes tu certificado y actualizas tu currículum como si te preparas para conquistar el
examen en tu segundo intento, recuerda maravillarte con la innovación y la creatividad que hay
detrás de cada concepto que aprendes. La capacidad de nuestra sociedad para mejorar continuamente
la comunicación hará que sigas aprendiendo, descubriendo y empleándote durante toda la vida.
configuración, 303-305
SÍMBOLOS verificación, 307-308
3DES (Triple DES), 338 identificación, 298-299
10BASE-2, 33-35
10BASE-5, 33-35
10BASE-T, 35
pares de pines, 36
10GBASE-S, 35
10GBASE-T, 35
100BASE-TX, 35
pares de pines, 36
802.1X, 179–181
802.1X/EAP, 160
Normas 802.11, 151-152
802.3. Véase
Ethernet
1000BASE-LX, 35
1000BASE-T, 35
A
AAA (autenticación, autorización y
contabilidad), 178-179
ataques de acceso, 290
control de acceso, 175
802.1X, 179–181
AAA, 178-179
autenticación local, 175-176
Configuración de SSH, 176-
177 endurecimiento de
puertos de conmutación, 178
capa de acceso (diseño de campus
jerárquico), 25
conmutadores de capa de
acceso, 14 ACI (Application
Centric
Infraestructura), 386
ACLs (listas de control de acceso)
definir, 295
directrices de diseño, 299
ampliado denominado IPv4
añadir comentarios, 306
configuración, 306
verificación, 307-308
número extendido de IPv4
añadir comentarios, 306
entrada/salida, ataques de amplificación y reflexión,
295-296 ACLs 292
IPv6 Ansible, 403
configuración, 309-311 direcciones anycast, 75
ACLs de IPv4
Arquitecturas AP, 155-157
frente a, 308-
309 APIC (Application Policy Infrastructure
verificación, Controller), 386
311-313 APIC-EM (Módulo de Empresa APIC),
lógica de la lista, 296-297 387-388
resumen APIs, RESTful, 400-402
operativo, 295 Infraestructura centrada en las
estándar aplicaciones (ACI), 386
denominado
capa de aplicación (OSI), 2
IPv4
añadir comentarios, 306
configuración, 305-306
verificación, 307-308
estándar numerado
IPv4
añadir comentarios,
306
configuración, 301-303
verificación, 307-308
solución de problemas, 313-314
tipos de, 298
modo ad hoc,
154
direccionamient
o (Ethernet), 37-
38
direccionamiento (IPv4).
Véase direccionamiento
IPv4 direccionamiento
(IPv6). Véase
direccionamiento IPv6
distancia administrativa,
201-203
certificaciones avanzadas, 410
adware, 288
AES (Advanced Encryption
Standard), 161, 338
AF (Assured
Forwarding), 346-347
envejecimiento de la
seguridad portuaria,
183-184
AH (Authentication
Header), 340
permitir. Ver
permitir
AMP (Advanced Malware
Protection), 173
412 capa de aplicación (TCP/IP)
B
copia de seguridad de las
imágenes del IOS de Cisco, 376
cebado, 291
banda de frecuencias, 150-
151 ancho de banda, 343
comando de ancho de banda, 270
comando banner, 210
BDR (router designado de reserva),
agujero negro recibir, 409
VLAN, 84-85 certificaciones
botnet, 291 avanzado, 410
BPDU Guard, configurar, en el currículum vitae,
110-111 BRI (Basic Rate 409-410 informe de
Interface), 328 puentes, puntuación certificado,
29 407 canales, 150-151
direcciones de emisión, 38 Cocinero,
listado, 60-61 405
dominios de emisión, 31 elegir
BSA (área de medios de comunicación en red, 21
routers, 15
servicio básico),
interruptores, 14
153 BSS (conjunto Conexiones WAN, 332
de servicios
básicos), 153
BSSID (identificador de
conjunto de servicios básicos),
153 ataques de desbordamiento
del búfer, 290
C
módems
de cable,
331
cableado
directrices de conexión, 22
cobre, 21
de fibra óptica, 21
normas, 22
UTP, 36-37
inalámbrico, 21
CAPWAP (Control y
Aprovisionamiento de
Puntos de Acceso
Inalámbricos), 157-158
opciones profesionales, 409-410
CBWFQ (Cola de espera
ponderada basada en la
clase), 347
CDP (Cisco Discovery Protocol)
configuración, 352-354
resumen operativo, 351-352
verificación, 354-356
comando cdp
holdtime, 354
comando cdp time,
354 servicio celular,
332
certificado,
configuración del 413
E
ataques de escucha, 287
puertos de borde, RSTP,
107
edición de comandos Cisco IOS, 43-44
EF (Expedited Forwarding), 346-347
EGP (exterior gateway protocols), 198
EIGRP (Enhanced Interior Gateway
Protocolo de enrutamiento), 203
comando enable secret, 210
encapsulación, 4-5, 12
encriptación
herramientas, 287
VPNs, 338
WLAN, 161-162
seguridad de los
puntos finales, 173
Cisco ESA, 173-174
Cisco WSA, 174-175
recuperación de errores, 7-8
ESP (Encapsulating Security Payload),
341
ESS (conjunto de servicios ampliados),
154 EtherChannel
beneficios de, 114
configuración, 116-117
resumen operativo, 113-114
protocolos, 115-116
restricciones, 114
solución de problemas, 119
verificación, 117-119
Ethernet, 4
dirigiendo, 37-38
tecnologías heredadas, 33-35 herramientas forenses, 287
resumen operativo, modo sin fragmentos, 32
32-33 reenvío de tramas, 31-32
interruptores. Ver
encuadre (Ethernet), 38-39
interruptores
Cableado UTP, 36-37
Configuración EUI-64,
78-79, 218 examen
tras la finalización, 407
informe de
puntuación
certificado, 407
fallido, 410
recibir el
certificado,
409 qué
llevar, 407
Sesiones EXEC, 42
parámetro exit-interface,
enrutamiento estático IPv4,
244-245
Expedited Forwarding
(EF), 346-347 exploits, 285
ACLs IPv6 extendidas,
configurar, 310-311
ACLs IPv4 con nombre extendido
añadir comentarios, 306
configuración, 306
verificación, 307-308
ACLs IPv4 numeradas extendidas
añadir comentarios, 306
configuración, 303-305
verificación, 307-308
conjunto de servicios
extendido (ESS), 154 ID de
sistema extendido, PVST+,
104-105 protocolos de
pasarela exterior
(EGP), 198
F
tela, 390
examen fallido, 410
Fast Ethernet, 35
FHRP (protocolos
de redundancia de
primer salto), 119-
120
cable de fibra óptica, 20, 21
cortafuegos, 16
próxima generación, 17-18
control de flujo, 8
sistemas de detección de intrusos (IDS) 417
G
GCMP (Protocolo de Modo
Galois/Contador), 161
Gigabit Ethernet, 35
GLBP (Protocolo de Equilibrio de
Carga de Pasarela), 120
direcciones globales de unicast, 68-70
GRE (Generic Routing Encapsulation),
334
H
piratería de sistemas operativos,
287 medio dúplex, 47
hashes, 338-340
cabecera (TCP), 6
formato de cabecera (IPv4),
55 intervalos de hola,
modificar, 278
facilidades de ayuda en Cisco IOS,
42-43 diseños de campus jerárquicos,
25-27 ID de host (IPv4), 55
configuración de la IP del host, 143
en Linux, 146-148
en macOS, 145-146
en Windows, 143-145
rangos de hosts, listado,
60-61 comando
hostname, 210
anfitriones, negando, 302, 305-306
teclas de acceso rápido a los
comandos de Cisco IOS, 43-44
HSRP (Hot Standby Router Protocol),
120
configuración y verificación, 122-123
equilibrio de carga, 123-125
visión general del
funcionamiento, 121
prioridad y preferencia, 122
solución de problemas, 126
versiones, 121
WANs hub-and- enrutamiento inter-VLAN
spoke, 325 hubs Configuración de puertos enrutados de
limitaciones, 29 capa 3, 240 enrutamiento inter-VLAN
interruptores frente heredado, 233-234 conmutación
a, 13 multicapa, 235
nubes híbridas, configuración y verificación, 238
382 router en un palo, 234
configuración y verificación, 235-238
IVS, creación, 238-240
I tipos de, 233
IaaS (infraestructura como intranets, 23
servicio), 382 IBSS (conjunto de sistemas de detección de intrusos (IDS), 17
servicios básicos independientes),
154
ICMP (Protocolo de
mensajes de control
de Internet), 4
Ataques ICMP, 292
iconos para diagramas de
red, 13 IDS (sistemas de
detección de intrusos), 17
IFS (sistema de archivos
integrado), 371
mandos, 371-373
gestión de archivos de
configuración, 374-375
prefijos de URL, 373-374
IGP (protocolos de
pasarela interior),
198, 203
IMAP (Protocolo de
Acceso a Mensajes
de Internet), 3
suplantación, 291
ACLs de entrada, 295-296
modo de infraestructura, 152-154
ACLs de interfaz, 295-296
comando de
interfaz, 210 IDs de
interfaz, subred, 78
comando de rango
de interfaz, 47
códigos de estado de la interfaz, 52,
213-214
capa de Internet
(TCP/IP), 3, 10
Protocolo de
Internet (IP), 4
conexiones WAN de
Internet, 330-332 redes
internas, 23
418 sistemas de prevención de intrusiones (IPS)
M
Subcapa MAC (Media
Access Control), 32, 33
macOS, verificación de
la configuración de la
IP del host, 145-146
malware, 288-289
420 Metro Ethernet
N
ACLs IPv4 con nombre
añadir comentarios, 306
configuración ampliada, 306
configuración estándar, 305-306
verificación, 307-308
NAT (traducción de direcciones de red)
beneficios de,
319 dinámica,
318
configuración, 320-321
limitaciones, 319
sobrecarga, 318-319
configuración, 321-322
resumen del proceso, 317
estático, 318
configuración, 319-320
terminología, 315-317
solución de problemas, 323-324
verificación, 322-323
VLAN nativas, 85, 185-186
navegación de los comandos de Cisco
IOS, 43-44 mensajes de Neighbor
Solicitation (NS),
capa de acceso a la red command, 130 no shutdown
(TCP/IP), 3, 10-12 Traducción command, 210
de direcciones de red. Ver NAT Mensajes NS (Neighbor Solicitation),
(Traducción de direcciones de red) 134
ataques a la NTP (Network Time Protocol),
red, 289 370-371
ataques de comando del servidor ntp, 370
acceso, 290
Ataques DoS y
DDoS, 291
Ataques IP, 291-
292
ataques de reconocimiento, 289
ataques de ingeniería social, 290-
291 ataques a la capa de
transporte, 292
automatización de la red
herramientas de gestión de la
configuración, 402
Ansible, 403
Chef, 405
comparación de, 405
Marioneta, 403-404
formatos de datos
comparación de, 397-398
JSON, 398-399
APIs RESTful, 400-402
comando de red,
267-268 ID de red
(IPv4), 55 capa de
red (OSI), 2 medios
de red, 20-22
elegir, 21
cobre, 21
de fibra óptica, 21
normas, 22
inalámbrico, 21
herramientas de
escaneo/hackeo de redes,
286 iconos de redes, 13
redes, autorización, 302
parámetro de siguiente
salto, enrutamiento
estático IPv4, 244
NGFWs (cortafuegos de
nueva generación), 17-18
comando no cdp enable,
353-354 comando no cdp
run, 353
no lldp receive
command, 357 no lldp
transmit command,
357 no service dhcp
endurecimiento del puerto 421
O
Open Shortest Path First. Ver OSPF
(Open Shortest Path First)
autenticación del sistema
abierto, 159 OpenDaylight, 385-
386
OpenFlow, 385-386
OpFlex, 386
Modelo OSI (Interconexión de
Sistemas Abiertos), 1-2
capas
lista de, 2-3
físico, 39-40
PDUs, 4-5
OSPF (Open Shortest Path First), 203
multiárea, 262
diseño, 262-264
rendimiento, 264
tipos de red, 278-279
OSPFv2, OSPFv3 frente a, 261-262
de una zona, 255
algoritmo, 259-260
configurar, 265-270 DR
y BDR, 259
anuncios de estado de enlace, 258-261
proceso de enrutamiento de estado de
enlace, 260-261
formato de los mensajes, 255-256
establecimiento de vecinos, 256-258
tipos de paquetes, 256
verificación, 270-274
solución de problemas, 281-283
OSPFv2
ejemplo de configuración, 275-277
modificar
redistribución de rutas por
defecto, 277 elección de
DR/BDR, 279-281 intervalos
hello y dead, 278
OSPFv3 frente a, 261-
262 de área única
configuración, 265-270
verificación, 270-274
OSPFv3, OSPFv2 frente a, 261-262
superposición, 390, 391 con éxito, 220-221
sobrecarga de NAT, 318-319, 321-322 sin éxito, 221
Plataforma como servicio (PaaS),
382 WAN punto a punto, 325
P vigilancia, 347-349
PaaS (Plataforma POP3 (Protocolo de oficina de correos), 3
como Servicio), 382 Protocolo de agregación de puertos
herramientas de (PAgP), 115 endurecimiento de
elaboración de puertos, 178
paquetes, 287
reenvío de paquetes, 195, 228
partido más largo, 227-228
funciones de
determinación y
conmutación de
trayectorias, 196-197
rastreadores de paquetes, 287
conexiones WAN con
conmutación de
paquetes, 329-330
PAgP (Port Aggregation
Protocol), 115 interfaces
pasivas, OSPF, 268
comando de interfaz pasiva, 268
comando de contraseña, 210
descifradores de contraseñas, 286
recuperación de contraseñas, 377-378
ataques basados en
contraseñas, 287, 290
determinación y
conmutación de rutas
funciones, 196-197
PDUs (unidades de
datos de protocolo), 4-
5 herramientas de
pruebas de
penetración, 286-287
permitiendo
redes, 302
SSH, 310
tráfico web, 310-311
Per-VLAN Spanning Tree
Plus. Ver PVST+ (Per-
VLAN Spanning Tree
Plus)
phishing, 290
conexiones físicas, 20
solución de problemas, 51-52
capa física (OSI), 2, 39-40
topologías físicas, 24-25
comando ping, 48, 49-50
Números de puerto 422
Q
QoS (calidad de servicio)
clasificación y marcado, 344-347
gestión de la congestión, 347
vigilancia y conformación, 347-349
Descartes TCP, 349
herramientas, 344
2), 203
R
riesgo, 285
Mensajes RA (Router Rivest, Shamir y Adleman (RSA),
Advertisement), 134 338
frecuencias de radio. detectores de rootkits, 287
Ver espectro de RF rootkits, 289
RADIUS Mensajes de anuncio de enrutamiento
(Autenticación remota (RA), 134
Servicio de acceso telefónico al ID del enrutador, 266-
usuario), 178-179
267 enrutador en un
servidor RADIUS,
palo, 234
configuración, 166
configuración y verificación, 235-238
ransomware, 288
comando router ospf, 266
PVST+ rápido, 102
Mensajes de solicitud de enrutamiento (RS), 134
configuración, 111
puertos de borde, 107
comportamiento de la interfaz, 105
resumen operativo, 105
funciones portuarias, 106-107
estados portuarios, 105-106
STP rápido. Véase
RSTP (Rapid STP)
recepción de
certificado, 409
ataques de reconocimiento, 289
redundancia, 99-100
ancho de banda de
referencia, 268-269
retransmisión de
solicitudes, DHCPv4,
132-133 fiabilidad, 7-8
acceso remoto con
SSH, 222-223 VPN
de acceso remoto,
334
APIs RESTful, 400-402
restaurar
Imágenes de
Cisco IOS,
376-377
puertos,
184-185
resumen,
certificaciones
sobre, 409-410
espectro de RF,
149-150
canales, 150-151
RIPv2 (Protocolo de
Información de
Enrutamiento versión
seguridad 423
S
SaaS (software como servicio),
382 Internet por satélite, 332
SDA (acceso definido por software)
arquitectura, 389
Cisco DNA Center y, 392-
393 tejido, 390
superposición, 391
subyacente, 390-391
SDN (redes definidas por
software), 383
ACI, 386
APIC-EM, 387-388
controladores, 384-385
datos, control, planos de
gestión, 383-384
OpenFlow, 385-
386 diseño de
columna y
hojas, 387
Secure Shell. Ver SSH (Secure Shell)
Secure Socket Layer
(SSL), IPSec frente a,
340
seguridad
control de acceso, 175
802.1X, 179–181
AAA, 178-179
autenticación local, 175-176
Configuración de
SSH, 176-177
endurecimiento de
puertos de
conmutación, 178
tipos de ataque, 287-288
vectores de
424 seguridad
T
TACACS+ (Terminal Access Controller
Access Control System Plus), 178-179
la cola, 291
TCP (Protocolo de Control
de Transmisión), 3
ataques, 292
establecimiento/terminación de la
conexión, 9
recuperación de errores, 7-8
control de flujo, 8
encabezado, 6
números de puerto, 7
Modelo TCP/IP (Protocolo de as
Control de ACLs, 313-314
Transmisión/Protocolo de DHCP, 140
Internet), 1-2 capas DNS, 142-143
aplicación, 5 EtherChannel, 119
resumen de encapsulación, 12 HSRP, 126
Internet, 10 Direccionamiento IP, 224-225
lista de, 3 NAT, 323-324
acceso a la red, 10-12 OSPF, 281-283
transporte, 5-10
protocolos, lista de, 3-4
Telnet, 3
negación, 303, 304-305
comando terminal history,
44 comando terminal history
size 50, 44 comando terminal
no history, 44 comando
terminal no history size, 44
mitigación de amenazas, 285
ARP, 190-193
DHCP, 188-190
VLANs, 185-187
amenazas, 285
TKIP (Protocolo de
integridad de clave
temporal), 161
topologías, 24-25
WANs, 325
comando traceroute
con éxito, 221
sin éxito, 222
comando tracert, 50-51
tipos de tráfico, 84
Protocolo de Control de Transmisión.
Véase
TCP (Protocolo de Control
de Transmisión) entrada de
transporte comando ssh, 210
ataques a la capa de
transporte, 292
capa de transporte (OSI), 2
capa de transporte
(TCP/IP), 3, 5-10 Triple
DES (3DES), 338
Caballos
de
Troya,
288
solución
de
problem
428 solución de problemas
U
UDP (Protocolo de Datagramas de
Usuario), 4
ataques, 292
como sin conexión, 9-10
números de puerto, 7
ULAs (direcciones locales únicas), 72
subyacente, 390-391
direcciones unicast, 68-73
global, 68-70
IPv4 integrado, 72-73
enlace-local, 71
bucle de retorno, 71
local único, 72
sin especificar, 71
direcciones unicast no especificadas,
71 URI (identificadores uniformes
de recursos),
400–401
Protocolo de Datagramas de
Usuario. Véase UDP (Protocolo
de Datagramas de Usuario)
comando de contraseña de nombre de
usuario, 210 comando de secreto de
nombre de usuario, 175-176 cableado
UTP (par trenzado no apantallado),
36–37
V
DHCP snooping, 189-190 troncales, 86-87
EtherChanne tipos de, 84-85
l, 117-119 verificación, 88-92
configuració VLSM (máscara de subred de
n de la IP del longitud variable), 62-64
host VMs (máquinas virtuales), 380-381
en Linux, 146-148
en macOS, 145-146
en Windows, 143-145
HSRP, 122-123
ACLs IPv4, 307-308
ACLs IPv6, 311-313
LLDP, 358-360
conmutación multicapa, 238
NAT, 322-323
conectividad de la red, 220-223
NTP, 370-371
configuración del enrutador
con IPv4, 212-217 enrutador
en un palo, 235-238
OSPF de área única, 270-274
SNMP, 364-365
STP, 111
conectividad de los
conmutadores, 48-
51 configuración de
los puertos de los
conmutadores, 140
syslog, 367-369
troncales, 92-94
VLANs, 88-92
redes virtuales de área local.
Véase VLAN (redes
virtuales de área local)
máquinas virtuales (VMs),
380-381 infraestructura de red
virtual, 382-383 redes
privadas virtuales. Ver VPNs
(redes privadas virtuales)
Protocolo de Redundancia
de Enrutadores Virtuales
(VRRP), 120
virtualización, 379-381
virus, 288
VLAN (redes virtuales de área local).
Véase también enrutamiento inter-
VLAN
ataques
mitigación, 187
tipos de, 186
beneficios de, 83-84
configuración, 88-92, 185-186
desactivación, 96
tipos de tráfico, 84
solución de problemas, 94-95
zombis 429
Describa los detalles del envío de un correo electrónico desde el origen hasta el destino. Utilice una
topología con varios routers y switches.
Diseñe un conjunto de requisitos para configurar una red conmutada básica, incluyendo SSH para el acceso
remoto. Implemente su diseño y verifique las configuraciones.
Describir la estructura y el funcionamiento de IPv4. Enumerar y describir los usos de los distintos tipos de
direcciones IPv4.
Desarrollar varios esquemas de direccionamiento VLSM con varios requisitos de host e implementarlos en
un laboratorio o simulador.
Describir la estructura y el funcionamiento de IPv6. Enumerar y describir los usos de los distintos tipos de
direcciones IPv6.
Diseñe un conjunto de requisitos para configurar una red de dos conmutadores con VLAN y trunking.
Diseñe un conjunto de requisitos para configurar una red de tres conmutadores con trunking y VLAN.
Implemente su diseño y verifique las configuraciones.
Diseñe un conjunto de requisitos para implementar una topología de dos conmutadores con EtherChannel.
Revise los problemas de implementación cambiando los parámetros de configuración.
Practicar la configuración de un router inalámbrico. Utilice un simulador como Packet Tracer para practicar la
configuración de un WLC.
Lee y repasa los días 31 a 21 de este libro.
Describir los distintos métodos que puede utilizar un router para conocer y compartir el conocimiento de las
redes remotas.
Diseñe un conjunto de requisitos para configurar una red de tres routers con direccionamiento IPv4 e IPv6,
utilizando sólo rutas estáticas y por defecto. Implemente su diseño y verifique las configuraciones.
Describe cómo un router utiliza la tabla de enrutamiento para determinar la mejor ruta hacia el destino.
Diseñe y configure una topología de un router y dos conmutadores para el enrutamiento inter-VLAN del router
en un palo.
Describir los tipos de paquetes OSPF y cómo se utilizan para alcanzar el estado completo de
convergencia OSPF.
Describir las formas de modificar OSPFv2, incluyendo la redistribución de una ruta por defecto, la
modificación de los temporizadores y el control de la elección DR/BDR.
Diseñe un conjunto de requisitos para configurar una red de tres routers con direccionamiento IPv4 y
OSPFv2. Implemente su diseño y verifique las configuraciones.
Diseñe un conjunto de requisitos para configurar una red de dos routers y dos switches con
direccionamiento IPv4 y enrutamiento entre VLAN. Incluya el enrutamiento por defecto y OSPFv2.
Implemente su diseño y verifique las configuraciones.
Describir las amenazas básicas a la seguridad y los métodos utilizados para mitigarlas.
Describa cómo funcionan las listas de control de acceso y los distintos tipos utilizados por el software
Cisco IOS.
Busca en Internet varios escenarios para practicar el diseño y la implementación de las ACL. La mayoría
de los recursos de estudio tienen excelentes ejemplos.
Diseñe un conjunto de requisitos para implementar una red enrutada que incluya la seguridad básica de los
dispositivos, el direccionamiento IPv4 e IPv6, las VLAN, el DHCP, el NAT, las ACL y el enrutamiento.
Implemente su diseño y verifique las configuraciones.
Diseñar un conjunto de requisitos para implementar el servicio DHCP en un router. Realice un diseño de doble
pila para incluir IPv4 e IPv6. Implementar su diseño y verificar las configuraciones.
Diseñar un conjunto de requisitos para implementar NAT en un router. Incluya consideraciones estáticas,
dinámicas y PAT. Implemente su diseño y verifique las configuraciones.
Diseñar un conjunto de requisitos para implementar SNMP, NTP y syslog en una topología de dos routers y
un servidor.
Describe a un amigo el concepto de computación en la nube. Incluya una discusión sobre la virtualización.
Describa cómo Cisco DNA Center ayuda a los administradores de red a automatizar las tareas de
configuración y supervisión de la red.
Describe a un amigo cómo se utilizan los formatos de datos para almacenar e intercambiar información
entre sistemas.
Describir el formato de datos JSON, incluyendo cómo se utilizan los corchetes, las llaves y las comas para
distinguir los pares clave/valor, las matrices y los objetos.
Visite el centro de pruebas y hable con el supervisor al menos 2 días antes del examen.
Coma una comida decente, vea una buena película y descanse bien antes del examen.
REGISTRO DE SU PRODUCTO en CiscoPress.com/register
Acceda a beneficios adicionales y AHORRE un 35% en su
próxima compra
• Descargue las actualizaciones disponibles del producto.
• Acceda al material extra cuando sea aplicable.
• Reciba ofertas exclusivas sobre nuevas ediciones y productos
relacionados. (Solo tienes que marcar la casilla para recibir noticias
nuestras al configurar tu cuenta).
• Consigue un cupón del 35% para tu próxima compra, válido durante 30 días.
Tu código estará disponible en tu carrito de Cisco Press. (También
lo encontrarás en la sección Gestionar códigos de la página de tu
cuenta).
Las ventajas del registro varían según el producto. Los beneficios aparecerán en
la página de su cuenta bajo Productos Registrados.